基于授權(quán)管理基礎(chǔ)設(shè)施的安全訪問控制系統(tǒng)設(shè)計(jì)

1身份證書的使用和身份鑒別技術(shù)隨著網(wǎng)絡(luò)的快速發(fā)展，b-s模式已成為人們獲取信息的最重要方式。在用戶訪問Web資源的同時(shí),Web資源的提供者希望只有身份合法并具有權(quán)限的用戶,才能訪問權(quán)限所允許的資源。也就是Web資源的訪問控制問題。傳統(tǒng)的訪問控制問題的解決方法是通過訪問控制列表(ACL),直接建立用戶和資源之間的訪問關(guān)系。但由于Web資源具有數(shù)量巨大、動(dòng)態(tài)性等特點(diǎn),將會(huì)出現(xiàn)訪問控制列表急劇增長,需要頻繁修改等情況,造成訪問控制列表難以維護(hù)和管理。訪問控制列表已不適于Web資源的權(quán)限管理和訪問控制。授權(quán)管理基礎(chǔ)設(shè)施PMI(PrivilegeManagementInfrastructure)技術(shù)的出現(xiàn)為Web資源的權(quán)限管理和安全訪問控制問題的解決,提供了新思路和有效的方法。PMI以PKI技術(shù)為基礎(chǔ),使用屬性證書完成授權(quán)功能。在本文所設(shè)計(jì)的安全訪問控制系統(tǒng)中,通過身份證書完成用戶的身份鑒別;使用PMI技術(shù)管理用戶和資源之間的關(guān)系;對(duì)于復(fù)雜的Web資源,給出了一種從Web中獲取資源信息并管理的方法。使用本系統(tǒng),無需對(duì)Web應(yīng)用系統(tǒng)作任何修改,就可以實(shí)現(xiàn)資源的權(quán)限管理及對(duì)于資源的安全訪問控制,具有較強(qiáng)的通用性和實(shí)用性。2定義和證書pm2.1x.509v標(biāo)準(zhǔn)國際電信標(biāo)準(zhǔn)化組織(ITU-T)和國際標(biāo)準(zhǔn)化組織(ISO/IEC)在2000年制定了X.509v4標(biāo)準(zhǔn),并在其中首次完全定義了PMI的體系結(jié)構(gòu)。PMI的目標(biāo)是向用戶和應(yīng)用程序提供授權(quán)管理服務(wù),用戶身份到應(yīng)用授權(quán)的映射功能,與實(shí)際應(yīng)用處理模式相對(duì)應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無關(guān)的授權(quán)和訪問控制機(jī)制,簡化具體應(yīng)用系統(tǒng)的開發(fā)與維護(hù)。2.2公鑰和證書所有權(quán)PMI的屬性證書結(jié)構(gòu)遵循X.509中定義的數(shù)據(jù)結(jié)構(gòu)。屬性證書和公鑰證書的結(jié)構(gòu)類似。公鑰證書(因其可標(biāo)識(shí)用戶的身份,也稱為身份證書)將公鑰和證書所有者綁定在一起。屬性證書將一系列屬性,例如:角色、權(quán)限或組成員等,和證書持有人綁定在一起。屬性證書依賴于身份證書而存在。例如:屬性證書中的持有人(Holder)可以由身份證書中的證書序列號(hào)(SerialNumber)和頒發(fā)者(Issuer)確定。屬性證書和身份證書的格式和關(guān)系如圖1所示。2.3基于角色的技術(shù)文獻(xiàn)提出將資源和對(duì)資源的操作(即權(quán)限)寫入一個(gè)屬性證書,稱為使用條件證書;將用戶信息寫入另一個(gè)屬性證書,通過使用條件證書和屬性證書為用戶和權(quán)限建立訪問關(guān)系。如果采用這種證書結(jié)構(gòu),Web資源頻繁的動(dòng)態(tài)改變必將導(dǎo)致使用條件證書相應(yīng)內(nèi)容的改變,增加證書管理的復(fù)雜性,影響系統(tǒng)的性能。在本文所設(shè)計(jì)的系統(tǒng)中,用戶和權(quán)限之間引入角色的概念,通過角色將用戶和權(quán)限聯(lián)系起來,用戶被賦予某種角色,也就具備該角色所擁有的權(quán)限。把角色寫入屬性證書,將角色和證書持有人進(jìn)行綁定,形成代表特定權(quán)限的屬性證書。在本系統(tǒng)中將這種屬性證書稱為權(quán)力證書。通過簽發(fā)權(quán)力證書,間接為用戶授權(quán);通過撤銷權(quán)力證書,實(shí)現(xiàn)權(quán)限的回收。該權(quán)力證書具備的優(yōu)點(diǎn)如下:(1)一個(gè)Web應(yīng)用系統(tǒng)使用的角色是有限的,通過權(quán)力證書為用戶授權(quán),可有效降低授權(quán)的復(fù)雜程度。(2)相對(duì)于動(dòng)態(tài)變化的Web資源,角色是穩(wěn)定的,因此將角色而不是資源寫入證書,能大大減少授權(quán)的3web系統(tǒng)頁面設(shè)計(jì)Web資源是訪問控制的對(duì)象,也是為角色授權(quán)的對(duì)象。因此,資源信息的獲取是資源有效管理,也是整個(gè)安全訪問控制系統(tǒng)的重要基礎(chǔ)。文獻(xiàn)提出,PMI中Web資源來源于IIS的主目錄或Tomcat的Server.xml配置文件中所指出的主目錄下的所有資源。但這些資源,只是Web資源有限的一部分。目前的Web普遍采用ASP或JSP等動(dòng)態(tài)頁面技術(shù),在瀏覽器所看到的Web資源不僅來源于主目錄,還可能來源于數(shù)據(jù)庫或COM組件。對(duì)于動(dòng)態(tài)頁面,無論資源來于何處,最終將經(jīng)過Web服務(wù)器端腳本的執(zhí)行,以HTML的形式返回給瀏覽器。因此,對(duì)于資源信息的獲取,可從Web服務(wù)器所返回的HTML文件入手。從瀏覽器的角度來看,Web服務(wù)器所提供的資源結(jié)構(gòu)可以看作是從主頁開始的,以每一個(gè)Web頁面為結(jié)點(diǎn),以HTML中的超鏈接為邊的有向圖,利用廣度優(yōu)先遍歷算法,就可以獲取到Web服務(wù)器發(fā)布的所有資源。本文所設(shè)計(jì)的系統(tǒng)中資源信息的獲取將采用上述思想,從主頁開始,使用爬行的手段,通過頁面之間鏈接關(guān)系,自動(dòng)獲取Web站點(diǎn)資源的內(nèi)容、屬性及URL。頁面中的表單資源是一種特殊的超鏈接資源,用戶的輸入不同,所獲取的資源也不同。因此,對(duì)于表單所隱含的相關(guān)資源,需要人工的輔助才能完成獲取任務(wù)。4保護(hù)web資源該安全訪問控制系統(tǒng)使用用權(quán)力證書,結(jié)合Web資源的獲取思想,通過身份認(rèn)證服務(wù)器、授權(quán)管理服務(wù)器和訪問控制引擎保護(hù)Web資源,防止未授權(quán)的非法訪問。4.1身份認(rèn)證和授權(quán)管理服務(wù)平臺(tái)該系統(tǒng)的結(jié)構(gòu)如圖3所示。圖中各部分功能如下:(1)認(rèn)證服務(wù)器:驗(yàn)證要訪問資源的用戶的身份。用戶通過客戶端和認(rèn)證服務(wù)器完成基于身份證書的雙向身份認(rèn)證。(2)授權(quán)管理服務(wù)器:主要完成為用戶授權(quán)和相關(guān)的管理任務(wù),包括(1)為合法用戶簽發(fā)或撤銷權(quán)力證書;(2)管理角色定義配置文件;(3)管理角色權(quán)限策略文件;(4)管理LDAP權(quán)力證書庫。(3)LDAP目錄服務(wù)器:存放身份證書和權(quán)力證書及證書撤銷列表的數(shù)據(jù)庫,并配合認(rèn)證服務(wù)器和授權(quán)管理服務(wù)器完成證書的管理,包括證書的查詢、更新和撤銷。(4)策略庫:該數(shù)據(jù)庫用于存放角色定義配置文件、角色控制策略文件等策略文件。角色定義配置文件記錄了Web應(yīng)用系統(tǒng)中所使用角色的定義信息,包括角色的唯一標(biāo)識(shí)、角色名稱、父角色唯一標(biāo)識(shí)、父角色名稱、角色限制、角色說明、角色的創(chuàng)建時(shí)間、角色的類型。角色控制策略文件記錄了角色、Web資源和角色對(duì)資源的操作等控制信息。角色定義配置文件是授權(quán)服務(wù)器簽發(fā)權(quán)力證書時(shí)角色有效性、正確性的依據(jù)。角色控制策略文件是訪問控制引擎依據(jù)角色裁決客戶端是否具有訪問特定資源權(quán)限的依據(jù)。(5)訪問控制引擎:訪問控制引擎是Web資源能否被客戶端訪問的關(guān)鍵決策者。它依據(jù)身份認(rèn)證、權(quán)力證書、策略庫中的角色定義配置文件及角色控制策略文件等決定客戶端的訪問結(jié)果。(6)資源采集器:使用Web資源信息的獲取思想,采集Web服務(wù)器發(fā)布的資源,以資源樹的形式向資源編輯器提交資源信息獲取結(jié)果。通過資源的URL相對(duì)于主目錄的目錄結(jié)構(gòu),構(gòu)建出資源之間的樹形關(guān)系結(jié)構(gòu),表達(dá)出資源之間的層次關(guān)系。資源的這種樹形結(jié)構(gòu)便于實(shí)現(xiàn)為角色授權(quán)。(7)資源編輯器:對(duì)資源采集器提交的Web資源進(jìn)行編輯管理功能,包括資源的篩選(指選擇出需要參與授權(quán)的資源)、新資源的添加、無用資源的刪除、資源屬性的修改,并以資源樹的形式提交給授權(quán)管理服務(wù)器。(8)安全管理員:負(fù)責(zé)完成授權(quán)管理服務(wù)器的管理任務(wù),例如:定義角色,配置策略等。4.2身份服務(wù)器的密碼認(rèn)證客戶端和認(rèn)證服務(wù)器的認(rèn)證過程為:(1)客戶端與認(rèn)證服務(wù)器建立連接后向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息,包括自己的身份證書和用私鑰加密的一個(gè)隨機(jī)數(shù):{Cert(PK(2)認(rèn)證服務(wù)器驗(yàn)證客戶端身份證書以下三方面內(nèi)容:(1)是否為可信的CA所頒發(fā)(2)查詢證書的有效期,判斷該證書是否在有效使用期限內(nèi)(3)查詢LDAP的證書撤銷列表,判斷該證書是否被撤銷。如果這三個(gè)條件均符合,說明客戶端的身份證書是有效的。認(rèn)證服務(wù)器取出證書中的公鑰,解密客戶端發(fā)送的加密的隨機(jī)數(shù)Nm(3)客戶端使用與(2)相同的方法驗(yàn)證認(rèn)證服務(wù)器的證書。若證書合法,利用證書中公鑰解密出隨機(jī)數(shù)Nm1和Nm2,客戶端得到Nm1進(jìn)一步證明了發(fā)送方為認(rèn)證服務(wù)器。加密的隨機(jī)數(shù),是為了阻止消息的重放攻擊?？蛻舳讼蛘J(rèn)證服務(wù)器發(fā)送認(rèn)證消息,用自己的私鑰簽名用認(rèn)證服務(wù)器的公鑰加密的隨機(jī)數(shù)Nm(4)認(rèn)證服務(wù)器使用自己的私鑰和客戶端的公鑰解密收到的認(rèn)證消息并得到Nm4.3授權(quán)發(fā)權(quán)證書系統(tǒng)的訪問控制過程為:(1)客戶端向認(rèn)證服務(wù)器提交身份證書,和認(rèn)證服務(wù)器進(jìn)行雙向身份認(rèn)證。經(jīng)雙方審核,如果成功,則可以進(jìn)行第(2)步。否則,訪問控制引擎拒絕任何服務(wù)。(2)如果沒有權(quán)力證書,客戶端可以向授權(quán)管理服務(wù)器申請(qǐng)權(quán)力證書。授權(quán)管理服務(wù)器通過用戶提交的信息,審核同意后,給用戶授權(quán)即簽發(fā)權(quán)力證書。(3)已通過身份認(rèn)證和具有權(quán)力證書的用戶,可通過客戶端,向訪問控制引擎發(fā)出要請(qǐng)求的資源。(4)訪問控制引擎收到用戶的權(quán)力證書后,驗(yàn)證證書簽名并查詢LDAP服務(wù)器。若簽名不合法或證書已過期或證書被已撤銷,訪問控制引擎拒絕任何服務(wù)。(5)對(duì)于合法的權(quán)力證書,讀取證書中的角色。依據(jù)策略庫中的角色定義配置文件判斷角色是否正確和有效,如:角色編號(hào)、名稱等是否和配置文件中規(guī)定的相符。如果驗(yàn)證成功,查詢策略庫中的角色控制策略文件,得到該角色所對(duì)應(yīng)的資源和對(duì)資源的操作等控制信息,并將控制信息結(jié)果返回給訪問控制引擎。(6)訪問控制引擎經(jīng)過比較判斷,如果客戶端請(qǐng)求的資源經(jīng)過上面的驗(yàn)證是合法的,將代替客戶端向Web服務(wù)器提出資源請(qǐng)求。(7)接收到Web服務(wù)器返回的Web頁面后,訪問控制引擎對(duì)該Web頁面資源進(jìn)行過濾處理,依據(jù)策略庫提供的控制信息,過濾Web頁面中所包含的未授權(quán)的資源,并將結(jié)果返回給客戶端。4.4靈活的訪問控制機(jī)制(1)采用權(quán)力證書為用戶間接授權(quán)。它符合Web資源的特點(diǎn),簡化復(fù)雜的授權(quán)。(2)使用基于角色策略的訪問控制機(jī)制,具有較強(qiáng)的靈活控制功能。訪問資源的結(jié)果由角色控制策略文件決定,只需修改角色策略文件中的角色資源關(guān)系,就能相應(yīng)改變用戶擁有的權(quán)限。(3)提出一種獲取和管理Web資源