淺談一種基于數據流分析的Web資源訪問控制實施框架

張宇?于殿澤

摘 要 為實現多類型、多粒度的靜、動態Web資源的透明訪問控制，本文設計一種基于數據流分析的Web資源訪問控制實施框架，對網絡數據流中禁止用戶訪問的Web資源進行識別，達到對Web資源實施透明訪問控制的目的。

關鍵詞 Web資源;訪問控制實施框架;訪問控制

1構架的提出

常用的基于Web應用、基于服務器插件以及基于應用代理等實現方式無法同時滿足多類型、多粒度的靜、動態Web資源對透明訪問控制的需求，針對這個問題，本文對通用訪問控制框架[1]進行擴展，設計了一種基于數據流分析的Web資源訪問控制實施框架FWRAC，框架中采用了數據流分析[2]的思想解決Web資源的訪問控制問題[1]。

2Web資源訪問控制實施框架

Web源訪問控制實施框架FWRAC的基本組成如圖1所示，主要由ACI/R、ADF、PRCF、AEF四部分組成。

其中ACI/R由角色分配策略庫、元權限分配策略庫以及上下文環境引擎組成，主要功能是為訪問控制權限裁決提供訪問控制策略信息以及上下文環境信息;ADF由用戶屬性權威和用戶權限裁決單元組成，主要功能是基于RBAC模型[3]的思想，根據用戶提交的屬性證書，裁決生成用戶所具有的權限;PRCF是針對基于數據流分析的Web資源訪問控制機制對權限裁決信息的需求而設計，由Web資源管理單元和識別規則生成單元組成，主要功能是根據用戶的權限生成網絡數據流中的Web資源識別規則;AEF采用網絡數據流分析的方式對用戶的資源請求與資源響應進行控制，由網絡數據流屬性提取單元、Web頁面資源識別單元、頁面元素資源識別單元以及網絡數據流操作單元組成，主要功能是根據網絡數據流中Web資源識別規則，對網絡數據流中的Web資源進行識別，并根據識別結果對網絡數據流執行相應的操作[2]。

3框架的工作過程

3.1 訪問權限裁決過程

①用戶在經過身份認證后，登錄Web應用系統，向屬性權威提交證明其屬性信息的屬性證書;②用戶屬性權威接收用戶的屬性證書，對用戶屬性證書進行驗證，解析出用戶所具有的屬性信息，并將用戶屬性信息提交給用戶權限裁決單元;③用戶權限裁決單元根據用戶的屬性信息查詢ACI/R中的角色分配策略庫，為用戶分配角色;④用戶權限裁決單元根據ACI/R中的元權限分配策略和環境屬性引擎收集的當前上下文環境信息;為用戶獲取的角色分配元權限;⑤用戶權限裁決單元根據用戶的元權限合成用戶的最終訪問權限，并將其傳遞給PRCF。

3.2 訪問控制施過程

①識別規則生成單元根據用戶的權限查詢Web資源管理單元;確定禁止當前用戶訪問的Web頁面資源與頁面元素資源，并獲取這些資源的相關屬性信息;②識別規則生成單元根據禁止用戶訪問的Web資源屬性信息，生成針對當前訪問用戶的網絡數據流中Web資源識別規則;③當用戶通過瀏覽器訪問服務器中的Web資源時，網絡數據流屬性提取單元提取該訪問產生的請求與響應網絡數據流的屬性信息，結合Web資源識別規則對網絡數據流中的Web資源進行識別;④網絡數據流操作單元根據識別結果，對網絡數據流執行相應的操作。

4框架的特性分析

①支持靈活的Web資源訪問控制策略，能夠實現對多種類型、不同粒度的靜、動態Web資源實施訪問控制。②支持對Web應用系統透明的Web資源訪問控制，具有較強的通用性。③具有較高的效率，滿足Web應用系統對服務性能的要求。

5結束語

本文在RBAC模型的基礎上，結合基于網絡數據流分析的Web資源訪問控制機制，設計了一種Web資源訪問控制實施框架，研究了框架的組成結構、工作過程，并對框架特性進行了分析。

參考文獻

[1] 單棣斌.基于數據流分析的Web資源訪問控制關鍵技術研究[D].鄭州：解放軍信息工程大學，2008.

[2] Ravi S.Sandhu，Edward J.Coyne，et al. Role-Based Access Control? Models [J].IEEE Computer，1996，29（2）：2.