一種改進(jìn)的Web 服務(wù)訪問控制模型

張尚韜

（福建信息職業(yè)技術(shù)學(xué)院，福州350003）

0 引言

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，對(duì)訪問控制服務(wù)的質(zhì)量也提出了更高的要求，傳統(tǒng)的訪問控制模型（自主訪問控制DAC，強(qiáng)制訪問控制MAC，基于角色的訪問控制RBAC等）已經(jīng)很難滿足這些需求，主要體現(xiàn)在以下2個(gè)方面：（1）傳統(tǒng)的訪問控制模型主要是單域的，即服務(wù)提供者和請(qǐng)求者都在同一個(gè)管理域內(nèi)，而在Web服務(wù)應(yīng)用環(huán)境下，服務(wù)提供者和請(qǐng)求者通常來自不同的域，彼此是陌生的。因此，要解決這種跨域的訪問控制問題。（2）傳統(tǒng)的訪問控制模型一般都是靜態(tài)授權(quán)，即由管理員事先按照一定的規(guī)則給主體指定權(quán)限，然后將這些指定關(guān)系保存起來。然而在Web服務(wù)這樣的分布式環(huán)境下，服務(wù)請(qǐng)求者和提供者之間通常是建立一種臨時(shí)的、動(dòng)態(tài)的關(guān)系。服務(wù)消費(fèi)者通過網(wǎng)絡(luò)發(fā)現(xiàn)新的服務(wù)提供者，并實(shí)時(shí)地訪問服務(wù)提供的數(shù)據(jù)。對(duì)Web服務(wù)的服務(wù)端而言，根本無法提前判斷什么用戶會(huì)在什么時(shí)候訪問什么數(shù)據(jù)，很難實(shí)現(xiàn)這種靜態(tài)授權(quán)，因此需要一種動(dòng)態(tài)授權(quán)機(jī)制。而基于屬性的訪問控制模型采取動(dòng)態(tài)性的、粒度細(xì)的機(jī)制授權(quán)，因此它比傳統(tǒng)的訪問控制模型適合動(dòng)態(tài)的、分布式的 Web服務(wù)環(huán)境。

本文結(jié)合Web服務(wù)的特征，提出了一種改進(jìn)的基于屬性的Web服務(wù)訪問控制模型。在原有訪問控制模型的基礎(chǔ)上，通過引入XML加密模塊和簽名模塊，完善了XACML訪問控制模塊，從而使其能夠更加安全和有效地根據(jù)主體、客體和資源等的相關(guān)屬性信息進(jìn)行授權(quán)，能更加有效地保護(hù)資源請(qǐng)求者的合法利益以及請(qǐng)求資源的安全性。

1 基于屬性的Web服務(wù)訪問控制模型

結(jié)合SAML和XACML標(biāo)準(zhǔn)［1］，給出了基于屬性的 Web服務(wù)訪問控制體系架構(gòu)［2］。其中，SAML［3］在Web服務(wù)中作為請(qǐng)求主體屬性的載體，而XACML作為訪問控制策略語(yǔ)言。此架構(gòu)的基本觀點(diǎn)不是直接在主體和客體之間定義授權(quán)，而是利用它們的屬性作為授權(quán)的基礎(chǔ)，即授權(quán)決策是根據(jù)參與決策的相關(guān)實(shí)體的屬性來進(jìn)行。這里涉及的實(shí)體分為3類：主體（subject）、資源（resource）和環(huán)境（environment），而屬性是指與實(shí)體相關(guān)的一些特征。

（1）主體屬性：主體是對(duì)資源進(jìn)行操作的實(shí)體。每個(gè)主體都有很多與其身份和特點(diǎn)相關(guān)的屬性，如IP地址、角色、身份、年齡、職位等；

（2）資源屬性：資源是被主體操作的實(shí)體。它可以是一個(gè)文檔、一個(gè)文件或者數(shù)據(jù)庫(kù)中的一組數(shù)據(jù)。跟主體一樣，資源的很多屬性也可以作為訪問控制判斷的依據(jù)。例如一個(gè)Word文檔就有題目、作者和創(chuàng)建日期等屬性；

（3）環(huán)境屬性：環(huán)境屬性是與事務(wù)處理相關(guān)的屬性，如時(shí)間、日期、系統(tǒng)狀態(tài)、安全級(jí)別等。

圖1所示為基于屬性的Web服務(wù)訪問控制系統(tǒng)的具體構(gòu)架。

圖1 Web服務(wù)訪問控制系統(tǒng)架構(gòu)

由圖1可知XACML模塊是Web服務(wù)訪問控制系統(tǒng)的核心，它由策略執(zhí)行點(diǎn)PEP、策略決策點(diǎn)PDP、策略管理點(diǎn)PAP以及策略信息點(diǎn)PIP組成。當(dāng)主體通過SOAP客戶端訪問Web服務(wù)之前，必須從屬性授權(quán)機(jī)構(gòu)獲取SAML聲明，并將獲得的SAML聲明嵌入到SOAP消息的頭部發(fā)送給Web服務(wù)的服務(wù)器端。PEP收到SOAP消息后，從它頭部的SAML聲明中提取出屬性信息，然后創(chuàng)建一個(gè)基于主體、資源和環(huán)境屬性的授權(quán)請(qǐng)求。PDP收到PEP發(fā)送過來的授權(quán)請(qǐng)求后，從策略庫(kù)中提取相應(yīng)的XACML策略來判斷請(qǐng)求是否合法，并將決策結(jié)果返回給PEP，由PEP來執(zhí)行相應(yīng)的操作。在整個(gè)過程中，PDP向PEP提供了授權(quán)服務(wù)。實(shí)現(xiàn)一個(gè)授權(quán)決策的算法可能非常復(fù)雜，但是SAML作為主體屬性的載體本身只關(guān)心傳遞相應(yīng)決策的結(jié)構(gòu)，它沒有定義具體的決策過程，具體的決策過程是由XACML來完成的。

在訪問控制策略中，假設(shè)主體、資源和環(huán)境分別用s、r和e來表示，它們的屬性值分別用attr（s）、attr（r）、attr（e）。在基于屬性的訪問控制模型中，判斷是否允許一個(gè)主體s在環(huán)境e下訪問資源r是根據(jù)主體s、資源r以及當(dāng)前上下文環(huán)境e的具體屬性來決定的：can＿access（s，r，e）←f（attr（s），attr（r），attr（e））其中，access通常代表一系列操作，如read、write等；f是一個(gè)布爾函數(shù)，它通過主體s、資源r和環(huán)境e的屬性值來計(jì)算，其結(jié)果決定主體s的訪問是否合法。f函數(shù)就是訪問控制策略規(guī)則，它是根據(jù)具體的業(yè)務(wù)規(guī)則來制定的，描述了主體訪問資源時(shí)必須滿足的條件［4－5］。

2 改進(jìn)的基于屬性的Web服務(wù)訪問控制模型

2.1 基于屬性的Web服務(wù)訪問控制模型中存在的威脅

從上面介紹的XACML數(shù)據(jù)流模型可以得到：要利用XACML數(shù)據(jù)流模型實(shí)現(xiàn)基于屬性的訪問控制需要多個(gè)組件（PEP、PAP、PDP等）之間的相互協(xié)作。各個(gè)組件之間的信息流都是以XACML格式傳輸?shù)?，但是XACML語(yǔ)言本身沒有采用任何的安全措施。如果訪問控制組件之間的通信信道可以被訪問，那么就會(huì)存在如下威脅：（1）敏感信息泄露：XACML語(yǔ)言本身沒有規(guī)定任何保護(hù)數(shù)據(jù)信息機(jī)密性的措施，因而存在信息泄露的威脅。這種威脅可以導(dǎo)致請(qǐng)求主體、資源和環(huán)境等的一些屬性被訪問，在一定情況下某些屬性信息是敏感的。（2）消息修改：消息修改是指XACML組件之間交互的消息內(nèi)容被修改，通過這樣的修改，訪問控制決策結(jié)果可能被改變，從而能夠?qū)崿F(xiàn)非授權(quán)訪問。

針對(duì)以上可能出現(xiàn)的威脅可以采取以下的防護(hù)措施：（1）機(jī)密性保護(hù)：應(yīng)用機(jī)密性保護(hù)可以只允許授權(quán)的接收者才可以讀出消息中的內(nèi)容。策略的機(jī)密性保護(hù)即保護(hù)策略中的部分敏感信息不被泄露，為此需要對(duì)策略中的部分信息加密。（2）策略完整性保護(hù)：策略是PDP用來評(píng)估XACML上下文的依據(jù)，是訪問控制系統(tǒng)的核心，因此需要保護(hù)策略的完整性。策略完整性保護(hù)包括策略沒有被修改、添加或者刪除過。

2.2 一種改進(jìn)的基于屬性的Web服務(wù)訪問控制模型

由XACML數(shù)據(jù)流模型組成的訪問控制系統(tǒng)需要各個(gè)XACML組件之間的相互協(xié)作以完成授權(quán)過程。然而XACML語(yǔ)言本身沒有采取任何安全措施，因此XACML格式的消息流在各個(gè)組件之間傳遞時(shí)容易受到攻擊，所以必須采取必要的安全措施使威脅降到最低。

在XACML數(shù)據(jù)流模型基礎(chǔ)上，結(jié)合XML加密和XML簽名技術(shù)，提出了一種改進(jìn)的基于屬性的Web服務(wù)訪問控制模型，具體的結(jié)構(gòu)如圖2所示。

同樣，主體在通過SOAP客戶端訪問 Web資源之前必須從屬性授權(quán)機(jī)構(gòu)獲得SAML聲明［6］。在改進(jìn)的模型中應(yīng)用了XML加密和簽名技術(shù)，當(dāng)策略決策點(diǎn)（PDP）從策略管理點(diǎn)（PAP）獲取相關(guān)策略時(shí)，在它們之間傳遞的策略是經(jīng)過簽名的，而且對(duì)策略中的敏感信息加過密。這樣就可以保證策略中敏感信息的安全性，同時(shí)也可以保證策略在傳遞的過程中沒有被篡改，策略執(zhí)行點(diǎn)（PEP）就可以根據(jù)處理過的相關(guān)策略作出正確的授權(quán)。而且策略信息點(diǎn)（PIP）與策略決策點(diǎn)、策略執(zhí)行點(diǎn)之間的屬性信息都是經(jīng)過XML加密技術(shù)處理過的，這樣能確保屬性信息中敏感信息的機(jī)密性［7］。

圖2 改進(jìn)的基于屬性的Web服務(wù)訪問控制模型

3 新的訪問控制模型分析

3.1 實(shí)驗(yàn)?zāi)Ｐ?/h3>

網(wǎng)上圖書室實(shí)例對(duì)比分析了基于屬性的訪問控制模型和基于角色的訪問控制模型。在業(yè)務(wù)場(chǎng)景比較復(fù)雜時(shí)，基于屬性的訪問控制模型顯示出了極大的優(yōu)勢(shì)，接下來仍以網(wǎng)上圖書室實(shí)例分析基于屬性的訪問控制模型。在此模型中要考慮到的屬性信息有：（1）主體屬性（請(qǐng)求者屬性）：請(qǐng)求者年齡和會(huì)員卡信息；（2）客體屬性（圖書資源屬性）：圖書資源等級(jí)和出版時(shí)間。按照訪問控制規(guī)則要求：根據(jù)年齡和會(huì)員卡信息，請(qǐng)求者能夠閱讀某一等級(jí)的新舊圖書，具體的要求如圖3所示。

圖3 圖書室結(jié)構(gòu)示意圖

在具體設(shè)計(jì)時(shí)，根據(jù)閱讀者的年齡將其劃分為3個(gè)群體：兒童、青少年和成年人，然后根據(jù)交納的會(huì)費(fèi)將其又分為金卡會(huì)員和普通會(huì)員。此時(shí)，涉及到的資源請(qǐng)求者的屬性信息包括：（1）年齡屬性：以區(qū)分不同的群體；（2）卡號(hào)屬性：根據(jù)卡號(hào)信息可以判斷請(qǐng)求者是否為金卡會(huì)員。而圖書資源根據(jù)閱讀群體的不同劃分為3個(gè)級(jí)別：A、B、C3個(gè)等級(jí)，由出版時(shí)間將圖書分為新圖書和舊圖書。故，考慮到的資源屬性信息有：（1）圖書等級(jí)；（2）出版時(shí)間。根據(jù)主體和客體的屬性信息設(shè)計(jì)一個(gè)基于屬性的訪問控制模型，模型具體的執(zhí)行流程如圖4所示。

圖4 訪問控制流程圖

在訪問控制過程，會(huì)員的卡號(hào)信息屬于需要保護(hù)的敏感屬性信息，故需要采用XML加密技術(shù)對(duì)卡號(hào)信息加密，以免被非法者利用。

3.2 實(shí)驗(yàn)分析

在改進(jìn)的基于屬性的訪問控制模塊中，引入了XML加密技術(shù)和XML簽名技術(shù)。在實(shí)驗(yàn)?zāi)Ｐ椭?，圖書資源請(qǐng)求者的卡號(hào)信息是需要保密的屬性信息，故在此需要使用XML加密技術(shù)以確?？ㄌ?hào)信息不被非法者竊取。對(duì)圖書資源的訪問控制是實(shí)驗(yàn)的核心，而訪問控制策略是訪問控制的重要依據(jù)，故引入的XML簽名需要對(duì)策略的完整性進(jìn)行保護(hù)。

通過客戶端向服務(wù)器端發(fā)送了多個(gè)Web請(qǐng)求，每個(gè)SOAP請(qǐng)求中都嵌入了不同的SAMLToken，但是只有滿足條件的請(qǐng)求才能真正獲取到Web服務(wù)，不滿足條件的請(qǐng)求都被訪問控制模塊拒絕。同時(shí)，在服務(wù)器端添加XML加密和XML簽名的處理鏈，從而能夠保護(hù)圖書資源請(qǐng)求者的合法利益和圖書資源的安全性。實(shí)驗(yàn)結(jié)果表明，引入了XML加密和XML簽名的訪問控制模塊能夠?qū)OAP請(qǐng)求進(jìn)行有效的過濾，從而防止資源請(qǐng)求者的敏感信息被泄露和相關(guān)資源被非法訪問。

4 結(jié)語(yǔ)

本論文給出了一種改進(jìn)的基于屬性的Web服務(wù)訪問控制模型。該模型主要包括XACML模塊、XML加密模塊、XML簽名模塊以及屬性授權(quán)機(jī)構(gòu)等。通過在XACML模型中引入XML加密模塊，使XACML數(shù)據(jù)流組件之間以明文形式交互的敏感屬性信息不被非法讀取。在訪問控制策略的安全性方面，通過在XACML模塊中加入XML簽名模塊，可以檢測(cè)出訪問控制策略是否被非法篡改、添加或刪除，從而能夠保證授權(quán)過程的正確性。通過引入XML加密模塊和XML簽名模塊，完善了XACML訪問控制模塊，從而使其能夠更加安全和有效地根據(jù)主體、客體和資源等的相關(guān)屬性信息進(jìn)行授權(quán)，能更加有效地保護(hù)資源請(qǐng)求者的合法利益以及請(qǐng)求資源的安全性。

［1］謝舒婷，張珍.基于XACML流媒體服務(wù)器的Web訪問控制模型［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2010，20（9）：136－139.

［2］顏學(xué)雄，王清賢，馬恒太.Web服務(wù)訪問控制模型研究［J］.計(jì)算機(jī)科學(xué)，2008，35（5）：38－39.

［3］石柯，黎明，皺德清.基于SAML的圖書資源聯(lián)合身份訪問控制機(jī)制［J］.計(jì)算機(jī)工程與科學(xué)，2007，29（7）：149－151.

［4］樊月華，劉洪發(fā)，劉雪濤.Web技術(shù)應(yīng)用基礎(chǔ)［M］.北京：清華大學(xué)出版社，2005：95－98.

［5］李松.基于XACML統(tǒng)一策略的訪問控制服務(wù)研究與實(shí)現(xiàn)［D］.成都：四川大學(xué)，2006.15－20.

［6］曾巧文，陳新度，吳磊.基于SOAP消息SaaS平臺(tái)應(yīng)用訪問控制模型［J］.機(jī)電工程技術(shù)，2010，10：27－29.

［7］顧寧，劉家茂，柴曉路，等.Web Services原理與研發(fā)實(shí)踐［M］.北京：機(jī)械工業(yè)出版社，2006：112－115.