摘要：訪問控制是保護Web資源安全的重要技術之一，其任務是通過限制用戶對Web資源的訪問能力及范圍，保證Web資源不被非法的使用和訪問。文章從Web資源訪問控制模型和Web資源訪問控制應用技術2個方面對Web資源的訪問控制問題進行綜述；最后對未來的研究趨勢進行了展望。

　　關鍵詞：Web資源；訪問控制；訪問控制模型

　　隨著Web技術的應用和發展，Web資源的安全問題也日益突出，某些重要、敏感的Web資源遭受非法的訪問和竊取成為Web安全面臨的主要問題。訪問控制能夠保證資源不受非法的訪問和使用。目前的訪問控制技術基本上能夠有效地對傳統數據信息資源進行保護，但Web資源的復雜性、動態性以及Web應用系統的多樣性特點給Web資源訪問控制研究帶來了新的挑戰，如何發展傳統的訪問控制技術解決Web資源的安全問題成為研究熱點。

　　1Web資源訪問控制模型

　　與傳統的信息資源相比，Web資源具有自身的特點，這給訪問控制研究提出了新的挑戰，主要體現在以下2個方面：

　　（1）Web資源種類多樣，粒度也可能不同，并且這些Web資源相互交織在一起，雜亂無序，這給Web資源權限管理和統一訪問控制的實施帶來了困難。

　　（2）Web資源的數目、種類可能會不斷增加和更新，同時資源生成的過程也具有動態性。動態生成的Web資源在訪問之前是不確定的，所以較難對其進行訪問控制。

　　針對Web資源的上述特點，文獻[1]研究了RBAC模型在Web環境下的應用，簡化了Web頁面的授權管理，提高了訪問控制效率。文獻[2]以RBAC為理論基礎，提出了基于角色-頁面的訪問控制模型，通過控制頁面對用戶是否可見的方式實現用戶權限的控制。該模型減少了編程實現過程中繁瑣的權限判斷邏輯代碼，方便Web應用系統訪問控制的實施，但模型只能對粗粒度的Web頁面資源進行訪問控制，無法實現對Web頁面中圖片、表格等細粒度Web資源的訪問控制。文獻[3]提出了一種適用于Web應用系統的訪問控制模型，模型按照資源粒度的不同，將Web資源分為頁面、操作點和列表中的數據，一定程度上實現了Web資源的細粒度訪問控制。

　　Al-Kahtani和Sandhu提出了基于規則的RBAC模型[4]，模型中通過定義規則，根據用戶的屬性和系統的安全策略為用戶自動分配角色，降低了人工分配角色的工作量。但模型中對規則的描述比較籠統，只給出了針對同一資源屬性的訪問控制策略處理方法，沒有考慮到多種資源屬性對訪問控制的需求。而且，模型中規則數目會隨著用戶屬性數目的增長呈指數增長[5]，導致規則管理繁瑣。

　　針對上述RBAC擴展模型存在的不足，一些研究將基于屬性的訪問控制模型（ABAC）應用到Web環境下。文獻[6]使用可擴展訪問控制標記語言（XACML）對ABAC進行了建模，設計了基于XACML的ABAC訪問控制模型用來解決細粒度的Web服務訪問控制問題。

　　2Web資源訪問控制應用技術

　　2.1基于Web應用的Web資源訪問控制

　　文獻[7]構造了客體層次RBAC模型，并基于該模型結合自定義標簽技術、AOP技術，構建了一個獨立于應用邏輯的、可快速部署、可擴展的JavaWeb信息系統細粒度訪問控制方案，實現了細化到Web頁面元素和控制層方法的Web資源訪問控制。

　　2.2基于服務器插件的Web資源訪問控制

　　文獻[8]中設計了一種面向ASP頁面資源的細粒度訪問控制系統。該系統以Web服務器插件的形式實現，通過截獲用戶請求，根據訪問控制策略重新組織形成新的ASP頁面供服務器解釋執行，最后將結果返回給用戶。該技術一定程度上實現了訪問控制和應用開發相分離，支持對ASP頁面資源的細粒度、動態的訪問控制，不足之處是保護對象只限于ASP頁面，無法適用基于JSP、PHP等其它語言開發的動態頁面。

　　3Web資源訪問控制研究展望

　　通過上述分析，筆者認為未來Web資源訪問控制迫切需要解決以下兩個問題：

　　（1）如何根據Web資源的特點，設計適用于Web資源的訪問控制模型，為Web資源訪問控制提供理論基礎。

　　由于Web資源自身的復雜性、動態性以及Web環境下用戶數量巨大、身份復雜等特點，使得傳統的DAC、MAC以及RBAC等訪問控制模型在直接應用于Web資源的訪問控制時都存在一些弊端，如何設計適用于Web資源的訪問控制模型將繼續成為研究的熱點。基于屬性的訪問控制模型由于其靈活、可擴展性強等特點，未來會更加受到業界的關注和研究。

　　（2）如何在滿足多類型、多粒度的靜、動態Web資源訪問控制需求的前提下，實現對Web應用系統透明的Web資源訪問控制。

　　目前Web資源的訪問控制實現方式普遍與應用系統緊密結合在一起，通用性較差，增加了重復開發的負擔。基于代理的訪問控制實現方式具有一定的通用性，但是訪問控制功能簡單，無法滿足多類型、多粒度的靜、動態Web資源對透明訪問控制的需求，基于數據流分析的Web資源訪問控制方式提供了很好的解決思路，但實現難度較大，需要進一步深入的研究。

　　參考文獻

　　[1]J.S.Park，R.Sandhu.Role-basedaccesscontrolontheweb[J].ACMTransactionsonInformationandSystemSecurity，2001，4(1):37-71.

　　[2]倪晚成,劉連臣等.基于角色-頁面模型的Web用戶訪問控制方法[J].計算機工程與應用,2006,21:124-126.

　　[3]黃純國,劉福順.Web系統訪問控制模型研究[J].小型微型計算機系統,2007,28(10):1827-1831.

　　[4]A.Al-Kahtani,R.Sandhu.AModelforAttribute-BasedUser-Roleassignment[C].Proceedingsofthe18thAnnualComputerSecurityApplicationsConference,LasVegas，Navada,IEEEComputerSocietyPress,2002.

　　[5]朱一群.Web服務器訪問控制研究[D].上海交通大學,2008,5.

　　[6]沈海波,洪帆.面向Web服務的基于屬性的訪問控制研究[J].計算機科學,2006,33(4):92-96.

　　作者張宇于殿澤