面向SOA的安全架构研究综述

来源:万方数据   
2014/3/24 13:02:06
本文研究SOA 架构的安全问题,分析传统的安全措施应用于SOA 的适用性问题; 在应用WS-Security安全规范的基础上,援引构建安全服务的思想,研究了混合多级的访问控制安全模型,提出了SOA 架构下的安全服务方案。

本文关键字: SOA 安全架构

随着Internet 的高速发展,Web 服务技术得到广泛应用,面向服务的体系架构(SOA,Service-Oriented Architecture)也受到了业界的重视。SOA 以服务的形式组合完成应用功能,具有开放性、可伸缩性、松散耦合性等优点。由于部署在SOA 中的服务可以访问到系统的敏感信息,因而其面临的安全问题也日益凸显。当服务可以开启一系列处理的可能性的时候, 如果没有考虑足够严格的安全策略来处理安全隐患, 它就有可能带来系统的灾难。安全性问题在设计SOA 系统时显得尤为重要。本文旨在研究SOA 架构下的安全问题,提出SOA 架构的安全解决方案,保证服务资源的安全。

1.SOA 的安全性

SOA 是一种设计、开发、部署和管理服务的面向服务的体系结构。基于SOA 的系统可能由不同厂商的基于异构平台的多种服务组合而成, 每个服务都具有各自独立的安全域, 由不同企业的不同部门负责管理和维护,所以具有跨身份和管理边界的身份转换、传播和跨技术平台的特点。在安全性上要求SOA 必须建立统一的信任体系,请求者能够在服务间自由交互,系统能够随着边界的不同而自动转换请求者的身份。同时Web Service 能够在多个系统安全完整地进行数据交换,要共同组成一个完整的一站式服务,必须在合作伙伴之间建立可靠、安全的信任关系。SOA 系统可以是跨平台、多个应用系统的服务组合,需建立统一、重用、共享安全性的安全标准及共享安全组件, 例如CA 认证、信道加密或安全网关等。使用者需要对SOA 提供的服务进行担保,确保服务仅执行其请求的操作。

传统的安全防御对象主要是针对人,SOA 强调机器与机器的交互, 而其安全性都是基于人与机器交互的威胁。如何应对服务之间交互时产生的威胁是SOA安全防御的重要方面。在未采取安全保护措施的SOA中,Web 服务往往不具备跟踪服务的授权和使用状态的功能, 未授权用户可以非常轻松地访问Web 服务。身份验证和授权是安全保障必需的方法。SOA 设计要涵盖消息级和传输级安全性,必须保护敏感信息,以安全方式暂存敏感信息,同时保证消息源的完整性。SOA系统应具有可追究性和可跟踪性,必须具有很强的服务审计能力。SOA 使用者可以保存系统的操作记录,以便跟踪其用户和消息。

1.2 SOA的安全基础

SOA 强调松散耦合的分布式系统集成,SOA 架构解决了开放性和重用性, 其安全性是架构存在的必要保障。结合SOA 架构的特点,其安全性保障应解决的安全基础问题是认证、授权、机密性和抗攻击性。因为SOA 架构的访问用户的随机性和不确定性,所以需要完善的身份认证措施。SOA 架构的服务是开放的、跨边界的,防止非授权组织非法获取信息,加密和访问控制是保护敏感信息实现机密性的做法。SOA 架构可以是提供多个服务组合的应用,一个应用功能可能对应各个组成服务的多个操作,因此,在对SOA 架构的访问授权上应提出检查各组成服务的访问控制规则。SOA 架构的抗攻击性是确保攻击者不能获得应用之外的控制。

2.安全SOA 架构的构建研究

SOA是基于服务的分布式系统的设计框架。SOA系统的安全性主要是来自内部和外部的威胁。因此,我们采用现有的WS-Security 规范和混合多级访问控制机制相结合来解决SOA 架构的安全问题,设计端到端的安全模型,保障整个Web 服务的对话安全。

2.1 构建SOA的安全服务

SOA 是面向服务的,所以SOA 可以提供安全服务的调用来保障应用系统的安全。SOA 架构的安全服务可以独立运行,同时提供应用程序接口API 给其他服务、应用等调用。SOA 的安全服务包括消息安全和系统安全。消息安全服务是指数据的一致性、私密性服务。系统安全服务则包括认证、授权、审计等服务。所以安全服务主要解决身份认证、资源授权、数据加密、数字签名、访问控制、传输安全等问题。SOA 架构的应用系统可以由安全服务来提供安全保障,应用系统只需调用安全服务,应用服务的安全处理完全由安全服务来完成。

在SOA 架构下,安全服务应提供对用户及角色的管理和控制;将服务、数据及应用等客体资源的访问、操作及控制权限分配到相应的组织、用户、角色等主体中,对资源授权进行管理;对不同请求进行身份验证及访问控制,防止对服务的非法使用,禁止非法进入系统和调用服务; 提供访问主体对受限资源访问的操作轨迹、历史记录等服务,以便跟踪和发现资源访问和操作问题。

共2页: 上一页1 [2]
责编:王雅京
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
推荐博客
创新平台技术,助力政企私有云..

创新平台技术,助力政企私有云建设金蝶中间件有限公司 奉继承 博士第16届软博会高峰论坛,2012.05.31……

畅享
首页
返回
顶部
×
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918