王秀瑋，劉旭東

(1.煙臺(tái)職業(yè)學(xué)院建筑工程系;2.煙臺(tái)職業(yè)學(xué)院科研處，山東煙臺(tái) 264670)

1 引言

Web服務(wù)已經(jīng)作為SOA［1］(面向服務(wù)編程)的一種重要實(shí)現(xiàn)而被廣泛接受，其基于標(biāo)準(zhǔn)技術(shù)、平臺(tái)無關(guān)的特點(diǎn)也為下一代分布式的企業(yè)級(jí)集成提供了充分的技術(shù)支持.隨著人們對(duì)互聯(lián)網(wǎng)安全的重視，Web服務(wù)的安全問題也受到各技術(shù)廠商和研究人員的關(guān)注.IBM、微軟等廠商提出了各種標(biāo)準(zhǔn)和措施來解決Web服務(wù)的安全問題，但如何協(xié)同多個(gè)標(biāo)準(zhǔn)來完成Web服務(wù)綜合安全系統(tǒng)的設(shè)計(jì)，并沒有給出很好的解決方案.在多數(shù)同類研究中，也只是提供了Web服務(wù)安全某方面的考慮，并沒有對(duì)其全局安全進(jìn)行統(tǒng)籌考慮.本文將基于此問題，提出一種Web服務(wù)的綜合安全模型，其包含:Web服務(wù)傳輸安全性、Web服務(wù)訪問控制、Web服務(wù)安全審核，并借助于AOP(面向方面編程)技術(shù)，對(duì)三者進(jìn)行協(xié)同實(shí)現(xiàn).

2 Web服務(wù)傳輸安全性分析研究

Web服務(wù)的安全性問題提出基于其安全威脅的存在，在Web服務(wù)的通信過程中，存在著信息泄露、電子欺騙、重放攻擊等威脅，要保證Web服務(wù)的安全性，對(duì)其傳輸載體SOAP消息(簡(jiǎn)單對(duì)象訪問協(xié)議消息，XML形式)的安全防護(hù)應(yīng)該放在首位，當(dāng)前的通信防護(hù)措施可分為兩類:傳輸安全、消息安全.傳輸安全使用傳輸級(jí)協(xié)議(如HTTPS)獲取傳輸安全性，它的優(yōu)點(diǎn)是可以被廣泛采用、可用于多個(gè)平臺(tái)以及計(jì)算較為簡(jiǎn)單，但同時(shí)它只能保證點(diǎn)到點(diǎn)的消息安全.消息安全模式使用 WS－Security(和其他規(guī)范)實(shí)現(xiàn)傳輸安全性，其直接應(yīng)用于SOAP消息并與應(yīng)用程序數(shù)據(jù)一起包含在SOAP信封內(nèi)，獨(dú)立于傳輸協(xié)議、可擴(kuò)展性更強(qiáng)以及可確保端到端安全性.基于此特點(diǎn)，本文選用消息安全來保證Web服務(wù)傳輸安全性.

2.1 消息安全研究

消息安全可細(xì)分為數(shù)據(jù)保密性和數(shù)據(jù)完整性.

1)數(shù)據(jù)保密性需要通過SOAP消息加密來實(shí)現(xiàn)［2－3］，常用的加密手段包括對(duì)稱密鑰加密和非對(duì)稱密鑰加密.其中對(duì)稱加密算法效率高，速度快，但需要加密和解密方交換密鑰，這常常帶來不安全因素.非對(duì)稱加密基于公鑰密碼體系，其算法公開，加密方和解密方通過PKI體系提供一攬子解決方案［4］，無需交換密鑰.加密方和解密方各擁有公鑰和私鑰兩個(gè)密鑰，公鑰公開，私鑰自己保存.加密方利用對(duì)方的公鑰對(duì)信息進(jìn)行加密，這樣只能由對(duì)方收到信息后利用其私鑰才能解開.但公鑰密碼體系密鑰較長(zhǎng)，運(yùn)算速率較之對(duì)稱密鑰體系相差較大.因此，常對(duì)二者結(jié)合使用，共同完成信息的加密.其解決方案為:隨機(jī)生成對(duì)稱密鑰，利用其對(duì)SOAP消息的需加密部分進(jìn)行加密，然后利用接收方的公鑰對(duì)對(duì)稱密鑰進(jìn)行加密，所有的加密算法和密鑰信息都根據(jù)XML加密標(biāo)準(zhǔn)嵌入消息本身內(nèi)部的節(jié)點(diǎn)中.接收方收到加密消息后，首先利用自己的私鑰解密消息的對(duì)稱密鑰，然后利用解密后的對(duì)稱密鑰進(jìn)行解密消息內(nèi)容，得到原始消息.

2)數(shù)據(jù)完整性通過SOAP消息簽名來實(shí)現(xiàn)，SOAP消息簽名技術(shù)類似于SOAP消息加密，其通過公鑰密碼體系對(duì)需簽名部分進(jìn)行數(shù)字簽名，然后在接收方進(jìn)行簽名驗(yàn)證.其與非對(duì)稱加密技術(shù)的區(qū)別在于，非對(duì)稱加密是利用對(duì)方的公鑰對(duì)消息進(jìn)行加密，然后對(duì)方利用私鑰進(jìn)行解密，而簽名則是利用發(fā)送方的私鑰對(duì)消息(或者消息的摘要)進(jìn)行簽名，接收方利用發(fā)送方的公鑰進(jìn)行簽名驗(yàn)證.

實(shí)際應(yīng)用中，常把SOAP消息加密和SOAP消息簽名放在一起考慮.為防止簽名被利用，常對(duì)消息進(jìn)行簽名后再加密，可有效防止簽名被篡改和挪做它用.

2.2 Web服務(wù)訪問控制研究

要想訪問Web服務(wù)不被惡意調(diào)用，對(duì)其進(jìn)行身份認(rèn)證和訪問控制的實(shí)現(xiàn)是必須的.沒有身份認(rèn)證的訪問控制是不安全的，沒有訪問控制的身份認(rèn)證是沒有意義的.常常把兩者聯(lián)合起來考慮.

2.2.1 身份認(rèn)證研究

在身份認(rèn)證領(lǐng)域，為了減少身份認(rèn)證的次數(shù)，提高身份認(rèn)證的效率，常采用單點(diǎn)登錄的實(shí)現(xiàn)方式，即統(tǒng)一身份認(rèn)證.用戶訪問服務(wù)一次后，即可對(duì)授權(quán)域內(nèi)的服務(wù)進(jìn)行無縫訪問.目前最受關(guān)注的解決方案是基于OASIS頒布的用于實(shí)現(xiàn)各廠商單點(diǎn)登錄和安全基礎(chǔ)設(shè)施之間的互操作性的SAML(Security Assertion Markup Language)安全斷言標(biāo)記語言［5］，其基于XML框架，通過交換有關(guān)使用主題的安全斷言信息來完成不同使用域間交互信息的傳遞.本文采用基于SAML的單點(diǎn)登錄方案來實(shí)現(xiàn)Web服務(wù)的身份認(rèn)證.

2.2.2 訪問控制研究

常見的訪問控制技術(shù)［6］有:自主訪問控制(Discretionary Control，DAC)、強(qiáng)制訪問控制(Mandatory Control，MAC)和基于角色的訪問控制(Role－Based Control，RBAC).三者都有自己特定的使用域，DAC是基于身份的控制，控制對(duì)象比較分散，主體數(shù)目和資源較多時(shí)，系統(tǒng)很難管理.MAC一般應(yīng)用于軍用場(chǎng)合，其基于嚴(yán)格的主客體訪問規(guī)則，保密性較好但不夠靈活，不適于Web服務(wù)的動(dòng)態(tài)性環(huán)境.RBAC以角色作為權(quán)限和用戶的中介，實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離，動(dòng)態(tài)性較好.因此本文的訪問控制將采用RBAC機(jī)制，同時(shí)為了保持與SOAP消息和SAML基于XML標(biāo)準(zhǔn)的一致性，本文采用基于XACML(可擴(kuò)展訪問控制標(biāo)記語言)的角色訪問控制機(jī)制.XACML是一種基于XML的安全標(biāo)準(zhǔn)，用于表示控制信息訪問的規(guī)則和策略，具有可移植性和標(biāo)準(zhǔn)性，便于在各種不同的訪問控制系統(tǒng)中實(shí)現(xiàn)互通互用.

2.2.3 Web服務(wù)審核研究

審核為管理員提供了一種檢測(cè)已經(jīng)發(fā)生或正在發(fā)生的攻擊的方式.此外，審核有助于開發(fā)人員調(diào)試與安全相關(guān)的問題.例如，如果授權(quán)或檢查策略配置中的錯(cuò)誤意外拒絕授權(quán)用戶進(jìn)行訪問，開發(fā)人員可以通過檢查事件日志迅速發(fā)現(xiàn)并隔離此錯(cuò)誤的原因.建立審核策略是安全的重要方面.監(jiān)控對(duì)象的創(chuàng)建或修改提供了一種跟蹤潛在安全性問題的方法，從而幫助確保用戶的責(zé)任性，并在出現(xiàn)違反安全的事件時(shí)提供證據(jù).實(shí)現(xiàn)審核的常規(guī)手段是使用服務(wù)操作系統(tǒng)所自帶的安全審核機(jī)制，但這種審核措施力度比較大，在Web服務(wù)環(huán)境這種分布式的復(fù)雜環(huán)境下，基于編程實(shí)現(xiàn)的安全審核可更好的實(shí)現(xiàn)審核的細(xì)粒度控制和審核策略制定.本文在J2EE環(huán)境下基于AOP技術(shù)來實(shí)現(xiàn)Web服務(wù)的安全審核.

3 Web服務(wù)安全綜合模型設(shè)計(jì)

3.1 模型設(shè)計(jì)

通過對(duì)Web服務(wù)安全的三個(gè)核心方面的分析研究，下面給出Web服務(wù)安全綜合模型如圖1所示.

圖1 Web服務(wù)綜合安全模型

該模型共由十個(gè)部分組成:主體、Aspect管理、身份認(rèn)證服務(wù)、訪問控制服務(wù)、目標(biāo)服務(wù)、審核、四個(gè)加密/簽名(解密/驗(yàn)證)處理模塊.下面分別給予解釋.

1)主體:指請(qǐng)求訪問目標(biāo)服務(wù)的所有應(yīng)用程序或服務(wù).

2)目標(biāo)服務(wù):為用戶提供所需的服務(wù)，是一個(gè)服務(wù)集合，接受用戶調(diào)用.

3)Aspect管理(切面管理)模塊:完成所有客戶端與目標(biāo)服務(wù)的交互，采用面向方面AOP思想來實(shí)現(xiàn)，類似一個(gè)攔截器，它與目標(biāo)服務(wù)組成目標(biāo)服務(wù)域.

4)身份認(rèn)證服務(wù):發(fā)布為一個(gè)Web服務(wù)，該服務(wù)提供用戶的登錄與SAML身份認(rèn)證聲明與令牌，用于在不同的信息系統(tǒng)之間傳遞其身份認(rèn)證信息.

5)訪問控制服務(wù):訪問控制服務(wù)也是一個(gè)獨(dú)立的服務(wù)，它為用戶對(duì)目標(biāo)服務(wù)的請(qǐng)求訪問提供公共策略訪問控制，以保證服務(wù)只能被授權(quán)的用戶訪問，在訪問具體服務(wù)時(shí)，如果還有本地策略控制，則需要均滿足才能訪問目標(biāo)服務(wù).

6)審核:位于Aspect管理模塊中，對(duì)所攔截到的交互情況按照一定的策略進(jìn)行審核，并將審核結(jié)果寫入預(yù)先設(shè)定的安全日志中.

7)四個(gè)消息安全處理模塊:雖位于不同的模型位置，但它們處理的問題對(duì)象是一致的，四者均用于對(duì)消息的相關(guān)安全處理，如加密、解密、簽名、驗(yàn)證，具體功能依賴當(dāng)前的使用環(huán)境.

該模型有效的綜合了Web服務(wù)安全所涉及的各個(gè)方面，對(duì)其分別選取了適當(dāng)?shù)膶?shí)現(xiàn)技術(shù)，并采用了面向方面技術(shù)來提取各個(gè)技術(shù)的實(shí)現(xiàn)切入點(diǎn)，有效實(shí)現(xiàn)了多種技術(shù)在實(shí)現(xiàn)上的統(tǒng)一管理，將信息系統(tǒng)的客戶端和目標(biāo)服務(wù)域以及Web服務(wù)安全系統(tǒng)進(jìn)行了有效融合.Web服務(wù)安全系統(tǒng)并不是一個(gè)獨(dú)立的子系統(tǒng)，它的功能獨(dú)立，但實(shí)現(xiàn)卻融合在客戶端和目標(biāo)服務(wù)端以及二者之間的通信通道上.設(shè)計(jì)中將Web服務(wù)安全系統(tǒng)劃分為信息系統(tǒng)客戶端、Web服務(wù)授權(quán)訪問控制端、信息系統(tǒng)目標(biāo)服務(wù)域三個(gè)部分.

信息系統(tǒng)客戶端主要是面向用戶的，負(fù)責(zé)數(shù)據(jù)展現(xiàn)和接受用戶的輸入信息，生成SAML身份請(qǐng)求，調(diào)用訪問控制域的身份認(rèn)證服務(wù)，接收返回的SAML令牌，訪問業(yè)務(wù)Web服務(wù).

Web服務(wù)訪問控制域提供身份認(rèn)證與訪問控制相關(guān)的服務(wù)，主要包括三個(gè)方面的服務(wù):身份認(rèn)證服務(wù)、訪問控制服務(wù)、身份/訪問策略維護(hù)服務(wù).單點(diǎn)登錄的實(shí)現(xiàn)主要靠身份認(rèn)證服務(wù)來實(shí)現(xiàn)，該服務(wù)根據(jù)請(qǐng)求的SAML信息生成SAML響應(yīng)令牌返回客戶端，通過該令牌實(shí)現(xiàn)單點(diǎn)登錄;對(duì)目標(biāo)服務(wù)的訪問控制通過身份認(rèn)證服務(wù)和訪問控制服務(wù)來實(shí)現(xiàn)，身份認(rèn)證服務(wù)提供身份查詢，訪問控制服務(wù)提供公共策略查詢，除此之外，有時(shí)候也需要考慮目標(biāo)服務(wù)的本地策略.身份/訪問策略維護(hù)服務(wù)提供維護(hù)身份和策略的接口，便于統(tǒng)一維護(hù).同時(shí)，訪問控制域還需要進(jìn)行令牌生存周期管理，一般是把當(dāng)前的令牌實(shí)體放入容器(緩存)中，接受查詢與刪除.

信息系統(tǒng)目標(biāo)服務(wù)域，當(dāng)有服務(wù)請(qǐng)求時(shí)，目標(biāo)服務(wù)域先查看用戶是否有SAML令牌，如果沒有就會(huì)定位到登錄模塊，讓用戶先登錄，登錄后就持有SAML身份令牌，在允許訪問服務(wù)前，目標(biāo)服務(wù)先調(diào)用訪問控制域的身份認(rèn)證服務(wù)，通過SAML令牌請(qǐng)求SAML身份認(rèn)證聲明，然后通過用戶屬性請(qǐng)求訪問控制服務(wù)(公共訪問控制策略)，返回結(jié)果為是否允許訪問，如果還有本地特定策略，那么還需要繼續(xù)訪問本地策略，全部允許才可以最終訪問目標(biāo)服務(wù).目標(biāo)服務(wù)接收調(diào)用后將返回調(diào)用結(jié)果.同時(shí)，服務(wù)的每次請(qǐng)求結(jié)果都將依據(jù)審核規(guī)則寫入系統(tǒng)安全日志.

3.2 系統(tǒng)實(shí)現(xiàn)方案

在J2EE環(huán)境下實(shí)現(xiàn)上述的Web服務(wù)系統(tǒng)將依賴各種技術(shù)對(duì)應(yīng)的開發(fā)包.本文中，Web服務(wù)采用cxf開發(fā)包完成，消息安全采用實(shí)現(xiàn)ws－security的Wss4j開發(fā)包，身份認(rèn)證服務(wù)采用opensaml開發(fā)包，訪問控制采用sunxacml開發(fā)包，AOP技術(shù)采用Spring框架下SpringAOP結(jié)合@AspectJ實(shí)現(xiàn).總體安全技術(shù)部署場(chǎng)景如圖2所示.

圖2 總體安全技術(shù)部署場(chǎng)景

3.3 系統(tǒng)測(cè)試

為了檢驗(yàn)系統(tǒng)的運(yùn)行效果，特分別對(duì)系統(tǒng)進(jìn)行了運(yùn)行測(cè)試，在發(fā)送SOAP消息到利用SOAP消息接受返回信息的過程中，通過SOAP消息探查工具M(jìn)embrane SOAPMonitor對(duì)加裝安全服務(wù)后的SOAP消息進(jìn)行了攔截，并與為加裝前的SOAP消息進(jìn)行了比較測(cè)試，發(fā)現(xiàn)系統(tǒng)較好的完成了傳輸安全，在SAML令牌的發(fā)放和XACML的策略控制中，都獲得了較好的效果.

4 結(jié)論

本文立足于解決Web服務(wù)的綜合安全性問題，區(qū)別于以前同類研究中多數(shù)集中于安全性問題的某一方面，從安全性問題的全局定義入手，提出了傳輸安全、訪問控制和審核為一體的綜合安全定義.在分析當(dāng)前各種實(shí)現(xiàn)技術(shù)的基礎(chǔ)上，從Web服務(wù)的特性出發(fā)，以可擴(kuò)展性和標(biāo)準(zhǔn)性為目的，融合多種先進(jìn)的國(guó)際標(biāo)準(zhǔn)和系統(tǒng)設(shè)計(jì)方法，最終構(gòu)建了一種有效Web服務(wù)綜合性模型.實(shí)現(xiàn)了目標(biāo)服務(wù)域的單點(diǎn)登錄，但沒有考慮當(dāng)用戶規(guī)模非常大時(shí)，目標(biāo)服務(wù)域維持單點(diǎn)登錄所需要的代價(jià)，這還是一個(gè)需要不斷完善和亟待研究的問題.

［1］Kishore Channabasavaiah，Kerrie Holley.Migrating to a service－oriented architecture［EB/OL］.［2011－8－17］.http://www.cytetech.com/documents/SOA－IBM.

［2］劉振鵬，周冬冬，薛林雁，等.一個(gè)基于SOAP消息的Web服務(wù)綜合安全模型［J］.武漢大學(xué)學(xué)報(bào)(理學(xué)版)，2006，52(5):156－158.

［3］張功萱，宋斌，王平云.基于SOAP消息的網(wǎng)絡(luò)消息安全策略［J］.南京理工大學(xué)學(xué)報(bào)(自然科學(xué)版)，2007，31(1):165－168.

［4］馬臣云，王彥，等.PKI網(wǎng)絡(luò)安全認(rèn)證技術(shù)與編程實(shí)現(xiàn)［M］.北京:電子工業(yè)出版社，2008.

［5］單永剛.數(shù)字圖書館網(wǎng)格基于SAML單點(diǎn)登錄的研究［J］.電腦知識(shí)與技術(shù)，2009，15(1):71－73.

［6］周星海.基于SOAP的Web服務(wù)訪問控制技術(shù)的研究［D］.大連:大連海事大學(xué)，2006.