Web资源访问控制技术研究综述

Web资源访问控制技术研究综述

张宇于殿泽

（中国人民解放军93152部队，吉林135300）

摘要：访问控制是保护Web资源安全的重要技术之一，其任务是通过限制用户对Web资源的访问能力及范围，保证Web资源不被非法的使用和访问。文章从Web资源访问控制模型和Web资源访问控制应用技术2个方面对Web资源的访问控制问题进行综述；最后对未来的研究趋势进行了展望。

关键词：Web资源；访问控制；访问控制模型

随着Web技术的应用和发展，Web资源的安全问题也日益突出，某些重要、敏感的Web资源遭受非法的访问和窃取成为Web安全面临的主要问题。访问控制能够保证资源不受非法的访问和使用。目前的访问控制技术基本上能够有效地对传统数据信息资源进行保护，但Web资源的复杂性、动态性以及Web应用系统的多样性特点给Web资源访问控制研究带来了新的挑战，如何发展传统的访问控制技术解决Web资源的安全问题成为研究热点。

1Web资源访问控制模型

与传统的信息资源相比，Web资源具有自身的特点，这给访问控制研究提出了新的挑战，主要体现在以下2个方面：

（1）Web资源种类多样，粒度也可能不同，并且这些Web资源相互交织在一起，杂乱无序，这给Web资源权限管理和统一访问控制的实施带来了困难。

（2）Web资源的数目、种类可能会不断增加和更新，同时资源生成的过程也具有动态性。动态生成的Web资源在访问之前是不确定的，所以较难对其进行访问控制。

针对Web资源的上述特点，文献[1]研究了RBAC模型在Web环境下的应用，简化了Web页面的授权管理，提高了访问控制效率。文献[2]以RBAC为理论基础，提出了基于角色-页面的访问控制模型，通过控制页面对用户是否可见的方式实现用户权限的控制。该模型减少了编程实现过程中繁琐的权限判断逻辑代码，方便Web应用系统访问控制的实施，但模型只能对粗粒度的Web页面资源进行访问控制，无法实现对Web页面中图片、表格等细粒度Web资源的访问控制。文献[3]提出了一种适用于Web应用系统的访问控制模型，模型按照资源粒度的不同，将Web资源分为页面、操作点和列表中的数据，一定程度上实现了Web资源的细粒度访问控制。

Al-Kahtani和Sandhu提出了基于规则的RBAC模型[4]，模型中通过定义规则，根据用户的属性和系统的安全策略为用户自动分配角色，降低了人工分配角色的工作量。但模型中对规则的描述比较笼统，只给出了针对同一资源属性的访问控制策略处理方法，没有考虑到多种资源属性对访问控制的需求。而且，模型中规则数目会随着用户属性数目的增长呈指数增长[5]，导致规则管理繁琐。

针对上述RBAC扩展模型存在的不足，一些研究将基于属性的访问控制模型（ABAC）应用到Web环境下。文献[6]使用可扩展访问控制标记语言（XACML）对ABAC进行了建模，设计了基于XACML的ABAC访问控制模型用来解决细粒度的Web服务访问控制问题。

2Web资源访问控制应用技术

2.1基于Web应用的Web资源访问控制

文献[7]构造了客体层次RBAC模型，并基于该模型结合自定义标签技术、AOP技术，构建了一个独立于应用逻辑的、可快速部署、可扩展的JavaWeb信息系统细粒度访问控制方案，实现了细化到Web页面元素和控制层方法的Web资源访问控制。

2.2基于服务器插件的Web资源访问控制

文献[8]中设计了一种面向ASP页面资源的细粒度访问控制系统。该系统以Web服务器插件的形式实现，通过截获用户请求，根据访问控制策略重新组织形成新的ASP页面供服务器解释执行，最后将结果返回给用户。该技术一定程度上实现了访问控制和应用开发相分离，支持对ASP页面资源的细粒度、动态的访问控制，不足之处是保护对象只限于ASP页面，无法适用基于JSP、PHP等其它语言开发的动态页面。

2.3基于应用代理的Web资源访问控制

基于应用代理的Web资源访问控制一般通过工作在应用层的访问控制代理服务器实现，可以实现URL过滤、关键词过滤、图像过滤等对应用层数据进行控制的功能。访问控制代理服务器虽然在部署上独立于Web浏览器和Web服务器，但需要针对专门的Web应用独立开发，在应用时需要进行两次连接，访问控制代理服务器才能发挥作用，导致代理的IP地址和端口号对外暴露，容易受到恶意攻击，安全性较差。

3Web资源访问控制研究展望

通过上述分析，笔者认为未来Web资源访问控制迫切需要解决以下两个问题：

（1）如何根据Web资源的特点，设计适用于Web资源的访问控制模型，为Web资源访问控制提供理论基础。

由于Web资源自身的复杂性、动态性以及Web环境下用户数量巨大、身份复杂等特点，使得传统的DAC、MAC以及RBAC等访问控制模型在直接应用于Web资源的访问控制时都存在一些弊端，如何设计适用于Web资源的访问控制模型将继续成为研究的热点。基于属性的访问控制模型由于其灵活、可扩展性强等特点，未来会更加受到业界的关注和研究。

（2）如何在满足多类型、多粒度的静、动态Web资源访问控制需求的前提下，实现对Web应用系统透明的Web资源访问控制。

目前Web资源的访问控制实现方式普遍与应用系统紧密结合在一起，通用性较差，增加了重复开发的负担。基于代理的访问控制实现方式具有一定的通用性，但是访问控制功能简单，无法满足多类型、多粒度的静、动态Web资源对透明访问控制的需求，基于数据流分析的Web资源访问控制方式提供了很好的解决思路，但实现难度较大，需要进一步深入的研究。

参考文献

[1]J.S.Park，R.Sandhu.Role-basedaccesscontrolontheweb[J].ACMTransactionsonInformationandSystemSecurity，2001，4(1):37-71.

[2]倪晚成,刘连臣等.基于角色-页面模型的Web用户访问控制方法[J].计算机工程与应用,2006,21:124-126.

[3]黄纯国,刘福顺.Web系统访问控制模型研究[J].小型微型计算机系统,2007,28(10):1827-1831.

[4]A.Al-Kahtani,R.Sandhu.AModelforAttribute-BasedUser-Roleassignment[C].Proceedingsofthe18thAnnualComputerSecurityApplicationsConference,LasVegas，Navada,IEEEComputerSocietyPress,2002.

[5]朱一群.Web服务器访问控制研究[D].上海交通大学,2008,5.

[6]沈海波,洪帆.面向Web服务的基于属性的访问控制研究[J].计算机科学,2006,33(4):92-96.

[7]朱佃波,陆剑江等.Web信息系统中统一细粒度访问控制的研究[J].计算机应用与软件,2009,26(5):126-129.

[8]王婷,陈性元等.面向ASP页面资源的细粒度访问控制方法研究[J].微电子学与计算机,2007,24(8):186-189.

作者简介：张宇（1984-）男，吉林辽源人，学历：硕士研究生，研究方向：网络与信息安全；

于殿泽，单位：中国人民解放军93152部队。