1 引言
访问控制是应用系统资源存取管理的重要技术。基于角色的访问控制 (RBAC) [1]在自主访问控制 (DAC) 和强制访问控制 (MAC) 基础上经多年研究已成为较成熟的模型, 经扩展形成ARBAC97、ARBAC99、ARBAC02应用于各多种应用系统中[2]。
Web服务作为一种新的分布式计算模型, 能在各种异构平台的基础上构筑一个通用的、与平台无关的、与语言无关的技术层, 使不同平台的应用方便地实施连接和集成。具有简单、跨平台、松散耦合的特点, 将成为下一代电子商务的框架。Web服务与传统电子商务环境相比具有更强的分散性和动态性[3]。目前访问控制系统普遍化、网络化的需求逐渐增加, 因此, 研究Web服务环境下访问控制模型具有重要的意义[4]。
2 基于Web Service的访问控制供应
基于Web服务的访问控制供应 (WSSAC) 是建立在Web服务方案中的一种访问控制供应系统。也可解释为一种工具或支持架构, 它可为应用系统提供基于Web服务的供应系统, 提供基于角色的服务:供应角色和消费角色。Web服务端是访问控制服务的销售者, 其拥有、管理Web服务端, 而应用访问控制的系统作为消费者, 可以通过Web服务订阅访问控制服务, 并有偿的为服务付费。
WSSAC包含5个相互协作的模块, 包括服务目录、服务订阅模块、服务供应模块、访问控制检测模块、记账模块和WSSAC运行时, 如下图所示, 实线矩形表示构成框架的各个服务组件, 单实线箭头表示控制流的流向, 圆柱表示数据存储。
服务目录包含了已经公开的访问控制服务类别, 以及授权的细节。消费者 (应用系统) 可以根据各自的情况选择一个访问控制服务类别, 不同类别满足不同的需求, 拥有不同的访问控制检测方式。服务目录是消费者使用WSSAC的第一步, 该模块功能与UDDI所履行的功能相同。
服务订阅模块是消费者确定选择一个访问控制服务类别后的订阅和注册程序, 其中消费者将赋予消费角色, 并通过订阅模块告知WSSAC系统, 消费者 (应用系统) 的访问控制节点 (包括文件、方法、页面等) 情况, 为后续的访问控制检测引擎提供访问控制的材料。这时消费者与供应者之间建立了授权和合约。
服务供应模块是WSSAC系统管理维护访问控制服务类别的平台, 该模块提供发布的过程, 指定服务的详细信息, 如服服务说明、WSDL、使用费用等。服务供应模块发布的服务以服务列表的形式显示在服务目录中。
访问控制检测模块是在考虑通用性和特定性的协调关系基础上, 将角色管理、通用授权规则、资源访问控制决定等在模块内实现, 其外部是作为Web服务的方式发布的。
WSSAC运行时是WSSAC系統中最重要的一部分。负责接收传入的SOAP信息并按照消费者订阅的访问控制检测方式实施检验, 调用记账模块实施记账, 调用访问控制模块, 并负责以SOAP方式为消费者返回检测结果, 干预消费者访问控制过程。
记账模块是用来处理使用WSSAC的消费者的记账, 并记载使用Web服务的日志, 根据订阅时建立的合约, 定期的将账单发送给消费者和服务供应者。
WSSAC的处理流程如下: (1) 操作WSSAC的管理员通过调用服务供应模块登入系統, 将访问控制服务类别列表发布到服务目录模块, 指定服务相关信息; (2) 第一步完成后, 消费者通过查找UDDI或服务目录发现访问控制服务列表, 注册后调用服务订阅模块订阅需要的服务, 并查看该服务的详细信息, 关心的价格等, 并上传访问控制节点信息, 订立合约; (3) 消费者添加Web服务代码, 运行时透过访问控制检测引擎获取访问控制的结果, 对于每一项传入的SOAP请求, 引擎在要求到达访问控制检测前, 进行记账和安全检查, 检查通过后, 调用访问控制机制。所有的进入伺服器的要求都必须符合安全性和授权检查, 否则, WSSAC将返回失败的结果。为保存WSSAC系统运行需要的相关信息, 保留运行环境资料, 在WSSAC系统后台需要配置相关的数据库。
3 WSSAC分析
基于Web Service的访问控制供应 (WSSAC) 系统有效地解决应用系统即消费者, 在不同条件下对访问控制的不同需求;而且通过Web的方式查找和使用WSSAC变得简单, 使消费者将更多精力用于业务流程的实现;减少重复开发访问控制系统, 多个消费者通过注册可以共同使用一个WSSAC系统, 且提供更灵活的选择访问控制检测方式的空间。
不足在于Web服务本身是基于SOAP协议的, 在安全性方面存在风险, 且Web服务调用过分依赖于网络带宽。解决的方法是引入加密协议, 增加网络吞吐量, 合理调整网络资源布局。
4 结语
本文采用Web服务技术构建了访问控制供应 (WSSAC) 系统, 使访问控制系统脱离出传统的模式, 发布成为统一管理访问控制的服务, 使用WSSAC的消费者摆脱了开发访问控制系统的花销。适用于多个应用领域, 符合实际的安全管理模式, 可以有效降低访问控制管理流程和应用程序之间的耦合度, 减少访问控制管理规则的变化对应用程序的影响。
摘要:针对目前多个应用系统对共享的访问控制系统的需求, 结合Web Service服务环境特点及关注点分离思想, 提出一种基于Web Service的访问控制供应结构, 给出访问控制供应服务订阅, 访问控制判定实现过程, 解决了各领域重复开发访问控制系统及访问控制供应的问题, 实现应用系统与访问控制供应的柔性连接。
关键词:访问控制,Web Service,访问控制供应
参考文献
[1] R SANDHU.Role-based access con-trol models[J].IEEE Computer, 1996, 29 (2) :38~47.
[2] 许春根.访问控制技术的理论与方法的研究[D].南京:南京理工大学, 2003.
[3] 罗胜涛.基于Web Services的统一权限系统[J].计算机工程, 2006, 12 (24) :32~36.
[4] 李目辉, 罗铗坚.基于进程的Web服务访问控制模型[J].计算机工程, 2007, 1 (1) :148~150.
【基于WebService的访问控制供应的研究】相关文章:
基于供应链环境的企业物流成本控制研究09-10
一种基于访问控制的搜索引擎01-05
在ASP/ASP.net架构下实现对访问者基于IP地址的访问控制09-11
基于Java的数据库访问技术研究09-10
基于XML与WebService的分布式数据查询系统的设计与实现09-11
基于供应链的财务管理研究04-18
基于供应链的物流管理过程模型研究09-10
基于供应链管理的电厂设备采购策略研究09-10