楊永群++章翔凌++黃勤龍++肖志恒

摘 要：針對(duì)現(xiàn)有Web應(yīng)用訪問(wèn)控制的不足，在基于角色的訪問(wèn)控制模型基礎(chǔ)上提出一種基于代理的Web應(yīng)用安全管控方法。首先，根據(jù)用戶訪問(wèn)控制的需求，以頁(yè)面為單位劃分Web應(yīng)用的業(yè)務(wù)功能，構(gòu)建角色-功能的訪問(wèn)控制模型，實(shí)現(xiàn)用戶對(duì)Web應(yīng)用功能的細(xì)粒度訪問(wèn)控制；其次，對(duì)Web應(yīng)用安全管控系統(tǒng)的整體架構(gòu)及各功能模塊進(jìn)行設(shè)計(jì)，通過(guò)代理的方式在Web應(yīng)用前端部署管控系統(tǒng)，控制用戶對(duì)Web應(yīng)用系統(tǒng)的所有訪問(wèn)行為，阻止未授權(quán)用戶的Web應(yīng)用訪問(wèn)，并最大程度減少對(duì)現(xiàn)有Web應(yīng)用系統(tǒng)的改動(dòng)；最后，對(duì)系統(tǒng)進(jìn)行了實(shí)現(xiàn)，結(jié)果表明系統(tǒng)能有效地實(shí)現(xiàn)電子政務(wù)等Web應(yīng)用的安全管控。

關(guān)鍵詞：Web應(yīng)用；應(yīng)用代理；安全管控；訪問(wèn)控制

Abstract： Aiming at the shortcomings of access control models in current web systems， a web application security control framework based on proxy is proposed on the basic of role-based access control. Firstly， according to the requirements of user access control， the business functions of web application are divided by page， and a role-function access control model is built， which achieves fine-grained access control of web application functions. Secondly， we design the architecture of a web application security control system and its functional module， in which the control proxy is deployed in the front-end of web application， and it makes the access behavior of user to the web application functions is under control and the unauthorized access to the web application is blocked. In this way， it can minimize the changes to existing web applications. Finally， we implement the designed system and the result shows that the system can achieve effective security control of electronic government and other web applications.

Key words： web application； application proxy； security control； access control

1 引言

從普通用戶的角度來(lái)看Web系統(tǒng)，其被看成一系列頁(yè)面的合集，這一系列頁(yè)面在向用戶提供其需要的數(shù)據(jù)的同時(shí)也向用戶提供了各類(lèi)操作。Web頁(yè)面中的數(shù)據(jù)是通過(guò)網(wǎng)頁(yè)中HTML標(biāo)簽展示給用戶，而頁(yè)面的操作指頁(yè)面向用戶提供的如新增、刪除、修改等各種交互行為。用戶在使用Web瀏覽器觀覽頁(yè)面時(shí)，頁(yè)面會(huì)通過(guò)顯式或隱式的方法告知用戶完成某工作或任務(wù)的操作步驟，因此，用戶對(duì)Web系統(tǒng)的操作皆通過(guò)對(duì)頁(yè)面的訪問(wèn)來(lái)實(shí)現(xiàn)。在Web應(yīng)用系統(tǒng)中，由于不同的Web系統(tǒng)涉及到不同的業(yè)務(wù)，而各種業(yè)務(wù)具有多樣性，所以Web頁(yè)面的組織形式也靈活多樣[1]。

訪問(wèn)控制是保證Web應(yīng)用系統(tǒng)完整性、機(jī)密性、可用性的一種主要技術(shù)手段，它通過(guò)限制對(duì)某些控制功能的使用來(lái)確保Web應(yīng)用資源在合法的范圍內(nèi)使用，保證用戶在授權(quán)范圍內(nèi)訪問(wèn)Web應(yīng)用資源。隨著計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)的發(fā)展，應(yīng)用系統(tǒng)規(guī)模日益龐大，用戶數(shù)量和類(lèi)型增多，屬性變化也更加頻繁，這對(duì)安全管理提出了更高的要求[2]。

傳統(tǒng)的安全控制策略由于其自身機(jī)制的不足，很難勝任如此龐大的安全服務(wù)，不能滿足日益復(fù)雜的Web應(yīng)用對(duì)訪問(wèn)控制的需求，帶來(lái)了安全工作負(fù)荷大，易出錯(cuò)等種種問(wèn)題。為了應(yīng)對(duì)Web應(yīng)用安全控制的新形勢(shì)，美國(guó)喬治梅森大學(xué)提出了RBAC模型，即基于角色的訪問(wèn)控制模型，由于該模型可以較靈活的進(jìn)行權(quán)限的授權(quán)和管理，且具有可擴(kuò)展性，因此是現(xiàn)在最為廣泛接受的訪問(wèn)控制模型。RBAC模型的核心是使用戶和具備某些權(quán)限的角色對(duì)應(yīng)起來(lái)，將用戶映射到角色，根據(jù)用戶所在的角色進(jìn)行間接的訪問(wèn)控制。

這種方式通過(guò)引入角色中介，實(shí)現(xiàn)了用戶與訪問(wèn)許可的邏輯分離，極大地方便了權(quán)限管理，現(xiàn)在已被廣泛的應(yīng)用于各類(lèi)應(yīng)用系統(tǒng)。

2 相關(guān)工作

訪問(wèn)控制技術(shù)在學(xué)術(shù)界一直占據(jù)重要地位，很多學(xué)者也致力于對(duì)訪問(wèn)控制模型的研究。例如，怎么才能使訪問(wèn)控制模型更好的引入日常生活的各類(lèi)系統(tǒng)中。現(xiàn)今，在Web應(yīng)用系統(tǒng)中采用較多的模型包括強(qiáng)制訪問(wèn)控制模型、自主訪問(wèn)控制模型、角色訪問(wèn)控制模型和屬性訪問(wèn)控制模型[3]。自主訪問(wèn)控制模型中要求資源的擁有者可以自行決定資源的訪問(wèn)權(quán)限，這不符合Web應(yīng)用系統(tǒng)中的安全策略。強(qiáng)制訪問(wèn)控制為用戶和資源進(jìn)行層次性劃分，高級(jí)別權(quán)限的用戶可訪問(wèn)低級(jí)別權(quán)限的資源，然而該模式的缺點(diǎn)在于對(duì)訪問(wèn)級(jí)別的劃分不夠細(xì)致，難以實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制且在同級(jí)別之間缺乏控制機(jī)制，無(wú)法適應(yīng)于復(fù)雜的Web應(yīng)用系統(tǒng)環(huán)境[4]。endprint

基于屬性的訪問(wèn)控制模型雖然能實(shí)現(xiàn)比較細(xì)粒度的訪問(wèn)控制，但需要引入可信的屬性權(quán)威機(jī)構(gòu)，在系統(tǒng)實(shí)際應(yīng)用中還不成熟?；诮巧脑L問(wèn)控制模型將角色作為一種包含特定權(quán)限的信息定義并分配給用戶，以實(shí)現(xiàn)對(duì)系統(tǒng)資源的權(quán)限控制。目前學(xué)術(shù)界在基于角色的訪問(wèn)控制模型基礎(chǔ)上還進(jìn)行了各種研究擴(kuò)展。

張帥等人提出了一種基于角色訪問(wèn)控制模型的多域動(dòng)態(tài)訪問(wèn)授權(quán)模型[5]，解決多企業(yè)多服務(wù)間跨域的訪問(wèn)授權(quán)需求問(wèn)題，但該方案未基于訪問(wèn)控制模型進(jìn)行系統(tǒng)實(shí)現(xiàn)；Li等人提出了一種權(quán)限驅(qū)動(dòng)模型，用來(lái)解決角色映射時(shí)帶來(lái)的問(wèn)題[6]；張曉菲等人提出一種基于可信狀態(tài)的多級(jí)安全模型[7]，為系統(tǒng)的安全性評(píng)估提供測(cè)算方法。針對(duì)分布式環(huán)境下的私有權(quán)限、分布式授權(quán)等安全需求，劉瓊波等人提出了一種描述判定授權(quán)請(qǐng)求和授權(quán)策略的方法[8]。針對(duì)團(tuán)隊(duì)任務(wù)的協(xié)同辦公問(wèn)題，Thomas提出了一種基于團(tuán)隊(duì)的訪問(wèn)控制模型[9]。李曉峰等人在基于角色的訪問(wèn)控制中引入了屬性的概念，并構(gòu)造了訪問(wèn)控制模型[10]，通過(guò)討論訪問(wèn)請(qǐng)求、策略、屬性和判定過(guò)程之間的關(guān)系，給出了判定過(guò)程可終止的特定條件。但基于屬性的訪問(wèn)控制在根據(jù)用戶行為動(dòng)態(tài)調(diào)整用戶權(quán)限方面還存在不足。

根據(jù)Web應(yīng)用系統(tǒng)的特點(diǎn)，本文基于角色的訪問(wèn)控制模型RBAC，在該模型基礎(chǔ)上，提出一種基于代理的Web應(yīng)用安全管控方法，并分析角色、用戶、功能之間的相互關(guān)系，實(shí)現(xiàn)細(xì)粒度、通用性強(qiáng)的用戶權(quán)限管理。在Web應(yīng)用前端部署管控代理，實(shí)施和管理方便。

3 系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

3.1 角色-功能訪問(wèn)控制模型

考慮到RBAC模型僅僅為最基礎(chǔ)的模型定義，其缺點(diǎn)是并沒(méi)有在現(xiàn)實(shí)中的應(yīng)用系統(tǒng)進(jìn)行模擬實(shí)現(xiàn)。通過(guò)深入研究應(yīng)用系統(tǒng)中頁(yè)面-功能和功能-權(quán)限兩者間的關(guān)聯(lián)關(guān)系，本文結(jié)合Web應(yīng)用系統(tǒng)自身的特點(diǎn)提出了基于角色-功能的用戶訪問(wèn)控制模型。該模型通過(guò)設(shè)置用戶、角色、功能、頁(yè)面四者兩兩之間的邏輯關(guān)系來(lái)限制用戶對(duì)頁(yè)面等Web應(yīng)用資源的訪問(wèn)，包括URL地址、Get和Post參數(shù)等，如圖1所示。

在角色—功能訪問(wèn)控制模型中，可以把一系列頁(yè)面集合在一起而實(shí)現(xiàn)的功能看作客體，即系統(tǒng)資源。用戶為系統(tǒng)中的主體，其對(duì)頁(yè)面的操作也就是為獲取某系統(tǒng)資源而對(duì)一系列頁(yè)面進(jìn)行的訪問(wèn)。權(quán)限指某角色訪問(wèn)某功能的能力。因此，在該模型中訪問(wèn)控制變化為對(duì)用戶可以訪問(wèn)的頁(yè)面功能和操作數(shù)據(jù)的控制。角色、用戶、頁(yè)面、功能四者間具有兩種關(guān)系。

（1） 角色為最小的權(quán)限控制單元，即系統(tǒng)的訪問(wèn)控制策略是針對(duì)角色制定的。系統(tǒng)中存在多個(gè)角色，角色與角色間存在權(quán)限繼承關(guān)系。根據(jù)訪問(wèn)控制需求，不同的角色對(duì)系統(tǒng)的業(yè)務(wù)功能具備不同的訪問(wèn)權(quán)限，通過(guò)系統(tǒng)授權(quán)，用戶將獲得系統(tǒng)的一個(gè)或多個(gè)角色，這樣就使得用戶對(duì)系統(tǒng)功能具備不同的訪問(wèn)權(quán)限。

（2） 頁(yè)面為最小的數(shù)據(jù)單元，一個(gè)或者多個(gè)Web頁(yè)面級(jí)聯(lián)實(shí)現(xiàn)了系統(tǒng)的某業(yè)務(wù)功能（如用戶注冊(cè)功能），而單個(gè)Web頁(yè)面也可能包含多個(gè)業(yè)務(wù)功能的某部分操作（如查看操作、刪除操作）。

在角色—功能訪問(wèn)控制模型中對(duì)用戶的訪問(wèn)控制從身份驗(yàn)證、業(yè)務(wù)功能鑒權(quán)、頁(yè)面權(quán)限識(shí)別三方面實(shí)現(xiàn)。

（1） 身份驗(yàn)證：在用戶請(qǐng)求進(jìn)入系統(tǒng)門(mén)戶時(shí)，Web應(yīng)用系統(tǒng)通過(guò)用戶輸入的賬號(hào)和密碼確定該用戶是否具有對(duì)系統(tǒng)資源的訪問(wèn)和使用權(quán)限。如果賬號(hào)和密碼匹配則該用戶鑒定為合法用戶，允許其進(jìn)行系統(tǒng)訪問(wèn)，反之拒絕。

（2） 業(yè)務(wù)功能鑒權(quán)：不同的用戶被系統(tǒng)授予不同的角色后對(duì)Web系統(tǒng)業(yè)務(wù)功能具備不同的訪問(wèn)權(quán)限。因此，系統(tǒng)需要獲得用戶對(duì)應(yīng)的所有角色的訪問(wèn)權(quán)限，以進(jìn)一步獲知用戶能夠訪問(wèn)的業(yè)務(wù)功能列表。

（3） 頁(yè)面權(quán)限識(shí)別：用戶訪問(wèn)某頁(yè)面時(shí)，Web應(yīng)用系統(tǒng)會(huì)通過(guò)其被委派的角色的權(quán)限信息識(shí)別用戶是否擁有該頁(yè)面的訪問(wèn)權(quán)限。根據(jù)判決識(shí)別結(jié)果允許或者拒絕用戶的訪問(wèn)請(qǐng)求。

3.2 系統(tǒng)架構(gòu)設(shè)計(jì)

Web應(yīng)用安全管控系統(tǒng)通過(guò)Web應(yīng)用代理獲取用戶在應(yīng)用中的行為，結(jié)合訪問(wèn)控制策略實(shí)現(xiàn)用戶對(duì)應(yīng)用頁(yè)面功能訪問(wèn)的控制，如圖2所示。用戶訪問(wèn)Web應(yīng)用時(shí)，Web代理獲取用戶的訪問(wèn)路徑和功能，根據(jù)訪問(wèn)策略進(jìn)行控制，防止未授權(quán)用戶訪問(wèn)特定的功能。

安全管控系統(tǒng)的核心組件包括部署在代理端的Web應(yīng)用代理，其為應(yīng)用服務(wù)器的前置代理，負(fù)責(zé)策略的執(zhí)行工作；部署在管控服務(wù)器的策略管理和策略判決核心模塊，負(fù)責(zé)應(yīng)用行為的管理和判決。系統(tǒng)的總體流程如圖3所示。

3.3 系統(tǒng)模塊設(shè)計(jì)

3.3.1策略執(zhí)行模塊

策略執(zhí)行模塊運(yùn)行在Web應(yīng)用代理服務(wù)器，監(jiān)控應(yīng)用代理服務(wù)器中的用戶訪問(wèn)行為，將訪問(wèn)請(qǐng)求（訪問(wèn)URL和HTTP Request）發(fā)送給策略判決模塊，并接受策略判決模塊反饋回來(lái)的判決結(jié)果，根據(jù)該結(jié)果向主體提供應(yīng)用服務(wù)或發(fā)送拒絕訪問(wèn)的提示。

3.3.2 策略判決模塊

策略判決模塊運(yùn)行在管控服務(wù)器，根據(jù)用戶請(qǐng)求提取用戶主體的安全標(biāo)識(shí)如用戶ID，然后獲取用戶的所有角色，并對(duì)用戶所屬的每一個(gè)角色的策略進(jìn)行權(quán)限檢查，獲取權(quán)限并集，最后根據(jù)最終權(quán)限集合中的訪問(wèn)策略描述的規(guī)則執(zhí)行決策判斷，如果主體對(duì)當(dāng)前的URL地址具有訪問(wèn)權(quán)限則允許訪問(wèn)，否則拒絕訪問(wèn)，并將判斷結(jié)果返回給策略執(zhí)行模塊，如圖4所示。

3.3.3 策略管理模塊

策略管理模塊運(yùn)行在管控服務(wù)器，采用一個(gè)或多個(gè)策略或策略集存儲(chǔ)用戶訪問(wèn)權(quán)限信息，每個(gè)策略中定義了由角色、功能、權(quán)限組成的訪問(wèn)控制策略。通過(guò)策略管理模塊，應(yīng)用管理員可以對(duì)策略進(jìn)行增加、刪除、修改操作。

3.3.4 日志審計(jì)模塊

日志審計(jì)模塊記錄用戶訪問(wèn)日志，包括允許訪問(wèn)和禁止訪問(wèn)的歷史記錄，涵蓋用戶ID、URL地址、訪問(wèn)時(shí)間等信息，用于系統(tǒng)的安全審計(jì)。

基于以上核心模塊，Web應(yīng)用系統(tǒng)在用戶接入系統(tǒng)時(shí)，通過(guò)用戶身份驗(yàn)證判斷用戶的身份是否合法，然后提取用戶的角色進(jìn)行頁(yè)面權(quán)限等方面的檢查，保證用戶在合法范圍內(nèi)訪問(wèn)系統(tǒng)。同時(shí)，系統(tǒng)將對(duì)用戶的所有行為進(jìn)行安全審計(jì)。endprint

4 系統(tǒng)測(cè)試

在實(shí)驗(yàn)環(huán)境下建立電子政務(wù)應(yīng)用平臺(tái)，分別搭建了應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器，并部署了應(yīng)用代理服務(wù)器和管控服務(wù)器，以驗(yàn)證系統(tǒng)的有效性。在管控服務(wù)器（10.109.34.169）運(yùn)行Web應(yīng)用安全管控系統(tǒng)，管理員設(shè)置完成角色及其訪問(wèn)策略，并將用戶的ID和角色進(jìn)行綁定，實(shí)現(xiàn)對(duì)用戶的訪問(wèn)控制。用戶通過(guò)部署的前端Web應(yīng)用代理服務(wù)器（10.109.33.242）訪問(wèn)應(yīng)用服務(wù)器（10.109.35.155）中的頁(yè)面資源。針對(duì)該用戶，應(yīng)用代理服務(wù)器能夠允許其對(duì)授權(quán)功能的訪問(wèn)，并且阻止其對(duì)非授權(quán)功能的訪問(wèn)，如圖5所示。

管理員可以查看系統(tǒng)對(duì)用戶訪問(wèn)的控制情況，結(jié)果表明，應(yīng)用安全管控系統(tǒng)在盡可能減少對(duì)現(xiàn)有應(yīng)用系統(tǒng)修改的前提下，實(shí)現(xiàn)了基于角色-功能的用戶訪問(wèn)控制，并且能夠支持靈活的訪問(wèn)策略，滿足了應(yīng)用系統(tǒng)的安全需求。

5 結(jié)束語(yǔ)

本文設(shè)計(jì)并實(shí)現(xiàn)了一種基于代理的Web應(yīng)用安全管控系統(tǒng)，文中首先基于角色的訪問(wèn)控制技術(shù)構(gòu)建角色-功能的權(quán)限配置，實(shí)現(xiàn)用戶對(duì)Web應(yīng)用功能的頁(yè)面級(jí)訪問(wèn)控制；其次，對(duì)系統(tǒng)的架構(gòu)和各模塊的功能進(jìn)行了詳細(xì)設(shè)計(jì)，通過(guò)代理的方式在Web應(yīng)用前端部署管控系統(tǒng)，控制用戶對(duì)Web應(yīng)用系統(tǒng)的所有訪問(wèn)行為，阻止未授權(quán)用戶的Web應(yīng)用訪問(wèn)，能夠最大程度減少對(duì)現(xiàn)有Web應(yīng)用系統(tǒng)的改動(dòng)；最后，搭建電子政務(wù)實(shí)驗(yàn)環(huán)境，結(jié)果表明，系統(tǒng)能有效地實(shí)現(xiàn)對(duì)用戶訪問(wèn)Web應(yīng)用的安全管控。

基金項(xiàng)目：

1.北京市科技計(jì)劃（D161100003316002）；

2.國(guó)家重點(diǎn)研發(fā)計(jì)劃（2016YFB0800605）。

參考文獻(xiàn)

[1] 上超望，劉清堂，王艷鳳.組合Web服務(wù)業(yè)務(wù)流程訪問(wèn)控制技術(shù)研究綜述[J].計(jì)算機(jī)科學(xué)， 2015， 42（7）： 99-102.

[2] 龐希愚，王成，仝春玲.基于角色—功能的Web應(yīng)用系統(tǒng)訪問(wèn)控制方法[J].計(jì)算機(jī)工程， 2014， 40（5）： 144-148.

[3] 王于丁，楊家海，徐聰，凌曉，楊洋.云計(jì)算訪問(wèn)控制技術(shù)研究綜述[J].軟件學(xué)報(bào)， 2015， 26（5）： 1129-1150.

[4] 李鳳華，蘇铓，史國(guó)振. 訪問(wèn)控制模型研究進(jìn)展及發(fā)展趨勢(shì)[J].電子學(xué)報(bào)， 2012， 40（4）： 805-813.

[5] 張帥，孫建伶，徐斌.基于的跨多企業(yè)服務(wù)組合訪問(wèn)控制模型[J].浙江大學(xué)學(xué)報(bào)（工學(xué)版）， 2012， 46（11）： 2035-2043.

[6] Li Q， Zhang X， Qing S， Xu M. Supporting ad-hoc collaboration with group-based RBAC model[C]. Collaborative Computing： Networking， Applications and Worksharing， 2006.

[7] 張曉菲，許訪，沈昌祥.基于可信狀態(tài)的多級(jí)安全模型及其應(yīng)用研究[J]. 電子學(xué)報(bào)， 2007， 35（8）： 1511-1515.

[8] 劉瓊波，施軍，尤晉元. 分布式環(huán)境下的訪問(wèn)控制[J].計(jì)算機(jī)研究與發(fā)展， 2001， 38（6）： 735-740.

[9] Thomas R. Team-based access control （TMAC）： A primitive for applying role-based access control in collaborative environments[C]. Proceedings of 2nd ACM Workshop on Role-based Access Control， 1997， 15 （2）： 13-19.

[10] 李曉峰，馮登國(guó)，陳朝武，房子河.基于屬性的訪問(wèn)控制模型[J]. 通信學(xué)報(bào)， 2008， 29（4）： 90-98.endprint