一种面向服务权限管理模型①.pdfVIP

《计算机学报》2005年第5 期 一种面向服务的权限管理模型① 朱磊 周明辉 刘天成 梅宏 (北京大学信息科学技术学院软件研究所,北京 100871) 摘要:面向服务的体系结构(Service-Oriented Architecture, SOA)是设计和构建松耦合软件系统的方法,它 可将基于中间件开发的分布式应用共享为 Internet 环境下的软件服务.传统中间件的用户权限系统具有较好 的灵活性,基本满足封闭系统的安全需求,但在 SOA 模式下,难以满足不同节点和系统互相请求服务和共享资 源过程中的授权.本文提出了一个面向服务的权限管理模型,通过支持用户之间的代理和提供一定的推理能 力, 为应用开发者提供了更完善的权限管理机制,并扩展了中间件跨越组织共享资源和服务的能力.该模型 在一个J2EE 应用服务器上被实现和验证.实验证明,该模型具有良好的灵活性和可扩展性,并且性能影响在合 理的范围. 关键词:权限管理模型,认证和授权,面向服务,中间件 1 引言 面向服务的体系结构(Service-Oriented Architecture,简称SOA)是设计和构建松耦合软件 解决方案的方法,它以软件服务的形式公开业务功能,使得其它应用程序可以通过已发布和可 发现的接口来使用这些服务.通过应用SOA,一个企业可以使用一组分布式服务来构成并组织 应用程序.这样,他们就能通过重用他们自己的资产及其伙伴的业务功能,来构造新的应用程 [1][2][3] 序 . SOA 鼓励代码共享和重用的方式把网络上的应用连接起来,被越来越多的人接受.但 是,SOA 并不能代替现有的基础设施,它一般作为多级或客户机/服务器体系结构里中间件上 面的某个层次,着重于将基于中间件开发的分布式应用共享为 Internet 环境下的软件服务.无 论是 Web Service,或是 CORBA 或 J2EE 等传统中间件都可以是 SOA 的一种技术实现方式, 都可以成为 SOA 的技术实现架构. 中间件为分布式应用提供具有普遍性质的关键基础功能,例如用户权限系统、缓存性能 系统、互联互通机制,简化了分布式应用的设计、编程和管理.当中间件应用到 SOA 模式,面 临着很大挑战. 在开放动态的 Internet 环境下,用户权限如何管理是 SOA 所面临的关键问题之一.传统中 间件的用户权限系统具有较好的灵活性,基本上满足了封闭系统的安全需求,但它对用户间的 代理授权机制支持不够,也不具推理能力,因此难以满足不同节点和系统之间互相请求服务、 共享资源过程中的安全需求. 本文针对现有中间件权限管理( 即认证和授权)机制的不足,提出一个面向服务的权限管 理模型,并在一个 J2EE 应用服务器上加以实现和验证.实验结果表明,本文模型有效地增强了 中间件的权限管理功能,并且对性能影响很小. 本文内容组织如下:第二节介绍了现有中间件的认证和授权机制,分析了它们所存在的问 题;第三节针对不足,提出了一个面向服务的权限管理模型,详细地描述了其体系结构和主要 ①本课题得到国家“973”重点基础研究发展规划项目基金（2002CB312003）,国家“863”高技术研究发展计划项目 (2001AA113060,2004AA112070)资助.朱磊,男,1981 年生,硕士研究生,主要研究方向为中间件技术与可信计算.周明辉,女,1974 年生,博士后,主要研究方向为分布计算,软件工程和可信计算.刘天成,男,1978 年生,博士研究生,主要研究方向为中间件技术和 软件工程.梅宏,男,1963 年生,教授,博士生导师,主要研究方向为软件工程,软件复用和软件构件技术,分布对象技术等. 1 《计算机学报》2005年第5 期 技术挑战;第四节介绍了该模型在一个应用服务器上的实现,并给出了一个应用案例进行验证; 第五节讨论了相关研究工作,做出比较;第六节对全文做出总结,并给出了下一步工作. 2 中间件的认证和授权