服務(wù)集成總線中基于屬性的策略服務(wù)的研究

馬 賽，田 飛，靳 婷

(華北計(jì)算技術(shù)研究所，北京100083)

0 引言

近年來(lái)，依托于快速發(fā)展的網(wǎng)絡(luò)通信技術(shù)，特別是互聯(lián)網(wǎng)技術(shù)，軟件的使用模式發(fā)生轉(zhuǎn)變，以互聯(lián)網(wǎng)使用模式為主的信息系統(tǒng)逐漸成為主流，軟件的網(wǎng)絡(luò)化、服務(wù)化也成為未來(lái)信息系統(tǒng)發(fā)展的大趨勢(shì)。面向服務(wù)框架 (service oriented architecture，SOA)［1］以其最佳的設(shè)計(jì)原則、架構(gòu)模式、集成能力、基于標(biāo)準(zhǔn)的開(kāi)放性和交互能力而脫穎而出。服務(wù)集成總線 (service integration bus，SIB)［2］是構(gòu)建基于SOA解決方案時(shí)所使用基礎(chǔ)架構(gòu)的關(guān)鍵部分，服務(wù)集成總線的職責(zé)是使服務(wù)消費(fèi)者能夠調(diào)用服務(wù)提供者提供的服務(wù)。在復(fù)雜多變的分布式環(huán)境中，如何保證服務(wù)消費(fèi)者去高效的、動(dòng)態(tài)的、安全的調(diào)用服務(wù)提供者提供的服務(wù)，是我們面臨的首要任務(wù)。一方面，傳統(tǒng)的服務(wù)集成總線在選擇服務(wù)提供者時(shí)，只是依賴于少數(shù)固定不變的服務(wù)實(shí)例選擇規(guī)則，沒(méi)有把對(duì)服務(wù)實(shí)例的路由上升到動(dòng)態(tài)可變策略的層面。另一方面，訪問(wèn)控制模型［3］以其出色的訪問(wèn)控制能力受到越來(lái)越多的關(guān)注，尤其是在分布式環(huán)境中，比較有代表性的模型有基于身份的訪問(wèn)控制 (identity-based access control，IBAC)、基于角色的訪問(wèn)控制 (role-based access control，RBAC)和基于屬性的訪問(wèn)控制 (attribute-based access control，ABAC)。

基于以上原因，我們?cè)诜?wù)集成總線中引入基于屬性的策略服務(wù) (attribute-based policy service，ABPS)，采用可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言 (eXtensible access control markup language，XACML)描述路由選擇策略和訪問(wèn)控制策略，并引入黑白名單機(jī)制，更為細(xì)粒度的控制在特定情況下的特定主體的臨時(shí)權(quán)限。在策略存儲(chǔ)與管理方面，我們?cè)O(shè)計(jì)了一種適用于大規(guī)模策略存儲(chǔ)的策略庫(kù)模型，提高策略的判定效率。

1 技術(shù)點(diǎn)簡(jiǎn)介

1.1 基于屬性的訪問(wèn)控制

基于屬性的訪問(wèn)控制［4-6］是以參與決策的相關(guān)實(shí)體的屬性為基礎(chǔ)進(jìn)行授權(quán)決策的一種訪問(wèn)控制機(jī)制。它是對(duì)基于身份的訪問(wèn)控制和基于角色的訪問(wèn)控制的擴(kuò)展，IBAC中的身份和RBAC中的角色可分別看作是ABAC中的兩個(gè)屬性，所以說(shuō)ABAC提供了一種更細(xì)粒度、更為靈活的訪問(wèn)控制方法。

1.1.1 屬性定義

不同于IBAC和RBAC，ABAC模型能夠根據(jù)任何與實(shí)體相關(guān)的特性 (屬性)來(lái)定義權(quán)限。對(duì)于訪問(wèn)控制來(lái)說(shuō)，我們只關(guān)心三類實(shí)體的屬性。

(1)主體屬性。主體是作用于某個(gè)資源的實(shí)體，既可以是用戶也可以是應(yīng)用或者程序。主體的屬性定義了它的身份和特征，包括主體標(biāo)識(shí)、名字、機(jī)構(gòu)、職位等。另外，正如前面所講，角色也可以視為主體的屬性。

(2)資源屬性。資源是被主體作用的實(shí)體，既可以是web服務(wù)也可以是數(shù)據(jù)結(jié)構(gòu)或系統(tǒng)組件。對(duì)于web服務(wù)來(lái)說(shuō)，它的屬性可以有服務(wù)標(biāo)識(shí)、服務(wù)提供者、服務(wù)類型以及服務(wù)質(zhì)量等。

(3)環(huán)境屬性。這類屬性在大多數(shù)訪問(wèn)控制策略中都未涉及，它描述了信息訪問(wèn)發(fā)生的客觀環(huán)境或上下文。例如，當(dāng)前日期時(shí)間屬性、當(dāng)前病毒/黑客活動(dòng)屬性和網(wǎng)絡(luò)安全級(jí)別屬性等。

1.1.2 ABAC策略公式

定義基本的ABAC策略模型如下:

(1)S、R和E分別代表主體、資源和環(huán)境;

(2)SAk(1 k K)，RAm(1 m M)和EAn(1 n N)分別是主體、資源和環(huán)境預(yù)定義的屬性;

(3)ATTR(s)，ATTR(r)和ATTR(e)分別是主體s，資源r和環(huán)境e的屬性分配關(guān)系

(4)策略的規(guī)則是指在特定環(huán)境e中，對(duì)主體s訪問(wèn)資源r進(jìn)行判定，它是一個(gè)關(guān)于s，r和e的布爾函數(shù)

(5)策略規(guī)則庫(kù)或策略庫(kù)可以包含一系列策略規(guī)則，覆蓋安全域中的多個(gè)主體和資源。訪問(wèn)控制決策過(guò)程本質(zhì)上就是對(duì)策略庫(kù)中適用的策略規(guī)則進(jìn)行判定的過(guò)程。

1.2 XACML

XACML［7，8］是由結(jié)構(gòu)信息標(biāo)準(zhǔn)化促進(jìn)組織 (organization for the advancement of structured information standards，OASIS)制訂的標(biāo)準(zhǔn)，它既是策略語(yǔ)言也是訪問(wèn)控制決策請(qǐng)求/響應(yīng)語(yǔ)言。策略語(yǔ)言用來(lái)描述通用的訪問(wèn)控制請(qǐng)求，具有標(biāo)準(zhǔn)的擴(kuò)展點(diǎn)以定義新的方法、數(shù)據(jù)類型、組合邏輯等。請(qǐng)求/響應(yīng)語(yǔ)言負(fù)責(zé)形成一個(gè)請(qǐng)求來(lái)詢問(wèn)某個(gè)行為是否被允許，它也負(fù)責(zé)解釋經(jīng)過(guò)決策后返回的結(jié)果。

1.2.1 XACML策略語(yǔ)言模型

XACML策略語(yǔ)言模型如圖1所示。XACML具有良好的結(jié)構(gòu)性與層次性，規(guī)則、策略和策略集是三個(gè)相對(duì)獨(dú)立的元素，每個(gè)元素又包含各自的組成元素，而且三個(gè)元素之間也存在著包含與被包含的關(guān)系，其中涉及到規(guī)則組合算法和策略組合算法。

圖1 XACML策略語(yǔ)言模型

1.2.2 XACML的優(yōu)勢(shì)

與現(xiàn)存的策略語(yǔ)言相比，XACML有以下優(yōu)勢(shì):

(1)標(biāo)準(zhǔn)性。XACML作為標(biāo)準(zhǔn)語(yǔ)言，已經(jīng)得到由專家和用戶組成的社區(qū)審查，使得系統(tǒng)設(shè)計(jì)者在設(shè)計(jì)自己的系統(tǒng)時(shí)，無(wú)需再?gòu)脑O(shè)計(jì)一門(mén)新語(yǔ)言做起。而且，隨著XACML被越來(lái)越廣泛的應(yīng)用，這些采用相同語(yǔ)言的應(yīng)用之間的互操作性得到了增強(qiáng)。

(2)通用性。XACML不只為特定環(huán)境或特定類型資源提供訪問(wèn)控制，它可以應(yīng)用在任何環(huán)境中。所以當(dāng)一個(gè)使用XACML描述的策略同時(shí)適用于多個(gè)應(yīng)用時(shí)，策略管理變得更加容易。

(3)分布性。策略可以保存在不同位置，而且也可以引用位于任意位置的其他策略。不同的用戶或組可以對(duì)策略適當(dāng)?shù)姆制苑奖愎芾恚煌牟呗苑祷夭煌慕Y(jié)果，而XACML知道如何將這些結(jié)果正確的合并成一個(gè)決策結(jié)果。

(4)可擴(kuò)展性。XACML不僅支持多種多樣的數(shù)據(jù)類型、方法以及策略、規(guī)則合并算法，也允許用戶自定義元素和屬性。此外，一些標(biāo)準(zhǔn)化組織試圖對(duì)XACML進(jìn)行擴(kuò)展，將其與其他標(biāo)準(zhǔn) (例如SAML和LDAP)相結(jié)合，這會(huì)大大拓展XACML的應(yīng)用方式。

2 服務(wù)集成總線中基于屬性的策略服務(wù)的分析與設(shè)計(jì)

2.1 服務(wù)訪問(wèn)模型

服務(wù)訪問(wèn)模型，直觀來(lái)講就是服務(wù)請(qǐng)求方訪問(wèn)服務(wù)提供方所提供服務(wù)的模型。目前主流的集成技術(shù)有兩種，一個(gè)是傳統(tǒng)的基于UDDI(universal description，discovery，and integration)［9］的服務(wù)訪問(wèn)模型，另一個(gè)是基于服務(wù)集成總線的服務(wù)訪問(wèn)模型。在傳統(tǒng)的基于UDDI的服務(wù)訪問(wèn)模式中，服務(wù)提供方將服務(wù)發(fā)布到UDDI注冊(cè)中心，服務(wù)請(qǐng)求方利用服務(wù)注冊(cè)代理去UDDI注冊(cè)中心請(qǐng)求服務(wù)，并根據(jù)代理返回的服務(wù)描述信息進(jìn)行服務(wù)實(shí)例綁定，最后服務(wù)請(qǐng)求方與服務(wù)提供方建立起點(diǎn)對(duì)點(diǎn)的通信關(guān)系，如圖2所示。

圖2 基于UDDI的服務(wù)訪問(wèn)模型

服務(wù)集成總線是面向服務(wù)架構(gòu)中實(shí)現(xiàn)服務(wù)集成和管理的基礎(chǔ)設(shè)施，提供了服務(wù)管理的方法和在分布式異構(gòu)環(huán)境中進(jìn)行服務(wù)交互的功能。在基于服務(wù)集成總線的服務(wù)訪問(wèn)模式中，服務(wù)集成總線在服務(wù)請(qǐng)求方與服務(wù)提供方之間扮演著信息調(diào)度的角色。服務(wù)提供方利用總線中的注冊(cè)發(fā)現(xiàn)服務(wù)將服務(wù)發(fā)布出來(lái)，當(dāng)服務(wù)請(qǐng)求方想要訪問(wèn)服務(wù)時(shí)，它無(wú)需再直接去UDDI注冊(cè)中心查詢服務(wù)，而是將服務(wù)訪問(wèn)請(qǐng)求發(fā)送至服務(wù)集成總線，服務(wù)集成總線的服務(wù)中介通過(guò)調(diào)用注冊(cè)發(fā)現(xiàn)服務(wù)、策略服務(wù)等選擇最優(yōu)服務(wù)實(shí)例，訪問(wèn)服務(wù)實(shí)例并將結(jié)果返回給服務(wù)請(qǐng)求方。

如圖3所示，服務(wù)集成總線主要由服務(wù)中介和基礎(chǔ)服務(wù)組成，這些服務(wù)包括消息服務(wù)、注冊(cè)發(fā)現(xiàn)服務(wù)、策略服務(wù)、用戶服務(wù)以及監(jiān)控服務(wù)等。消息服務(wù)是服務(wù)集成總線中消息級(jí)別的通信保證。注冊(cè)發(fā)現(xiàn)服務(wù)提供了服務(wù)注冊(cè)與服務(wù)發(fā)布的能力。策略服務(wù)詳見(jiàn)下文。用戶服務(wù)提供用戶認(rèn)證的能力。監(jiān)控服務(wù)為服務(wù)管理和策略制定提供依據(jù)。

相比前一種模式，基于服務(wù)集成總線的服務(wù)訪問(wèn)模型的最大優(yōu)勢(shì)就是服務(wù)請(qǐng)求方無(wú)需自己去感知服務(wù)提供方的實(shí)際地址，使得服務(wù)的請(qǐng)求方和提供方之間高度解耦。通過(guò)引入策略服務(wù)，使服務(wù)的發(fā)現(xiàn)與路由變得可控，大大提高服務(wù)的可靠性與靈活性。通過(guò)緩存注冊(cè)發(fā)現(xiàn)服務(wù)的數(shù)據(jù)，使服務(wù)集成總線的處理性能得到提升。

圖3 基于SIB的服務(wù)訪問(wèn)模型

2.2 基于屬性的策略服務(wù) (ABPS)

基于屬性的策略服務(wù)作為服務(wù)集成總線中的基礎(chǔ)服務(wù)，其核心是策略判定模型。策略判定模型定義了策略判定點(diǎn)、策略管理點(diǎn)、策略信息點(diǎn)等組件，根據(jù)管理員制定的策略信息以及用戶、服務(wù)或服務(wù)實(shí)例和環(huán)境的屬性信息動(dòng)態(tài)的評(píng)估訪問(wèn)請(qǐng)求，并返回決策信息。其模型如圖4所示。

此模型的資源對(duì)象分為服務(wù)資源和服務(wù)實(shí)例資源兩種，它們的描述信息都存儲(chǔ)在注冊(cè)發(fā)現(xiàn)服務(wù)中，它們二者之間是共性與特性的關(guān)系。共性的服務(wù)信息包括服務(wù)標(biāo)識(shí)、服務(wù)名稱、服務(wù)提供方、服務(wù)描述等屬性，個(gè)性的服務(wù)實(shí)例信息是對(duì)共性服務(wù)信息的實(shí)例化擴(kuò)展，包括服務(wù)實(shí)例標(biāo)識(shí)、服務(wù)實(shí)例URI、服務(wù)實(shí)例部署位置等屬性。

策略服務(wù)中的策略分為訪問(wèn)控制策略和路由選擇策略兩種，訪問(wèn)控制策略是應(yīng)用在用戶訪問(wèn)服務(wù)資源時(shí)的判定策略，路由選擇策略是應(yīng)用在選擇最優(yōu)服務(wù)實(shí)例時(shí)的判定策略。

圖4 ABPS判定模型

策略服務(wù)的總體思路是首先根據(jù)訪問(wèn)控制策略判斷能否訪問(wèn)服務(wù)資源，然后根據(jù)路由選擇策略去尋找最優(yōu)服務(wù)實(shí)例資源。詳細(xì)處理流程如下:

(1)策略管理點(diǎn)制定、維護(hù)策略;

(2)服務(wù)中介作為策略執(zhí)行點(diǎn)調(diào)用策略服務(wù);

(3)訪問(wèn)控制上下文處理器收到請(qǐng)求后，生成唯一的請(qǐng)求標(biāo)識(shí)，從請(qǐng)求中解析出屬性，并根據(jù)這些已知屬性去策略管理點(diǎn)查詢組織標(biāo)準(zhǔn)XACML請(qǐng)求所需要的屬性標(biāo)識(shí)集合;

(4)策略管理點(diǎn)緩存請(qǐng)求標(biāo)識(shí)，并去策略庫(kù)請(qǐng)求策略信息;

(5)在策略庫(kù)中根據(jù)用戶標(biāo)識(shí)、服務(wù)標(biāo)識(shí)及已知屬性查詢私有策略，并且將私有策略與公共策略一并返回給策略管理點(diǎn);

(6)策略管理點(diǎn)從策略集中抽取屬性標(biāo)識(shí)集合，緩存策略集與屬性標(biāo)識(shí)集，并將其與請(qǐng)求標(biāo)識(shí)關(guān)聯(lián)起來(lái)，最后將屬性標(biāo)識(shí)集合返回給訪問(wèn)控制上下文處理器;

(7)訪問(wèn)控制上下文處理器根據(jù)獲取的屬性標(biāo)識(shí)，向策略信息點(diǎn)請(qǐng)求屬性值;

(8)策略信息點(diǎn)根據(jù)不同的屬性標(biāo)識(shí)去不同的服務(wù)獲取屬性值，

1)去注冊(cè)發(fā)現(xiàn)服務(wù)獲取服務(wù)或服務(wù)實(shí)例屬性信息;

2)去用戶服務(wù)獲取用戶屬性信息;

3)去監(jiān)控服務(wù)獲取動(dòng)態(tài)環(huán)境屬性信息。

(9)策略信息點(diǎn)將屬性值返回給訪問(wèn)控制上下文處理器，由訪問(wèn)控制上下文處理器組織標(biāo)準(zhǔn)的XACML請(qǐng)求;

(10)訪問(wèn)控制上下文處理器將標(biāo)準(zhǔn)的XACML請(qǐng)求發(fā)送給策略判定點(diǎn);

(11)策略判定點(diǎn)根據(jù)請(qǐng)求標(biāo)識(shí)向策略管理點(diǎn)請(qǐng)求策略集合;

(12)策略管理點(diǎn)在緩存中查找與請(qǐng)求標(biāo)識(shí)相關(guān)聯(lián)的策略集合，返回給策略判定點(diǎn)。策略判定點(diǎn)根據(jù)訪問(wèn)控制上下文處理器發(fā)來(lái)的請(qǐng)求以及從策略管理點(diǎn)獲取的策略進(jìn)行決策，判斷用戶能否訪問(wèn)服務(wù)資源，并將決策結(jié)果返回給訪問(wèn)控制上下文處理器;

(13)訪問(wèn)控制上下文處理器解析響應(yīng)決策結(jié)果信息，如果不能訪問(wèn)服務(wù)資源，則直接進(jìn)入步驟14;如果能訪問(wèn)服務(wù)資源，則重復(fù)3-12步，由路由選擇上下文處理器組織XACML請(qǐng)求，其中請(qǐng)求的資源是此服務(wù)的所有服務(wù)實(shí)例，發(fā)送至策略判定點(diǎn)，由其根據(jù)路由選擇策略選擇恰當(dāng)?shù)姆?wù)實(shí)例集合返回給路由選擇上下文處理器，進(jìn)入步驟14;

(14)訪問(wèn)控制上下文處理器返回服務(wù)拒絕訪問(wèn)結(jié)果給策略執(zhí)行點(diǎn)，或者，路由選擇上下文處理器根據(jù)服務(wù)質(zhì)量選擇最優(yōu)的服務(wù)實(shí)例，并返回服務(wù)實(shí)例URI給策略執(zhí)行點(diǎn)。

2.3 基于XACML的策略描述

服務(wù)集成總線的策略服務(wù)涵蓋了兩種類型的策略，訪問(wèn)控制策略和路由選擇策略。策略服務(wù)是基于屬性的，可以從可細(xì)可粗的粒度對(duì)策略進(jìn)行定義，使得服務(wù)集成總線的管理行為更加靈活。采用XACML描述策略有其獨(dú)特的優(yōu)勢(shì)，除以上介紹的特點(diǎn)之外，XACML天生就是一種訪問(wèn)控制策略，而且利用它良好的擴(kuò)展特性，我們?cè)诜?wù)集成總線中采用XACML描述路由選擇策略，并取得初步成果。

在討論服務(wù)集成總線的策略之前，首先要區(qū)分服務(wù)與服務(wù)實(shí)例兩種資源。服務(wù)資源是指由服務(wù)管理方注冊(cè)到注冊(cè)發(fā)現(xiàn)服務(wù)的資源，一個(gè)服務(wù)資源一旦被注冊(cè)成功，僅僅意味著此服務(wù)可以被服務(wù)請(qǐng)求方看到。而服務(wù)實(shí)例由服務(wù)管理方發(fā)布到注冊(cè)發(fā)現(xiàn)服務(wù)，一個(gè)服務(wù)實(shí)例資源一旦被發(fā)布成功，意味著此服務(wù)實(shí)例可以被服務(wù)請(qǐng)求方真正的訪問(wèn)到。簡(jiǎn)言之，服務(wù)與服務(wù)實(shí)例是一種父與子、描述與實(shí)現(xiàn)、注冊(cè)態(tài)與運(yùn)行態(tài)的關(guān)系。

現(xiàn)在創(chuàng)建一個(gè)完整的策略描述示例，包括訪問(wèn)控制策略描述與路由選擇策略描述兩部分。

訪問(wèn)控制策略工作在服務(wù)層，決定主體能否訪問(wèn)服務(wù)資源。考慮這樣一個(gè)訪問(wèn)控制策略，它的自然語(yǔ)言描述是“Any user in NCI may access Weather Report between 8 o'clock and 18 o'clock”，在這個(gè)策略中包含了用戶、服務(wù)資源、動(dòng)作、環(huán)境4個(gè)要素，其中用戶的工作單位屬性值是NCI，服務(wù)資源的服務(wù)標(biāo)識(shí)屬性值是 Weather Report，動(dòng)作的類型屬性值是access，環(huán)境的時(shí)間屬性是8:00-18:00。在使用XACML描述此策略時(shí)，要先定義出策略所用到的屬性，包括用戶的工作單位屬性、服務(wù)的服務(wù)標(biāo)識(shí)屬性、動(dòng)作的類型屬性以及環(huán)境的時(shí)間屬性。此策略適用于NCI中的用戶和Weather Report資源，我們將其設(shè)為Policy的Target，以資源Target為例詳細(xì)描述，如圖5所示。Resource元素包含一個(gè)ResourceMatch元素，Resource-Match元素可以看作是一個(gè)返回真假值的函數(shù)，函數(shù)的有兩個(gè)參數(shù)，一個(gè)參數(shù)是Policy中定義的屬性值，另一個(gè)參數(shù)需要通過(guò)AttributeDesignator方式從Request中獲取，它是根據(jù)屬性id和屬性值的類型去獲取對(duì)應(yīng)的值。此處的函數(shù)是string-equal，它比較以上兩個(gè)字符串參數(shù)并返回真假值，如果為真，需要繼續(xù)檢測(cè)其他Target以判斷Policy是否適用此Request，如果為假，則說(shuō)明Policy不適用此Request。

路由選擇策略工作在服務(wù)實(shí)例層，決定了用戶可以訪問(wèn)的最佳服務(wù)實(shí)例資源。考慮這樣一個(gè)路由選擇策略，它的自然語(yǔ)言描述是“A user intends to access the service instance deployed in the same city”，在這個(gè)策略中包含了用戶、服務(wù)實(shí)例資源、動(dòng)作三個(gè)要素，其中動(dòng)作的類型屬性值是access，規(guī)則適用的條件是用戶的地點(diǎn)屬性值與服務(wù)實(shí)例的部署地點(diǎn)屬性值一致。路由選擇策略的XACML描述與訪問(wèn)控制策略只是在資源元素上有服務(wù)與服務(wù)實(shí)例的區(qū)分，其余都基本一致，不再贅述。但是與訪問(wèn)控制請(qǐng)求僅包含單個(gè)服務(wù)資源不同，路由選擇請(qǐng)求可以包含多個(gè)服務(wù)實(shí)例資源，通過(guò)決策獲取最優(yōu)的服務(wù)實(shí)例。路由選擇請(qǐng)求詳細(xì)描述如圖6所示。在Request中包含兩個(gè)服務(wù)實(shí)例資源instance1和instance2，如果用戶身處北京，他將訪問(wèn)到服務(wù)實(shí)例instance1，如果用戶身處上海，他將訪問(wèn)到服務(wù)實(shí)例instance2。

2.4 改進(jìn)的策略庫(kù)模型

傳統(tǒng)的策略庫(kù)，有的是文件系統(tǒng)中的策略文件庫(kù)，有的依托于關(guān)系型數(shù)據(jù)庫(kù)或半結(jié)構(gòu)化數(shù)據(jù)庫(kù)。但大部分情況都只是將策略堆放在庫(kù)中，導(dǎo)致對(duì)請(qǐng)求的判定需要遍歷所有策略。以提高策略判定效率為目標(biāo)，我們?cè)O(shè)計(jì)了一個(gè)基于屬性與策略雙向關(guān)系的策略庫(kù)模型，如圖7所示。

圖7 改進(jìn)的策略庫(kù)模型

在改進(jìn)的策略庫(kù)模型中不僅存儲(chǔ)了策略信息，也存儲(chǔ)了屬性信息以及兩者之間的關(guān)系信息。策略庫(kù)的根節(jié)點(diǎn)下包括屬性和策略兩類元素，其中屬性元素是屬性存儲(chǔ)信息的根節(jié)點(diǎn)，策略元素是策略存儲(chǔ)信息的根節(jié)點(diǎn)。一方面，策略的存儲(chǔ)按訪問(wèn)控制策略和路由選擇策略分類存儲(chǔ)，策略不但存儲(chǔ)著策略自身的信息，而且也存儲(chǔ)著此策略涉及的屬性標(biāo)識(shí)集合。另一方面，在服務(wù)化的計(jì)算環(huán)境中，考慮更多的是用戶、服務(wù)和服務(wù)實(shí)例三種元素，所以將屬性分為用戶屬性、服務(wù)屬性、服務(wù)實(shí)例屬性以及環(huán)境屬性四類。以用戶屬性為例，用戶屬性是用戶屬性1、用戶屬性k……用戶屬性n的集合。對(duì)于單個(gè)的用戶屬性k，又包含用戶屬性源數(shù)據(jù)和屬性涉及策略兩類信息。源數(shù)據(jù)包含屬性值的數(shù)據(jù)類型、數(shù)據(jù)取值范圍以及屬性描述信息。屬性涉及策略是指包含此屬性的策略，細(xì)分為訪問(wèn)控制策略和路由選擇策略兩類，在這兩類節(jié)點(diǎn)下存儲(chǔ)的只是策略標(biāo)識(shí)，而不是策略的完整信息。

策略執(zhí)行點(diǎn)根據(jù)已知屬性獲取組織XACML請(qǐng)求所需要的屬性集，策略管理點(diǎn)分別提取用戶標(biāo)識(shí)屬性、服務(wù)或者服務(wù)實(shí)例標(biāo)識(shí)屬性和已知屬性下的私有策略，并且提取環(huán)境屬性下的公有策略。這兩者組成的策略集是適用于此請(qǐng)求判定過(guò)程的優(yōu)化策略集合，而且策略管理點(diǎn)將服務(wù)或服務(wù)實(shí)例標(biāo)識(shí)、策略集、屬性集以及三者間的關(guān)系緩存起來(lái)，提高了策略判定的效率。

3 原型系統(tǒng)實(shí)現(xiàn)

我們采用 Apache Axis2作為服務(wù)開(kāi)發(fā)框架，結(jié)合OpenID4Java、OpenDS2.2、sunxacml2.0等開(kāi)源工具初步實(shí)現(xiàn)了服務(wù)集成總線中基于屬性的策略服務(wù)的原型系統(tǒng)。

為簡(jiǎn)化服務(wù)中介對(duì)策略服務(wù)的使用，基于屬性的策略服務(wù)利用Axis2發(fā)布成Web服務(wù)的形式，它的接口定義為:

其中REQCLS定義如圖8所示。

圖8 REQLCS定義

策略服務(wù)中的訪問(wèn)控制上下文處理器與路由選擇上下文處理器分別作為Axis2的Handler存在，Handler解析策略執(zhí)行點(diǎn)發(fā)送過(guò)來(lái)的SOAP消息，提取用戶、服務(wù)等信息，并通過(guò)調(diào)用擴(kuò)展的sunxacml2.0使其形成的標(biāo)準(zhǔn)XACML格式的判定請(qǐng)求能夠包含多個(gè)服務(wù)實(shí)例資源;對(duì)sunxacml2.0進(jìn)一步擴(kuò)展，使策略判定點(diǎn)具有同時(shí)對(duì)單個(gè)請(qǐng)求中多個(gè)服務(wù)實(shí)例資源判定的能力，具有在單個(gè)響應(yīng)中包含多個(gè)服務(wù)實(shí)例資源判定結(jié)果的能力;借助于OpenID4Java實(shí)現(xiàn)了策略信息點(diǎn)的用戶信息獲取模塊，通過(guò)分別調(diào)用注冊(cè)發(fā)現(xiàn)服務(wù)接口與監(jiān)控服務(wù)接口實(shí)現(xiàn)了策略信息點(diǎn)的服務(wù)或服務(wù)實(shí)例信息獲取模塊和環(huán)境信息獲取模塊;依據(jù)XACML標(biāo)準(zhǔn)，實(shí)現(xiàn)策略管理點(diǎn)，具有基本的策略定義功能;基于改進(jìn)策略庫(kù)模型的半結(jié)構(gòu)化特性，采用OpenDS2.2與本地策略文件相結(jié)合的方式存儲(chǔ)策略和屬性信息，大大提高了策略與屬性的查找效率。

基于傳統(tǒng)策略庫(kù)模型和改進(jìn)策略庫(kù)模型分別進(jìn)行策略判定實(shí)驗(yàn)，策略判定遵循sunxacml2.0的約定，對(duì)每個(gè)請(qǐng)求，策略庫(kù)中只能有一個(gè)策略是適用的。實(shí)驗(yàn)結(jié)果如圖9所示，由于基于傳統(tǒng)策略庫(kù)模型的策略判定需要遍歷策略庫(kù)中的所有策略文件，其判定用時(shí)隨策略庫(kù)文件總數(shù)的增長(zhǎng)而線性增長(zhǎng);而基于改進(jìn)策略庫(kù)模型的判定將策略與屬性的關(guān)系信息存儲(chǔ)在OpenDS中，并且對(duì)策略標(biāo)識(shí)屬性建立索引后，大大加快了策略的查找速度，這樣雖然策略庫(kù)文件總數(shù)增長(zhǎng)，但策略判定用時(shí)基本保持不變。

圖9 基于策略庫(kù)模型的判定實(shí)驗(yàn)

4 結(jié)束語(yǔ)

本文在面向服務(wù)的計(jì)算環(huán)境中對(duì)服務(wù)集成總線提出了一套基于屬性的策略服務(wù)，旨在提高服務(wù)集成總線的中介能力。策略服務(wù)中包含訪問(wèn)控制策略和路由選擇策略，并創(chuàng)新性的使用XACML描述路由選擇策略。本文提出了改進(jìn)的策略庫(kù)模型，通過(guò)存儲(chǔ)策略與屬性的雙向關(guān)系達(dá)到提高策略判定效率的目的。在未來(lái)的工作中，需要進(jìn)一步擴(kuò)展路由選擇策略對(duì)服務(wù)質(zhì)量屬性的支持，使其能夠描述更為通用的服務(wù)質(zhì)量。策略服務(wù)考慮引入SAML等安全協(xié)議的支持［10］，以保證內(nèi)部各模塊之間通信的安全性。另外，策略庫(kù)模型需要時(shí)間與實(shí)踐的考驗(yàn)，進(jìn)一步對(duì)其進(jìn)行優(yōu)化也是以后工作的重點(diǎn)之一。

［1］Schmidt M T.The enterprise service bus:making service-oriented architecture real［J］.IBM Systems Journal，2005，44(4):781-797.

［2］XIE Jihui，BAI Xiaoying，CHEN Bin.A survey on enterprise service bus［J］.Computer Science，2007，34(11):13-18(in Chinese).［謝繼暉，白曉穎，陳斌，等.企業(yè)服務(wù)總線研究綜述［J］.計(jì)算機(jī)科學(xué)，2007，34(11):13-18.］

［3］YAN Xuexiong，WANG Qingxian，MA Hengtai.Survey of web services access control model［J］.Computer Science，2008，35(5):38-41(in Chinese).［顏學(xué)雄，王清賢，馬恒太.Web服務(wù)訪問(wèn)控制模型研究 ［J］.計(jì)算機(jī)科學(xué)，2008，35(5):38-41.］

［4］Eric Yuan，Jin Tong.Attributed based access control(ABAC)for web services ［C］//Proc the IEEE Int.Conf.Web Services，Orlando，USA，2005:561-569.

［5］SHU Jian，SHI Lianghong，XIA Bing，et al.Study on action and attribute-based access control model for web services［C］//Second International Symposium on Information Science and Engineering，2009:213-216.

［6］LI Xiaofeng，F(xiàn)ENG Dengguo，CHEN Zhaowu，et al.Model for attribute based access control ［J］.Journal on Communications，2008，29(4):90-98(in Chinese).［李曉峰，馮登國(guó)，陳朝武，等.基于屬性的訪問(wèn)控制模型 ［J］.通信學(xué)報(bào)，2008，29(4):90-98.］

［7］ITU-T X.1142-2006.eXtensible access control markup language(XACML 2.0)［Z］.

［8］LI Song.Research and implementation on XACML unified-policiesbased access control service［D］.Chengdu:Sichuan University，2006(in Chinese).［李松.基于XACML統(tǒng)一策略的訪問(wèn)控制服務(wù)研究與實(shí)現(xiàn)［D］.成都:四川大學(xué)，2006.］

［9］MA Xiaoxuan，HUAI Jinpeng，WANG Zhihu.Design and implementation on UDDI-based application service center［J］.Journal of Beijing University of Aeronautics and Astronautics，2005，31(9):1040-1044(in Chinese).［馬曉軒，懷進(jìn)鵬，王芝虎.基于UDDI的應(yīng)用服務(wù)注冊(cè)中心的設(shè)計(jì)與實(shí)現(xiàn)［J］，北京航空航天大學(xué)學(xué)報(bào)，2005，31(9):1040-1044.］

［10］Nicolai M Josuttis.SOA in practice:The art of distributed system design ［M］.O＇Reilly Media Inc，2007:173-188.