基于.NET的云授權安全技術解決方案研究與實現

劉引濤　劉　楠

(1.陜西工業職業技術學院信息工程學院　咸陽　712000)(2.陜西工業職業技術學院基礎部　咸陽　712000)

基于.NET的云授權安全技術解決方案研究與實現

劉引濤1劉楠2

(1.陜西工業職業技術學院信息工程學院咸陽712000)(2.陜西工業職業技術學院基礎部咸陽712000)

摘要從云授權安全角度出發,研究云授權安全關鍵技術,同時研究支持實施云授權安全的相關標準和規范。分析出基于函數的軟件分模塊授權、云應用程序的登錄安全保護以及管理數據庫的授權安全性解決方案,通過部署與配置基于.NET的云授權技術,包括使用URL授權、鎖定.NET配置設置以及數據庫的授權安全性實現,為云授權安全技術的進一步研究提供參考。

關鍵詞云授權; 保護機制; 數據庫授權; 解決方案

Class NumberP315.69

1引言

云授權是一種特殊形式的電子授權技術,是互聯網技術與傳統軟件授權技術的結合,一般指將軟件授權中所需的安全信息、數據、算法等內容存儲在互聯網服務器上的實現方案。應用程序通過網絡通訊協議,與服務器進行通訊,使用服務器中存儲的資源。整個過程都經過了安全保護,具有很高的保護強度。

云授權要求服務器端提供更多的服務和更好的性能,并與傳統的使用方式如本地授權技術更好地結合。為了考慮部分客戶端電腦的離線狀態,云授權技術也支持本地的離線授權定期或在條件許可的時候與服務器進行連接、同步,實現“云驗證”功能。

2基于.NET的云授權關鍵技術

云授權由擔任網絡服務的服務器端和與之實現安全會話功能的安全客戶端組成。應用程序通過安全客戶端提供的應用接口對服務器端數據進行間接調用。

云授權的技術實現既包含了傳統的客戶端安全技術——如防止靜態分析和代碼逆向工程的技術,也包含了服務器端Web Service,要求能夠提供互聯網上海量用戶的授權請求。

云授權要求服務器端與客戶端能夠進行安全通訊,以防止通訊內容被監聽、篡改或重用。一般來說,客戶端服務器的通訊要采用以非對稱密鑰為基礎的安全會話協議[6]。

3.NET保護機制的研究方案

3.1基于WUPI函數的軟件分模塊授權實現

通常部署在云中的應用程序為WEB應用程序,WEB應用程序可由.NET開發而成,但極易被反編譯。為了保護云中的程序代碼安全,基于WUPI函數可實現軟件的分模塊授權,實現中需在不同的方法或類中分配不同的授權,使用WUPI函數在軟件代碼中查詢不同的授權,并設定軟件在缺失授權的情況下做出相應的反應。軟件商可選擇隱藏菜單或顯示用戶出錯信息框。如使用另一個授權(產品碼)進行加密,可以實現最高安全強度;通過WUPI查詢,可對軟件行為預先設定。

加密程序啟動時,首先執行代碼,檢測是否有有效授權,如果檢測到授權,即自動分配并解密程序,同時運行完整性校驗以驗證程序是否遭受篡改攻擊。通過采用高效復雜的反調試及防逆向工程的方法,持續不斷的監測軟件是否受到安全威脅。一旦檢測到威脅,即刻終止程序[6]。

3.2云應用程序的登錄安全保護

由于云應用程序處于企業網絡和監測能力的范圍之外,所以它們需要強有力的身份驗證和授權控制[2]。客戶端的授權也是軟件授權方式的體現,另外賬戶盜用就是一種常見的云安全問題,所以軟件開發者需要實施一種比內部應用程序更為嚴格的身份驗證策略,可以充分利用.NET云身份認證功能。

用戶登錄時,服務器創建一個隨機的challenge。用戶使用私鑰對challenge予以簽名,并將其簽名作為應答返回至服務器。服務器使用公鑰,在服務器中對用戶身份進行確認。將公鑰存儲在服務器,即使黑客獲得了數據庫中的公鑰,因為私鑰存儲在用戶PC,黑客也無法冒充用戶進行非法登錄。

3.3管理數據庫的授權安全性

云產品的出現,基于云戰略的云中數據庫SQL Azure安全性至關重要,它可以在任何時間提供客戶數據應用。SQL Azure為基于Transact-SQL的數據庫訪問提供了一個TDS接口,將邏輯上的管理與物理上的管理分離了出來,提供大規模的、多租戶的數據庫服務,以及提供企業級的可用性、可擴展性、安全性和自我修復能力。

4基于.NET的云授權部署與配置[3]

4.1使用URL授權

URLAuthorizationModule將用戶和角色映射到URI名稱空間中的元素。該模塊同時實現肯定和否定的授權聲明。也就是說,該模塊可以根據用戶的某種身份,選擇性地允許或拒絕該用戶訪問URI名稱空間中的任意元素。下面的例子為某些域用戶授權,但拒絕其他用戶[1]。

〈configuration〉

〈system.web〉

〈authentication mode="Windows" /〉

〈authorization〉

〈allow users="domain1user, domain2user2, domain1user3 /〉

〈deny users="*" /〉

〈/authorization〉

〈/system.web〉

〈/configuration〉

4.2鎖定配置設置

.NET配置在本質上是層次化的,在計算機級別、應用程序級別和子應用程序級別具有可選的配置文件。子級別配置文件可用于替代更高級別的設置,或用于添加其他配置信息。盡管它提供了很高的靈活性,但有時候管理員希望加強配置設置,不允許他們被指定的應用程序替代。例如,宿主網站的管理員希望指定代碼訪問安全級別,不允許單個應用程序更改它。結合使用〈location〉元素和allowOverride屬性可以實現這一目的[7～8]。

宿主網站的管理員希望確保所有應用程序都不能調用非托管代碼。以下配置文件片段說明管理員如何鎖定整個站點的代碼訪問配置設置,并限制高信任級別的應用程序(不允許調用非托管代碼):

〈location path="somesitepath" allowOverride="false"〉

〈trust level="high" originUrl="http://somesite.com" /〉

〈/location〉

path屬性可以指向站點或虛擬目錄,它適用于指定目錄及其所有子目錄。在上面的示例中,如果將allowOverride設置為“假”,則能夠保護站點內的所有應用程序不被〈location〉元素中指定的配置設置替代。鎖定配置設置的功能適用于所有設置,而不僅限于信任級別這樣的安全設置。

4.3Azure SQL數據庫的授權安全性實現[9～10]

從授權角度看,Azure SQLDatabase實現方法更適合用在服務器層次上,在管理一個托管各個SQL Database的邏輯SQL Server(包括表示一個數據庫管理單元的Azure平臺結構)時,必須用到主數據庫中預定義的loginmanager和dbmanager兩個角色[3]。

細分訪問權限,使用GRANT、REVOKE和DENY T-SQL語句控制每一個模式、對象實例或語句層次的權限。

創建登錄帳號,需要創建一個主數據庫連接會話,而創建用戶帳號需要直接連接目標數據庫。從授權角度看,這個登錄帳號是唯一的,隱含分配了loginmanager和dbmanager角色所關聯的權限,并可以用它連接同一個邏輯服務器的任何一個數據庫。

使用CREATE LOGIN T-SQL語句創建更多的登錄帳號。要想使用帳號信息連接任何一個數據庫(包括主數據庫),必須先在該數據庫上創建一個相對應的用戶帳號。如果要指定一個loginmanager或dbmanager角色的新成員,則需要先使用服務器級主登錄帳號登錄主數據庫,創建一個新的登錄帳號,然后再創建一個與此登錄帳號相關聯的用戶(使用CREATEUSER (...) FROM LOGIN T-SQL語句),最后再執行sp_addrolemember存儲過程。類似地,如果想讓這些登錄帳號可用于連接或管理任何一個用戶數據庫,則需要先連接該數據庫,在該數據庫上創建一個關聯的用戶帳號,最后再執行sp_addrolemember存儲過程將新創建的用戶分配給一個或多個數據庫級角色[5]。

5結語

文中針對云授權安全技術,提出了基于.NET的云授權保護機制解決方案,并對云授權系統開發中的保護機制,從云授權安全的角度出發,研究云授權安全關鍵技術,同時研究支持實施云授權安全的相關標準和規范。分析出基于函數的軟件分模塊授權、云應用程序的登錄安全保護以及管理數據庫的授權安全性解決方案,通過部署與配置基于.NET的云授權技術,包括使用URL授權、鎖定.NET配置設置以及數據庫的授權安全性實現,該方案的提出與分析,為進一步提高網絡安全技術提供參考依據。

參 考 文 獻

[1] 侯曉歡,陳梅,李暉,等.基于醫療健康云平臺的數據分析云服務研究究[J].計算機與數字工程,2015,43(4):656-657.

HOU Xiaohuan, CHEN Mei, LI Hui, et al. Data Analysis AS A Cloud Service Based on Healthcare Cloud[J]. Computer & Digital Engineering,2015,43(4):656-657.

[2] 劉伉伉,謝福,郭雪雪,等.基于BP神經網絡的云計算入侵檢測技術研究[J].計算機與數字工程,2014,42(12):2357-2358.

LIU Kangkang, XIE Fu, GUO Xuexue, et al. Cloud Computing Environment Intrusion Detection Technology Based ON BP Neural Network[J]. Computer & Digital Engineering,2014,42(12):2357-2358.

[3] 城田真琴.大數據的沖擊[M].北京:人民郵電出版社,2013:3-9.Shirota Makoto. Impact of big data[M]. Beijing: People’s Posts and Telecommunications Press,2013:3-9.

[4] 周敏.GARBF在網絡入侵檢測中的應用研究[J].計算機仿真,2011,28(6):165-168.

ZHOU Min. APPlication of Intrusion Detection Based on RBFNN AND Genetic Algorithm[J]. Computer Simulation,2011,28(6):165-168.

[5] 王珊,王會舉,覃雄派,等.架構大數據:挑戰、現狀與展望[J].計算機學報,2011,34(10):1741-1752.

WANG Shan, WANG Huiju, QIN Xiongpai, et al. Architecting Big Data: Challenges, Studies and Forecasts[J]. Chinses Journal of Computers,2011,34(10):1741-1752.

[6] 李建華,張愛新,薛質,等.網絡安全協議的形式劃分析與驗證[M].北京:喬宇,2010:7-8.

LI Jianhua, ZHANG Aixin, XUE Zhi, et al. Netword security protocol formal analysis and verification[M]. Beijing: Qiao Yu,2010:7-8.

[7] 馮登國,張敏,張妍,等.云計算安全研究[J].軟件學報,2011,22(1):71-83.

FENG Dengguo, ZHANG Min, XUE Zhen, et al. Study On Cloud computing Security[J]. Journal of Software,2011,22(1):71-83.

[8] 張健,曹光.互聯網中云計算技術研究[J].電信網技術,2009,10(10):1-4.

ZHANG Jian, CAO Jiguang. Study On Cloud Computing Technology[J]. Telecommunications Netword Technology,2009,10(10):1-4.

[9] Jia Ru, Jacky Keung. An Empirical Investigation oa the Simulation of Priority and Shortest-job-First Sched-uling for Cloud-based Software Systems[C]//Austral-ian Conference on Software Engineering,2013.

[10] S. Selvarani, G. Sadhasivam. Improved cost-based al-gorithm for task scheduling in cloud computing[C]//Computational Intelligence and Computing Research(ICCIC), IEEE International Conference,2010.

Cloud Authorization Technology Solutions Based on .NET

LIU Yintao1LIU Nan2

(1. Department of Information Engineering, Shaanxi Polytechnic Institute, Xianyang712000)(2. Basic Department, Shaanxi Polytechnic Institute, Xianyang712000)

AbstractFrom the point of view of cloud security, cloud security key technologies and research support for the implementation of cloud security related standards and norms are studied. The functions of the software sub module authorization, cloud application login security protection and management of the database security solutions are analyzed, through the deployment and configuration of cloud based .NET technology, including the use of URL authorization, lock .NET configuration settings and authorization security of the database, a reference for the further research of cloud security technology is provided.

Key Wordscloud authorization, protection mechanism, database authorization, solution

收稿日期:2015年12月10日,修回日期:2016年1月19日

基金項目:2013年陜西省高等職業教育和繼續教育教學改革研究項目(編號:13Z17);陜西工業職業技術學院自選科研項目(編號:ZK13-38)資助。

作者簡介:劉引濤,男,碩士,講師,研究方向:軟件技術。

中圖分類號P315.69

DOI:10.3969/j.issn.1672-9722.2016.06.033