應(yīng)用軟件系統(tǒng)安全性設(shè)計(jì)

1、應(yīng)用軟件系統(tǒng)安全性設(shè)計(jì)序應(yīng)用系統(tǒng)安全是由多個(gè)層面組成的，應(yīng)用程序系統(tǒng)級(jí)安全、功能級(jí)安全、數(shù)據(jù)域安全是業(yè)務(wù)相關(guān)的，需要具體問題具體處理。如何將權(quán)限分配給用戶，不同的應(yīng)用系統(tǒng)擁有不同的授權(quán)模型，授權(quán)模型和組織機(jī)構(gòu)模型有很大的關(guān)聯(lián)性，需要充分考慮應(yīng)用系統(tǒng)的組織機(jī)構(gòu)特點(diǎn)來決定選擇何種授權(quán)模型。AD引言應(yīng)用程序安全涵蓋面很廣，它類似于OSI網(wǎng)絡(luò)分層模型也存在不同的安全層面。上層的安全只有在下層的安全得到保障后才有意義，具有一定的傳遞性。所以當(dāng)一個(gè)應(yīng)用系統(tǒng)宣稱自己是安全的系統(tǒng)之前，必須在不同層都擁有足夠的安全性。應(yīng)用祭統(tǒng)自身安全Jilvfl也抵機(jī)安全安全檢簿軟件操作系統(tǒng)安全一傳徜女全圖1:安全多層模型位于

2、安全堆棧最底層的就是傳輸層和系統(tǒng)認(rèn)證的安全，考慮不周，將會(huì)引入經(jīng)典的中間人攻擊安全問題。再往上，就是借由防火墻，VPN或IP安全等手段保證可信系統(tǒng)或IP進(jìn)行連接，阻止DoS攻擊和過濾某些不受歡迎的IP和數(shù)據(jù)包。在企業(yè)環(huán)境下，我們甚至?xí)肈MZ各面向公網(wǎng)的服務(wù)器和后端的數(shù)據(jù)庫(kù)、支持服務(wù)系統(tǒng)隔離。此外，操作系統(tǒng)也扮演著重要的角色，負(fù)責(zé)進(jìn)程安全，文件系統(tǒng)安全等安全問題，操作系統(tǒng)一般還會(huì)擁有自己的防火墻，也可以在此進(jìn)行相應(yīng)的安全配置，止匕外，還可以部署專業(yè)的入侵檢測(cè)系統(tǒng)用于監(jiān)測(cè)和阻止各種五花八門的攻擊，實(shí)時(shí)地阻止TCP/IP數(shù)據(jù)包。再往上的安全就是JVM的安全，可以通過各種安全設(shè)置限制僅開放足夠使用的

3、執(zhí)行權(quán)限。最后，應(yīng)用程序自身還必須提供特定問題域的安全解決方案。本文就以漫談的方式聊聊應(yīng)用系統(tǒng)本身的安全問題。1、應(yīng)用系統(tǒng)安全涉及哪些內(nèi)容1）系統(tǒng)級(jí)安全如訪問IP段的限制，登錄時(shí)間段的限制，連接數(shù)的限制，特定時(shí)間段內(nèi)登錄次數(shù)的限制等，象是應(yīng)用系統(tǒng)第一道防護(hù)大門。2）程序資源訪問控制安全對(duì)程序資源的訪問進(jìn)行安全控制，在客戶端上，為用戶提供和其權(quán)限相關(guān)的用戶界面，僅出現(xiàn)和其權(quán)限相符的菜單，操作按鈕；在服務(wù)端則對(duì)URL程序資源和業(yè)務(wù)服務(wù)類方法的的調(diào)用進(jìn)行訪問控制。3）功能性安全功能性安全會(huì)對(duì)程序流程產(chǎn)生影響，如用戶在操作業(yè)務(wù)記錄時(shí)，是否需要審核，上傳附件不能超過指定大小等。這些安全限制已經(jīng)不是入口級(jí)

4、的限制，而是程序流程內(nèi)的限制，在一定程度上影響程序流程的運(yùn)行。4）數(shù)據(jù)域安全數(shù)據(jù)域安全包括兩個(gè)層次，其一是行級(jí)數(shù)據(jù)域安全，即用戶可以訪問哪些業(yè)務(wù)記錄，一般以用戶所在單位為條件進(jìn)行過濾；其二是字段級(jí)數(shù)據(jù)域安全，即用戶可以訪問業(yè)務(wù)記錄的哪些字段；以上四個(gè)層次的安全，按粒度從粗到細(xì)的排序是：系統(tǒng)級(jí)安全、程序資源訪問控制安全、功能性安全、數(shù)據(jù)域安全。不同的應(yīng)用系統(tǒng)的系統(tǒng)級(jí)安全關(guān)注點(diǎn)往往差異很大，有很大部分的業(yè)務(wù)系統(tǒng)甚至不涉及系統(tǒng)級(jí)安全問題。無明顯組織機(jī)構(gòu)的系統(tǒng)，如論壇，內(nèi)容發(fā)布系統(tǒng)則一般不涉及數(shù)據(jù)域安全問題，數(shù)據(jù)對(duì)于所有用戶一視同仁。不同的應(yīng)用系統(tǒng)數(shù)據(jù)域安全的需求存在很大的差別，業(yè)務(wù)相關(guān)性比較高。對(duì)于

5、行級(jí)的數(shù)據(jù)域安全，大致可以分為以下幾種情況：大部分業(yè)務(wù)系統(tǒng)允許用戶訪問其所在單位及下級(jí)管轄單位的數(shù)據(jù)。此時(shí)，組織機(jī)構(gòu)模型在數(shù)據(jù)域安全控制中扮演中重要的角色；也有一些系統(tǒng)，允許用戶訪問多個(gè)單位的業(yè)務(wù)數(shù)據(jù)，這些單位可能是同級(jí)的，也可能是其他行政分支下的單位。對(duì)于這樣的應(yīng)用系統(tǒng)，一般通過數(shù)據(jù)域配置表配置用戶所有有權(quán)訪問的單位，通過這個(gè)配置表對(duì)數(shù)據(jù)進(jìn)行訪問控制；在一些保密性要求比較高系統(tǒng)中，只允許用戶訪問自己錄入或參與協(xié)辦的業(yè)務(wù)數(shù)據(jù)，即按用戶ID進(jìn)行數(shù)據(jù)安全控制。還有一種比較特殊情況，除進(jìn)行按單位過濾之外，數(shù)據(jù)行本身具有一個(gè)安全級(jí)別指數(shù)，用戶本身也擁有一個(gè)級(jí)別指數(shù)，只有用戶的級(jí)別指數(shù)大于等于行級(jí)安全級(jí)

6、別指數(shù)，才能訪問到該行數(shù)據(jù)。如在機(jī)場(chǎng)入境應(yīng)用系統(tǒng)，一些重要人員的出入境數(shù)據(jù)只有擁有高級(jí)別指數(shù)的用戶才可查看。一般業(yè)務(wù)系統(tǒng)都有行級(jí)數(shù)據(jù)域控制的需求，但只有少數(shù)業(yè)務(wù)系統(tǒng)會(huì)涉及字段級(jí)數(shù)據(jù)域控制，后者控制粒度更細(xì)。字段級(jí)數(shù)據(jù)域安全一般采用以下兩種方式：通過配置表指定用戶可以訪問業(yè)務(wù)記錄哪些字段，在運(yùn)行期，通過配置表進(jìn)行過濾。業(yè)務(wù)表的業(yè)務(wù)字段指定一個(gè)安全級(jí)別指數(shù)，通過和用戶級(jí)別指數(shù)的比較來判斷是否開放訪問。程序資源訪問控制安全的粒度大小界于系統(tǒng)級(jí)安全和功能性安全兩者之間，是最常見的應(yīng)用系統(tǒng)安全問題，幾乎所有的應(yīng)用系統(tǒng)都會(huì)涉及到這個(gè)安全問題。止匕外，程序資源訪問控制安全的業(yè)務(wù)相關(guān)性很小，容易總結(jié)出通用的模

7、型，甚至可以通過的框架解決，如最近開始流行的Acegi安全框架就為解決該問題提供了通用的方案。2、程序資源訪問控制分為客戶端和服務(wù)端兩個(gè)層面類似于表單數(shù)據(jù)校驗(yàn)分為服務(wù)端和客戶端校驗(yàn)兩個(gè)層面，程序資源訪問控制也可分為服務(wù)端和客戶端訪問控制兩個(gè)層面?？蛻舳顺绦蛸Y源訪問控制是對(duì)用戶界面操作入口進(jìn)行控制：即用戶的操作界面是否出現(xiàn)某一功能菜單，在具體業(yè)務(wù)功能頁(yè)面中，是否包含某一功能按鈕等?？蛻舳顺绦蛸Y源訪問控制保證用戶僅看到有權(quán)執(zhí)行的界面功能組件，或者讓無權(quán)執(zhí)行的功能組件呈不可操作狀態(tài)。簡(jiǎn)言之，就是為不同權(quán)限的用戶提供不同的操作界面。服務(wù)端程序資源訪問控制是指會(huì)話在調(diào)用某一具體的程序資源（如業(yè)務(wù)接口方法

8、，URL資源等）之前，判斷會(huì)話用戶是否有權(quán)執(zhí)行目標(biāo)程序資源，若無權(quán)，調(diào)用被拒絕，請(qǐng)求定向到出錯(cuò)頁(yè)面，反之，目標(biāo)程序資源被成功調(diào)用。服務(wù)端的控制是最重要和最可靠的保障方式，而客戶端的控制僅僅是貌似安全，實(shí)則存在隱患，不過它提高了用戶界面的清潔度和友好性，否則需要等到用戶點(diǎn)擊了界面操作組件后，服務(wù)端才返回一個(gè)“您無權(quán)訪問該功能”之類的報(bào)錯(cuò)信息，未免有“誤導(dǎo)犯錯(cuò)”的嫌疑。所以，一個(gè)完善而友好的程序資源訪問控制最好同時(shí)包括服務(wù)端和客戶端兩個(gè)層面的控制，如下圖所示：R柞甘同*服務(wù)端入口級(jí)安全訪問抄制程序資源g業(yè)務(wù)服務(wù)接修二萱莊url圖2:完善的程序資源訪問控制模型假設(shè)，某一用戶直接通過輸入U(xiǎn)RL試圖繞過

9、客戶端的控制直接發(fā)起對(duì)目標(biāo)程序資源的調(diào)用，服務(wù)端作為最后的防線，將成功阻止用戶的越權(quán)行為。3、程序資源訪問控制模型包括哪些概念程序資源要進(jìn)行訪問控制，必須先回答以下四個(gè)問題：1）程序資源如何描述自己前面已有提及，程序資源分為兩種，其一為URL資源，其二為服務(wù)接口業(yè)務(wù)方法。資源要實(shí)現(xiàn)控制必須事先描述自己，以便進(jìn)行后續(xù)的管理和動(dòng)作。根據(jù)應(yīng)用系統(tǒng)復(fù)雜程度的不同，一般有以下幾種描述方法：通過屬性描述如應(yīng)用系統(tǒng)中需控制的程序資源數(shù)量不大，則可用對(duì)象屬性描述，論壇系統(tǒng)一般就采取這種方式。如著名的Jforum開源論壇，用戶組對(duì)象擁有是否可收藏貼子，是否可添加書簽等若干個(gè)程序資源訪問控制屬性。但當(dāng)需管理的程序

10、資源數(shù)量很大時(shí)，這種方式在擴(kuò)展性上的不足馬上就暴露出來了。通過編碼描述為需安全控制的程序資源提供編碼，用戶通過授權(quán)體系獲取其可訪問的資源編碼列表。在展現(xiàn)層的程序中（如Struts的Action）判斷目標(biāo)程序資源對(duì)應(yīng)的編碼是否位于用戶授權(quán)列表中。這種方式需要在Action中通過硬編碼來識(shí)別目標(biāo)程序資源，硬編碼必須和數(shù)據(jù)庫(kù)中描述的一致。訪問控制邏輯和業(yè)務(wù)程序代碼耦合較緊，在一定程度上增加了編碼的工作量，維護(hù)性也稍差些。通過編碼和程序資源描述串為了避免通過硬編碼識(shí)別目標(biāo)程序資源的缺點(diǎn)，在進(jìn)行程序資源編碼時(shí)，提供一個(gè)程序資源的描述串這一額外的配置項(xiàng)。可以在運(yùn)行期通過反射的方式得到目標(biāo)程序資源對(duì)應(yīng)的描述

11、串，再通過描述串獲取對(duì)應(yīng)的編碼，而用戶的權(quán)限即由資源編碼組成，因此就可以判斷用戶是否擁有訪問程序資源了。描述串是程序資源動(dòng)態(tài)查找其對(duì)應(yīng)編碼的橋梁，URL資源可以通過Ant模式匹配串作為描述串，如“/images/*.gif,"/action/UserManager.do”等；而業(yè)務(wù)接口方法，可以通過方法的完全簽名串作為描述串，如com.ibm.userManager.addUser,com.ibm.userManager.removeUser等。2）如何對(duì)用戶進(jìn)行授權(quán)一般不會(huì)直接通過分配程序資源的方式進(jìn)行授權(quán)，因?yàn)槌绦蛸Y源是面向開發(fā)人員的術(shù)語；授權(quán)由系統(tǒng)管理員操作面向業(yè)務(wù)層面的東西，

12、因此必須將程序資源封裝成面向業(yè)務(wù)的權(quán)限再進(jìn)行分配。如將com.ibm.userManager.removeUser這個(gè)程序資源封裝成"刪除用戶"權(quán)限，當(dāng)系統(tǒng)管理員將"刪除用戶"權(quán)限分配給某一用戶時(shí)，用戶即間接擁有了訪問該程序資源的權(quán)力了。角色是權(quán)限的集合，如建立一個(gè)“用戶維護(hù)”的角色，該角色包含了新增用戶、更改用戶、查看用戶、刪除用戶等權(quán)限。通過角色進(jìn)行授權(quán)可以免除單獨(dú)分配權(quán)限的繁瑣操作。如果組織機(jī)構(gòu)具有嚴(yán)格的業(yè)務(wù)分工，用戶的權(quán)限由職位確定，這時(shí)，一般會(huì)引入“崗位”的概念，崗位對(duì)應(yīng)一組權(quán)限集合，如“派出所所長(zhǎng)”這個(gè)崗位，對(duì)應(yīng)案件審批，案件查看等權(quán)限。崗位

13、和角色二者并不完全相同，崗位具有確定的行政意義，而“角色”僅是權(quán)限的邏輯集合。角色，崗位是為了避免單獨(dú)逐個(gè)分配權(quán)限而提出的概念，而“用戶組”則是為了避免重復(fù)為擁有相同權(quán)限的多個(gè)用戶分別授權(quán)而提出的?？梢灾苯訉?duì)用戶組進(jìn)行授權(quán)，用戶組中的用戶直接擁有用戶組的權(quán)限。3）如何在運(yùn)行期對(duì)程序資源的訪問進(jìn)行控制用戶登錄系統(tǒng)后，其權(quán)限加載到Session中，在訪問某個(gè)程序資源之前，程序判斷資源所對(duì)應(yīng)的權(quán)限是否在用戶的權(quán)限列表中。下面是一個(gè)用描述串描述程序資源，在運(yùn)行期通過反射機(jī)制獲知程序資源對(duì)應(yīng)的權(quán)限，進(jìn)行訪問控制的流程圖：I也叫曾|白槐雕Al'TllAL：T1I北方朋作福領(lǐng)取程于貸再對(duì)應(yīng)板際Idi

14、nI1中EUTHI、I-.A1j|rr'F'!丁H'任”“依麻業(yè)務(wù)服務(wù)接口圖3:通過程序資源描述串進(jìn)行權(quán)限控制4）如何獲取用戶的菜單和功能按鈕很多應(yīng)用系統(tǒng)在設(shè)置用戶訪問控制權(quán)限時(shí)，僅將系統(tǒng)所有的菜單列出，通過為用戶分配菜單的方式分配權(quán)限，如著名的shopex網(wǎng)上商城系統(tǒng)就采用這種方式。其實(shí)這種方式僅僅實(shí)現(xiàn)了客戶端的訪問控制，沒有真實(shí)實(shí)現(xiàn)程序資源的訪問控制，應(yīng)該說是一種初級(jí)的，簡(jiǎn)略的解決方案。菜單和功能按鈕是調(diào)用程序資源的界面入口，訪問控制最終要保護(hù)的是執(zhí)行業(yè)務(wù)操作的程序資源，而非界面上的入口。雖然有些應(yīng)用系統(tǒng)通過菜單分配權(quán)限，在服務(wù)端也對(duì)程序資源進(jìn)行控制，但這種權(quán)限分配

15、的方式有點(diǎn)本末倒置。比較好的做法是，在建立程序資源和權(quán)限的關(guān)聯(lián)關(guān)系的同時(shí)建立程序資源和界面功能組件（菜單，功能按程序貫施和杈限關(guān)系根限用月名ChEteri(30)型碼Characte僧(32)鈕）的關(guān)聯(lián)關(guān)系。這樣，就可以通過用戶權(quán)限間接獲取可操作的界面組件。下面是這種模型的實(shí)現(xiàn)的ER圖:程序資源用變描類Chiraciers(20)Chraclers(32Characters(100)功按鈕和程序資海關(guān)系用尸和權(quán)限關(guān)系菜Integer用尸名Characters(30)密碼Character?(32)父萊單編號(hào)Oiaracters(30)Uri地址Characters(WO)圖標(biāo)Character

16、i(WO)序號(hào)Integer圖4:客戶端服務(wù)端程序資源訪問控制安全的關(guān)聯(lián)對(duì)象ER圖從以上分析中，我們可以得到訪問模型可能包含的以下一些概念，羅列如下：程序資源：受控的程序資源，包括URL或業(yè)務(wù)接口方法；界面功能組件：菜單，按鈕等界面操作人口元素；權(quán)限：程序資源的業(yè)務(wù)抽象，一個(gè)權(quán)限可包含多個(gè)程序資源；角色：權(quán)限的集合，一個(gè)角色可包含多個(gè)權(quán)限；崗位：一個(gè)崗位包含多個(gè)權(quán)限，可看成是特殊的角色，崗位具有行政的上意義，表示一個(gè)職位對(duì)應(yīng)的所有權(quán)限。用戶：系統(tǒng)的操作者，擁有若干個(gè)權(quán)限。用戶組：用戶組是用戶的集合，在很多應(yīng)用系統(tǒng)中，用戶組是為完成某項(xiàng)臨時(shí)性的任務(wù)而組建的，有別于行政意義的單位，在另外一些應(yīng)用系

17、統(tǒng)中，用戶組僅是為方便授權(quán)管理而建立的邏輯意義上的組織。組織機(jī)構(gòu)：行政體系的上下級(jí)單位構(gòu)成了組織機(jī)構(gòu)，用戶是組織機(jī)構(gòu)的成員，在進(jìn)行授權(quán)時(shí)，組織機(jī)構(gòu)扮演著重要的角色。4、授權(quán)模型授權(quán)是權(quán)限管理層面的問題，其目的是如何通過方便，靈活的方式為系統(tǒng)用戶分配適合的權(quán)限。根據(jù)應(yīng)用系統(tǒng)的權(quán)限規(guī)模的大小及組織機(jī)構(gòu)層級(jí)體系的復(fù)雜性，有不同的授權(quán)模型。為了避免將這一問題變得過于理論化，下面，我們選取幾個(gè)具有典型代表性的應(yīng)用系統(tǒng)，通過分析這些應(yīng)用系統(tǒng)的授權(quán)模型來總結(jié)常見授權(quán)的解決思路，希望能為您解決此類問題時(shí)提供參考。直接分配權(quán)限的授權(quán)模型對(duì)于論壇型的系統(tǒng)，我們前面有提到過，它的特點(diǎn)是沒有組織機(jī)構(gòu)的概念，也沒有崗位

18、的概念，授權(quán)方式比較簡(jiǎn)單。為了劃分不同用戶的權(quán)限，一般會(huì)引入用戶組的概念，如管理員組，一般用戶組等。對(duì)用戶組進(jìn)行授權(quán)，用戶通過其所屬的用戶組獲取權(quán)限。根雕用戶圖5:簡(jiǎn)單型授權(quán)模型下面是Jforum論壇用戶組授權(quán)的部分界面截圖:ModeratiohCnapprcua/dwnyrn«sinmcdaratadfonjimsNovYes"全歆允許Cannotmoderatetheseforums:愛美媽媽二手市場(chǎng)工作日志"CanremovepostsCanedit口553mge：sCanimouemessagesbetweenforumsCanlockandunl&

19、;cktopi«圖6：Jforum論壇授權(quán)界面用戶的權(quán)限信息通過若干個(gè)開關(guān)屬性或列表屬性表示。所以這種類型的系統(tǒng)往往權(quán)限數(shù)量小且相對(duì)穩(wěn)定。通過角色進(jìn)行授權(quán)的授權(quán)模型強(qiáng)調(diào)權(quán)限僅能通過角色的方式授予用戶，而不能將權(quán)限直接授予用戶是這一授權(quán)模型的特點(diǎn)，其中典型的代表就是RBA球型，RBAQ1目前比較流行的授權(quán)模型。它強(qiáng)制在用戶和權(quán)限之間添加一個(gè)間接的隔離層，防止用戶直接和權(quán)限關(guān)聯(lián)。雖然通過這種方式可以防止權(quán)限的分配過于零散的問題，但也降低了權(quán)限分配的靈活性。如某一部門主管希望臨時(shí)將交由副主管代理，在RBA強(qiáng)權(quán)模型中，這種需求就變得比較棘手了。崗位十組織機(jī)構(gòu)的授權(quán)模型對(duì)于擁有組織機(jī)構(gòu)且用戶崗

20、位職責(zé)明確的應(yīng)用系統(tǒng)，可以在系統(tǒng)層面建立組織機(jī)構(gòu)中的各個(gè)崗位，并為這些崗位分配好權(quán)限，然后將崗位分配給部門，新增部門員工時(shí)，必須選擇部門內(nèi)的一個(gè)崗位。近幾年以思維加速、普元和科諾為代表的面向業(yè)務(wù)的快速開發(fā)平臺(tái)概念比較走俏。思維加速所用的授權(quán)模型就是崗位十組織機(jī)構(gòu)授權(quán)模型的代表者。該模型非常強(qiáng)調(diào)組織機(jī)構(gòu)在授權(quán)模型所起的作用，所以對(duì)組織機(jī)構(gòu)進(jìn)行了更多的定義：1）組織：組織是一個(gè)虛擬的機(jī)構(gòu)，它的存在只是為了連接上下級(jí)機(jī)構(gòu)的行政關(guān)系，組織下級(jí)可以包括組織或部門，職員不直接隸屬于組織，崗位也不能直接分配給組織。2）部門：是一個(gè)具體的機(jī)構(gòu)，職員可以直接隸屬于部門，部門下可以包含若干用戶組，崗位可以分配給部

21、門或用戶組，部門和用戶組內(nèi)的職員擁有其中的一個(gè)崗位；3）用戶組：為完成臨時(shí)任務(wù)而組建的團(tuán)隊(duì)，非正規(guī)的行政建制，可以包括若干個(gè)成員。下圖就是用思維加速平臺(tái)設(shè)計(jì)的一個(gè)組織機(jī)構(gòu)授權(quán)模型:X.，(SJCiXX，工可久息.FJ.TT£；EAJ：叁明方情摩克鮮2看gB'k靖讓向-博營(yíng)確麗麗標(biāo)麗京酉麗3品和亡陽圖7:思維加速的授權(quán)模型首先將崗位分配給部門或用戶組，如將“產(chǎn)品經(jīng)理”，“產(chǎn)品技術(shù)經(jīng)理”，“部門經(jīng)理”和“開發(fā)工程師”這4個(gè)崗位分配給研發(fā)部下的3.0產(chǎn)品組，然后在部門添加新職員時(shí)，必須為職員選擇所屬的用戶組，并分配一個(gè)用戶組的崗位。此外，系統(tǒng)管理員也可以直接將權(quán)限分配給用戶，讓用戶擁有崗位之外的權(quán)限，以增加授權(quán)的靈活性。在授權(quán)體系之外，還擁有權(quán)限的轉(zhuǎn)移功能，即用戶可以臨時(shí)將其所有或部分權(quán)限轉(zhuǎn)移給某個(gè)用戶代理。一個(gè)用戶可以同時(shí)屬于多個(gè)部門，擁有多個(gè)崗位，但在登錄時(shí)