论文部分内容阅读
【摘 要】Web服务技术可以实现不同机器之间和不同应用之间的数据进行交换和集成,在网络技术不断发展的今天,Web服务技术也在不断的进步,在研究和实现的过程中为了能够更好的降低授权管理的复杂性,提升管理效率降低管理成本,从而给企业的组织结构提供安全性能更高的策略,研究人员将目光放在了基于角色访问控制方面,本文就简单讨论一下基于角色访问控制在Web服务中的实现。
【关键词】基于角色访问控制;Web服务;研究
现如今基于角色访问控制的Web模型俨然成为了大型企业网站实现授权访问的最佳方案之一,但是如何才能够更好的实现Web服务中角色访问控制的应用是下文需要详细讨论的话题,并且根据该种控制策略直接构建一个能够在代理服务器中实现的原型系统。
一、角色访问控制的概述
所谓的访问控制即就是对Web上的资源使用权进行控制,通过该种控制策略来决定是否被授权对客体执行相应的操作,其非常依赖主体合法化的鉴别,且能够将成员关系、特权与主体进行联系,只有经授权的用户才能够进行对特定的资源进行访问。而访问控制策略的前提是对所有的用户进行权限的认证,这样便能够促使各种安全策略进行配合,使得企业的系统资源能够得到更好的保护。
如今网络间的访问控制一般是凭借网络防火墙技术来进行保护,通过网络防火墙能够激昂内外部的网络进行隔离,然后再设定相应的安全策略从而对访问的用户进行辨别,选择拒绝或者同意其进行资源的访问。网络防火墙的其实现的访问控制的层次可分成3点,分别是网络层实现的IP防火墙;运输层实现的SOCKS级防火墙以及应用层的代理服务器。
现如今最常用的访问控制策略同样也有3种类型,其一是强直访问控制(简称MAC),其二是自主访问控制(简称为DAC),其三是基于角色的访问控制(简称RBAC)。其中RBAC是基于美国NIST在上个世纪末提出的最新型的访问控制策略。其研究的方向是如何实现对用户的准确划分成和组织结构体系中相一致的角色,从而有效的简化资源授权管理操作,降低管理的成本并且呈现出一个比较复杂的安全政策和管理环境。在众多研究机构中NIST研究人员主要的研究方向是RBAC/Web模型,即将其应用于Web服务器和网页浏览器中,给网络提供了一个即灵活、方便、安全可靠众多优点的访问控制策略。角色访问控制能够嵌入到计算机的操作系统和数据库中,另外还可以在各个应用中进行嵌入,
二、基于角色访问控制的Web模型
构建该种模型对于计算机的浏览器等没有特殊的要求,同时还能有效的解决大型网络复杂资源的安全管理问题,如果在计算机中应用甚至不用去修改Web服务器软件,该模型的组成部件主要有:①数据库,其主要的功能是指定用户和角色之间关系的文件,和对角色的关系限定;②数据库服务器,维护文件的副本,这些文件均由AdminTool创建和维护,如果文件发生改变那么立即更新并缓存副本;③API Library,其主要的功能是用于Web服务器和访问数据库的相关规范,而API的主要作用是能够让所有的Web服务器均能够实现角色访问控制;④CGI,采用CGI的方式来实现RBAC可以不用对现在所使用的Web服务器进行修改;⑤会话管理器,其主要的功能是对角色访问控制的会话进行管理,比如创建和删除用户活动的角色集;⑥管理系统,管理系统的职能较多,比如能够让服务器管理员创建新的用户/角色的许可操作,指定用户/角色关系的限制等。
动态职责分离(简称DSD)是RBAC最主要的特征之一,在相对复杂的企业内部网络中,一个用户可能在不同时期会被赋予多种角色,但是在统一时刻只能有一种活动,此时会话管理器将会发挥其功能,将由用户自己在角色集中选择其所需要的角色,在选择完成时ARS中所授权的角色在角色访问控制的会话也瞬间建立完成;若用户的角色没哟DSD关系,那么用户的会话也会相应的自动建立。基于角色访问控制的Web服务模型虽然其优势非常显著,但是仍然存在一些缺陷,比如该管理系统其本身没有用户认证功能;除此之外它必须和操作系系统紧密联系在一起。
三、基于反向代理的RBAC/Web系统的实现
角色访问控制模型的建立和应用一直以来都是研究的热点和难点,在不断的研究过程中在其基本的模型的基础上不断的增加角色限制和角色的继承。其角色的继承的实现主要是根据企业组织结构创建的角色继承关系从而建立企业信息管理系统。建立角色访问控制模型的内容主要包括用户的创建、角色的创建、操作和会话的管理、角色操作之间的联系,用户和角色之间的关系等、角色继承关系等。
在方案的设计时我们主要设计了一个反向的代理服务器(简称为Rproxy),其功能比较多,比如用户的身份认证、数据的保密、访问的控制功能和审计等。其中访问控制策略的管理是管理系统独立实现且保存在数据库中的,在对访问控制进行授权时其Web服务的安全性级别一般按照树形结构进行分层管理,由此可知其根目录的安全性最低,其能够进行访问的角色也最多。
在系统方案的设计过程中为了能够降低管理的复杂性和工作量,在方案中对Web资源的安全级别实现可继承性。比如某角色已经被授权可以访问该文件的子目录,那么相应的其母目录同样获得了访问的授权。即子目录的文件继承了其母目录的安全性;另外通过角色继承能够有效的降低数据库中的数据冗余度和负荷。基于角色访问控制策略和反向代理的角色访问控制策略是相对独立的两个系统,均是可以在离线状态下进行运行的管理系统。
四、RBAC/Web模型中子系统的管理
RBAC/Web管理系统能够完全脱离安全代理服务器,不仅可以实现本地的控制,还能够实现远程操作。其主要的功能是对增加用户、角色、增加/减少操作的许可,制定用户/角色间关系的限制等,因此其操作人员也只限定了该系统的安全管理管理员。
基于角色访问控制管理系统的模块之间的关系也比较复杂,其访问的核心是访问许可授权模块,该模块也是反向代理服务器中accsee函数功能的基础,其角色的确定是根据当前的访问政策来决定的,不同的Http请求方法所访问的Web资源也有所不同。访问许可授权同样具有继承性,比如上级目录的安全限制低于下级目录时,同级目录没有特别进行设置,那么便能够对该级资料进行访问。这种访问许可继承性有效的提升了访问的效率,降低了管理员的管理难度。
五、结束语
通过对基于角色访问控制在Web服务中的使用,能够适用于各种企业的信息管理工程,但是在管理系统的建立时需要对其企业的不同特点建立相应的用户/角色之间的关系。RBAC/Web管理系统不仅能够实现对企业内部的数据进行安全管理,还能够对互联网的外部用户的访问权限实施管理职权。通过在RBAC/Web系统应用反向代理服务器,可以对企业的Web信息不做任何的修饰便能够正常的进行管理,同时其对于浏览器的要求非常低,所以无形中简化了管理难度,降低了管理成本,提升了企业的经济效益,也更加安全可靠。
参考文献:
[1]蒋国伟,许士东,郭君,马建荣.基于角色的访问控制在新疆农科院WEB网站中的应用研究[J].农业网络信息,2014(01).
[2]程娜.基于角色访问控制的数据库安全模型研究[J].软件导刊,2013(03).
[3]丁群.基于角色的访问控制的研究与实现[J].办公自动化,2012(08).
【关键词】基于角色访问控制;Web服务;研究
现如今基于角色访问控制的Web模型俨然成为了大型企业网站实现授权访问的最佳方案之一,但是如何才能够更好的实现Web服务中角色访问控制的应用是下文需要详细讨论的话题,并且根据该种控制策略直接构建一个能够在代理服务器中实现的原型系统。
一、角色访问控制的概述
所谓的访问控制即就是对Web上的资源使用权进行控制,通过该种控制策略来决定是否被授权对客体执行相应的操作,其非常依赖主体合法化的鉴别,且能够将成员关系、特权与主体进行联系,只有经授权的用户才能够进行对特定的资源进行访问。而访问控制策略的前提是对所有的用户进行权限的认证,这样便能够促使各种安全策略进行配合,使得企业的系统资源能够得到更好的保护。
如今网络间的访问控制一般是凭借网络防火墙技术来进行保护,通过网络防火墙能够激昂内外部的网络进行隔离,然后再设定相应的安全策略从而对访问的用户进行辨别,选择拒绝或者同意其进行资源的访问。网络防火墙的其实现的访问控制的层次可分成3点,分别是网络层实现的IP防火墙;运输层实现的SOCKS级防火墙以及应用层的代理服务器。
现如今最常用的访问控制策略同样也有3种类型,其一是强直访问控制(简称MAC),其二是自主访问控制(简称为DAC),其三是基于角色的访问控制(简称RBAC)。其中RBAC是基于美国NIST在上个世纪末提出的最新型的访问控制策略。其研究的方向是如何实现对用户的准确划分成和组织结构体系中相一致的角色,从而有效的简化资源授权管理操作,降低管理的成本并且呈现出一个比较复杂的安全政策和管理环境。在众多研究机构中NIST研究人员主要的研究方向是RBAC/Web模型,即将其应用于Web服务器和网页浏览器中,给网络提供了一个即灵活、方便、安全可靠众多优点的访问控制策略。角色访问控制能够嵌入到计算机的操作系统和数据库中,另外还可以在各个应用中进行嵌入,
二、基于角色访问控制的Web模型
构建该种模型对于计算机的浏览器等没有特殊的要求,同时还能有效的解决大型网络复杂资源的安全管理问题,如果在计算机中应用甚至不用去修改Web服务器软件,该模型的组成部件主要有:①数据库,其主要的功能是指定用户和角色之间关系的文件,和对角色的关系限定;②数据库服务器,维护文件的副本,这些文件均由AdminTool创建和维护,如果文件发生改变那么立即更新并缓存副本;③API Library,其主要的功能是用于Web服务器和访问数据库的相关规范,而API的主要作用是能够让所有的Web服务器均能够实现角色访问控制;④CGI,采用CGI的方式来实现RBAC可以不用对现在所使用的Web服务器进行修改;⑤会话管理器,其主要的功能是对角色访问控制的会话进行管理,比如创建和删除用户活动的角色集;⑥管理系统,管理系统的职能较多,比如能够让服务器管理员创建新的用户/角色的许可操作,指定用户/角色关系的限制等。
动态职责分离(简称DSD)是RBAC最主要的特征之一,在相对复杂的企业内部网络中,一个用户可能在不同时期会被赋予多种角色,但是在统一时刻只能有一种活动,此时会话管理器将会发挥其功能,将由用户自己在角色集中选择其所需要的角色,在选择完成时ARS中所授权的角色在角色访问控制的会话也瞬间建立完成;若用户的角色没哟DSD关系,那么用户的会话也会相应的自动建立。基于角色访问控制的Web服务模型虽然其优势非常显著,但是仍然存在一些缺陷,比如该管理系统其本身没有用户认证功能;除此之外它必须和操作系系统紧密联系在一起。
三、基于反向代理的RBAC/Web系统的实现
角色访问控制模型的建立和应用一直以来都是研究的热点和难点,在不断的研究过程中在其基本的模型的基础上不断的增加角色限制和角色的继承。其角色的继承的实现主要是根据企业组织结构创建的角色继承关系从而建立企业信息管理系统。建立角色访问控制模型的内容主要包括用户的创建、角色的创建、操作和会话的管理、角色操作之间的联系,用户和角色之间的关系等、角色继承关系等。
在方案的设计时我们主要设计了一个反向的代理服务器(简称为Rproxy),其功能比较多,比如用户的身份认证、数据的保密、访问的控制功能和审计等。其中访问控制策略的管理是管理系统独立实现且保存在数据库中的,在对访问控制进行授权时其Web服务的安全性级别一般按照树形结构进行分层管理,由此可知其根目录的安全性最低,其能够进行访问的角色也最多。
在系统方案的设计过程中为了能够降低管理的复杂性和工作量,在方案中对Web资源的安全级别实现可继承性。比如某角色已经被授权可以访问该文件的子目录,那么相应的其母目录同样获得了访问的授权。即子目录的文件继承了其母目录的安全性;另外通过角色继承能够有效的降低数据库中的数据冗余度和负荷。基于角色访问控制策略和反向代理的角色访问控制策略是相对独立的两个系统,均是可以在离线状态下进行运行的管理系统。
四、RBAC/Web模型中子系统的管理
RBAC/Web管理系统能够完全脱离安全代理服务器,不仅可以实现本地的控制,还能够实现远程操作。其主要的功能是对增加用户、角色、增加/减少操作的许可,制定用户/角色间关系的限制等,因此其操作人员也只限定了该系统的安全管理管理员。
基于角色访问控制管理系统的模块之间的关系也比较复杂,其访问的核心是访问许可授权模块,该模块也是反向代理服务器中accsee函数功能的基础,其角色的确定是根据当前的访问政策来决定的,不同的Http请求方法所访问的Web资源也有所不同。访问许可授权同样具有继承性,比如上级目录的安全限制低于下级目录时,同级目录没有特别进行设置,那么便能够对该级资料进行访问。这种访问许可继承性有效的提升了访问的效率,降低了管理员的管理难度。
五、结束语
通过对基于角色访问控制在Web服务中的使用,能够适用于各种企业的信息管理工程,但是在管理系统的建立时需要对其企业的不同特点建立相应的用户/角色之间的关系。RBAC/Web管理系统不仅能够实现对企业内部的数据进行安全管理,还能够对互联网的外部用户的访问权限实施管理职权。通过在RBAC/Web系统应用反向代理服务器,可以对企业的Web信息不做任何的修饰便能够正常的进行管理,同时其对于浏览器的要求非常低,所以无形中简化了管理难度,降低了管理成本,提升了企业的经济效益,也更加安全可靠。
参考文献:
[1]蒋国伟,许士东,郭君,马建荣.基于角色的访问控制在新疆农科院WEB网站中的应用研究[J].农业网络信息,2014(01).
[2]程娜.基于角色访问控制的数据库安全模型研究[J].软件导刊,2013(03).
[3]丁群.基于角色的访问控制的研究与实现[J].办公自动化,2012(08).