返回
SOA系统安全模块的方法

SOA系统安全模块的方法

ID:41884951

大小:314.78 KB

页数:12页

时间:2019-09-04

SOA系统安全模块的方法_第1页
SOA系统安全模块的方法_第2页
SOA系统安全模块的方法_第3页
SOA系统安全模块的方法_第4页
SOA系统安全模块的方法_第5页
资源描述:

《SOA系统安全模块的方法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、SOA体系架构中的服务安全控制的实现方法安全性作为SOA总体架构屮的基础考虑Z—,横穿架构屮的各个层而°SOA安全保障体系通过完成环境安全、传输安全、数据安全和服务安全等几个方面的内容,对系统提供不同力度的安全保障。主要从服务级安全的角度來阐述SOA系统屮安全保障的实现方法和措施,详细研究了当前SOA体系架构发展的现状与SOA休系架构服务安全控制的重要性及儿种SOA服务安全控制方法,即单点登录、用户授权与服务安全控制。1服务的安全控制1.1单点登录对用户身份进行冇效认证是实施安全保障的前捉,例如客户必须捉供正确的用户名和口令才能获得服务。然而,每天用户都耍登录到

2、多个系统上请求服务,这样就不得不针对每个系统的认证程序提交不同的用户名和密码。密码的过渡繁殖带来了新的问题,如工作效率的下降、密码被非法截获的可能性增加等。因此寻找一种只需进行一次身份认证就可对多个系统进行访问的跨服务器认证方法成为当今研究的热点。单点登录(SingleSign-On,SSO)功能使得用户只需登录应用程序一次,便可获得对许多不同应用程序组件的访问权限,即使这些组件可能具冇它们自己的身份验证方案。通过单点登录,用户只需使用一•个标识就可以安全地登录到所有的应用程序、网站上和主机会话。1.2用户授权授权是对合法用户分配资源访问许可权的过程。授权通常和

3、用户身份认证相结合,共同保证合法用户对资源的正常访问,尤其是可以限制用户对关键资源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。用户经过单点登录验证身份后,得到一个全局的统一身份标识。用户登录系统或需耍访问一个具体的服务的时候,系统需要通过一定的角色映射规则,将用户映射为相应的角色,角色口J能是分层进行和映射的,即具冇层次关系。授权模型根据角色属性对某一服务请求者授予一定的访问权限,来保护内部资源或机密信息不被窃取或被不恰当的访问。1.3服务的访问控制服务的访问控制仅在用户访问特定服务的时候,对于已授权的带有角色信息的用户,依照既定的逻辑进行判

4、断和决策,向任务服务提交任务请求或拒绝用户请求。相对于用户授权而言,服务的访问控制更多的是一种控制机制,偏重于策略的执行和实施点,而授权则更偏重高层的指导作用。用户身份认证、角色授予和访问控制三者Z间的关系如图1所示。2服务安全控制的主要实现思路2.1单点登录如图2所示,当用户第一次访问应用系统1的时候(1),因为还没有登录,会被引导到认证系统中进行登录(2);根据用户提供的登录信息,认证系统进行身份校验,如果通过校验,应该返冋给用户一个认证的凭据ticket(3);用户再访问别的应用的时候(4、6)就会将这个ticket带上,作为自己认证的凭据,应用系统接受到

5、请求Z后会把ticket送到认证系统进行校验,检查ticket的合法性(5、7),如果通过校验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3To4.携帯ticket访问1•用户访问系统1.应用系统13•认证信息返回2.用户登录数摇交互ticket认证安全认证中心用户信息图2基本单点登录2.2授权模型2.2.1概述图4授权模型授权模型(图4)的实现中,权限的设计是关键,权限一般可简单的表述为判断“谁”对“什么”进行“怎样”的操作的逻辑表达式是否为真。针对大型系统的应用及实际情况,一般采用基于角色的访问控制方法(RBAC)来解决统一资源的访问控制问题,

6、具两人显著特征就是:①减小授权管理的复杂性,降低管理开销;②灵活地支持企业的安全策略,针对企业的变化有很大的伸缩性[2]。关丁授权模型可以分解为以下几个相互联系的部分来讨论:(1)用户。用户与角色相关,用户仅仅是纯粹的用户,权限是被分离出去了的。用户不与权限直接相关,用户要拥有对某种资源的权限,必须通过角色去关联。(2)系统的资源。如部门内新闻、文档等各种可以被捉供给用户访问的对彖,作为资源节点,可以与若干个指定权限类别相关联,即定义是否将其权限应用于该节点。(3)权限。权限需要绑定在特定的资源事例上实现。如权限“发布”,当它不与任何具体的实体或资源绑定在一起时

7、没有任何意义,因为不知道发布可以操作的对彖是什么。只冇当发布与例如“部门内新闻”等结合在一起时,才会产生真正的权限。(4)角色。角色是粗粒度和细粒度(业务逻辑)的接口,一个基于粗粒度控制的权限框架,对外的接口应该是角色,具体业务实现可以直接继承或拓展丰富角色的内容,角色不是如同用户或用户组的具体实体,它属于接口概念,是抽彖的通称。(5)用户组。用户组是权限分配的单位与载体。用户组可以包含多个用户,组内用户继承组的权限。一个用户组可以包括其他组,以实现权限的继承。在创建一个用户组吋,需要指定该用户组的父类是什么用户组。对于一个分级的权限实现,某个用户组通过“继承”

8、直接获得其父类用户组所拥

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。