楊帆，李文艷

（1.北京航空航天大學(xué) 計(jì)算機(jī)學(xué)院，北京 100191；2.中國(guó)建設(shè)銀行總行，北京 100033）

0 引言

面向服務(wù)的體系架構(gòu)（Service Oriented Architecture，簡(jiǎn)稱(chēng)為SOA）已經(jīng)成為分布式應(yīng)用的一種流行的設(shè)計(jì)規(guī)范，并成為了網(wǎng)絡(luò)環(huán)境下異構(gòu)系統(tǒng)和資源進(jìn)行互連和協(xié)作的高效解決方案，而服務(wù)是SOA架構(gòu)的核心概念。面向服務(wù)的計(jì)算，其基本思想是將應(yīng)用資源服務(wù)化，可通過(guò)服務(wù)描述文件，向潛在用戶(hù)提供符合統(tǒng)一規(guī)范的良定義的接口，以便進(jìn)行服務(wù)的發(fā)現(xiàn)、組合和調(diào)用，并實(shí)現(xiàn)松耦合的組織關(guān)系[1]。

當(dāng)服務(wù)使用因特網(wǎng)作為通信手段，并且遵循因特網(wǎng)的相應(yīng)標(biāo)準(zhǔn)規(guī)范時(shí)，服務(wù)為Web服務(wù)。由于Web服務(wù)的交互是基于公開(kāi)的通信協(xié)議和交互機(jī)制，調(diào)用接口也是開(kāi)放的，在實(shí)現(xiàn)便利性的同時(shí)，也因此帶來(lái)了相應(yīng)的安全問(wèn)題。

1 Web服務(wù)安全現(xiàn)狀

目前，Web服務(wù)面臨的主要安全威脅可以分為以下四大類(lèi)：

1.1 未經(jīng)授權(quán)的非法訪問(wèn)

Web服務(wù)交互的數(shù)據(jù)，尤其是隱私、機(jī)密數(shù)據(jù)，被非授權(quán)用戶(hù)進(jìn)行非法訪問(wèn)的風(fēng)險(xiǎn)，例如非授權(quán)方通過(guò)截取Web服務(wù)的交互數(shù)據(jù)獲取用戶(hù)的銀行賬戶(hù)信息。訪問(wèn)控制技術(shù)可以減少這方面的風(fēng)險(xiǎn)[2]。

1.2 未經(jīng)授權(quán)的消息修改

未經(jīng)授權(quán)的用戶(hù)對(duì)消息中整個(gè)數(shù)據(jù)的刪除和修改，或者針對(duì)性的對(duì)部分?jǐn)?shù)據(jù)進(jìn)行篡改、刪除和注入附加信息。例如偽造信息、會(huì)話(huà)劫持、重放攻擊。消息的加解密技術(shù)可以減少這方面的風(fēng)險(xiǎn)。

1.3 中間人攻擊

攻擊者攻占一個(gè)SOAP報(bào)文的傳輸中介，比如中介路由器，在參與方不知情的情況下，在Web服務(wù)的提供者和請(qǐng)求者之間通過(guò)傳輸中介對(duì)交互的報(bào)文信息進(jìn)行截取或篡改。消息的數(shù)字簽名技術(shù)可以減少這方面的風(fēng)險(xiǎn)。

1.4 拒絕服務(wù)攻擊

攻擊者通過(guò)發(fā)送大量無(wú)用的請(qǐng)求報(bào)文以占用大量資源，使得合法用戶(hù)的合法服務(wù)請(qǐng)求報(bào)文無(wú)法及時(shí)解析。例如，短時(shí)間內(nèi)發(fā)送大量的消息，尤其是含有解密或簽名驗(yàn)證需求的安全報(bào)文，會(huì)在短時(shí)間內(nèi)占用絕大多數(shù)的系統(tǒng)資源，將會(huì)嚴(yán)重的影響服務(wù)的可用性，甚至進(jìn)而影響服務(wù)所在中間件系統(tǒng)的可用性。XML的預(yù)處理技術(shù)，即對(duì)接收到的XML報(bào)文進(jìn)行分析處理，可以減少這種攻擊造成的威脅[3]。傳統(tǒng)的網(wǎng)絡(luò)安全機(jī)制，比如路由器、防火墻、IP地址訪問(wèn)限制，以及使用SSL安全套接字層，只能在網(wǎng)絡(luò)層保證Web服務(wù)安全。比如缺乏檢查網(wǎng)絡(luò)流量（例如SOAP報(bào)文中的XML格式文本）的內(nèi)容，以及授權(quán)驗(yàn)證和訪問(wèn)控制決策的能力。

2 基于策略的安全處理辦法

Web服務(wù)需要對(duì)報(bào)文進(jìn)行加密和數(shù)字簽名，以保證報(bào)文的機(jī)密性和完整性；同時(shí)需要了解請(qǐng)求者是誰(shuí)，正在請(qǐng)求的信息是什么，以及正在請(qǐng)求什么特定服務(wù)或操作，以建立基于請(qǐng)求者、服務(wù)提供者、請(qǐng)求何種操作等情況采取基于策略的訪問(wèn)控制決策模型。安全策略管理器通過(guò)對(duì)Web服務(wù)對(duì)應(yīng)的服務(wù)描述文檔中安全策略標(biāo)識(shí)的解析，通過(guò)策略樹(shù)算法的處理完成安全策略的建模，并將其加載到內(nèi)存中。

訪問(wèn)控制模塊的策略決策點(diǎn)接收到上下文處理器發(fā)送的符合XACML請(qǐng)求格式的評(píng)估上下文后，根據(jù)本次請(qǐng)求的具體內(nèi)容，主要包括主體、資源、操作和各種屬性信息，在容器內(nèi)提前部署的策略庫(kù)中選擇合適的策略。策略定位器負(fù)責(zé)查找與請(qǐng)求消息相對(duì)應(yīng)的策略。策略中標(biāo)明了服務(wù)的用戶(hù)集，以及該用戶(hù)集可進(jìn)行的操作[4]。

策略評(píng)估的過(guò)程是從容器內(nèi)的策略文檔中獲取與本次請(qǐng)求相關(guān)的策略，只有通過(guò)評(píng)估的策略，才能在決策過(guò)程中繼續(xù)進(jìn)行決策。策略決策點(diǎn)解析本次請(qǐng)求以及通過(guò)評(píng)估選擇的與其適用的策略，通過(guò)對(duì)請(qǐng)求與策略中規(guī)則部分的解析，獲得訪問(wèn)控制的授權(quán)結(jié)果。

具體處理流程可分為如下幾個(gè)步驟：

（1）客戶(hù)端發(fā)送的訪問(wèn)請(qǐng)求通過(guò)身份認(rèn)證處理器到達(dá)策略執(zhí)行點(diǎn)(PEP)，身份認(rèn)證處理器對(duì)報(bào)文中的用戶(hù)標(biāo)識(shí)信息等斷言信息進(jìn)行驗(yàn)證解析。

（2）策略執(zhí)行點(diǎn)(PEP)對(duì)訪問(wèn)的請(qǐng)求SOAP報(bào)文進(jìn)行分析，通過(guò)特征標(biāo)簽判斷該請(qǐng)求報(bào)文的訪問(wèn)控制斷言種類(lèi)。請(qǐng)求中包括主體、資源、環(huán)境及行為的屬性進(jìn)行建模，并將相應(yīng)數(shù)據(jù)發(fā)送給上下文處理器。

（3）策略信息點(diǎn)完成對(duì)系統(tǒng)容器內(nèi)的訪問(wèn)控制策略文件的解析，將用戶(hù)屬性、環(huán)境屬性和資源屬性等信息傳遞給上下文處理器。

（4）上下文處理器將授權(quán)請(qǐng)求信息格式化，并發(fā)送給策略決策點(diǎn)。策略決策點(diǎn)通過(guò)上下文處理器傳遞的信息，套用規(guī)則集，進(jìn)行訪問(wèn)控制決策，并將決策結(jié)果反饋給請(qǐng)求方。

3 應(yīng)用實(shí)驗(yàn)

在信息系統(tǒng)的應(yīng)用場(chǎng)景中，由于各分系統(tǒng)的軟硬件環(huán)境的多樣性和異構(gòu)性，所以采用面向服務(wù)的軟件體系結(jié)構(gòu)，并實(shí)現(xiàn)以服務(wù)為核心的軟件開(kāi)發(fā)方式，提供服務(wù)化的軟件集成手段和運(yùn)行環(huán)境，可以屏蔽各終端應(yīng)用環(huán)境的多樣性，為應(yīng)用系統(tǒng)的基于C++/DLL等各種服務(wù)或構(gòu)件提供靈活的創(chuàng)建和重組，完成軟件的服務(wù)或構(gòu)件的封裝、系統(tǒng)按需裝配、系統(tǒng)部署、軟件集成運(yùn)行，支持應(yīng)用系統(tǒng)的靈活部署和按任務(wù)動(dòng)態(tài)集成[5]。

通過(guò)使用Loadrunner及SOAPUI軟件，對(duì)平臺(tái)容器中部署的安全服務(wù)進(jìn)行調(diào)用測(cè)試。測(cè)試服務(wù)為信息系統(tǒng)中的海況歷史數(shù)據(jù)查詢(xún)服務(wù)。對(duì)Web服務(wù)中間件容器部署的安全服務(wù)進(jìn)行穩(wěn)定性測(cè)試，調(diào)用服務(wù)時(shí)長(zhǎng)8小時(shí)，在100個(gè)線(xiàn)程并發(fā)訪問(wèn)采用128位密鑰加密算法的接口為復(fù)雜數(shù)據(jù)類(lèi)型的即時(shí)海況查詢(xún)服務(wù)，測(cè)試的平均響應(yīng)時(shí)間不超過(guò)500毫秒，訪問(wèn)控制錯(cuò)誤率不超過(guò)萬(wàn)分之一[6]。

系統(tǒng)應(yīng)用實(shí)驗(yàn)表明，基于策略的訪問(wèn)控制和消息的安全處理為信息系統(tǒng)的可靠性、安全性提供了保障，支持了SOA架構(gòu)下Web服務(wù)的安全交互。

4 結(jié)論

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和遠(yuǎn)程控制、信息自動(dòng)化等應(yīng)用場(chǎng)景的推廣，用戶(hù)對(duì)安全性的要求將會(huì)越來(lái)越高。

本文從SOA體系架構(gòu)背景出發(fā)，結(jié)合Web服務(wù)應(yīng)用目前所面臨的安全挑戰(zhàn)，設(shè)計(jì)了策略樹(shù)的構(gòu)建算法，采用了將報(bào)文加密、數(shù)字簽名及身份驗(yàn)證相結(jié)合的安全處理方式，提出了一種基于策略的Web服務(wù)安全處理辦法?；谝陨涎芯浚瓿闪薟eb服務(wù)安全處理模塊的系統(tǒng)實(shí)現(xiàn)，并在信息系統(tǒng)的應(yīng)用場(chǎng)景中進(jìn)行了安全處理模塊的實(shí)際應(yīng)用。