浅析SOA的企业应用中跨安全域访问控制.doc

浅析SOA的企业应用中跨安全域访问控制 　　摘 要:经过WS(Web)服务扩展的SOA(面向服务架构)以其松散耦合、技术无关、互操作和开放性等特性, 克服了传统架构集成成本高、实现复杂等弱点 , 可以很好地适应分布式异构系统集成和变更的需求,成为集团型企业应用系统集成架构的首选但是的开放性却对集成系统的安全性,尤其是跨安全域访问的安全性提出了巨大的挑战 　　关键词:SOA 集团型企业 安全域 认证授权 　　 　　本文所谓“安全域”是指具备一定的目标安全功能、结构上相对独立、执行相同WS-策略的子网或网络 用户访问所属安全域的资源称为域内访问, 而访问其他安全域的资源则称为跨安全域访问 　　集团型企业总部及各分子公司之间频繁的信息交互与互操作意味着大量高频率的跨安全域访问的存在这些访问并非简单的数据访问,可能包含复杂的服务调用由于跨域访问穿越了WS-2策略的边界,因此, 确保跨安全域访问的可访问性、安全性和私密性成为基于SOA 的企业应用系统集成的首要任务为了解决跨安全域访问的安全问题, Web认证与授权成为SOA的关键技术但现行的实现方法很难同时实现的松散耦合性和系统的安全性 　　为解决以上问题, 本文提出了一种新的基于SOA的跨安全域访问控制方案。

该方案通过建立基于代理的综合服务认证授权系统, 在整个集团内部进行统一的身份认证授权, 屏蔽掉各分子公司应用系统的平台差异, 充分实现SOA松散耦合的特性,使整个系统具备高度的安全性、良好的可扩展性和可集成性 　　一、系统总体结构 　　在目前的实际应用中, Web认证与授权的具体实现方法基本上可分为以下两类: 　　1.编程的方法将用户信息存于数据库中, 在应用程序的入口处进行身份认证, 并在应用程序的各功能模块中加入相应的安全策略代码, 以实现资源访问控制这类方法的主要局限性在于应用系统的安全逻辑同应用逻辑紧密耦合在一起, 在集成过程中对原有安全体系利用率低, 无法真正实现SOA的松散耦合特性, 整个系统的可扩展性、可变性更差 　　2.应用服务器的认证与授权方法成为主流的Web认证与授权技术该方法由应用服务器提供安全管理功能和安全部署平台, 将安全策略独立于应用逻辑, 并从开发阶段迁移到部署阶段来完成,这样提高了构建Web安全体系的效率但是这种安全模型只适用于一个应用服务器下的跨安全域访问控制, 而在集团型企业内部, 各个分子公司都有各自的应用服务器, 要实现多个应用服务器之间的跨域访问, 这种方法很难应对。

　　本文提出了一种新的基于SOA的跨安全域访问控制方案该方案在传统的SOA实现模型基础上, 于服务总线上建立一个独立的服务认证授权系统, 完成对各分子公司以及总部提供的服务资源进行共享管理和访问控制, 保证系统跨安全域访问的安全可靠如图1 所示, 整个系统由位于总部的全局认证授权中心(globalauthentication authorization center GAAC)和多个位于分子公司的企业认证授权中心(enterprise authentication authorization center ,EAAC EAAC GAAC)组成 　　(1)服务信息管理模块 　　该模块由服务注册和服务查询2大模块组成安全架构内的所有服务必须进行统一注册,用于实现集团内跨域应用中服务的查找和匹配注册信息包括必要的服务接口描述、服务状态、以及服务调用 　　安全策略等 　　(2)身份管理模块 　　该模块分为抽象用户管理和身份认证2 大模块, 进行集中式的用户抽象身份管理, 利用基于角色的 访 问 控 制 模 型 (role based access control, RBAC),对从服务查询模块接收到的用户信息进行用户身份验证。

　　(3)授权管理模块 　　该模块在安全服务系统内设定每个服务所属的授权限制系统可基于服务提供者注册的调用策略和服务使用者注册的需求信息对相关服务的抽象用户进行指定的访问授权, 支持运行时的访问控制 　　(4)系统管理模块 　　该模块由系统维护和平台用户管理2个模块组成, 系统维护模块提供集中式的总体维护功能, 对必要的参数和规则库进行修改, 对整个系统的性能、质量进行监督和管理而平台用户管理模块对整个系统平台内3个层面的用户进行管理, 即企业级的功能设计用户、复杂服务编排用户以及系统管理员 　　(5)令牌中心模块 　　对于通过身份认证的用户, 令牌中心对其发放令牌, 以便合法用户利用该令牌访问其他安全域的服务资源 　　EAAC与GAAC的功能结构相似, 对各自所在域的抽象用户, 服务资源等进行管理但对跨安全域的相关认证和授权均交由GAAC统一管理, 因此,EAAC不需要令牌中心功能模块 　　二、跨安全域访问控制流程 　　一般而言, 基于角色的访问控制仅适用于在一个安全域内实现, 不适合对跨域访问进行控制, 因为每个安全域都不持有其他域最终用户的身份验证信息本系统将安全域内和跨域访问分开, 采用不同的方式处理。

对于最终用户的基本身份验证信息如用户、角色、资源的定义都保留在该用户所在的域内对于跨安全域的访问, 则通过GAAC /EAAC提供的身份认证授权系统来进行控制 　　当一个用户Au用自己的身份调用自己所在安全域Ar内的一个服务As(该部分身份认证及授权由本域完成),而该服务需调用另一安全域Br内的服务时, 将发生跨安全域服务访问图2示出一次典型的跨安全域服务调用的流程如下: 1、As向本域内的身份代理发出服务调用请求, 并获取该服务跨域调用时可用的抽象用户身份2、利用抽象用户身份Aa向总部发起服务调用请求; 3、如果通过权限验证, 总部返回授权的身份令牌和服务的可用状态, 以及服务动态绑定的信息,Ar借此得到Br的服务可用状况和调用方式; 4、利用该令牌访问远端域Br的身份认证及授权模块,发出对Bs的服务请求; 5、通过并执行该服务请求;6、Bs向As传回服务响应 　　其中, 抽象用户的集合由总部的身份认证及授权模块集中管理各个应用程序域中应持有与本域功能相关的全部用户名/密码对, 用于安全访问控制流程中的代理授权, 即从终端用户Au身份获取抽象用户Aau身份这些信息在各应用程序域内应加密存储。

安全服务系统对用户名、密码做出更改后, 通过加密的传输手段自动分发到相关的应用程序域,以实现最终的功能同步 　　三、系统实现 　　1.认证和授权的实现 　　为了使本文设计的服务认证授权系统能够在分布式异构环境中协同工作, 本系统采用安全断言标记(SAML security authentication markup language)实现能跨安全域传递标准化安全令牌的单点登录机制 　　SAML的基本目的是提供可跨域交换身份认证和授权信息的协议, 而且SAML现已被广泛接受和应用使用SAML令牌(包含了表示用户相关信息的SAML声明)作为单点登录过程中使用的令牌, 可以使本系统具备其他单点登录系统所不具备的标准性、开放性、通用性, 以及跨安全域实施等优势 　　基于SAML单点登录通常有2种基本模型, 即Pull模型和Push模型本系统选用Pull模型, 将维护令牌或声明的工作交由源站点来完成, 以减轻目标站点的处理负担  　　2.传输级安全的实现 　　当发生跨域服务调用时, 信息和数据在不同的安全域之间传输时会暴露在开放的Internet环境中,因此,只有确保信息在传输过程中不被破坏或泄漏才能保证整个系统的安全性。

在传输级别的点对点安全措施方面, 现有的成熟方案包括SSL(secure socket layer) TLS(transport layer security)和IPSec SSL等本系统采用方便实现, 开销适当的SSL保证该层面的安全 　　SSL安全套接层协议, 是使用公钥和私钥技术组合的安全网络通讯协议, 该协议通过在浏览器软件和Web服务器之间提供一个安全通道, 实现信息在Internet中传送的保密性在TCP/IP协议族中, 　　位于TCP层之上, 应用层之下, 对应用程序之间传送的数据进行加密和隐藏, 确保数据在传送中不被改变 　　3.数据加密的实现 　　在本系统中, GAAC/EAAC与服务请求者、服务提供者的交互信息均以统一的XML格式描述数字签名对保障XML数据的完整性、不可否认性以及提供身份鉴别起到了关键的作用考虑到对诸如为XML文档的特定部分签名、多人对同一XML文档签名等的实际需要, 本系统采用XML数字签名对XML数据进行加密 　　XML数字签名是W3C定义的一个标准的、基于XML的数字签名表示格式, 是签署数字内容的一个标准处理模型XML数字签名是对传统数字签名技术的发展, 它基于目前被广泛使用的公共密钥体系(PKI) , 定义了一系列XML元素, 这些元素可内嵌或以其他方式附加在任何XML文档中。

接受方可以验证收到的消息与发送方原本发送的消息是否相同, 从而实现XML数字签名 　　四、总结与验证 　　本文针对集团型企业进行应用系统集成时面临的安全问题, 提出了一种新的基于SOA的跨安全域访问控制方案该方案通过建立一个独立的基于代理的综合服务认证授权系统, 充分实现了SOA的松散耦合特性, 有效提高了系统的安全性、可扩展性和可变更性, 解决了跨域访问控制的难题 　　该方案某集团型企业信息化建设中初步显示了良好的应用价值该集团型企业拥有多家分子公司, 分布在全国各地各分子公司的IT系统差异很大, 造成整个系统集成难度较大本文提出的跨安全域访问控制方案能够借助SOA的松散耦合特性, 重组企业业务信息资源,解决系统间的兼容问题, 建立有效的服务共享机制,同时很好的满足集团对系统安全性的特殊要求◆ 　　注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文  （本文来源：《论文资料库》 ）。