（计算机应用技术专业论文）多安全域web服务访问控制研究.pdf

摘要 w e b 服务作为一种新型分布式技术，具有异构、动态、复杂、多域的特点，易暴露 现有安全系统的弱点和局限性，因此安全问题成为w e b 服务广泛应用前必须解决的问 题。访问控制技术是保护系统资源的重要技术，也是t c s e c ( t r u s t e dc o m p u t e rs y s t e m e v a l u a t i o nc r i t e r i a ，可信计算机系统评估准则) 评价系统安全的重要标准，因此提出一种 适合w e b 服务动态、异构环境特点的访问控制模型成为重要问题。 w e b 服务环境中存在采用不同访问控制技术的多个安全域，应用于w e b 服务环境 中的访问控制技术必须能够进行跨域的访问控制。本文在研究x a c m l ( e x t e n s i b l e a c c e s sc o n t r o lm a r k u pl a n g u a g e ，可扩展访问控制标记语言) 标准访问控制架构的基础 上，结合信任管理技术对该架构进行扩展，提出了一个基于信任度的w e b 服务访问控 制模型( w e bs e r v i c e st r u s t b a s e da c c e s sc o n t r o lm o d e l ，w s t b a c ) ，模型根据主体的信 任度进行访问控制，而非主体标识，在授权时只要获得主体的信任度即可，文中对提高 系统性能、计算信任度等问题进行了深入研究。在假设各域都采用w s t b a c 模型的环 境下，文中给出了根据主体在请求域内的信任度、目标域对请求域的信任度，计算主体 在目标域内信任度的方法，获得主体在目标域内的信任度后即可根据域内访问控制策略 决定是否允许主体的访问请求，并且给出在交互完成后，根据交互结果更新主体在请求 域内信任度及目标域对请求域的信任度的方法，有效反映跨域访问对于主体及请求域信 任度的影响。文中还说明了w s t b a c 模型与r b a c 模型之间的跨域访问控制流程。 文章最后通过模拟实验验证了模型的可行性，并通过一个应用示例阐述了模型中一次访 问请求评估的具体过程。 关键词：w e b 服务，访问控制，信任管理，x a c m l t h er e s e a r c ho fm u l t i s e c u r i t yd o m a i na c c e s sc o n t r o li nw e bs e r v i c e s z h a n go u a n g z h i ( c o m p u t e ra p p l i c a t i o nt e c h n o l o g y ) d i r e c t e db ya s s o c i a t e - p r o f e s s o rz h a n go u o p i n g a b s t r a c t a san e wd i s t r i b u t e dt e c h n o l o g y , w e bs e r v i c e si se a s yt oe x p o s et h ew e a k n e s s e sa n dl i m i t a t i o n so ft h e e x i s t i n gs e c u r i t ys y s t e m , b e c a u s eo fi t s i n h e r e n t h e t e r o g e n e i t y , d y n a m i cn a t u r e ，c o m p l e x i t ya n d m u l t i n o m i a lc h a r a c t e r i s t i c , s os e c u r i t yi s s u e sm u s tb es o l v e db e f o r et h ew e bs e r v i c e s w i d eu s e a c c e s s c o n t r o li sa ni m p o r t a n ts e c u r i t yt e c h n o l o g ya n di sa l s oac r i t e r i o nf o rt c s e c ( t r u s t e dc o m p u t e rs y s t e m e v a l u a t i o nc r i t e r i a ) t oe v a l u a t et h es e c u r i t yo fs y s t e m ，a n dt h e r e f o r ei t si m p o r t a n tt op r o v i d ea n 锄x e 鼹 c o n t r o lm o d e lw h i c hi ss u i t a b l yf o rd y n a m i ca n dm u l t i - d o m a i nw e b5 e l v i c a g se n v i r o n m e n t t h e r ea 豫al o to fs e c u r i t yd o m a i mw h i c hu s ed i f f e r e n ta g c e s sc o n t r o lt e c h n o l o g yi nt h ew e bs e r v i c e s e n v i r o n m e n t , s ot h et e c h n o l o g ym u s tb ea b l et os o l v et h ep r o b l e mo fc r o s s - d o m a i na c c e s sc o n t r 0 1 b a s e d o i lt h es t u d yx a c m l ( e x t e n s i b l ea c c e s sc o n t r o lm a r k u pl a n g u a g e ) w h i c hg i v e sas t a n d a r da c 4 c c s s c o n t r o lf r a m e w o r k , t h i sp a p e rp r e s e n t saw e bs e r v i c e st r u s t - - b a s e da c c e s sc o n t r o lm o d e l ( w s - m a c ) b y i m p r o v i n gt h ef r a m e w o r k w i t ht r u s tm a n a g e m e n tt e c h n o l o g y , t r u s td e g r e ei su s e df o ra c c e s sc o n t r o li nt h e m o d e lr a t h e rt h a nt h ei d e n t i t yo fs u b j e c t , s oo n l yt r u s td e g r e ei sn e e da tt h et i m eo fa u t h o r i z a t i o n , t h ep a p e r a l s om a k e si n - d e p t hs t u d yo nh o wt oi m p r o v et h ep e r f o r m a n c eo fs y s t e ma n dc a l c u l a t et r u s td e g r e e a s s u m et h ed o m a i nu s e sw s - t b a cm o d e l t h i sp a p e rg i v e st h em e t h o dt oc a l c u l a t es u b j e c t st r u s td e g r e e a c c o r d i n gt os u b j e c t st r u s td e g r e ei nr e q u e s td o m a i na n dr e q u e s td o m a i n st r u s td e g r e ei nt a r g e td o m a i n a f t e rg e tt h es u b j e c t st r u s td e g r e et h em o d e ld e c i d et oa l l o wt h es u b j e c t sr e q u e s to rn o ta c c o r d i n gt o a c c e s sc o n t r o lp o l i c y t h es u b j e c t st r u s td e g r e ei nr e q u e s td o m a i na n dr e q u e s td o m a i n st r u s td e g r e ei n t a r g e td o m a i ni su p d a t e da f t e rt h ev i s i t ；r e f l e c tt h ec r o s sd o m a i nv i s i t si m p a c to nt h es u b j e c t st r u s td e g r e e i nr e q u e s td o m a i na n dr e q u e s td o m a i n st r u s td e g r e e t h ep a p e ra l s od e s c r i b e st h ep r o c e s so fc r o s s d o m a i n a c c e s sc o n t r o lb e t w e e nw s - t b a cm o d e la n dr b a cm o d e l f i n a l l yt h em o d e l sf e a s i b i l i t yi sp r o v e db ya s i m u l a t i o ne x p e r i m e n ta n dg i v ea e x a m p l et os h o wt h ep r o c e s so f a c c e s sr e q u e s te v a l u a t i o n k e yw o r d s ：w e bs e r v i c e s ，a c c e s sc o n t r o l ，t r u s tm a n a g e m e n t ，x a c m l h 关于学位论文的独创性声明 本人郑重声明：所呈交的论文是本人在指导教师指导下独立进行研究工作所取得的 成果，论文中有关资料和数据是实事求是的。尽我所知，除文中已经加以标注和致谢外， 本论文不包含其他人已经发表或撰写的研究成果，也不包含本人或他人为获得中国石油 大学( 华东) 或其它教育机构的学位或学历证书而使用过的材料。与我一同工作的同志 对研究所做的任何贡献均已在论文中作出了明确的说明。 若有不实之处，本人愿意承担相关法律责任。 学位论文作者签名：盏隆王左 日期：况溺年妇艿日 学位论文使用授权书 本人完全同意中国石油大学( 华东) 有权使用本学位论文( 包括但不限于其印 刷版和电子版) ，使用方式包括但不限于：保留学位论文，按规定向国家有关部门 ( 机构) 送交学位论文，以学术交流为目的赠送和交换学位论文，允许学位论文被 查阅、借阅和复印，将学位论文的全部或部分内容编入有关数据库进行检索，采用 影印、缩印或其他复制手段保存学位论文。 保密学位论文在解密后的使用授权同上。 学位论文作者签 指导教师签名： 日期：弘喁年r 月2 妯 日期：嘲年歹月巩e l 中国石油大学( 华东) 硕士学位论文 1 1 课题的提出 第一章绪论 近年来，随着全球经济的迅速发展，企业为提高业务自动化和市场快速反应能力， 要求信息系统能够在i n t e m e t 环境下进行企业间系统的应用互操作和集成，要能够依据 新的需求为企业即时寻找商业合作伙伴，为客户提供新的服务，并能将各种应用集成形 成新的解决方案，以快速适应业务变化并减少企业开销。w e b 服务【l 】作为一种新型的分 布式计算模型，具有简单、跨平台、松散耦合的特点，能够在各种异构平台的基础上构 筑一个通用、平台无关、语言无关的技术层，使各种不同平台上的系统能够方便地实现 连接与集成，因此，成为w e b 上数据和信息集成的首选。企业的信息集成牵扯到不同 域中服务的整合与调用，由于不同域中的访问控制模型和策略可能有所不同，而提供跨 多个域的w e b 服务访问控制是传统的安全机制不能解决的问题，所以提供一种跨域的 w e b 服务访问控制模型成为w e b 服务技术能否被真正广泛应用必须要解决的问题。 1 2 国内外研究现状 国内外对w e b 服务访问控制进行了大量研究，提出了多个模型，但主要是在现有 模型的基础上，进行扩展以适合w e b 服务环境，最多的是对r b a c 模型的扩展。目前 在w e b 服务访问控制研究领域取得的成果主要有： 文献 4 l o f t 提出一种基于角色的w e b 服务访问控制模型。该模型中传统的受保护对 象被服务所取代，同时提出一个角色扮演者( a c t o r ) 的概念，扮演者是用户激活角色时 创建的一个动态对象，它的条件和活动表现了被激活角色的特点。这样用户获得服务的 过程就转换为角色扮演者( a c t o r ) 获得服务的过程，系统通过监视角色扮演者( a c t o r ) 的 行为和状态，实现对用户角色行为的安全监控和跟踪。 文献 5 】提出一种基于工作流和服务的角色访问控制模型。该模型中采用工作流的 控制方法，引入了状态迁移的概念，以实现“最小特权原则”，采用任务的流程作为一 种上下文环境，对角色权限进行约束。 文献【6 ，7 ，8 】介绍基于属性的访问控制模型( a b a c ) 。这类模型首先获得主体、客体 和环境的属性，然后根据制定的访问控制策略和获得的属性来决定是否允许请求者对资 源的访问请求。 第一章绪论 文献【9 】提出一种在网格环境下的基于上下文的角色访问控制模型。这种模型提出 了全局角色和局部角色的概念，通过全局角色和局部角色的映射来解决用户跨安全域访 问问题，同时在授权时考虑上下文信息。 文献 1 0 】提出了一种在网格环境下的动态跨域访问控制模型，模型计算主体的信任 度，然后根据主体的信任度动态为主体指定角色，从而将主体的历史操作情况用于访问 控制。 文献 1 1 ，1 2 ，1 3 ，1 4 研究了在w e b 服务环境中信任度的计算推导等问题，从而使得利 用信任度进行w e b 服务访问控制的研究成为可能。 文献【1 5 】提出了一种基于角色的访问控制模型。该模型在服务和服务属性两个层面 进行控制，请求者访问该服务的前提是为其分配访问该服务的角色，并且通过最小属性 限制。同时也提出了全局角色和局部角色的概念，用于解决用户跨安全域访问的问题。 文献【1 6 】提出了一种可以用于w e b h 艮务的访问控制模型( x r b a c ) 。该模型中，将用 户、角色、权限、用户角色对应关系、角色权限对应关系全部写在相应的x m l 文件中， 当用户提出访问请求时，根据相应黼文件的内容来决定用户是否有相应权限。这种模 型对x m l 文档的控制可以是整个文档，也可以是文档的一部分或者文档中的一个元素， 因此提供了一种细粒度的访问控制。在x 他心a c 的基础之上提出了一种新的模型，该 模型在授权时考虑请求发生时的上下文信息以及主体信任度。 文献【1 7 】介绍了一种基于属性的访问控制模型。通过一个简单的示例说明了基于属 性的访问控制模型与传统的访问控制模型相比具有的优势，并讨论了该模型的安全性问 题。 。 1 3 研究目的 国内外在w 曲访问控制研究中提出的模型在一定程度上解决了面临的动态授权问 题，例如将上下文信息用于访问控制，通过引入状态迁移的概念或环境属性的概念。但 是w 曲服务的跨域授权问题并没有提出优良的解决方案，大多还是沿用传统的角色转换 或者属性证书的方式。文献【1 0 】对网格环境下动态跨域访问控制技术的研究，给我们提 供了w r e b 服务访问控制研究的新思路，即利用信任度进行访问控制，这样可以根据主体 的实际行动动态的调整其信任度，进而影响其在系统中的权限。并且由于只根据主体的 信任度进行授权，不需要角色的转换、属性证书的验证等工作，因此在w e b 服务这种用 户数量巨大且不断变化的情况下能很好的解决访问控制问题。据此，本文在研究现有访 2 中国石油大学( 华东) 硕士学位论文 问控制技术及信任管理技术的基础上将两者相结合，提出了一种基于信任度的w 曲服务 访问控制模型( w e bs e r v i c e st r u s tb a s e d a c c e s sc o n t r o l ，简称w s t b a c ) ，模型中利用主 体信任度进行授权而非角色、用户标识等信息，最终将该模型扩展到多域环境中解决跨 域访问控制问题。 1 4 研究意义 访问控制是保证系统安全的重要技术。随着分布式技术的发展与广泛应用，系统规 模越来越大，涉及的用户越来越多，相应对访问控制技术要求也越来越高，访问控制不 仅要实现对系统资源的保护，还要尽可能减少管理人员的工作量。本文结合信任管理的 思想，利用信任度反映主体在系统中的实际操作情况，进而用于访问控制，将授权与主 体的实际表现相关联，而且系统自动计算主体信任度减少管理人员参与，符合当前系统 对于访问控制技术的要求，具有实际研究意义。 1 5 研究内容及文章结构 1 5 1 研究内容 当前存在的多个访问控制模型，已在实际中得到应用，起到了限制用户行为保护系 统资源的作用。w e b 服务本身具有其独特性，例如用户数量巨大且动态变化、用户身份 事先不可知等，这对w e b 服务环境中的访问控制技术提出了更具动态性的要求，授权 时能够将上下文信息、历史操作情况等信息考虑在内。对于将上下文信息引入到w e b 服务访问控制中已经做了大量的研究，但在反映历史操作情况对访问控制影响方面还没 有好的方法。信任管理技术提出了信任评估模型的概念，利用信任评估模型计算的信任 度，可以反映用户实际操作的情况。因此本文考虑将信任评估模型引入到w e b 服务环 境中，根据服务实际工作情况获得信任度并用于访问控制。本文主要在以下几个方面进 行研究： ( 1 ) 研究x a c m l 语言及其提供的一种标准访问控制架构。 ( 2 ) 研究信任管理的思想以及怎样利用信任评估模型对信任度进行计算推导。 ( 3 ) 将信任管理的思想引入到w e b 服务架构中，从而计算得到w e b 服务环境中各 服务信任度并应用于访问控制。 ( 4 ) 将基于信任度的访问控制模型扩展到多域环境中，并解决扩展时遇到的问题。 ( 5 ) 最终通过模拟试验证明模型的效果及可行性。 3 第一章绪论 1 5 2 文章结构 第一章：绪论。主要介绍课题的来源、背景及意义，w r e b 服务访问控制的研究现状， 特别是在w r e b 服务访问控制技术研究中国内外学者已经取得的研究成果，及其存在的不 足。 第二章：w 曲服务及访问控制技术研究。本章首先介绍w 曲服务架构及其当前存在 的安全问题，并进一步指出访问控制技术对于w - e b 服务安全研究的重要性。然后介绍几 种主要的访问控制技术，并重点介绍x a c m l 中提出的一种标准访问控制架构。最后介 绍访问控制技术迸一步发展的整体趋势。 第三章：信任管理技术研究。本章首先介绍了信任的概念以及信任管理思想出现的 背景，然后介绍一种典型的信任评估模型j o s a n g 模型，最后说明信任管理技术研究的意 义。 第四章：基于信任度的w 曲服务访问控制模型设计。本章中首先对w 曲服务架构进 行扩展，引入了信任管理中心( t r u s tm a n a g e rc e n t e r ，简称t m c ) 用于计算w e b 服务环境 中各服务的信任度，在此基础上对x a c m l 中的标准访问控制架构进行扩展，提出了基 于信任度的w e b 服务访问控制模型( w s t b a c ) ，并对怎样提高系统整体性能、计算服务 信任度等问题进行重点研究。 第五章tw s t b a c 模型跨域访问控制机制。本章首先介绍在各域都采用w s t b a c 模型的多域环境下，信任度重新计算、交互后信任度更新等问题，然后说明了采用 w s t b a c 模型的安全域与采用r b a c 模型的安全域之间的跨域访问控制过程。最后在 s u n 公司提供的x a c 池实现环境中验证模型的可用性。 第六章：总结与展望。本章介绍了论文所做的工作以及取得的创新，在此基础上指 出下一步研究的方向。 4 中国石油大学( 华东) 硕士学位论文 第二章w e b 服务及访问控制技术研究 2 1w e b 服务技术 2 1 1w e b 服务架构 从技术的角度来看，w e b 服务可以被认为是一个部署在w e b 上的组件，它代表了组 件技术和w e b 的组合；从使用者的角度看，w c b 服务是自包含、自描述、规模化的应用， 可以被发布、定位，并通过w e b 调用；从实现的角度看，w e b 服务使用基于x m l 的标准 协议进行服务描述、服务发现和相互调用，一旦部署了w e b 服务，任何程序只要获得 w e b 服务的接口描述，就可以通过标准的协议动态调用所部署的服务。w e b 服务具有如 下特征： ( 1 ) 完好的封装性：w e b 服务是一种部署在w e b 上的对象组件 2 1 ，使用者只需知道 接口的描述，也就是服务实现的功能，不必关心怎么实现它，而且基于组件的模型允许 开发人员重用他人创建的代码模块，形成新的服务软件。 ( 2 ) 松散耦合：这一特征也源于对象组件技术，当一个w e b 服务的实现发生变更时， 调用者不会感到这一点的，对于调用者来说，只要w e b j 王务的调用界面不变，w e b 服务 实现的任何变更对他们来说都是透明的。 ( 3 ) 动态访问：不同于普通的w e b 站点或者桌面程序，w e b 服务不是为直接与人交 互，而是为了被其他的程序或者w e b 服务调用提供更好的服务。 ( 4 ) 使用标准协议规范：w e b j e 务大部分规范由w 3 c 或o a s i s 发布和维护，使用的 协议都是开放的、免费的，从而保证了协议的规范性、易于理解性。 ( 5 ) 高度可集成能力：由于w e b j 艮务采取规范的、易理解的标准w e b 协议作为组件 界面描述和协同描述规范，完全屏蔽了不同软件平台的差异，无论是c o i 氇a 、d c o m 还是e j b 都可以通过这一种标准协议进行互操作，开发者无需更改其开发环境，便可以 使用任何语言来开发w e b 服务，实现了当前环境下最高的可集成性。 w e b 服务基于面向服务的体系架构( s e r v i c eo r i e n t e da r c h i t e c t u r e ，s o a ) ，架构中主 要包括服务请求者、服务提供者、注册中心三个角色，角色之间的交互包括查找、注册、 绑定。服务提供者定义w e b j 艮务的服务描述并把它发布到服务注册中心，服务请求者使 用查找操作从服务注册中心检索服务描述，然后根据服务描述与服务提供者进行绑定并 调用w e b j 艮务与之实现交互。图2 1 示意了w e b 服务架构中三种角色之间的交互。 5 第二章w e b 服务及访问控制技术研究 图2 - 1w e b 服务架构 f i 9 2 - 1 w e bs e r v i c e sa r c h i t e c t u r e 服务提供者是提供w e b 服务的供应商，它定义w e b 服务的服务描述并把它发布到服 务注册中心。 服务请求者是需要满足特定功能的企业或个人，它寻找并调用服务，并启动与服务 交互的应用程序。服务请求者角色可以由浏览器来担当，由人或另外一个w e b 服务来控 制它。 服务注册中心是可搜索的服务描述注册中心，服务提供者在此发布他们的服务描 述。对于静态绑定的服务请求者，由于服务提供者可以把描述直接发送给服务请求者。 服务注册中心是体系结构中的可选角色。 w e b 服务体系结构建立在现有和新兴的标准之上，例如：h r r p 、可扩展标记语言 ( e x t e n s i b l em a r k u pl a n g u a g e ，x m l ) 、简单对象访问协议( s i m p l eo b j e c ta c c e s s p r o t o c o l ，s o a p ) 、w e b 服务描述语言( w e bs e r v i c e sd e s c r i p t i o nl a n g u a g e ，w s d l ) 以及统一描述、发现与集成( u n i v e r s a ld e s c r i p t i o n , d i s c o v e r ya n di n t e g r a t i o n ，u d d i ) 。 其中w s d l 是一种基于x m l 的语言，用一种与具体语言无关的抽象方式来描述w e b 服务 的程序接口，包括服务名称、参数和返回值。u d d i 让w e b 服务将它们的特性注册到注 册表中，以便其它的应用可以查询并使用它。s o a p 是一个基于x m l 在分布式环境中交 换信息的简单协议，提供了w e b 服务提供者与请求者之间交流的方式。这样一来，开发 者就可以开发出平台独立、编程语言独立的w e b j i 务，从而能够充分利用现有的软硬件 资源和人力资源，使应用程序的集成更快、更容易而且更便宜。 2 1 2w e b 服务安全问题 w e b 服务的分布式、异构的特点，使得w e b j 艮务的安全问题变得异常复杂。w e b 服 6 中国石油大学( 华东) 硕士学位论文 务技术支持不同类型应用程序的互操作，而这些应用程序通过i n t e r n e t 在世界各地多种不 同的系统( 存在于复杂的多域环境中) 上运行，其中有太多的不同系统，被太多的外部用 户调用，使用太多的不兼容的集成和安全服务，跨越太多的组织边界进行集成，所以对 安全性提出了更高的要求。因此，安全性问题是w e b 服务能否被广泛应用的关键所在。 w e b 服务必须满足以下四个基本的安全性要求【3 】： ( 1 ) 机密性：信息对没有经过授权的个人、实体或进程的不可用性或不公开性，并 保证消息内容不对没有经过授权的人公开； ( 2 ) 授权：权限授予，包括根据访问权限授予访问权和保证发送方被授权发送消息； ( 3 ) 数据完整性：数据没有以未经授权的方式或被未经授权的用户不可察觉的改变 或者破坏的性质，从而确保消息在传送的过程中不会被偶然或故意修改； ( 4 ) 原始性证明：是对消息或数据的发送者进行标识的证据。 在w - e b 服务的基本安全性要求中包含授权一项，其中包含根据访问权限授予用户访 问权，即w 曲服务环境中访问控制技术研究的内容。访问控制的目标是保护系统资源， 以防被不合适或者不希望访问的人访问。访问控制是安全w e b 环境必不可少的关键部 分，也是t c s e c ( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ，可信计算机系统评估准则) 评价系统安全的主要指标之一，是w e b 服务安全研究的重要问题。w e b 服务环境具有异 构、动态和多域的特点，是由安全策略不同的多个安全域组成的异构系统，在w e b 服务 访问控制的研究中有以下几个方面的关键问题： ( 1 ) 通用性：w e b 服务中各系统根据自己的需求定制访问控制策略，造成多种访问 控制策略共存，而w r e b 服务的访问控制机制需要支持这些根据不同需求自定义的访问控 制策略： ( 2 ) 自主控制：自主控制是指各系统都独立地制定本安全域内的访问控制策略，而 不受其它组织的影响： ( 3 ) 动态适应性：w e b 服务具有动态性特点，其访问控制技术应该反映这种动态变 化的特点，能根据w e b 服务环境中与安全相关的环境信息对主体权限做出动态的改变： ( 4 ) 互操作性：w r e b 服务的访问控制需要提供跨域的授权机制，以实现全局一体化 的访问控制。需要在各安全域间进行访问控制策略的转换，以实现跨安全域的授权，在 跨安全域的授权中，由于访问的主体与客体属于不同的安全域，可能发生访问控制冲突， 这就需要一定的协调机制。 针对w e b 服务访问控制技术的特殊性，当前研究已经取得一定的成果，例如在授权 7 第二章w e b 服务及访问控制技术研究 时将与安全相关的上下文信息，如：时间、位置、环境状态等信息用于访问控制决策中， 解决了w e b 服务访问控制的部分动态适应性问题。但对于w e b 服务访问控制的互操作、 通用行等问题并没有一个好的解决方案，传统的基于角色访问控制模型中，通过角色的 映射解决通用性问题，这是在各安全域都采用相同模型的前提之下，并且要完成各角色 之间的映射，在w e b 服务的开放环境中这将是一项繁重的工作。特别是在w 曲服务环境 中还存在其他访问控制模型，如：基于属性的访问控制模型，这种情况就是角色映射所 不能解决的了，因此，必须要有一种新的机制来解决这个问题，以解决w e b 服务访问控 制的互操作、通用行问题。 2 2 访问控制技术简介 访问控制技术起源于2 0 世纪7 0 年代，当时是为满足管理大型主机系统上共享数据 授权访问的需要提出的。随着计算机技术和应用的发展，特别是网络应用的发展，这一 技术思想被迅速应用于信息系统的各个领域。访问控制的目标是保护系统资源，防止资 源被不合适或者不希望访问的人访问到。换句话说，就是要提供细粒度的访问控制以保 证最大程度的资源共享，即确保对客体的所有访问以及客体的资源都在控制之中，并且 只有被授权的行为能够发生。 在访问控制研究中我们经常要使用主体、客体、操作等概念。主体指一个提出请求 或要求的实体，是动作的发起者，造成系统信息的流动和系统状态的改变，主体通常包 含人、设备或进程。客体是指包含或接受信息的被动实体，客体在信息流动中地位是被 动的，处于主体的作用之下，客体的概念非常广泛，凡是可以被操作的信息资源对象都 可以认为是客体，客体可以是信息文件记录等的集合体也可以是网络上的硬件设施，无 线通信中的终端，甚至一个客体可以包含另外一个客体。操作是使信息在主体与客体之 间交流的一种方式。 在访问控制技术3 0 多年的发展过程中，先后出现了多种重要的访问控制技术，如自 主访问控制( d i s c r e t i o n a r y a c c e s sc o n t r o l ，简称d a c ) 、强制访问控制( m a n d a t o r y a c c e s s c o n t r o l ，简称m a c ) 和基于角色的访问控制( r o l e b a s e da c c e s sc o n t r o l ，简称i m a c ) 。访 问控制的一般策略如图2 2 所示： 8 中国石油大学( 华东) 硕士学位论文 图2 2 访问控制一般策略 f i 9 2 2 g e n e r a la c c e s sc o n t r o lp o l i c i e s 2 2 1 自主访问控制( d a c ) d a c 是目前计算机系统中实现最多的访问控制机制，其基本思想是系统中的主体 可以自主的将其拥有的对于客体的访问权限授予其他主体。因此，d a c 又称为基于主 体的访问控制。d a c 的实现方法一般是建立系统访问控制权限矩阵，矩阵的行对应系 统的主体，列对应系统的客体，元素表示主体对客体的访问权限。为了提高系统性能， 在实际应用中常常是建立基于行( 主体) 或列( 客体) 的访问控制列表。访问控制列表 ( a c c e s sc o n t r o ll i s t ，简称a c l ) 如表2 1 所示，它是实现自主访问控制最好的方法，访问 控制系统通过检测a c l 来决定访问是授权还是拒绝。 表2 - 1 访问控制列表 t a b l e 2 - 1a c c e s sc o n t r o il i s t 资源 资源1资源2资源3 用户 用户1读，写读写 用户2写读读，写 用户3读，写写读，写 d a c 根据用户的身份及允许访问权限决定其访问操作，这种访问控制机制的灵活 性较高，被广泛应用于商业领域，尤其是在操作系统和关系数据库系统上。然而，也正是 由于这种灵活性使其安全性能有所降低。d a c 也存在一些缺点：授权读是可传递的，一 旦访问权被传递出去将难以控制，使访问权的管理相当困难，会带来严重的安全问题。 在大型系统尤其是分布式系统中，主体和客体的数量巨大，造成a c l 变得很庞大，难 以维护，因此d a c 在大型系统中应用很少。 9 第二章w e b 服务及访问控制技术研究 2 2 2 强制访问控制( m a c ) m a c 最早是为了实现比d a c 更为严格的访问控制而开发的，其基本思想是：为 系统中每个资源和用户分配一个安全级别，系统通过比较用户和资源的安全级别来决定 用户是否允许访问资源，资源只能被高于它安全等级的用户访问。强制指的是用户和资 源的安全等级是由系统规定的，用户不能改变自己和资源的安全等级，也不能将自己的 访问权限转让给其他用户。m a c 关注的是系统实体之间信息流动的过程，强制访问控 制规定了两条规则：不上读，不下写。所谓“不上读 指只有当用户的安全级别高于信 息的安全等级时，用户才能读信息；所谓“不下写”指只有当用户的安全级别低于信息 的安全级别时，用户才能写信息。这样，信息总是从低安全级别流向高安全级别，如图 2 3 所示。强制访问控制保证了信息的单向流向，信息只能从低级别向高级别的方向流 动，防止信息的泄漏和扩散。在强制访问控制中，用户不能改变资源的安全属性，限制 用户对资源的不合理使用。但是，强制访问控制模型限制太多，使用不够灵活，主要应 用于军事部门等对安全性要求较高的系统中。 高缎别读、写写 q l 级别读读、写 低级捧j读读读、写 图2 - 3 强制访问控制中的数据流 f i 9 2 - 3d a t af l o wi nm a c 2 2 3 基于角色的访问控制( r b a c ) 随着网络技术的发展，尤其是i n t e r a c t 的兴起，使得系统的规模越来越大，用户越 来越多，管理也变得更为复杂。传统的访问控制机制中，d a c 将一部分赋予或取消访 问权限的权利留给用户个人，使得管理员难以确定哪些用户对哪些资源有访问权限，不 利于实现统一的全局访问控制。而m a c 过于保密，对其他方面诸如系统连续工作能力、 授权可管理性等考虑不足。9 0 年代出现了一种基于角色的访问控锘i j ( r b a c ) ，r b a c 技 术有效地克服了传统访问控制技术中存在的不足，减少授权管理的复杂度，降低系统开 销，为管理员提供了一个更好的实现安全政策的环境。r b a c 最重要的特点是提出了角 1 0 中国石油大学( 华东) 硕士学位论文 色的概念，访问权限与角色相关联，通过给用户分配相应的角色，让用户与访问权限相 关联。r b a c 示意图2 4 所示。 图2 - 4 基于角色的访问空模型 f i 9 2 - 4r o l e - b a s e da c e sc o n t r o lm o d e l 在r b a c 中，角色就是与组织中特定职位相关的访问权限的集合。当一个主体被 指派为特定角色的时候，该主体就具有了该角色的所有权限，而不需要针对此主体重新 指定所有相关的访问权限。另外，通过角色继承的方法可以充分利用原来定义的角色， 使得各个角色之间的逻辑关系清晰可见，同时又避免了重复工作，减小了出错几率。 2 3 基于x a c m l 的访问控制技术 2 3 1x a c m l 技术简介 结构化信息标准促进组织( o r g a n i z a t i o nf o r t h ea d v a n c e m e n to fs t r u c t u r e d i n f o r m a t i o ns t a n d a r d s ，o a s i s ) 2 0 0 3 年2 月批准通过一种新的标记语言，可扩展访问控 制标记语言【4 0 】( e x t e n s i b l ea c c e s sc o n t r o lm a r k u pl a n g u a g e ，x a c m l ) 来表示控制信息 访问的规则和策略。与以往的策略语言相比x a c m l 基于x m l ，因此x a c m l 具有能 够同时被人和计算机识别的特点。x a c m l 除了给出策略的描述语法之外，也给出了一 个标准化的访问控制决策模型，即x a c m l 能够对资源的访问请求进行决策。 x a c m l 使用x m l 作为其描述语言是很自然的事，x m l 元语言的特性、可扩展的 语法和语义特性以及广泛的支持性使其能够对访问控制思想提供最好的支持。x a c m l 的主要特点 1 9 l 是： ( 1 ) 平台无关性：x a c m l 基于x m l ，x m l 的平台无关性自然延伸到x a c m l 中。 第二章w e b 服务及访问控制技术研究 它便于嵌套进己有的信息系统，无论这个系统的运行环境是w i n d o w s 或类u n i x 系列。 x a c m l 和x m l 一样，也是一种二进制文本，它提供了比a s c i i 抽象程度高得多的语 言表达的通用标准。这也是远程即r p c 调用的基本要求，即消息的一致性。 ( 2 ) 通用性：按照x a c m l 标准制定的访问控制策略具备重用性，因为这些策略以 同样的格式书写，以同样的方式处理，甚至有可能由同样的安全管理员书写。一个针对 多组织的基于x a c m l 的访问控制策略，必然可以应用到所有组织中的访问控制中。 ( 3 ) 可重性：x a c m l 标准定义了规则、策略、策略集之间的包含和索引关系，依 靠这些内建的重用机制，可以极大地减少创建策略和维护策略的复杂性。 ( 4 ) 分布性：利用x a c m l ，不同组织、不同部门得以按照同样的标准制定各自的 访问控制策略，x a c m l 的可重用性和模块性保证这些策略共同对组织内的各访问控制 应用起作用。 ( 5 ) 模块化：x a c m l 定义了表达策略的最顶层的三个元素，而且对这些元素制定 了合并的算法，策略的顶层三元素可以按照粒度需求单独或者一块起作用。这种模块化 特性也间接地加强了x a c m l 的可重用性。 ( 6 ) 扩展性：x a c m l 定义了很多数据类型、函数和策略合并算法，通常足够表达 完善的访问控制策略，但是对于特殊的访问控制需求，x a c m l 还是完全允许用户自定 义各种元素和属性，同时提供了快速发现这些属性的机制。 2 3 2x a c m l 模型介绍 x a c m l 标准对x a c m l 模型【2 0 】的介绍主要包括数据流模_ 郏a t af l o wm o d e l ) 、上 下文模型( c o n t e x tm o d e l ) 和策略语言模型( p o l i c yl a n g u a g em o d e l ) 。这三个模型分别从数 据流向和访问控制系统功能模块划分、上下文和策略语言元素方面描述x a c m l 标准。 一、数据流模型( d a t af l o wm o d e l ) ：x a c 池由多个组件组成，包括策略执行点( p o l i c y e n f o r c e m e n tp o i n t ，简称p e p ) ，策略决策点( p o l i c yd e c i s i o np o i n t ，简称p d p ) ，策略管理 点( p o l i c ya d m i n i s t r a t i o np o i n t ，简称p a p ) ，策略信息点( p o l i c yi n f o r m a t i o np o i n t ，简称p 妒) ， 主体( s u b j e c t ) ，资源( r e s o u r c e ) ，环境( e n v i r o n m e n t ) 。数据流模型如图2 5 所示： 由用户发送的一个服务请求，经过p e p 、p d p 等组件，完成一个完整的授权过程， 一般要经过十四个步骤： ( 1 ) 策略管理点( p a p ) 定义的策略和策略集合存储在策略决策点( p d p ) 可以检索到 的地方。这些策略和策略集合都有各自的目标( t a r g e t ) 标识。 1 2 中国石油大学( 华东) 硕士学位论文 ( 2 ) 访问请求者向保护资源的策略执行点( p e p ) 发送一个访问请求。 ( 3 ) 策略执行点( p e p ) 收到用户的服务请求，以其自己的方式将访问请求发送给上下 文处理器( c o n t e x t h a n d l e r ) ，在请求中包括请求主体、所请求资源、所进行的操作以及当 时执行环境的属性。 ( 4 ) 上下文处理器( c o n t e x th a n d i e r ) 构造一个x a c m l 格式的请求并发送策略决策点 ( p d p ) 。 ( 5 ) 策略决策点( p d p ) 从上下文处理器( c o n t e x th a n d l e r ) 中获得x a c m l 请求评估