【文章內(nèi)容簡(jiǎn)介】 2年3月18日發(fā)布的最新版本還是局限于現(xiàn)在的需求。 XML訪問(wèn)控制標(biāo)記語(yǔ)言XML訪問(wèn)控制標(biāo)記語(yǔ)言(XACML)是OASIS制定的一個(gè)用以整合各方面(比如IBM和米蘭大學(xué))努力成果的一個(gè)標(biāo)準(zhǔn)。它和SAML共同使用，它提供了一種標(biāo)準(zhǔn)化XML文件接入控制決定的工具。XACML是用來(lái)決定是否允許一個(gè)請(qǐng)求使用一項(xiàng)資源，比如它是否能使用整個(gè)文件，多個(gè)文件，還是某個(gè)文件的一部分。XACML收到一個(gè)SAML請(qǐng)求后就根據(jù)事先制定的規(guī)則或策略來(lái)判斷是否允許請(qǐng)求使用某項(xiàng)資源。和XML加密相反，接入控制信息是物理上獨(dú)立的，當(dāng)一個(gè)請(qǐng)求生成的時(shí)候，該信息被引用。Xpointers和XPaths是在XML資源中的標(biāo)識(shí)里定義的，它們通知處理器檢查XACML策略，以及在哪里可以找到這些策略。一旦按照策略完成了評(píng)估，就會(huì)返回一個(gè)是真或者是假的邏輯值表示是否允許接入，這個(gè)認(rèn)證決定聲明返回后，就會(huì)執(zhí)行相應(yīng)的操作。這個(gè)認(rèn)證決定聲明返回后，就會(huì)執(zhí)行相應(yīng)的操作。這個(gè)認(rèn)證決定聲明返回后，就會(huì)執(zhí)行相應(yīng)的操作。 安全聲明標(biāo)記語(yǔ)言安全聲明標(biāo)記語(yǔ)言(SAML)[21]也是出自O(shè)ASIS和XACML相對(duì)，它處理證明/授權(quán)的請(qǐng)求/響應(yīng)的交換。一個(gè)SAML請(qǐng)求以HTTP方式通過(guò)SOAP被發(fā)送到一個(gè)有相應(yīng)處理工具的系統(tǒng)去。一個(gè)SAML請(qǐng)求包括諸如用戶姓名、密碼以及其他一些關(guān)于提出請(qǐng)求的人的信息。這些信息被發(fā)送到一個(gè)處理應(yīng)用程序那里來(lái)決定是否允許使用一項(xiàng)XML資源。SAML采用了一項(xiàng)由OASIS提出的“聲明計(jì)劃”。有三種聲明：認(rèn)證、授權(quán)決定和屬性。這三種聲明在一個(gè)應(yīng)用中被用在不同的場(chǎng)合來(lái)決定誰(shuí)是請(qǐng)求者、請(qǐng)求的內(nèi)容、是否有權(quán)提出這項(xiàng)請(qǐng)求。 訪問(wèn)控制含義訪問(wèn)控制[22]是解決誰(shuí)(主體)對(duì)某個(gè)特定對(duì)象(客體)具有什么權(quán)限的一項(xiàng)系統(tǒng)安全技術(shù)。它包括兩方面的關(guān)鍵技術(shù)：一方面是安全策略的制定技術(shù)，即如何表達(dá)主體對(duì)客體有何種權(quán)限；另一方面是安全策略的實(shí)現(xiàn)技術(shù)，即如何將制定的策略在系統(tǒng)中有效地執(zhí)行。作為安全服務(wù)之一的訪問(wèn)控制服務(wù)，在分布式安全體系結(jié)構(gòu)中具有不可替代的作用。它可以限制系統(tǒng)的活動(dòng)者(包括用戶和軟代理)對(duì)系統(tǒng)關(guān)鍵資源的訪問(wèn)，防止非法活動(dòng)者的侵入和合法活動(dòng)者的不慎操作引起對(duì)安全計(jì)算機(jī)系統(tǒng)的破壞。一般的，實(shí)施訪問(wèn)控制的信息系統(tǒng)中將包括以下三個(gè)主要對(duì)象集。(1) 主體(Subject) 試圖去訪問(wèn)敏感信息的主動(dòng)者，例如用戶或軟代理。(2) 客體(Object) 被訪問(wèn)的對(duì)象信息，例如以Web服務(wù)形式存在的Web關(guān)鍵資源和應(yīng)用中涉及到的XML文檔資源。(3) 訪問(wèn)控制策略(Policy) 一套規(guī)則，以確定主體是否對(duì)客體擁有某些操作權(quán)限。資源的訪問(wèn)控制包含以下幾方面內(nèi)容。(1) 保密性控制(Data Confidentiality) 保證數(shù)據(jù)資源不被非法讀出。(2) 完整性控制(Data Integrity) 保證數(shù)據(jù)資源不被非法改寫(xiě)。(3) 有效性控制(Data Availability) 保證數(shù)據(jù)資源不被非法用戶破壞，保證任何情況下系統(tǒng)處于工作狀態(tài)。(4) 維護(hù)性 必須有相應(yīng)的集中管理機(jī)制及安全管理工具，可以進(jìn)行簡(jiǎn)單、方便、有效的管理操作。以何種方式來(lái)保護(hù)網(wǎng)絡(luò)資源，并有效地實(shí)現(xiàn)安全政策，始終是訪問(wèn)控制研究的主題。具體到Web應(yīng)用中，其主題就是研究如何以更有效的方式保護(hù)Web應(yīng)用資源(典型地，如Web服務(wù)和應(yīng)用中所涉及的數(shù)據(jù)文檔)和實(shí)施針對(duì)Web應(yīng)用的安全訪問(wèn)策略。以何種方式來(lái)保護(hù)網(wǎng)絡(luò)資源，并有效地實(shí)現(xiàn)安全政策，始終是訪問(wèn)控制研究的主題。具體到Web應(yīng)用中，其主題就是研究如何以更有效的方式保護(hù)Web應(yīng)用資源(典型地，如Web服務(wù)和應(yīng)用中所涉及的數(shù)據(jù)文檔)和實(shí)施針對(duì)Web應(yīng)用的安全訪問(wèn)策略。 訪問(wèn)控制的典型模型下面將介紹在計(jì)算機(jī)系統(tǒng)中常用的三種訪問(wèn)控制模型[23~30]，它們分別是：自主訪問(wèn)控制(Discretionary Access Control,DAC)、強(qiáng)制訪問(wèn)控制(Mandatory Access Control,MAC)、基于角色的訪問(wèn)控制[24](RoleBased Access Control,RBAC)。 自主訪問(wèn)控制自主訪問(wèn)控制[25]最早出現(xiàn)在70年代初期的分時(shí)系統(tǒng)中，是一種多用戶環(huán)境下最常用的一種訪問(wèn)控制技術(shù)，在UNIX操作系統(tǒng)中被普遍采用。DAC的基本思想是客體的主人(即客體的創(chuàng)建者)可以決定誰(shuí)可以如何訪問(wèn)該對(duì)象?，F(xiàn)存在大量的DAC策略，他們的不同點(diǎn)在于所有者的權(quán)限如何能代理給其他用戶以及授予的權(quán)限如何回收。DAC的變型可以分為以下三類。 限制型DAC 這種DAC策略中，對(duì)客體的訪問(wèn)權(quán)限控制完全掌握在客體的主人手里。 自由型DAC 這種DAC策略十分松散。它又可以分為以下三種變型：一層準(zhǔn)予，客體的主人將權(quán)限授予用戶，這些用戶可以將權(quán)限授予其他的用戶，但是下一層被授予權(quán)限的用戶不能再將權(quán)限授予其他用戶；二層準(zhǔn)予，客體的主人授予的權(quán)限可以傳播兩層，而第三層接受權(quán)限的用戶則不能將權(quán)限再傳播下去；多層準(zhǔn)予，比二層準(zhǔn)予更進(jìn)一步。只要是有權(quán)限的用戶都可以將該權(quán)限授予其他用戶。在權(quán)限回收上，只有有權(quán)授予的人才能回收權(quán)限，并且回收權(quán)限是與授權(quán)人脫鉤的。 改變所有者型DAC 這種變型在于不僅權(quán)限授予的權(quán)限可以傳播，而且所有關(guān)系也可以轉(zhuǎn)移。從上面可以看出，自主訪問(wèn)控制的一個(gè)最大問(wèn)題是主體權(quán)限太大，無(wú)意間就可能泄露信息，而且不能防備特洛伊木馬的攻擊。另外，在DAC系統(tǒng)中，由于訪問(wèn)控制的管理是在訪問(wèn)控制列表級(jí)被實(shí)現(xiàn)的，很難保證其實(shí)現(xiàn)的正確，而且不能提供一個(gè)很方便的機(jī)制來(lái)管理約束。 強(qiáng)制訪問(wèn)控制強(qiáng)制訪問(wèn)控制系統(tǒng)中的每個(gè)主體和客體都被賦予一個(gè)安全標(biāo)識(shí)(security level)，根據(jù)系統(tǒng)中主體和客體的安全標(biāo)識(shí)控制信息的訪問(wèn)?？腕w的安全標(biāo)識(shí)反映了它所包含信息的敏感度，主體的安全標(biāo)識(shí)反映的是授權(quán)用戶不對(duì)未授權(quán)用戶開(kāi)放敏感信息的信任度。在最簡(jiǎn)單的情況下，安全標(biāo)識(shí)以層次的方式表示密級(jí)程度。安全標(biāo)識(shí)的類型有絕密(Top Secret,TS)，機(jī)密(Secret,S)，秘密(Confidential,C)和公開(kāi)(Unclassified,U)。在這個(gè)分類中，若用“”表示安全標(biāo)識(shí)之間的密級(jí)程度關(guān)系，則有TSSCU。強(qiáng)制訪問(wèn)控制又稱為基于格的訪問(wèn)控制。用L表示安全標(biāo)識(shí)，主體s的安全標(biāo)識(shí)可表示為L(zhǎng)(s)，客體o的安全標(biāo)識(shí)可表示為L(zhǎng)(o)。在強(qiáng)制訪問(wèn)控制模型中有3個(gè)基本性質(zhì)。(1) 簡(jiǎn)單讀規(guī)則(Readdown) 當(dāng)滿足L(s) L(o)，主體s可讀客體o。(2) 自由寫(xiě)規(guī)則(Writeup) 當(dāng)滿足L(o) L(s)，主體s可寫(xiě)客體o。若把讀客體看成是信息從客體流向用戶，把寫(xiě)客體看成是信息從用戶流向客體，那么簡(jiǎn)單讀規(guī)則和自由寫(xiě)規(guī)則反映了信息流動(dòng)的方向是從安全性要求低處向安全性高處的方向流動(dòng)。由于安全性要求低的主體可以寫(xiě)安全性要求比他高的客體，這可能會(huì)導(dǎo)致重寫(xiě)已存在的客體，破壞信息的完整性，所以為了完整性要求規(guī)定了限制寫(xiě)規(guī)則。(3) 限制寫(xiě)規(guī)則 當(dāng)滿足L(s)= L(o)，主體s可以寫(xiě)對(duì)象o。在強(qiáng)制訪問(wèn)控制中，主體和客體的安全標(biāo)識(shí)是由系統(tǒng)安全管理員配置的。除了系統(tǒng)安全管理員外，用戶無(wú)權(quán)改動(dòng)。因此，強(qiáng)制訪問(wèn)控制模式的安全性管理是集中管理的。這樣防止了用戶濫用權(quán)限。強(qiáng)制訪問(wèn)控制確保即使有特洛伊木馬的情況下，信息也僅將按照由安全標(biāo)識(shí)組成的格的方向流動(dòng)(即保證信息從低層次的安全標(biāo)識(shí)處流向高層次的安全標(biāo)識(shí)處)，從而可抵制特洛伊木馬的攻擊。MAC的不足主要表現(xiàn)在兩個(gè)方面：應(yīng)用的領(lǐng)域比較窄，使用不靈活，一般只用于軍方等具有明顯的等級(jí)觀念的行業(yè)或領(lǐng)域，在經(jīng)濟(jì)領(lǐng)域中，MAC的應(yīng)用并不是很多；完整性方面控制不夠，它重點(diǎn)強(qiáng)調(diào)信息的向高安全級(jí)的方向流動(dòng)，對(duì)高安全級(jí)信息的完整性保護(hù)強(qiáng)調(diào)不夠。完整性方面控制不夠，它重點(diǎn)強(qiáng)調(diào)信息的向高安全級(jí)的方向流動(dòng)，對(duì)高安全級(jí)信息的完整性保護(hù)強(qiáng)調(diào)不夠。 基于角色的訪問(wèn)控制隨著計(jì)算機(jī)信息系統(tǒng)在非軍用領(lǐng)域得到更為廣泛的應(yīng)用和網(wǎng)絡(luò)的普及化發(fā)展，原有的DAC和MAC技術(shù)己經(jīng)不能滿足現(xiàn)代信息系統(tǒng)安全的需求。在這種情況下出現(xiàn)了基于角色的訪問(wèn)控制技術(shù)?；诮巧脑L問(wèn)控制[26]的基本思想是通過(guò)將權(quán)限授予角色而不是直接授予主體，主體通過(guò)角色分派來(lái)得到客體操作權(quán)限從而實(shí)現(xiàn)授權(quán)。由于角色在系統(tǒng)中具有相對(duì)于主體的穩(wěn)定性，并具有更為直觀的理解，從而大大減少系統(tǒng)安全管理員的工作復(fù)雜性和工作量。如圖21所示，Sandhu于1996年提出了一個(gè)通用RBAC模型[27]。角色層次RH用戶分配UA權(quán)限分配PA會(huì)話集S用戶集U角色集R權(quán)限集P約束集C圖21 基于角色的訪問(wèn)控制模型RBAC96Fig. 21 RoleBased Access Control model RBAC96這個(gè)模型基于三個(gè)實(shí)體集，用戶集(U)，角色集(R)，權(quán)限集(P)。直觀地說(shuō)，一個(gè)用戶是一個(gè)人或一個(gè)軟件代理；一個(gè)角色是組織中一項(xiàng)工作或者一個(gè)職位，通過(guò)角色與授權(quán)語(yǔ)義相關(guān)，并通過(guò)授予用戶以角色實(shí)現(xiàn)權(quán)限的授予；一項(xiàng)權(quán)限是對(duì)系統(tǒng)中一個(gè)或多個(gè)敏感對(duì)象進(jìn)行某種方式訪問(wèn)的一個(gè)許可。在圖21中，用戶指派(UA：user assignment)和權(quán)限分派(PA：permissionassignment)關(guān)系都是多對(duì)多的關(guān)系。一個(gè)用戶可以指派多個(gè)角色而一個(gè)角色也可以被分派多個(gè)用戶。同樣，一個(gè)角色可以有多項(xiàng)權(quán)限，而同樣的權(quán)限可以被分派給多個(gè)角色。圖中還存在一個(gè)偏序關(guān)系——角色層次(RH：role hierarchy)，也記作≥，這里≥表示角色x繼承了分派給角色y的所有權(quán)限。角色層次中的繼承是可傳遞的并且可以多繼承。圖21中展現(xiàn)了會(huì)話(S：Session)集合。每個(gè)會(huì)話將一個(gè)用戶和多個(gè)可能的角色聯(lián)系起來(lái)。直觀地說(shuō)，一個(gè)用戶建立一個(gè)會(huì)話，期間可以激活多個(gè)角色，當(dāng)然這些角色是已經(jīng)分派給用戶的。圖中雙箭頭表示一個(gè)會(huì)話可以同時(shí)激活多個(gè)角色。用戶的有效權(quán)限取決于會(huì)話中激活的角色所有權(quán)限的并集。每個(gè)會(huì)話與單個(gè)用戶關(guān)聯(lián)，圖中以單箭頭顯示。這個(gè)聯(lián)系在會(huì)話的整個(gè)生命周期一般是恒定的。一個(gè)用戶可能同時(shí)有多個(gè)會(huì)話。最后，圖21中展示了約束集。約束可以應(yīng)用在先前定義的許多集合上。一個(gè)常見(jiàn)的例子是角色互斥，某個(gè)用戶擁有一個(gè)角色，那么他就不能再擁有另外一個(gè)角色了。綜上所述，形式化定義訪問(wèn)控制模型RBAC96，基于角色的訪問(wèn)控制模型由如下子集組成。(1) U，R，P和S，分別來(lái)代表用戶集合，角色集合，權(quán)限集合和會(huì)話集合；(2) PAPR，代表一個(gè)多對(duì)多的權(quán)限分配給角色的關(guān)系；(3) UAUR，代表一個(gè)多對(duì)多的用戶分配給角色的關(guān)系；(4) RHRR，代表一個(gè)角色層次的偏序關(guān)系；(5) User：S→U，代表一個(gè)函數(shù)映射，表示每個(gè)會(huì)話si都與一個(gè)用戶關(guān)聯(lián)，這個(gè)關(guān)聯(lián)一般在會(huì)話生命周期中都不會(huì)更改；(6) Roles：S→2R，代表一個(gè)函數(shù)映射，表示每個(gè)會(huì)話都與一個(gè)角色子集關(guān)聯(lián)：Roles(si){r|(r39?！輗)[(user(si), r39。)UA]}；(7) Constraints，代表約束集合。由于登錄到系統(tǒng)中的用戶可以根據(jù)需要?jiǎng)討B(tài)激活自己擁有的角色，避免用戶無(wú)意中危害系統(tǒng)安全。由于實(shí)現(xiàn)了用戶與訪問(wèn)權(quán)限的邏輯分離，RBAC極大地方便了權(quán)限管理。例如，如果一個(gè)用戶的職位發(fā)生變化，只要將用戶當(dāng)前的角色去掉，加入代表新職務(wù)或新任務(wù)的角色即可。另外，基于角色的訪問(wèn)控制還可以很好的描述角色層次關(guān)系，實(shí)現(xiàn)最小特權(quán)原則和職責(zé)分離原則，因此RBAC使訪問(wèn)控制變得相對(duì)簡(jiǎn)單，而且應(yīng)用方便。另外，RBAC還能保證信息的完整性。另外，RBAC還能保證信息的完整性。另外，RBAC還能保證信息的完整性。 基于安全視圖的訪問(wèn)控制模型本文的研究基礎(chǔ)是基于安全視圖的訪問(wèn)控制模型，我們首先給出訪問(wèn)控制模型，如圖22所示。查詢p1查詢重寫(xiě)查詢優(yōu)化查詢轉(zhuǎn)化模塊XML文檔 T視圖導(dǎo)出模塊查詢pk查詢pn………………………………規(guī)范S1規(guī)范Sk規(guī)范Sn安全視圖V1安全視圖Vk安全視圖Vn圖22 基于安全視圖的訪問(wèn)控制模型Fig. 22 Access Controll Model on Security View 安全規(guī)范安全規(guī)范是文檔DTD 結(jié)合安全注釋的擴(kuò)展。具體地，被定義為，acc是一個(gè)部分映射，對(duì)每個(gè)產(chǎn)生式和每個(gè)中的元素，定義如下：::= | | (21)式中，是XPath查詢集中的限定符。、的值表示中元素的孩子節(jié)點(diǎn)是可訪問(wèn)的、有條件訪問(wèn)和不可訪問(wèn)的。如果沒(méi)有明確的定義，那么繼承的訪問(wèn)性。給定如圖23所示hospital文檔，D中每個(gè)元素類型A為一個(gè)節(jié)點(diǎn)，稱為A節(jié)點(diǎn)，每條邊描述父/子關(guān)系。具體地，對(duì)每個(gè)產(chǎn)生式，有一條邊從節(jié)點(diǎn)A到中B節(jié)點(diǎn)。如果，那么邊用一個(gè)“*”標(biāo)記，表示一個(gè)A元素中可以直接嵌套零個(gè)或多個(gè)B元素。如果是disjunction，邊用虛線表示，與concatenation相區(qū)別。在上下文中，可以將DTD稱為D，將A元素類型稱為A節(jié)點(diǎn)。hospitaldurationpatientstaffInfotypestafftreatmentnursedoctorclinicalTrialpatientInfodept**billwardNonameregulartesttrialphonemedication*圖23 文檔DTD示例Fig. 23 Example Document DTD：對(duì)于圖23所示hospital文檔，對(duì)用戶組nurse施加的訪問(wèn)控制策略描述如下。hospital dept* /* 產(chǎn)生式 */acc (hospital, dept) = [*/patie