基于Web服务的访问控制技术研究

吴海波

（淮南师范学院 计算机与信息工程系，安徽 淮南 232038）

Web服务是一个新型的服务协议，具有简单、可扩展、开放性、松散耦合和跨平台等特点，通过Web技术，使各种不同平台上的系统能够方便地进行数据和功能共享，实现互操作。但Web服务作为一种新兴技术，不可避免的有其局限性，突出问题就是安全性。因此为保证Web服务的安全性和互操作性，亟待找到一种方案以解决其访问控制的安全问题。

本文研究了单点登录技术和访问控制技术，在此基础上设计了一个基于SAML的单点登录和基于XACML的Web服务访问控制系统模型，该模型支持集中的用户管理和统一的身份认证，并且经过分布与集中相结合的服务和授权进行访问控制。

1 相关技术

1.1 SAML技术

1.1.1 SAML概念

SAML是由OASIS安全服务协会制定的基于XML框架的一种安全性标准，称为安全声明标记语言。SAML具有以下特点：提供单点登录身份验证的功能；每个独立的系统都能为用户的身份验证和建立独立的授权方案；能在不同类型的安全服务系统之间实现交互。

1.1.2 SAML规范

SAML规范有：声明、请求/响应协议、绑定和概要。

（1）声明

声明传递主体所执行的验证、主体属性、是否允许主体访问特定资源的授权决策等信息。主体是一个实体（人或计算机），这个实体在某个信任域中拥有一个特定身份。一组声明组成一个主体的配置文件，配置文件中的声明可能来自不同的组织。

（2）请求/响应协议

SAML定义了基于XML的请求/响应消息协议，能够在域中参与交互的多方之间传送SAML声明。协议规定了两点间共享SAML数据(声明)所需交换的消息种类和格式。

（3）绑定

SAML绑定详细描述了SAML协议在网络传输中安全规范。SAML可以和多种通信协议或消息交换协议进行绑定或链接，例如HTTP,FTP,SMTP,SOAP等。并且可以利用被绑定协议原有的安全机制实现SAML传输的简单安全性。

（4）SAML 概要

SAML概要定义了将SAML声明嵌入到协议或其他上下文中及提取SAML声明的规则和指南。通过SAML概要，应用可以在SAML消息中无缝地安全地交换信息，高效率的与支持SAML的系统实现交互操作。

1.1.3 Web服务的单点登录模型

利用SAML实现的Web服务的单点登录模型如图1：

图1 基于SAML的Web服务单点登录模型

从图1中能够看出，在各个信任方之间传输的是基于SAML的安全信息，因而能跨越各方的防火墙。用户只需提交一次认证信息，即可在不同域之间、不同的Web服务之间实现单点登录。

1.2 XACML的访问控制技术

1.2.1 XACML概念

OASIS推出的XACML（可扩展访问控制标记语言）是基于XML标准的一种通用的用于保护资源的策略语言和访问决策语言，用来表示控制信息访问的规则和策略。XACML还定义了授权决策所需必要规则的语言，提供了比简单地拒绝访问或授权访问更加细粒度的控制访问机制。

1.2.2 XACML访问控制决策模型

基于XACML的访问控制决策模型是由若干个功能模块构成的。当请求方发出访问请求时，策略执行点 （PEP）将接受到的访问请求转发给XACML上下文管理器。XACML上下文管理器收集完一定信息后向策略决策点（PDP）提出决策请求，策略决策点（PDP）根据策略管理点（PMP）提供的策略，依据既定的逻辑对决策请求做出判决，并返回判决结果。最后由上下文处理器将结果返回策略执行点（PEP），由策略执行点来实施决策结果，向请求方提交是允许请求还是拒绝请求。XACML的访问控制决策模型如图2：

图2 基于XACML的访问控制决策模型

2 基于SAML和XACML的Web服务访问控制模型

要在各个企业中广泛的应用Web服务，就要解决Web服务的安全问题。那么其中最重要的问题是多个联合信任域内的用户身份验证问题和单点登录问题。使用单点登录技术，用户能够仅使用一次身份验证而同时获得多个Web服务。这里可以用SAML来解决单点登陆问题。

如果要对Web服务进行访问控制，可以使用XACML语言。XACML语言支持多样化的策略组合和参数化的策略描述，有可扩展性，同时能够融入SOAP调用时使用的XML结构中，适用于分布式系统的访问控制。

如果能够结合基于SAML的单点登陆和基于XACML的访问控制，就可以很好地对Web服务进行访问控制。利用SAML可以实现一次登录、多次访问，同时使用XACML提供具体的策略方案来实现授权访问控制，这样就可以把两者无缝结合用来对Web服务进行授权访问控制。

因此，可以在SAML的基础上结合XACML来对Web服务进行访问控制，系统结构模型和各个模块之间的关系如图3所示：

图3 基于SAML和XACML的Web 服务访问控制模型

该模型由五个部分组成:用户，目标服务，ASPECT管理，身份验证服务，访问控制服务。

（l）用户

用户是指提交访问目标服务请求的请求方。

（2）目标服务

目标服务是给用户提供的Web服务，接受调用。

（3）Aspect管理

AsPect管理(切面管理模块)用来实现用户端与目标服务的交互操作，与目标服务组成目标服务域。

（4）身份验证服务

是一个web服务，提供用户的登陆和SAML身份认证声明与令牌，用于身份认证信息在不同的信息系统之间的传递。

（5）访问控制服务

访问控制服务是一个独立的服务，为用户对目标服务的访问请求提供访问控制公共安全策略，保证服务只能被授权的用户访问。在访问具体服务时，如果还有本地策略控制，则需要均满足才能访问目标服务。访问控制服务采用基于XACML的访问控制模式，将整个系统中的用户访问权限信息集中进行管理，简化了授权管理，易于维护。使用XACML规范中的访问控制语言模型来描述相关的授权信息，使得系统具有良好的兼容性和扩展性。

本文在分析SAML和XACML的基础上，其中重点介绍了SAML和XACML两者如何结合及其结合点，从而利用两者的无缝结合来对Web服务进行访问控制。提出了一种基于SAML和XACML的Web服务访问控制模型。该模型实现了对Web服务的单点登录，多点访问，并且使用XACML对用户进行访问授权控制。

[1]王子才.基于XACML的访问控制技术的应用研究[D].大连:大连海事大学,2006

[2]李松.基于XACML统一策略的访问控制服务研究与实现[D].成都:四川大学,2006

[3]吴敏.Web Services访问控制机制及其整合研究[D].上海:东华大学,2006

[4]张广志.多安全域Web服务访问控制研究[D].北京:中国石油大学,2008