（计算机应用技术专业论文）面向通用企业应用安全框架的设计与实现.pdf

人连理i ：人学硕十学位论文 摘要 随着现代企业的发展和信息化程度不断提高，企业的各种信息系统闩益庞大和复 杂，系统安全形势也同益严峻。企业应用系统的每个环节都有可能遭到安全威胁，应用 系统需要保护众多的资源。然而，诈是因为目前的各种企业应用系统同益庞大和复杂， 对认证和授权以及资源的访问控制管理也越来越困难。为企业提供一套易使用的、易扩 展和易管理的企业应用安全框架是十分重要的。 本论文以r b a c 访问控制模型，a c e g i 安全框架和东软集团软件股份有限公司丌发 的通用企业应用平台( u n i v e r s a le n t e r p r i s ea p p l i c a t i o np l a t f o r n l ，u n i e a p ) 系统架构为基 础，对基于j 2 e e 的企业应用系统的安全进行了深入研究。从多个角度、多个层次论述 了如何有效的解决应用系统的总体安全问题，并给出了一套具有通用性的安全架构设计 方案。本文将安全框架设计为三部分，分别是：组织机构、认证系统和授权系统，分别 从这三个方面给出了具体的设计与实现。由于企业对安全框架的要求各不相同，这罩只 提供了一个基础的安全框架，解决具有共性的安全问题，同时安全框架具有高度的可扩 展性。本文提出的设计方案大大降低了通用企业应用平台安全管理的复杂度，增强了系 统的安全性。该设计方案对于解决其它企业应用平台和企业应用的安全问题也具有一定 的借攀意义。 关键词：安全服务；安全框架；基于角色的访问控制；认证；授权 面向通用企业鹿崩安全框架的设计与实现 t h er e s e a r c ha n di m p l e m e n t a t i o no fs e c u r i t yf r a m e w o r kf o re n t e r p r i s e a p p l i c a t i o n a b s t r a c t w i mt h ed e v e l o p m e n to fm o d e me n t e r p r i s e sa n di n f o r m a t i o nt e c h n o l o g y ，t h ei n f o r m a t i o n o fe n t e r p r i s es y s t e m sa r eb e c o m i n gi n c r e a s i n g l yl a r g e s c a l ea n dc o m p l e x ，t h e r e f o r e ，s y s t e m s e c u r i t ys i t u a t i o nh a sb e c o m em o r es e r i o u s e v e r ya s p e c to fe n t e r p r i s e sa p p l i c a t i o ns y s t e m c o u l ds u f f e rs e c u r i t yt h r e m s e n t e r p r i s e sa p p l i c a t i o ns y s t e mn e e dt op r o t e c tt h e i rr e s o u r c e s a t p r e s e n t ，t h ee n t e r p r i s ea p p l i c a t i o ns y s t e m sa r eb e c o m i n gi n c r e a s i n g l yc o m p l e x ，a c c e s sc o n t r o l m a n a g e m e n t o fr e s o u r c e s a u t h e n t i c a t i o na n da u t h o r i z a t i o ni sb e c o m i n gi n c r e a s i n g l y d i f f c u l t s o ，i ti si m p o r t a n tt od e v e l o pa l le a s yt ou s e ，e a s yt oe x p a n d ，e a s yt om a n a g es e c u r i t y f r a m e w o r kf o re n t e r p r i s ea p p l i c a t i o n t h i st h e s i si sb a s e do nr b a cm o d e l a c e g is e c u r i t yf r a m e w o r ka n dt h es t r u c t u r eo ft h e e x i s t i n gu n i e a ps y s t e mw h i c hi sau n i v e r s a le n t e r p r i s ea p p l i c a t i o np l a t f o r md e v e l o p e db y n e u s o f tg r o u pl t d t k st h e s i sb e g i n sw i t ht h es e c u r i t yo f j 2 e ee n t e r p r i s ea p p l i c a t i o np l a t f o r m a n dd i s c u s s e sh o wt od e a lw i t ho v e r a l li n f o r m a t i o ns e c u r i t yp r o b l e m st h r o u g hs e v e r a lv i e w s a n ds e v e r a ll a y e r s ，a n dg i v e su sa l lo v e r a l ls c h e m eb a s e do ns e c u r i t yt e c h n o l o g ya n dm e t h o d t h es e c u r i t yf r a m e w o r ki sd i v i d e di n t ot h r e ep a r t s ：m u l t i - d i m e n s i o no r g a n i z a t i o ns t r u c t u r e ， a u t h e n t i c a t i o ns y s t e ma n da u t h o r i z a t i o ns y s t e m t h et h e s i sg i v e su sac o n c r e t ed e s i g na n d i m p l e m e mf r o mt h ea s p e c t s b e c a u s ee v e r ye n t e r p r i s eh a sd i f f e r e n tr e q u i r e m e n t s ，t h es e c u r i t y f r a m e w o r ki sab a s i cf r a m e w o r kw h i c hi u s tr e s o l v et oc o m m o n l ys e c u r i t yp r o b l e m s a tt h es a m e t i m e ，t h es e c u r i t yf r a m e w o r ki sah i g h l ye x t e n s i b l ef r a m e w o r k t h ed e s i g ns o l u t i o n ，w h i c hi sp u t f o r w a r db yt h et h e s i s ，c a nr e d u c et h ec o m p l e x i t yo fa u t h o r i t ym a n a g e m e ma n ds t r e n g t h e nt h e s y s t e m a t i cs e c u r i t y t h ed e s i g na n di m p l e m e n t a t i o nw i l lb ea l s ou s e f u lt oo t h e re n t e r p r i s e a p p l i c a t i o np l a t f o r m sa n do t h e re n t e r p r i s ea p p l i c a t i o n s k e yw o r d s ：s e c u r i t ys e r v i c e s ：a c e g i ：r b a c ：a u t h e n t i c a t i o n ：a u t h o r i z a t i o n i l 人连理工人学硕士学位论文 大连理工大学学位论文版权使用授权书 本人完全了解学校有关学位论文知识产权的规定，在校攻读学位期间 论文工作的知识产权属于大连理工大学，允许论文被查阅和借阅。学校有 权保留论文并向国家有关部门或机构送交论文的复印件和电子版，可以将 本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印、或扫描等复制手段保存和汇编本学位论文。 学位论文题目： 作者签名： 导师签名： ，血衄盈璺垒丝堑望星：垒丝鉴鱼望i 堡! 土受受主塑 日期：丑年月4 日 日期：j 堕芝年三月丝日 面向通川企业虑h 安全框架的设计与实现 大连理工大学学位论文独创性声明 作者郑重声明：所呈交的学位论文，是本人在导师的指导下进行研究 工作所取得的成果。尽我所知，除文中已经注明引用内容和致谢的地方外， 本论文不包含其他个人或集体已经发表的研究成果，也不包含其他已申请 学位或其他用途使用过的成果。与我一同工作的同志对本研究所做的贡献 均已在论文中做了明确的说明并表示了谢意。 若有不实之处，本人愿意承担相关法律责任。 学位论文题目：l 盔鱼亟圈鱼垒蕉因立垒至匿缝塑隍丝监 作者签名：塑兰熔日期：j 盟年上月兰l 日 大连理：l ：人学硕+ 学位论文 1绪论 1 1 信息安全的发展 以计算机和通讯网络为基础建立的各种信息系统，给人们的生活、工作；糟来了巨人 的变革。随着网络技术的迅猛发展，企业的信息系统依赖于一个开放的、互联的网络环 境。这些网络将商业企业、医疗机构、教育、政府部门、甚至个人联系在一起，共享丰 富的数据库信息和计算机资源，存储大量的数据文件，完成异地问的数据交换和通信。 信息系统的快速发展，加速了社会自动化的进程，减轻了f 1 常繁杂的重复! 7 动，捉高了 生产率。 然而在给我们带来巨大的好处的同时，也带来了潜舀：的安全风险。现在企业慨l h 污 运作离不开信息资源的支持，这包括企业的知识产权、各种重要数据、信息处理设施、 关键人员信息等等。企业信息系统被入侵导致系统崩溃以及企业的商业机密被泄磁都将 给企业带来巨大的，无法弥补的损失。由此可见，企业信息安全问题变得越来越严峻。 信息安全具有三个基本的安全性质：保密性( c o n f i d e n t i a l i t y ) 、完整性( i n t e g r i t y ) 和 可用性( a v a i l a b i l i t y ) 。 ( 1 ) 保密性：信息不泄露给非授权用，“、实体或过程，信息只能被合法的授权f i 】 户访问。 4 2 ) 完整性：数据不被非授权用户修改和破坏。即信息在存储和传输过私川t 保持 不被修改、不被破坏和不丢失的特性。 ( 3 ) 可用性：有权访问信息的合法用户可以随时对信息进行访问，即当需要时信 息能被存取。例如网络环境下拒绝服务、破坏网络和有关系统的f 常运行等都属于对町 用性的攻击。 破坏了这三条性质中的任何一条就是破坏了信息系统的安企。概括而i ，对信息系 统的安全威胁有p _ q 矛p 类型：中断、窃取、更改、伪造，其中巾断就足信息被破坏、丢失， 变得不可用；窃墩就意味着信息被不合法的访问；更改就是指信息被不合法地访问并且 被修改；伪造信息就是信息来自于不合法的用厂= i i l 】。 信息安全在其发展过程中经历了以下三个阶段： 第一个阶段：在早期，通信技术还不发达，电脑只是零散的位于不同的地点，食j i k 应用系统的安全一方面局限于保证电脑的物理安全以及通过密码解决通信安全的保密 问题。把电脑安置在相对安全的地点，不容许生人接近，就可以保证数据的安全了。但 是，信息是必须要交流的。如果这台电脑的数据需要让别人读取，而需要数据的人在异 面向通用企业应用安全框架的设计与实现 地，怎么办? 只有将数据拷贝在介质上，派专人秘密的送到目的地，拷贝进电脑再读取 出数掘。f ；| l j 使足这样，也不是完美无缺了，谁来保证信息传递员的安全? 因此这个阶段 人们强调的应用安全更多的是信息的保密性，对安全理论和技术的研究也仅限于密码 学，这一阶段的应用安全可以简单称为通信安全，它侧重于保证数据从一地传送到另一 地时的安全性。 第一个阶段：进入上世纪6 0 年代后，半导体和集成电路技术的飞速发展推动了计 算机软硬件的发展，计算机和网络技术的应用进入了实用化和规模化阶段，数据的传输 l 经i | j 以通过l 也脯网络水完成了。这时候的信息已经分成了静态信息和动态信息了。人 们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的应用安全阶段，主 要保证动态信息在传输过程中不被窃取，即使窃取了也不能读出f 确的信息：还要保证 数据在传输过程中不被篡改，让读取信息的人能够看到正确无误的信息。 第i 个阶段：从土世纪9 0 年代以来，由于互联网技术的飞速发展，信息无论是对 内还是对外都得到极大了下放，由此产生的信息安全问题跨越了时间和空间，信息安全的 纯，_ t 2 经彳i 仪仪足传统的保密，阽、完整性和可用性三个原则了，由此衍生出了诸如可控 性、抗抵赖性、真实性等其它的原则和目标，应用安全也转化为从整体角度考虑其它体 系建设的信息保障阶段。仪仪保证动态信息是不够的，因为静态信息已经被连接到互联 网上，这个阶段的任务是为了防止互联网上的黑客破坏静态信息或非法获耿静态信息1 2 】。 现存，信息安伞技术研究以及相关的产品丌发已经进入了更加繁荣的阶段，在安全 1 1 j 场 1 也4 i 断 j 现新的需求及市场空间，如图1 1 所示： i 鳘l1 1 安全市场需求图 f i g 1 1d i a g r a mo fs e c u r i t ym a r k e tr e q u i r e m e n t s 大连理l - 大学硕士学位论文 由图1 1 可知，越来越多的安全技术和产品投人到安全领域的各种应用环境中，目 前我们已经不再将安全的考虑局限在防病毒和防火墙上，越来越多的研究集中在应j - j 安 全问题上。 1 2 课题的提出 应用安全主要解决应用系统的安全控制，主要包括：身份认证、访问控制与授权、 数据加密保护、数据完整性保护、数据不可否认性保护、审计和同志管理等多个方面。 因此应用安全是信息安全层次中最为复杂和特殊的一个层次，需要解决很多针对具体应 用的安全问题。 针对这些应用安全问题已经出现了越来越多的解决方法和策略， j 现了基于角饥的 访问控制技术、基于数字认证的身份认证技术、基于p k i c a 的加密和数字签名技术等 比较成熟的应用安全的解决方案。但是，由于应用安全技术和相关的应用系统有着直接 的关系，因此每一个应用系统的应用安全技术和策略也是各不相同的，使得大部分的安 全技术都是相互独立的，目前的研究中，还没有很好的做到在一个更高的抽象层次考虑 应用系统的安全，防i 此造成了丌发成本的提高和安全技术复用性的降低，难以适应1 经理 员工的层次关系。这样能够方便的实现角色问的继承火系，高级的角 色将能够自动继承和捌有低级角色的权限，因而能够将最少的权限赋予给最低级的角 色。通过继承，高级角色来使用和操作低级角色的权限。 ( 7 ) 能够更方便的实现权限的委托关系。角色的拥有者有时需要将其拥有的权限 委托给另外一个个体，而不想修改该用户拥有的所有权限。当系统支持角色的层次关系 时，角色的拥有者就能够只须将其捌有的某个角色委托给该用户，而不必将他捌有的 整个角色都进行委托。 r b a c 模型的缺点主要是该模型与现实世界存在较大筹距，而儿肜式一j ：也不够统 一。从企业的需求上来讲，一般不可能只有角色和管理角色这两利- 类型的角色，所以必 须对r b a c 模型做相应的扩展才能真砥的应用到企业应用安全当中1 9 _ 0 j 3 3 a o p 面向切面编程( a o p ) 全名为：a s p e c t o r i e n t e d p r o g r a m m i n g ，中义：直译为血向切i 酊 ( 方面) 编程，已经成为种比较成熟的编程思想，它提供另外利- 角度水思考利序结 构，通过这种方式弥补了面向对象编程( o o p ) 的不足。除了类( c l a s s e s ) 以外，a o p 提供了切面。切面对关注点进行模块化，例如横切多个类型和对象的事务管理。( 这螳 关注点术语通常称作横切( c r o s s c u t t i n g ) 关注点。) s p r i n g 的一个关键的组【件就是a o p 面向通川企业应用安全框架的设计与实现 框架。尽管如此，s p r i n gi o c 容器并不依赖于a o p ，这意味着你可以自由选择是否使用 a o p ，a o p 提供强大的中间件解决方案，这使得s p r i n gi o c 容器更加完善。 3 3 1a o p 概念 a o p 概念描述如下： ( 1 ) 切而( a s p e c t ) ：切面是你要实现的交叉功能。它是系统模块化的一个切面 或领域。切面的最常见的例子是日志记录。同志记录在系统中到处需要用到，利用继承 来重用f | 志模块并不介适，可以通过创建一个同志记录切面实现该功能。 ( 2 ) 连接点( j o i n p o i n t ) ：连接点是应用程序执行中插入切面的地点。这个地点 可以是方法调用，异常抛出，或者甚至是要修改的字段。切面代码在这些地方插入到你 的应用流程中，添加新的行为。 ( 3 ) 通知( a d v i c e ) ：通知是切面的实际实现。它通知应用系统新的行为。在r 忠例了中，| _ 1 志通知包含了实现实际同志功能的代码，如向同志文件写同志。通知在连 接点插入到应用系统中。 ( 4 ) 切入点( p o i n t c u t ) ：切入点定义了通知应该应用在哪些连接点。通知可以 应用到a o p 框架支持的任何连接点。当然，并不希望把所有切面应用到所有可能的连 接点1 ：。切入点让你指定通知应川到什么地方。 ( 5 )引入( i n t r o d u c t i o n ) ：引入允许为已存在的类添加新方法和属性。 ( 6 ) 口标对象( t a r g e to b j e c t ) ：目标对象是被通知对象。它既可以是编写的类 也可以是你要添加定制行为的第三方类。如果没有a o p ，这个类就必须要包含它的主要 逻辑以及其他交叉业务逻辑。有了a o p ，目标对象就可以全身心地关注主要业务，忘记 应用其 ：的通知。 ( 7 ) 代理( p r o x y ) ：代理是将通知应用到目标对象后创建的对象。对于客户对 象来说，目标财象( 应j ja o p 之前的对象) 和代理对象( 应用a o p 之后的对象) 是一 样的。即应刖系统的乓他部分刁 i a u t h o r i t p s e r 、i i c e + a a v e r e s o u r c e a u t h o r i t y ojv o i d + a a v e r e s o u r c e a u t h o r i t y s ojv o i d + r e m o v e r e a o u r c e a u t h o r i l y a ojv o i d + r e m o v e r e a o u r c e a o t h o d t y 8 0jv o i d + g e t r e s o u r c e d a ojs t r i n g 1 + 9 e t a u t h o r i t y t y p e ojs t r i n g + g e t r e s o u r c e l o s ojs t r i n 9 1 + g e t au t h o r i t y t y p e o ：s t r i n g + u p d a t e au t h o f i t y t y p e ojv o i d a m h o r i t y s e r , i c e + s a v e r e s o ur c e a u t h o r i t 5 ，0 ：v o i d + s a v e r e 8 0 u r e e a u t h or i t y s 0 ：v o i d + r e r n o v e r e s o u r c e a u t h o r i b s 0 ：v o i d + r e m o v e r e s o u r c e a u t h o n t y s o ：v o i d + g e l r e s o u r c e l d s o ：s t r i n 9 1 + g e f a u t h o r i t y t y p e 0 ：s t r i n g + g e l r e s o u r c e i d s o ：s t r i n 9 1 + g e l a u t h o r i t y t y p e 0 ：s t r i n 9 1 + u p d a t e a u t