Web資源訪問控制技術(shù)研究綜述

　　摘要：訪問控制是保護(hù)Web資源安全的重要技術(shù)之一，其任務(wù)是通過限制用戶對Web資源的訪問能力及范圍，保證Web資源不被非法的使用和訪問。文章從Web資源訪問控制模型和Web資源訪問控制應(yīng)用技術(shù)2個方面對Web資源的訪問控制問題進(jìn)行綜述；最后對未來的研究趨勢進(jìn)行了展望。

　　關(guān)鍵詞：Web資源；訪問控制；訪問控制模型

　　隨著Web技術(shù)的應(yīng)用和發(fā)展，Web資源的安全問題也日益突出，某些重要、敏感的Web資源遭受非法的訪問和竊取成為Web安全面臨的主要問題。訪問控制能夠保證資源不受非法的訪問和使用。目前的訪問控制技術(shù)基本上能夠有效地對傳統(tǒng)數(shù)據(jù)信息資源進(jìn)行保護(hù)，但Web資源的復(fù)雜性、動態(tài)性以及Web應(yīng)用系統(tǒng)的多樣性特點(diǎn)給Web資源訪問控制研究帶來了新的挑戰(zhàn)，如何發(fā)展傳統(tǒng)的訪問控制技術(shù)解決Web資源的安全問題成為研究熱點(diǎn)。

　　1Web資源訪問控制模型

　　與傳統(tǒng)的信息資源相比，Web資源具有自身的特點(diǎn)，這給訪問控制研究提出了新的挑戰(zhàn)，主要體現(xiàn)在以下2個方面：

　?。?）Web資源種類多樣，粒度也可能不同，并且這些Web資源相互交織在一起，雜亂無序，這給Web資源權(quán)限管理和統(tǒng)一訪問控制的實施帶來了困難。

　　（2）Web資源的數(shù)目、種類可能會不斷增加和更新，同時資源生成的過程也具有動態(tài)性。動態(tài)生成的Web資源在訪問之前是不確定的，所以較難對其進(jìn)行訪問控制。

　　針對Web資源的上述特點(diǎn)，文獻(xiàn)[1]研究了RBAC模型在Web環(huán)境下的應(yīng)用，簡化了Web頁面的授權(quán)管理，提高了訪問控制效率。文獻(xiàn)[2]以RBAC為理論基礎(chǔ)，提出了基于角色-頁面的訪問控制模型，通過控制頁面對用戶是否可見的方式實現(xiàn)用戶權(quán)限的控制。該模型減少了編程實現(xiàn)過程中繁瑣的權(quán)限判斷邏輯代碼，方便Web應(yīng)用系統(tǒng)訪問控制的實施，但模型只能對粗粒度的Web頁面資源進(jìn)行訪問控制，無法實現(xiàn)對Web頁面中圖片、表格等細(xì)粒度Web資源的訪問控制。文獻(xiàn)[3]提出了一種適用于Web應(yīng)用系統(tǒng)的訪問控制模型，模型按照資源粒度的不同，將Web資源分為頁面、操作點(diǎn)和列表中的數(shù)據(jù)，一定程度上實現(xiàn)了Web資源的細(xì)粒度訪問控制。

　　Al-Kahtani和Sandhu提出了基于規(guī)則的RBAC模型[4]，模型中通過定義規(guī)則，根據(jù)用戶的屬性和系統(tǒng)的安全策略為用戶自動分配角色，降低了人工分配角色的工作量。但模型中對規(guī)則的描述比較籠統(tǒng)，只給出了針對同一資源屬性的訪問控制策略處理方法，沒有考慮到多種資源屬性對訪問控制的需求。而且，模型中規(guī)則數(shù)目會隨著用戶屬性數(shù)目的增長呈指數(shù)增長[5]，導(dǎo)致規(guī)則管理繁瑣。

　　針對上述RBAC擴(kuò)展模型存在的不足，一些研究將基于屬性的訪問控制模型（ABAC）應(yīng)用到Web環(huán)境下。文獻(xiàn)[6]使用可擴(kuò)展訪問控制標(biāo)記語言（XACML）對ABAC進(jìn)行了建模，設(shè)計了基于XACML的ABAC訪問控制模型用來解決細(xì)粒度的Web服務(wù)訪問控制問題。

　　2Web資源訪問控制應(yīng)用技術(shù)

　　2.1基于Web應(yīng)用的Web資源訪問控制

　　文獻(xiàn)[7]構(gòu)造了客體層次RBAC模型，并基于該模型結(jié)合自定義標(biāo)簽技術(shù)、AOP技術(shù)，構(gòu)建了一個獨(dú)立于應(yīng)用邏輯的、可快速部署、可擴(kuò)展的JavaWeb信息系統(tǒng)細(xì)粒度訪問控制方案，實現(xiàn)了細(xì)化到Web頁面元素和控制層方法的Web資源訪問控制。

　　2.2基于服務(wù)器插件的Web資源訪問控制

　　文獻(xiàn)[8]中設(shè)計了一種面向ASP頁面資源的細(xì)粒度訪問控制系統(tǒng)。該系統(tǒng)以Web服務(wù)器插件的形式實現(xiàn)，通過截獲用戶請求，根據(jù)訪問控制策略重新組織形成新的ASP頁面供服務(wù)器解釋執(zhí)行，最后將結(jié)果返回給用戶。該技術(shù)一定程度上實現(xiàn)了訪問控制和應(yīng)用開發(fā)相分離，支持對ASP頁面資源的細(xì)粒度、動態(tài)的訪問控制，不足之處是保護(hù)對象只限于ASP頁面，無法適用基于JSP、PHP等其它語言開發(fā)的動態(tài)頁面。

　　3Web資源訪問控制研究展望

　　通過上述分析，筆者認(rèn)為未來Web資源訪問控制迫切需要解決以下兩個問題：

　?。?）如何根據(jù)Web資源的特點(diǎn)，設(shè)計適用于Web資源的訪問控制模型，為Web資源訪問控制提供理論基礎(chǔ)。

　　由于Web資源自身的復(fù)雜性、動態(tài)性以及Web環(huán)境下用戶數(shù)量巨大、身份復(fù)雜等特點(diǎn)，使得傳統(tǒng)的DAC、MAC以及RBAC等訪問控制模型在直接應(yīng)用于Web資源的訪問控制時都存在一些弊端，如何設(shè)計適用于Web資源的訪問控制模型將繼續(xù)成為研究的熱點(diǎn)?；趯傩缘脑L問控制模型由于其靈活、可擴(kuò)展性強(qiáng)等特點(diǎn)，未來會更加受到業(yè)界的關(guān)注和研究。

　?。?）如何在滿足多類型、多粒度的靜、動態(tài)Web資源訪問控制需求的前提下，實現(xiàn)對Web應(yīng)用系統(tǒng)透明的Web資源訪問控制。

　　目前Web資源的訪問控制實現(xiàn)方式普遍與應(yīng)用系統(tǒng)緊密結(jié)合在一起，通用性較差，增加了重復(fù)開發(fā)的負(fù)擔(dān)?；诖淼脑L問控制實現(xiàn)方式具有一定的通用性，但是訪問控制功能簡單，無法滿足多類型、多粒度的靜、動態(tài)Web資源對透明訪問控制的需求，基于數(shù)據(jù)流分析的Web資源訪問控制方式提供了很好的解決思路，但實現(xiàn)難度較大，需要進(jìn)一步深入的研究。

　　參考文獻(xiàn)

　　[1]J.S.Park，R.Sandhu.Role-basedaccesscontrolontheweb[J].ACMTransactionsonInformationandSystemSecurity，2001，4(1):37-71.

　　[2]倪晚成,劉連臣等.基于角色-頁面模型的Web用戶訪問控制方法[J].計算機(jī)工程與應(yīng)用,2006,21:124-126.

　　[3]黃純國,劉福順.Web系統(tǒng)訪問控制模型研究[J].小型微型計算機(jī)系統(tǒng),2007,28(10):1827-1831.

　　[4]A.Al-Kahtani,R.Sandhu.AModelforAttribute-BasedUser-Roleassignment[C].Proceedingsofthe18thAnnualComputerSecurityApplicationsConference,LasVegas，Navada,IEEEComputerSocietyPress,2002.

　　[5]朱一群.Web服務(wù)器訪問控制研究[D].上海交通大學(xué),2008,5.

　　[6]沈海波,洪帆.面向Web服務(wù)的基于屬性的訪問控制研究[J].計算機(jī)科學(xué),2006,33(4):92-96.

　　作者張宇于殿澤

《Web資源訪問控制技術(shù)研究綜述》

上一篇：對中頻數(shù)字化接收機(jī)的數(shù)字信號處理技術(shù)的探討

下一篇：安全技術(shù)在計算機(jī)軟件開發(fā)中的應(yīng)用