张宇?于殿泽

摘 要 为实现多类型、多粒度的静、动态Web资源的透明访问控制，本文设计一种基于数据流分析的Web资源访问控制实施框架，对网络数据流中禁止用户访问的Web资源进行识别，达到对Web资源实施透明访问控制的目的。

关键词 Web资源;访问控制实施框架;访问控制

1构架的提出

常用的基于Web应用、基于服务器插件以及基于应用代理等实现方式无法同时满足多类型、多粒度的静、动态Web资源对透明访问控制的需求，针对这个问题，本文对通用访问控制框架[1]进行扩展，设计了一种基于数据流分析的Web资源访问控制实施框架FWRAC，框架中采用了数据流分析[2]的思想解决Web资源的访问控制问题[1]。

2Web资源访问控制实施框架

Web源访问控制实施框架FWRAC的基本组成如图1所示，主要由ACI/R、ADF、PRCF、AEF四部分组成。

其中ACI/R由角色分配策略库、元权限分配策略库以及上下文环境引擎组成，主要功能是为访问控制权限裁决提供访问控制策略信息以及上下文环境信息;ADF由用户属性权威和用户权限裁决单元组成，主要功能是基于RBAC模型[3]的思想，根据用户提交的属性证书，裁决生成用户所具有的权限;PRCF是针对基于数据流分析的Web资源访问控制机制对权限裁决信息的需求而设计，由Web资源管理单元和识别规则生成单元组成，主要功能是根据用户的权限生成网络数据流中的Web资源识别规则;AEF采用网络数据流分析的方式对用户的资源請求与资源响应进行控制，由网络数据流属性提取单元、Web页面资源识别单元、页面元素资源识别单元以及网络数据流操作单元组成，主要功能是根据网络数据流中Web资源识别规则，对网络数据流中的Web资源进行识别，并根据识别结果对网络数据流执行相应的操作[2]。

3框架的工作过程

3.1 访问权限裁决过程

①用户在经过身份认证后，登录Web应用系统，向属性权威提交证明其属性信息的属性证书;②用户属性权威接收用户的属性证书，对用户属性证书进行验证，解析出用户所具有的属性信息，并将用户属性信息提交给用户权限裁决单元;③用户权限裁决单元根据用户的属性信息查询ACI/R中的角色分配策略库，为用户分配角色;④用户权限裁决单元根据ACI/R中的元权限分配策略和环境属性引擎收集的当前上下文环境信息;为用户获取的角色分配元权限;⑤用户权限裁决单元根据用户的元权限合成用户的最终访问权限，并将其传递给PRCF。

3.2 访问控制施过程

①识别规则生成单元根据用户的权限查询Web资源管理单元;确定禁止当前用户访问的Web页面资源与页面元素资源，并获取这些资源的相关属性信息;②识别规则生成单元根据禁止用户访问的Web资源属性信息，生成针对当前访问用户的网络数据流中Web资源识别规则;③当用户通过浏览器访问服务器中的Web资源时，网络数据流属性提取单元提取该访问产生的请求与响应网络数据流的属性信息，结合Web资源识别规则对网络数据流中的Web资源进行识别;④网络数据流操作单元根据识别结果，对网络数据流执行相应的操作。

4框架的特性分析

①支持灵活的Web资源访问控制策略，能够实现对多种类型、不同粒度的静、动态Web资源实施访问控制。②支持对Web应用系统透明的Web资源访问控制，具有较强的通用性。③具有较高的效率，满足Web应用系统对服务性能的要求。

5结束语

本文在RBAC模型的基础上，结合基于网络数据流分析的Web资源访问控制机制，设计了一种Web资源访问控制实施框架，研究了框架的组成结构、工作过程，并对框架特性进行了分析。

参考文献

[1] 单棣斌.基于数据流分析的Web资源访问控制关键技术研究[D].郑州：解放军信息工程大学，2008.

[2] Ravi S.Sandhu，Edward J.Coyne，et al. Role-Based Access Control  Models [J].IEEE Computer，1996，29（2）：2.