淺談一種基于數(shù)據(jù)流分析的Web資源訪問控制實(shí)施框架

張宇?于殿澤

摘 要 為實(shí)現(xiàn)多類型、多粒度的靜、動態(tài)Web資源的透明訪問控制，本文設(shè)計(jì)一種基于數(shù)據(jù)流分析的Web資源訪問控制實(shí)施框架，對網(wǎng)絡(luò)數(shù)據(jù)流中禁止用戶訪問的Web資源進(jìn)行識別，達(dá)到對Web資源實(shí)施透明訪問控制的目的。

關(guān)鍵詞 Web資源;訪問控制實(shí)施框架;訪問控制

1構(gòu)架的提出

常用的基于Web應(yīng)用、基于服務(wù)器插件以及基于應(yīng)用代理等實(shí)現(xiàn)方式無法同時(shí)滿足多類型、多粒度的靜、動態(tài)Web資源對透明訪問控制的需求，針對這個(gè)問題，本文對通用訪問控制框架[1]進(jìn)行擴(kuò)展，設(shè)計(jì)了一種基于數(shù)據(jù)流分析的Web資源訪問控制實(shí)施框架FWRAC，框架中采用了數(shù)據(jù)流分析[2]的思想解決Web資源的訪問控制問題[1]。

2Web資源訪問控制實(shí)施框架

Web源訪問控制實(shí)施框架FWRAC的基本組成如圖1所示，主要由ACI/R、ADF、PRCF、AEF四部分組成。

其中ACI/R由角色分配策略庫、元權(quán)限分配策略庫以及上下文環(huán)境引擎組成，主要功能是為訪問控制權(quán)限裁決提供訪問控制策略信息以及上下文環(huán)境信息;ADF由用戶屬性權(quán)威和用戶權(quán)限裁決單元組成，主要功能是基于RBAC模型[3]的思想，根據(jù)用戶提交的屬性證書，裁決生成用戶所具有的權(quán)限;PRCF是針對基于數(shù)據(jù)流分析的Web資源訪問控制機(jī)制對權(quán)限裁決信息的需求而設(shè)計(jì)，由Web資源管理單元和識別規(guī)則生成單元組成，主要功能是根據(jù)用戶的權(quán)限生成網(wǎng)絡(luò)數(shù)據(jù)流中的Web資源識別規(guī)則;AEF采用網(wǎng)絡(luò)數(shù)據(jù)流分析的方式對用戶的資源請求與資源響應(yīng)進(jìn)行控制，由網(wǎng)絡(luò)數(shù)據(jù)流屬性提取單元、Web頁面資源識別單元、頁面元素資源識別單元以及網(wǎng)絡(luò)數(shù)據(jù)流操作單元組成，主要功能是根據(jù)網(wǎng)絡(luò)數(shù)據(jù)流中Web資源識別規(guī)則，對網(wǎng)絡(luò)數(shù)據(jù)流中的Web資源進(jìn)行識別，并根據(jù)識別結(jié)果對網(wǎng)絡(luò)數(shù)據(jù)流執(zhí)行相應(yīng)的操作[2]。

3框架的工作過程

3.1 訪問權(quán)限裁決過程

①用戶在經(jīng)過身份認(rèn)證后，登錄Web應(yīng)用系統(tǒng)，向?qū)傩詸?quán)威提交證明其屬性信息的屬性證書;②用戶屬性權(quán)威接收用戶的屬性證書，對用戶屬性證書進(jìn)行驗(yàn)證，解析出用戶所具有的屬性信息，并將用戶屬性信息提交給用戶權(quán)限裁決單元;③用戶權(quán)限裁決單元根據(jù)用戶的屬性信息查詢ACI/R中的角色分配策略庫，為用戶分配角色;④用戶權(quán)限裁決單元根據(jù)ACI/R中的元權(quán)限分配策略和環(huán)境屬性引擎收集的當(dāng)前上下文環(huán)境信息;為用戶獲取的角色分配元權(quán)限;⑤用戶權(quán)限裁決單元根據(jù)用戶的元權(quán)限合成用戶的最終訪問權(quán)限，并將其傳遞給PRCF。

3.2 訪問控制施過程

①識別規(guī)則生成單元根據(jù)用戶的權(quán)限查詢Web資源管理單元;確定禁止當(dāng)前用戶訪問的Web頁面資源與頁面元素資源，并獲取這些資源的相關(guān)屬性信息;②識別規(guī)則生成單元根據(jù)禁止用戶訪問的Web資源屬性信息，生成針對當(dāng)前訪問用戶的網(wǎng)絡(luò)數(shù)據(jù)流中Web資源識別規(guī)則;③當(dāng)用戶通過瀏覽器訪問服務(wù)器中的Web資源時(shí)，網(wǎng)絡(luò)數(shù)據(jù)流屬性提取單元提取該訪問產(chǎn)生的請求與響應(yīng)網(wǎng)絡(luò)數(shù)據(jù)流的屬性信息，結(jié)合Web資源識別規(guī)則對網(wǎng)絡(luò)數(shù)據(jù)流中的Web資源進(jìn)行識別;④網(wǎng)絡(luò)數(shù)據(jù)流操作單元根據(jù)識別結(jié)果，對網(wǎng)絡(luò)數(shù)據(jù)流執(zhí)行相應(yīng)的操作。

4框架的特性分析

①支持靈活的Web資源訪問控制策略，能夠?qū)崿F(xiàn)對多種類型、不同粒度的靜、動態(tài)Web資源實(shí)施訪問控制。②支持對Web應(yīng)用系統(tǒng)透明的Web資源訪問控制，具有較強(qiáng)的通用性。③具有較高的效率，滿足Web應(yīng)用系統(tǒng)對服務(wù)性能的要求。

5結(jié)束語

本文在RBAC模型的基礎(chǔ)上，結(jié)合基于網(wǎng)絡(luò)數(shù)據(jù)流分析的Web資源訪問控制機(jī)制，設(shè)計(jì)了一種Web資源訪問控制實(shí)施框架，研究了框架的組成結(jié)構(gòu)、工作過程，并對框架特性進(jìn)行了分析。

參考文獻(xiàn)

[1] 單棣斌.基于數(shù)據(jù)流分析的Web資源訪問控制關(guān)鍵技術(shù)研究[D].鄭州：解放軍信息工程大學(xué)，2008.

[2] Ravi S.Sandhu，Edward J.Coyne，et al. Role-Based Access Control? Models [J].IEEE Computer，1996，29（2）：2.