SOA中基于RBAC的细粒度动态权限控制研究

VIP免费
3.0 陈辉 2024-11-19 6 4 2.27MB 59 页 15积分
侵权投诉
I
摘 要
随着Internet的蓬勃发展,SOA(面向服务的架构,Service Oriented Architecture)
已经渗透到各个行业和领域中,逐渐成为了一种新的应用平台和软件开发环境。
SOA定义了应用程序如何在Internet上实现互操作,极大的扩展了应用程序的功能,
实现了软件的动态提供。SOA是构建互联网的分布式组件技术,是基于Web上的开
放式协议,面向服务的新型体系结构,实现了基于Web的用户访问。Web服务是实
SOA体系架构的主要技术之一,它将应用程序的不同功能单元(称为服务)通过这
些服务之间定义良好的接口和契约联系起来。然而它在提供服务的同时,很可能
也将重要的服务和系统结构暴露给外部,成为服务安全性的威胁。
Web服务是Internet上的重要资源,为了保证Web服务的安全性和互操作性,
服务实施实时动态的访问控制变得日益迫切。WS-Security规范没有定义如何部分
地控制用户访问服务的权限,并且没有考虑用户请求服务时所处的状态。而传统
的访问控制技术的客体一般都是信息系统中的文件、目录、外部设备等,没有针
Web服务的访问控制。因此,Web服务的动态细粒度的访问权限控制问题尚缺乏
完善的解决方案。
本文从保护服务安全的角度出发,提出了适合SOA环境的Web服务访问权限控
制模型。在模型中,开发设计了一个权限代理机制,它扩展了基于角色的访问控
制模型,将对用户的状态控制加入到服务访问授权策略中,从而实现对用户访问
授权的动态细粒度控制。本文在.NET台下利用OpenLDAP服务器实现了权限代
理机制。通过扩展的SOAP消息,服务端将截取的权限控制信息发往目录服务器进
行验证,然后系统根据角色以及访问状态来决定是否赋予用户访问服务的权限。
关键字:服务访问控制 细粒度服务权限 Web 服务 SOA
II
ABSTRACT
With quick development of Internet technology, Service Oriented Architecture
(SOA) has been evolved as a new application platform and software development
environment. SOA defines the way to implement interoperation on the internet by the
application program, extends the function of the application program greatly and
provides the dynamic software. SOA is the opening protocol based on Internet and it is
a new architecture and implements. Web services is one of the main technologies to
implementing SOA. It organizes different function units (services) of application
program by well defined interfaces and contracts between them. But there are also
critical security vulnerabilities which cause leakage of important services and system
architecture while providing services.
Web services are important resources on Internet. In order to protect the security
and interoperation of Web services, dynamic and real-time services access control
mechanism is needed. But the WS-Security doesn't define a fine grained access control
to web services and doesn’t consider the status of users when they invoke service
operations. Traditional access control technology only focuses on the access control of
the files, directory, devices or other resources in the information system which doesn’t
include Web services. So, there is no solution to resolve the dynamic fine grain access
control of Web services.
This paper focuses on web services protection issues. A web services access
control model for SOA is proposed. In order to implement the dynamic fine grained
access control of Web services, the model provided an authority agent mechanism,
which extends the Role-based Access Control model and adds status control of users
into the policies of services access control. The authority agent mechanism is
implemented based on OpenLDAP under .NET Framework. By extending SOAP
message, Web services send out the access control information to the directory service,
and then authority agent mechanism decides whether give the permission of access
services to users according to the status information and roles of users.
Key words: Services Access Control, Fine Grained Services Authority,
Web Services, SOA
III
目 录
............................................................................................................................... I
ABSTRACT .................................................................................................................... II
第一章 .................................................................................................................1
§1.1 课题研究的目的和意义 ....................................................................................... 1
§1.2 国内外研究现状 ................................................................................................... 2
§1.3 论文主要工作 ....................................................................................................... 3
§1.4 论文结构安排 ....................................................................................................... 4
第二章 Web 服务及 SOAP 协议 ....................................................................................6
§2.1 Web 服务简介 ....................................................................................................... 6
§2.1.1 Web 服务的概念和特征 ................................................................................ 6
§2.1.2 Web 服务模式 ................................................................................................ 8
§2.2 Web 服务的规范 ................................................................................................... 9
§2.2.1 XML ..............................................................................................................10
§2.2.2 WSDL ........................................................................................................... 12
§2.2.3 UDDI .............................................................................................................12
§2.3 SOAP 协议分析 ..................................................................................................13
§2.3.1 SOAP 简介 ................................................................................................... 13
§2.3.2 消息组成 .......................................................................................................13
§2.3.3 SOAP 消息交换模型 ................................................................................... 16
§2.4 SOAP 协议采用的安全机制 ..............................................................................18
§2.4.1 安全令牌 .......................................................................................................18
§2.4.2 完整性 ...........................................................................................................18
§2.4.3 保密性 ...........................................................................................................19
第三章 访问控制技术 ...................................................................................................20
§3.1 访问控制概述 ..................................................................................................... 20
§3.1.1 访问控制的基本概念 ...................................................................................20
§3.1.2 访问控制的基本任务 ...................................................................................20
§3.2 访问控制策略 ..................................................................................................... 21
§3.2.1 访问控制的权限管理策略 ...........................................................................21
§3.2.2 访问控制的基本策略 ...................................................................................22
§3.3 访问控制机制 ..................................................................................................... 22
§3.3.1 访问控制矩阵(Access Control MatrixACM) .......................................... 22
§3.3.2 访问控制列表(Access Control ListsACL) ...............................................23
§3.4 访问控制的经典模型 ......................................................................................... 24
§3.4.1 自主访问控制模型 .......................................................................................24
§3.4.2 强制访问控制模型 .......................................................................................25
§3.5 基于角色的访问控制模型 ................................................................................. 25
§3.5.1 RBAC 模型概述 ...........................................................................................25
§3.5.2 RBAC 模型的核心思想 ...............................................................................26
IV
§3.5.3 RBAC 模型的基本规则 ...............................................................................26
§3.5.4 RBAC 模型角色之间的关系分析 ...............................................................27
第四章 Web 服务访问控制模型的设计 ...................................................................... 29
§4.1 LDAP 协议 ..........................................................................................................29
§4.1.1 信息模型 .......................................................................................................29
§4.1.2 功能模型 .......................................................................................................31
§4.1.3 LDAP 服务的应用 ....................................................................................... 31
§4.2 Web 服务访问控制模型的总体设计 ................................................................. 32
§4.2.1 Web 服务访问控制的组成要素 .................................................................. 32
§4.2.2 Web 服务访问控制的访问控制机制 .......................................................... 32
§4.2.3 Web 服务访问控制的用户认证 .................................................................. 33
§4.2.4 Web 服务访问控制的权限判定 .................................................................. 34
§4.2.5 Web 服务访问控制的权限信息存储与访问 .............................................. 35
第五章 基于 SOAP 消息扩展的 Web 服务访问权限控制模型的实现 .....................37
§5.1 服务访问控制模型的场景 ................................................................................. 37
§5.2 服务访问控制模型的实现平台 ......................................................................... 38
§5.3 服务访问控制模型实验的设计 ......................................................................... 38
§5.3.1 设计服务提供者 ...........................................................................................38
§5.3.2 设计服务请求者 ...........................................................................................39
§5.3.3 设计 LDAP 目录服务 .................................................................................. 39
§5.4 服务访问控制模型实验的实现 ......................................................................... 43
§5.4.1 添加 SOAP 头,实现 SOAP 头的操作 ...................................................... 43
§5.4.2 服务访问权限查询流程 ...............................................................................43
§5.4.3 验证用户合法性 ...........................................................................................44
§5.4.4 获取用户角色 ...............................................................................................45
§5.4.5 查询用户权限 ...............................................................................................47
§5.5 实验结果及分析 ................................................................................................. 49
第六章 总结与展望 .......................................................................................................51
§6.1 总结 ..................................................................................................................... 51
§6.2 展望 ..................................................................................................................... 51
参考文献 .........................................................................................................................53
在读期间公开发表论文和承担科研项目及取得成果 .................................................56
.............................................................................................................................57
第一章 绪
1
第一章 绪 论
§1.1 课题研究的目的和意义
现代企业IT统的开发和应用经常面对以下难题:异构而复杂的应用程序
不断变化的企业需求,以及时间、费用等限制。解决上述问题的关键在于能否设
计出一种先进的体系结构,以方便企业用一种高效率的方式,灵活而有效地增强
其现有的基础架构,来迎接和克服这些挑战。
面向服务体系结构(SOA)被认为是解决上述问题的一种可行性方案。
SOA来源
于早期的基于组件的分布式计算方式。
20世纪90年代,
CORBA和微软的COM编程
模式,促进了SOA的发展。现在,随着Web服务技术的兴起与逐渐成熟,SOA的研
究与发展有了新的契机。
面向服务的体系结构(SOA)是一种设计思路,在这种思路下我们可以覆盖业务
服务在其生命周期的方方面面,包括服务的创建和使用。由于这类应用系统具有
开发效率高、响应快、费用低等优点,因而得到了广泛的关注。它使企业业务从
重复流程向维护成本较低、可复用和共享服务的应用转变,能迅速适应和传送关
键业务服务来满足市场需求,同时能降低业务流程的复杂性,达到节约时间和资
金的目的。另外,与传统的点到点的集成模式相比SOA 具有基于标准的兼容
性,可以降低开发的复杂性。SOA 在体系结构、设计、实现和部署等方面比传统
的分布式对象技术更加合理。与传统的分布式系统相比,基于 SOA 的系统更具标
准化和开放性,以至于更易受到攻击,所以其安全性更加脆弱。
目前大多数访问控制模型主要解决后台应用数据的保护问题,不能适应日益
复杂的分布式系统。在传统的分布式环境中,客体对象通常是一种静态的对象。
例如对数据库的访问控制中,其授权对象是确定的数据表,授权的操作也是固定
的几种操作,如查询或删除等操作。随着面向服务架构的应用系统和分布式计算
的发展,对访问控制技术提出了新的要求。与传统的分布式系统相比,在面向服务
架构的分布式系统中,提出请求的主体和提供服务资源的客体都具有较高的动态
特性。请求主体动态特性是由于主体操作方式的多样性和用户的上下文环境的变
化造成的。服务本身的动态特性表现为:服务提供的功能可能扩充或被修改,服
务的组成也具有动态的变动性。这就要求访问控制系统应该能够动态地适应这种
变化,能够根据安全相关的环境做出其访问控制决策。
在过去的十多年中,基于角色的访问控制 (Role-Based Access ControlRBAC)
已成功地取代传统的自主访问控制模型(Discretionary Access Control
DAC)和强制
SOA 中基于 RBAC 的细粒度动态权限控制研究
2
访问控制模型(Mandatory Access ControlMAC),成为一种主流的访问控制技术,
为一个组织设置和实施安全策略提供了一种简捷的方法[1]RBAC 的主要思想是
将用户和权限分配给角色,用户通过角色间接获得权限。由于 RBAC 模型具有管
理简单、易于实现和灵活性好等优点,已被广泛应用于各个领域,并于 2001 年被
美国国家标准技术协会(National Institute of Standards and TechnologyNIST)推荐为
标 准 的 访 问 控 制 模 型 [2] 2004 年 被 批 准 为 ANSI(America National Standards
Institute,美国标准协会)标准。
但是在 RBAC 模型中,用户通过角色间接获得权限,如果一个用户是一个角
色的成员,那么这个用户就能获得这个角色的全部权限,而不能只获得这个角色
的部分权限。在 RBAC 模型的角色层次关系中,父角色继承子角色的全部权限,
但不能只继承子角色的部分权限。由此可见,RBAC 模型是在角色级别管理和
制用户的权限和角色权限的继承关系,是粗粒度的,缺乏一定的灵活性,不能满
足某些特定的应用需求。例如以下两类问题:如何实现不同的时刻下用户可以
得角色的不同部分权限,称之为第一类问题;在角色层次关系中父角色如何继承
子角色的部分权限,称之为第二类问题。RBAC 模型中通过设置临时角色和私
有权限来解决这两个问题是非常麻烦的。本文针对上述问题,SOA 环境中,对
SOAP 消息进行扩展,使用并改RBAC 模型提出了一种基于 SOAP 消息扩展的
服务访问权限控制模型。该模型解决了在 SOA 的环境中服务请求者与服务提供者
之间根据用户状态进行用户认证以及对用户进行服务调用授权的问题。
§1.2 国内外研究现状
SOA是构建互联网的分布式组件技术,是基于Web上的开放式协议,面向服务
的新型体系结构,实现了基于Web的用户访问。但是它在提供服务的同时,很可能
也将重要的服务和系统结构暴露给外部,成为服务安全性的威胁。然而对于Web
服务的应用来说,安全性是其非常重要的一个特征。OASIS组织2002年发布了Web
Services Security(WSS)WSS协议的产生解决了以下三个安全问题:用户令牌的传
递、SOAP消息的完整性、SOAP消息的保密性。WS-SecuritySSL(Secure Socket
Layer)一起工作可以使端到端传输在SOAP消息层和网络连接层都是安全的;
WS-SecurityKerberos证书可以实现基于Web服务的跨域单点登录。但是目前的研
究都只是利用WS-Security规范定义了如何进行用户身份认证、如何保证消息的
密性和完整性[3, 14, 22, 23]并没有定义如何部分地控制用户访问服务的权限。为了保
Web服务的安全性和互操作性,对服务实施实时动态的访问控制变得日益迫切。
访问控制技术的研究一直是信息安全研究的热点问题。访问控制技术起源于
摘要:

I摘要随着Internet的蓬勃发展,SOA(面向服务的架构,ServiceOrientedArchitecture)已经渗透到各个行业和领域中,逐渐成为了一种新的应用平台和软件开发环境。SOA定义了应用程序如何在Internet上实现互操作,极大的扩展了应用程序的功能,实现了软件的动态提供。SOA是构建互联网的分布式组件技术,是基于Web上的开放式协议,面向服务的新型体系结构,实现了基于Web的用户访问。Web服务是实现SOA体系架构的主要技术之一,它将应用程序的不同功能单元(称为服务)通过这些服务之间定义良好的接口和契约联系起来。然而它在提供服务的同时,很可能也将重要的服务和系统结构暴露给...

展开>> 收起<<
SOA中基于RBAC的细粒度动态权限控制研究.pdf

共59页,预览6页

还剩页未读, 继续阅读

作者:陈辉 分类:高等教育资料 价格:15积分 属性:59 页 大小:2.27MB 格式:PDF 时间:2024-11-19

开通VIP享超值会员特权

  • 多端同步记录
  • 高速下载文档
  • 免费文档工具
  • 分享文档赚钱
  • 每日登录抽奖
  • 优质衍生服务
/ 59
客服
关注