對Web的安全策略和訪問控制技術熱點問題探討

摘要：隨著Internet中事務性業務的應用，許多業務的訪問能力大大提高，這時，完整性又開始起作用，因為在這些領域出現欺詐的可能性很大，因此信任也就極為重要。在很多時候，當合同簽署方在地理上相距很遠時，實時延遲可能會阻礙該過程。在Web服務環境中，聯機合同都可能變成聯機事務，他們都需要能夠進行驗證，這樣才能承擔起它所應有的權威性。基于此，本文對Web的安全策略和訪問控制技術做出一番探討。

關鍵詞：Web 安全策略 訪問控制

1、Web安全策略

Web服務使用的是Web技術，許多針對Web站點的潛在攻擊都與Web服務有關。Web服務所面臨的更為關鍵的問題是XML消息以明文形式包含一系列壓縮的數據，而敵手則有可能對這些數據感興趣。SOAP 消息集中了許多事物數據，這使得他們在傳輸時變得更為重要。Web服務必須在標識和身份驗證級別上集成基本的Web站點安全，此外，在Web服務和客戶之間的交互作用中還添加其他級別的安全。需要應用安全的Web服務可分成3個領域：身份驗證/授權、傳輸層和應用層安全。

(1) 身分驗證/授權

與常規的 Web 站點一樣，要是Web服務開始工作，首先必須通過特定的身份驗證模式來表示用戶。

(2) 傳輸層

當敏感的信息通過不安全的Internet傳輸時，傳輸層安全對 Web 服務至關重要。傳輸層安全的目標是確保事務獨立于Web服務的編程，并預防黑客使用各種工具和方法訪問數據，因為它位于Web 服務器和客戶之間的Internet 管道中，我們可以使用各種方法，包括IPSec、防火墻，以及限制對已知IP的訪問，從而在管道的端點實現傳輸層安全。在數據通過管道時我們可以使用SSL和其他方式來保護傳輸層。

(3) 應用層

應用層安全在Web服務身份驗證以及XML事務單個部分的驗證中扮演了關鍵性的角色。由于Web服務在本質上具有事務性，您肯定希望獲取用戶的標識，并在事務處理的過程中重新執行驗證和標識。我們可以使用PKI構架，對照數字證書和簽名驗證消息的各個部分。

Web 服務如何才能使用公鑰體系結構所提供的服務呢？有以下幾個要研究的方面：

(1) 客戶證書

當前大多數的Web服務都要求（或者至少接受）客戶端證書以進行用戶身份驗證。在Web服務中使用客戶證書的實例有，控制對某個提供銀行信息的應用程序的訪問。在此方案中PKI必須要可以用來頒發、維護和取消用戶證書。如果駐留服務的服務器使用了SSL，則該PKI還必須要能夠維護服務器證書。

(2) 集成PKI的應用程序

在此，SSL被概括地稱為內部資源——Web服務在本質上未意識到SSL，并且僅當添加服務器證書時才能由它受益。PKI提供了在Web服務應用程序中實現集成的安全構架的可能性，它將數字證書和數字簽名結合使用，從而能夠提供身份驗證、標識和消息的完整性。

舉例來說，某個Web服務可能被設計為能夠接受以數字方式簽署的工資單。假如所需的數據庫能夠隨同代理程序一起安裝，則應用程序的客戶端代理可能會配置為能夠使用數字簽名算法。更新為這樣的應用程序可能會使代理程序所用的算法被替換，盡管在進行客戶端部署時復雜性的增加是Web服務努力想要減輕負面影響。

在某些平臺上，證書被存儲在系統配置文件中某個安全的位置，并且只有在登記時才被復制到本地用戶的目錄結構。在其它情況下不可獲得。與此相反的是，有些系統可能將所有的證書都在本地存儲。

(3) 內部和委托PKI

企業在創建公鑰體系結構時有兩種方式可選。第一種是創建一個完全內部的體系結構，證書將只是在公司內部進行管理。另一種是將功能委托給現有的外部PKI提供者以進行密鑰和證書的管理。每種方式都有其優缺點：后者的成本可能較低，因為它基于已經執行該方式的公司，所以早已擁有在處理時所必需的服務器、結構以及過程。對外部的PKI解決方案來說，可能的缺點在于密鑰撤銷和到期所帶來的問題，以及公司可能會被來自同一公司其他客戶的類似請求所迷惑的危險。除此之外，我們還必須考慮以下事項：公司所提供的密鑰和證書應該僅限于公司內部，還是應該廣泛地為公司以外擁有此類標識的人所擁有——這樣將使公/私鑰對被泄露或者證書撤銷滯后的風險變得更大。

2、訪問控制技術

自主訪問控制基于對主體或主體所屬的主體組的識別來限制對客體的訪問。自主是指主體能夠自主地(也可能是間接的)將訪問權或訪問權的某個子集授予其它主體。為實現完備的自主訪問控制，由訪問控制矩陣提供的信息必須以某種形式保存在系統中。訪問控制矩陣中的每行表示一個主體，每列則表示一個受保護的客體。

DAC的基本思想是基于訪問者身份或訪問者所屬工作組進行權限的控制。信息資源的擁有者可以自主的將對該資源的訪問權限授予其他用戶以及回收這些權限(Owner controlled)，系統中一般利用訪問控制矩陣來實現對訪問者的權限控制，因為存取矩陣一般都是稀疏矩陣，浪費存儲空間，在實際應用中，通常采取另外一種存取控制列表的方式來實現，如對系統中每一項資源，分別列出對它具有操作權限的主體;或者對每一個用戶，分別列出他擁有操作權限的客體。

DAC的自主性對用戶提供了靈活易用的數據訪問方式，但同時帶來的是安全性較低。自主訪問控制能夠通過授權機制有效地控制其他用戶對敏感數據的存取。這種方法能夠控制主體對客體的直接訪問，但不能控制主體對客體的間接訪問(利用訪問的傳遞性，即A可訪問B，B可訪問C，于是A可訪問C)。由于用戶對數據的存取權限是“自主”的，用戶可以自由地決定將數據的訪問權限授予何人、決定是否也將“授權”的權限授予別人，而系統對此無法控制。在這種授權機制下，就可能存在數據的“無意泄漏”。

本文歸納了安全Web的特點，就Web服務和PKI的關系進行了說明。最后通過對訪問控制技術探討，介紹了強制訪問控制，希望對Web的安全訪問控制技術起到一定的參考作用。

參考文獻：

[1]王婷，陳性元等. 基于GAA-API的Web網頁細粒度訪問控制方法研究[J].計算機應用，2010，27(5)：1274-1276.

[2](美)那什等著，張玉清等譯.公鑰基礎設施(PKI)：實現和管理電子安全[M].北京：清華大學出版社，2010，57-85.