Ｗｅｂ服務中身份認證與訪問控制模型的研究

摘要：Web服務的分布式與異構性，使得對服務請求者的身份認證和授權復雜化。針對這些問題提出了一個基于SAML、XACML、RBAC等關鍵技術的身份認證與訪問控制模型。該模型采用SAML輔件技術實現Web服務的單點登錄；用XACML實現RBAC模型，簡化授權管理，同時達到對資源的細粒度訪問控制的目標；用擴展的SAML語法保證XACML信息的安全有效傳輸。

關鍵詞：Web服務；身份認證；基于角色訪問控制；可擴展訪問控制標記語言；安全斷言標記語言

引言

Web服務是新一代企業計算的關鍵技術，實現了不同環境之間的互操作，目前已經在Internet上得到了廣泛的應用。但是基于異構系統這一特性也帶來了一系列的安全性問題。Web服務跨域協作時，需要在最初服務者背后跨越多個服務為服務請求者傳遞認證與授權信息，由于對資源的訪問控制變成了分布式管理方式，相同的安全策略可能在組織內部的多個點執行，需要一種能夠相互理解的策略描述語言。因為需要保證網絡資源不被非法訪問和使用，授權訪問機制變得復雜化。安全斷言標記語言(seeurity Assertion Markup Language，SAML)提供了一個健壯且可擴展的數據格式集，可用于在各種環境下交換數據和身份識別信息。可擴展訪問控制標記語言(eXtensible Access Control Markup Language，XACML)提供了創建策略和規則來控制資源訪問的機制，是一種比簡單的拒絕訪問或授權訪問更細粒度的訪問控制。基于角色訪問控制(Role Based Access Control，RBAC)引入了角色的概念，解耦了用戶與權限的關系，是替代傳統的強制訪問控制和自主訪問控制的一項重要技術。本文給出了一個基于SAML、XACML、RBAC等關鍵技術的身份認證與訪問控制模型，可有效地解決上述Web服務的安全問題。

1 技術概述

1.1 RBAC模型

基于角色的訪問控制是目前公認的解決大型企業的統一資源訪問控制的有效方法。在RBAC中權限被賦予角色，而不是用戶，當一個角色被指定給一個用戶時，此用戶就擁有了該角色所包含的權限。引入角色概念的好處是，把用戶與權限隔離開來，角色作為用戶與權限的代理層，解耦了權限與用戶的關系；在企業中角色相對于用戶的變化要小得多，對用戶權限的授予和收回只是簡單地分配或取消用戶特定的角色，從而減小了授權管理的復雜性，降低了管理開銷；同時能靈活地支持企業的安全策略，并對企業的變化有很大的伸縮性，當企業的安全策略發生變化時能很快地對角色模型作出調整，而不再需要修改應用代碼。

1.2 SAML和XACML規范

現代Web服務，往往需要多個服務相互協作來完成用戶的某項請求，但是每個Web服務都有單獨的認證系統，用戶需要多次承受認證的麻煩，因此人們認識到需要有一種在不同的協作域之間傳遞實體信息，域又不失去對這些信息的所有權的機制。SAML滿足了這種要求，它通過一個標準的認證過程，使用一組給定的標準對一組指定的用戶進行身份驗證，驗證結果以斷言方式加載在消息中，各個安全域都承認認證結果的合法性。SAML建立了一種獨立于協議和平臺的驗證和授權交換機制，其框架是基于XML的，很容易集成到Web服務中。

SAML為驗證、授權聲明和使用XML傳輸這些聲明提供了機制，但還需要詞匯來表示授權決策所需的規則。XACML就是專門為表示授權規則而開發的。XACML定義了一種通用的用于保護資源的策略語言和一種訪問決策語言，使策略管理和訪問決策標準化。策略語言允許管理員定義訪問控制需求，以便獲取所需的應用資源；訪問決策語言，則用于描述對資源運行時的請求。策略語言和模式支持包括數據類型、函數和允許定義復雜(或簡單)規則組合邏輯，當確定了保護資源的策略之后，函數會將請求中的屬性與包含在策略規則中的屬性進行比較，最終生成一個許可或拒絕決策。

SAML提供了傳輸機制，XACML定義了語言規范，因此，結合使用擴展的SAML語法與XACML可以實現訪問控制。我們用例子(圖1)來描述結合使用SAML XACML的訪問控制流程。某主體想對某個資源如文件系統或者Web服務器采取某種操作，首先向策略執行點(PEP)提交授權請求。PEP根據主體，請求的資源，操作類型和環境用XACML語言生成請求并把請求發送到策略決策點(PDP)。PDP到策略訪問點(PAP)檢查請求、檢索適用于該請求的策略，并根據需要到策略信息點(Pie)檢索與主體、資源或者環境有關的屬性值，然后根據評估策略的XACML規則，確定要不要授予對應的操作權并把響應返回給PEP。PEP根據PDP發送的授權決策允許或拒絕主體訪問資源。圖中對屬性的請求和響應使用SAML的標準語法，策略集和授權結果的請求和響應由于需要使用XACML語言，可以使用擴展的SAML語法，所有消息都通過SAML的傳輸機制得到傳輸和保護。

2 訪問控制模型描述

結合SAML，XACML兩者的使用，我們可以較好地實現RBAC模型。圖2描述了在Web服務中實現單點登錄和細粒度的控制訪問過程。

(1)客戶端選擇服務用SAML語言發送訪問請求給PEP。如果客戶端已經通過認證和角色分配，傳送的消息將攜帶SAML輔件(artifact)。

(2)PEP接收請求并解析收到的SAML消息，檢查是否包含SAML輔件。如果沒有包含則重定向到認證中心，角色分配服務，要求用戶首先進行登錄認證；否則PEP根據輔件向認證中心請求認證斷言和角色斷言。認證中心返回SAML響應結果，PEP驗證斷言的合法性，驗證通過則進入第四步，否則向客戶端返回錯誤提示。

(3)認證中心，角色分配服務使用用戶提交的用戶名和口令進行身份認證。如果驗證成功則給用戶分配相應的角色，隨后生成認證斷言和角色斷言，同時生成斷言的輔件，將此輔件返回給客戶，并將用戶請求重定向到PEP(此重定向URL中包含了輔件)。

(4)PEP將客戶端發送的請求信息，和從認證中心獲得的角色斷言生成擴展的SAML的授權決策請求，發送給PDP。

(5)，(6)PDP收到請求后，向PIP查詢相關的屬性值，包括主體，訪問的資源，動作，環境等。

(7)，(8)PDP將用戶請求，角色，和在上步中獲得的屬性值生成擴展的SAML策略請求，PAP根據請求中包含的目標的限制條件從策略服務器中檢索，把匹配目標的訪問控制策略返回給PDP。訪問控制策略是基于XACML的RBAC策略，包括角色策略集，訪問權限策略集。

(9)PDP對返回的訪問控制策略進行評估，判定當前角色是否具有相應的訪問權限，然后作出授權決策發送給PEP。

(10)PEP根據授權決策決定是否允許用戶訪問對應的Web服務。

假如用戶還需要訪問另一個Web服務：Web Service 2，此時不需再次登錄，訪問過程從步驟(2)開始。

本模型將角色分配實體和認證權威機構作為一個實體處理，減少了模型的復雜性。在客戶端發起訪問請求時SAML輔件作為URL查詢字符串的一部分帶給目標站點，目標站點使用這個輔件從認證中心取得斷言信息。如果不采用輔件，信息量很大的斷言需要在客戶端與服務器間傳輸，從而在效率上將受到很大影響。另外，斷言是有關用戶身份的敏感信息，如果直接在網上傳輸，容易受到網絡攻擊。所以，采用輔件技術既減少了傳輸量又提高了系統安全性。

3 結束語

針對當前Web服務領域對安全的需求，本文提出了一個基于SAML、XACML、RBAC等關鍵技術的身份認證與訪問控制模型，并對模型的工作流程做了詳細的介紹。該模型結合三種技術的優勢有效解決了Web服務的跨域合作所帶來的安全問題。單點登錄技術使用戶在使用多個Web服務時無需進行多次登錄，用戶賬戶管理可以更加方便、安全。基于角色的訪問控制實現了用戶與訪問權限的邏輯分離，極大地方便了權限管理，實現了對資源的細粒度訪問控制。基于策略的授權訪問使系統的安全配置更加靈活高效。