-
-
手机阅读
随着全球化信息技术的迅猛发展,网络作为传输信息的载体,将会承载更多的具有机密性的信息(例如商业机密,国家机密)。而在网络中,作为信息载体的邮件传输的安全性也日益受到重视。在这方面,简单对象访问协议SOAP(SimpleObject Access Protocol)是一种轻量级协议,主要用于在分散型、分布式环境中交换结构化信息。它是Web Service技术的核心,具有传输简单、扩展性和适应性强等优点,因而得到广泛应用。随着Web service技术不断应用于国防、商业和政府部门等,SOAP协议的安全性也不断受到重视。而在SOAP协议中又没有定义标准的访问控制安全规范。不同的SOAP应用程序可能会采取不同的方法来处理访问控制问题,因而易导致应用程序的安全隐患。为此,本文主要讨论了基于SOAP协议的邮件传输这一应用程序的安全问题,并从传统的邮件传输模型人手,针对传统模型访问控制的漏洞,提出了一些改进的意见和措施。
1 访问控制机制的主要组成
访问控制就是通过某种途径准许或限制主体的访问权利及范围的一种方法。通过访问控制服务可以限制对关键资源的访问,防止非法用户的侵入或因合法用户不慎操作所造成的破坏。访问控制由授权主体,授权客体,授权语法和访问控制系统协调运做来完成。
图1所示是访问控制系统原理框图。图中,授权主体运用授权语法向访问控制系统提出请求,然后通过访问控制系统对主体进行授权,以使授权主体能够访问控制系统。
 |
访问控制规定了哪些主体能够访问哪些客体及其访问权限。访问控制系统是访问控制中最主要的部分。此外,访问控制系统中还拥有很多模块,各个模块拥有不同的功能,它们依据访问控制信息来判断主体对客体的访问操作权限。
1.1 授权主体
授权主体(Authorized Subject)是发出访问操作和存取要求的主动方,通常指用户或用户的某个进程。授权主体是必须接受评价的实体,系统基于某种规范对该实体进行授权。授权内容包括用户身份,请求的起始位置(用IP地址来表示) 和用户被授予的角色等。
SOAP运行在开放的系统中,并非所有的用户都会在服务端注册。请求可能是从一个未知的客体发出。未知客体能否调用某个服务主要取决于其被允许的操作范围,这种限制可通过角色来体现。一般而言,角色的管理体现某种动态的行为,一般可以根据条件来激活或停止一个角色,例如,通过赋予邮箱密码来激活角色。
1.2 授权客体
授权客体(Authorized Object)是表示被调用的程序或欲存取的数据。可将XML的请求消息作为授权系统的客体,来对请求消息中具体的元素和属性进行授权操作(例如方法名)。授权客体应该和SOAP请求消息中的XML元素和属性相一致,通常用路径表达式表示。在XML文档树中的路径表达式是由右斜杠"/"分开的元素或者属性序列R1/R2/……/Rn。如路径表达式:SOAP-ENV:Envelope/SOAP-ENV:Body/SOAP-ENV:Get-ComName表示元素节点为:Get-ComName(方法名)。
1.3 授权语法
授权语法(Authorized Grammar)作为一个安全规则,主要用以确定一个主题是否对某个客体拥有访问的权利。
一个授权由一个三元组(subject,object,sign)表示,其中,subject标识授权主体,可由身份、位置或角色来表示;object是SOAP消息中的元素或属性,可由路径表示式来表示;sign可以用"true"和"false"来表示访问控制过滤器允许还是拒绝subject携带的object消息通过。下面给出基于XML的授权语法:
2 传统的邮件安全访问控制系统
图2所示是一种传统的网络邮件传输流程图。
 |
2.1 用户库
用户库(User Base)已经在系统中被定义为用户的描述,通过访问该库可判别发出请求的用户身份是否真实。对于基于SOAP协议邮件安全访问控制系统,所谓的用户角色无非是两种:其一是能打开邮箱进行读信写信的用户,其二是外来的邮箱地址用户。
2.2 认证引擎
认证(Authentication)是安全访问控制的重要组件,可用来协调所有子系统的动作,并通过搜索认证来确定用户身份,进而对其进行授权。如果客户提供了user.id和password,那么,认证引擎将向用户库要求user.id对应的密码,然后通过密码比较来鉴定用户身份;如果用户提供的是证书(Certificate),那么证书将在证书库中搜索以寻求相同的证书来接受校验,从而确定证书的真实性;如果是邮箱地址,那么,首先在"我的好友"的地址栏中搜索和比对,看其是否存在,若存在,就接收在邮箱里面,若不存在,就拒收。这就要求用户把与其通信的每个人的邮箱地址存在"我的好友"地址栏中。其结果能确保不接收垃圾邮件。认证引擎依据具体的角色、用户身份以及网络地址来检索客户所拥有的授权,并参照给定的授权优先级策略产生一个与请求对应的访问控制DOM(Document Object Model,即解析XML文档对象模型,为中间的安全平台和上层应用提供了通用的API接口)标签树。最后,去掉消息树中的"false"标签所对应的节点,即可生成过滤后的请求消息。
2.3 XML加密器
XML加密器(XML Encryption Device)可用于对XML内容进行加密,以确保消息的私密性。它用通信密钥加密E-mail内容(即XML文档的内容),再用加密通信密钥的公钥加密通信密钥,然后对加密的E-mail用签名私钥对其签名。当其获得签名公钥和加密通信密钥的公钥后,双方就可以利用它们来发送安全电子邮件,调用对方提供的E-mail服务接口,并把安全电子邮件作为参数传输给对方。
2.4 XML解密器
XML解密器(XML Declassification Device)可以对已经加密的邮件进行解密。它先用签名公钥解密签名后的加密E-mail,然后再用加密通信密钥的私钥解密通信密钥,有了通信密钥就可直接解密E-mail,这样就可以得到信件了。
2.5 XML解析器
XML解析器负责将XML文本转换到相应的内存来进行描述的转换,常用的XML解析器有DOM和SAX.其中DOM是基于对象的接口,SAX是基于事件的接口。本文使用DOM解析器。
3 改进后的新型邮件传输系统
基于SOAP协议的邮件访问控制的安全隐患有三点,一是SOAP协议中XML文档的安全性,二是邮箱的安全性,三是发信人的安全性。对于将SOAP协议应用于电子邮件的服务,本文主要从后两者的安全性出发,来提出基于SOAP协议的新型邮件访问控制框架,其流程如图3所示。
 |
3.1 证书引擎
证书引擎(Certificate Engine)用来评价证书的真实性,此处采用X.509证书标准来实现证书,可通过在扩展域中定义主体拥有的角色。
3.2 证书库
证书库(Certificate Base)可用地维护已经在系统中存在的证书。用于与外界申请验证的证书进行比对校验,从而验证用户身份的真实性。
3.3 定时转发
定时转发(Fix-time Retransmission)是将邮件暂时存在邮箱主服务器上一段时间,然后再发送到目的邮箱地址。它将来有望致力于军事。它的运行原理如下:如果发端客户端和目的客户端的机子都在运行,那么一端发送,另一端立即收到。收端利用一定的仪器可以知道发信人的所在位置,并可以予以攻击。而所谓的定时转发则是,发端客户端将E-mail发到邮箱主服务器上(发信后立即离开发信地点),而邮箱主服务器则在一定时间后再把此信件发给目的客户端,这样就可以避免目的客户端实时的知道发信人的位置,从而保护发信人的安全。
3.4 访问控制系统SOAP组件的影响
本文介绍的访问控制系统不要求对已有的SAOP基础设施作大的改动。它获得请求消息后,即可解密解析请求消息并对它进行授权过滤,过滤之后重新转化为XML消息。该方式使用SOAP协议和E-mail服务相结合的方法,而并未改变SOAP协议的执行过程。 4 新系统与传统邮件传输系统的比较
图2所示传统邮件传输流程与图3所示的改进后的系统相比,新系统具有以下三个优点。
首先是增加了证书验证,使身份验证更具安全性。由于证书是由第三方权威机构发放的,所以使用证书更增加了安全性,可用于传输机密的邮件和交易。
第二,新系统只允许"我的好友"里面的邮箱地址进入收件箱,从而避免了垃圾邮件,也避免了恶意地址攻击邮箱,保证了邮箱的安全性。在接收邮件的时候,系统首先辨别其邮箱地址,并在"我的好友"的邮箱地址库中搜索,如果存在,则接收邮件,如果不存在,则拒收。
第三,改进后的系统增加了定时转发功能,发信人通过设置定时转发(发信后立即离开发信地点)可使信件在邮箱主服务器暂存一定的时间以后再到达目的地址,这样可以避免目的地址开机检测到发信人位置而对发信人不利的情况。发信人可在邮箱里面选择邮件定时转发功能并设置转发时间(例如几点发信),然后把信件发出去,当信件到达邮箱主服务器的时候,信件将在邮箱主服务器上暂存一段时间,以备发件人及时离开。
5 结束语
本文简要描述了访问控制的一些主要组成要素,针对现有的邮件访问控制机制,提出了一些基于SOAP协议的邮件访问控制机制的改进措施,并对这种改进的可行性进行了论证。
改进后的访问控制系统与传统的邮件访问控制系统相比,其优越性在于增加了证书验证,增强安全性,只允许在"我的好友"栏中的邮箱地址才能被接收,从而阻止了垃圾邮件进入邮箱。另外一点优越性是发信人通过设置定时转发(发信后立即离开发信地点),可使信件在邮箱主服务器暂存一定的时间以后再到达目的地址,这样可以避免目的地址开机检测发信人位置的问题,这样,收信人就判断不出其是否在,但是,如果发信人一直在监测,那么也会有机会在收信人开机时候检测到发信人,这个安全隐患还有待于进一步研究。