SOA下多级策略访问控制的应用研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇SOA下多级策略访问控制的应用研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要: 为了在soa下保障电子政务系统中信息处理的安全性,提出了一种多级策略的访问控制模型,建立了模型的原型系统,并给出了电子政务系统中访问控制的一般规则。此原型系统已应用于某市电子政务系统中。实践证明,提高了电子政务系统的安全性和可维护性。
Abstract: To guarantee the security of information management in E-government system under the SOA environment, the multi-level strategy access control model was proposed. A prototype system is created. The generic rules of the model in E-government system were provided. The prototype system has been successfully applied in an E-government system of one city. The practice has proved that the security and maintainability of E-government systems were improved.
关键词: SOA;访问控制;多级策略
Key words: SOA(service-oriented architecture);access control;multi-level strategy
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2013)19-0196-02
0 引言
面向服务的体系结构(SOA,service-oriented architecture)具有效率高、响应快等特点,已逐渐开始广泛使用[1]。但是,目前SOA架构下的一些安全防护,都是针对服务内部实现,不能满足SOA系统中服务互操作的安全性。同时,由于在基于SOA架构的系统中,服务本身的信息也需要保护。因此,需要更加深入地对SOA架构下的访问控制进行研究。
目前,在实际应用的电子政务系统中,其安全机制是子系统采用各自独立的访问控制策略[2]。本文提出一种SOA架构下基于多级策略的访问控制模型。这是一种基于多级访问控制策略、将服务作为资源进行细粒度分类,传统的非一体化的访问控制容易引起安全漏洞,授权冲突等,而新式的访问控制模型通过预先定义的规则和策略,控制用户对资源的访问[3]。可应用多级策略将资源以及服务请求者划分类、级别以实现对访问过程的控制[4],模型的显著特点是将SOA相关安全技术进行了整合,从而满足电子政务系统在访问控制方面的各种需求。
1 多级策略访问控制模型
1.1 访问控制模型结构 模型由五个部分组成,它们是规则、多级策略、资源、策略关联、会话属性。
规则可根据各种属性的值来判断对象的真假,并可以有复杂的逻辑组合。如判断用户的某个属性值是否等于指定的逻辑组合值等;策略则是由多个规则通过逻辑关系连接而成;资源则指系统中被保护的对象,也就是用户需要访问的对象;策略关联则表示某个策略应用在哪类资源上;而会话属性则包含环境属性(如服务器地址、网络连接安全性等)、用户验证属性(如用户名、组和角色等)和用户自定义属性等。
在这五个部分中,规则是模型的核心,它可针对用户属性、环境属性、资源属性和用户对资源的访问方式等来进行设定,多个规则可任意组合形成策略,策略与资源关联后,系统就可以对该资源进行访问控制。也就是说,模型主要是通过预先定义的策略和规则来控制用户对资源的访问,使电子政务的用户管理与授权变得简单而高效,更具灵活性和多样性,从而使系统在能满足多样化权限需求的前题下,提高电子政务应用系统的安全性能。
1.2 SOA架构实现 这里采用WebService技术,以TOMCAT为平台建立了一个原型系统。这个系统包括服务注册中心,服务提供者和服务使用者。TOMCAT是ApacheAxisWeb应用的容器,ApacheAxisWeb是服务的容器。服务提供者在部署完成服务后,还将提供对应的Web服务描述文件(Environment.wsdd),用于在服务注册中心完成注册。服务注册中心则保存着所有的服务信息(Server-config.wsdd文件),其主要功能是运行注册服务和查询服务,并返回WSDL形式的查询结果。对于服务的和查询,最后都转换为对服务器配置文件的访问。服务使用者可以使用普通的浏览器,也可以使用Java开发的客户端。使用者将依据服务注册中心返回的服务位置、服务名称、服务参数要求等调用服务。
1.3 访问控制的一般规则 在这里,定义了以下九种访问控制的一般规则:①身份验证规则:即常规则的身份验证方式。但在此规则下,用户虽然通过了身份验证,但仍有可能不允许访问某些资源。例如,需通过PKI方式验证后才能访问的那些资源。②引用规则:这是基于附加信息的规则,也就是用户为了获得更准确的资源而向系统提供的附加信息。③访问方式规则:这是用于文件操作系统的规则。如用户对文件资源的不同权限方式。④资源属性规则:用于验证被访问资源的属性。如资源的名称、存放位置、创建时间、安全级别等。⑤用户属性规则:常用的属性有用户ID、用户组、用户级别等,主要用于检查用户的安全属性。⑥拓扑规则:判定是否属于某网络地址段,需检查服务器S和浏览器端B的地址和名称等,这是基于S/B环境下的访问控制。⑦时间规则:常用于判断当前时间是否在一个某个时间范围内。⑧连接规则:这是以S/C方式的连接属性为依据的判断。当规则实现时,是将附加信息与指定值或用户属性值等比较,如相同,就可实现对该资源的访问。⑨自定义规则:这是为解决较为复杂访问控制方式由用户自行定义的,它有较为复杂的逻辑,常与应用系统中某项特殊权限控制有关。
2 SOA下多级策略访问控制的电子政务系统
2.1 SOA下多级策略访问控制原型系统 SOA下的访问控制原型系统由五个部分组成:服务使用者、提供者,模块,控制模块,服务注册中心。在这里,特别地在服务使用者之前加入了一个安全模块,访问控制模块则部署在服务注册中心和服务提供者之前,这是为了配合访问控制模块以多策略方式更好地工作。对于服务注册中心,对服务使用者和所访问目标资源进行匹配并实现访问控制,访问控制模块采用多级策略支持的强制访问控制技术,对于不同的服务提供者,对返回信息也将做分级控制处理,主要是针对服务所返回的信息可能具有不同的级别而言的。
原型系统实现访问控制服务的关键点是:如何提供访问控制执行服务和如何提供在多级策略支持下的访问控制决策服务。这里,是结合电子政务系统中应用的不同访问请求来决定访问控制执行服务的提供方式的。当然,访问控制执行服务的提供方式反过来也会影响安全服务的部署效果。为了实现通用的决策服务,需要全面综合地分析如何完成访问控制消息的封装、授权策略规则的描述、契约的定义和访问判决逻辑规则的制订等。
因此,在策略规则库文件中应该包含这样一些内容:一是为保证良好的可读性和扩展性,用XACML规范及XML语言来描述策略文件,给每个规则设置参数。二是在策略文件中可通过设置资源属性来指定适用于该策略的资源,为了限定策略的应用范围,描述策略与资源的关联关系。三是允许用户随时定义新的组合逻辑,多个规则可按照不同的逻辑组合成策略,描述规则的组合方式。
2.2 应用实例 在为某市政府开发的电子政务系统中,采用了SOA多级策略访问控制原型系统来进行具体的访问控制系统设计。整个系统采用JAVA来开发的,设计了登陆平台、公文传输平台、公文管理、档案管理、政务督查、信息处理等模块。数据库系统则选用SQL Server2000对相关的规则和数据进行管理,并采用了双机备份的技术来保障规则和策略文件的安全和完整。同时,在系统中集成和封装各种子系统管理模块,为客户端和监控管理提供所需服务。
因为原型设计已考虑了扩展性和通用性,所有的工作就只是选择已有的或编写新的来组成访问策略,当在电子政务系统中具体实现其访问控制方案时,由于已经定义了明确的接口,新规则的加入也非常容易。可以容易地包含根据政府组织结构和管理条例设计的授权规则,从而满足电子政务系统中多种访问控制的需求,使其具有更加完善的访问控制能力。例如,政府的不同部门对访问控制策略的需求是不同的,原型系统的引入提高了系统的可维护性,大大缩短了SOA下多级策略访问控制的电子政务系统的开发时间,不需要重新编程,只需根据该部门的特点对原有的访问控制策略进行修改即可。
3 结束语
由于SOA架构的特征是强调开放性和动态性,因此,其安全性能的保证变得更加困难。故这里提出了一种SOA下的多级策略访问控制模型,并整合相关安全技术建立了一个原型系统。同时,借鉴了OASIS的XACML规范,实现了策略描述的标准化,使系统具有更好的通用性和扩展性。最后,在某市的电子政务系统中实现了此原型系统,实践证明,提高了整个系统的安全性。
参考文献:
[1]林闯,封富君,李俊山.新型网络环境下的访问控制技术[J].软件学报,2007,18(4):955-966.
[2]葛琨,郎波.基于属性访问控制方法中的策略定义研究[J].微计算机信息,2008(33):6-7.
[3]Kern A, Kuhlmann M, Schaad A, et al. Observations on the role life-cycle in the context of enterprise security anagement[A]. In Proceedings of the 7th ACM Symposium on Access Control Models and Technologies(SAC-MAT2002)[C]. New York, NY, USA: ACM Press, 2002:43-51.
[4]邴晓燕,邵贝恩.基于SOA的企业应用跨安全域访问控制[J].清华大学学报,2009,49(7):1066-1069.