摘要:应用系统集成是软件工程研究领域的热点之一,在目前的研究当中,集成系统的信息安全性引起了人们的关注。为了实现合法的用户在其所授予的权限范围内访问系统信息,本文提出了一种虚拟系统视图模型,该模型使用认证技术以及业务流与数据绑定,在用户终端实现虚拟的系统视图,使其只能操作虚拟系统的功能和数据,从而实现对系统信息的安全保护。
关键词:软件集成;虚拟视图;业务流
中图分类号:TP311文献标识码:A文章编号:1009-3044(2008)17-21522-02
1 背景知识
软件应用系统集成是软件工程研究领域中的热点之一,从长远观点来看,应用系统集成随着软件技术和网络的发展将有着重要的应用前景。当前针对应用系统集成的研究已经从最初的数据集成逐步发展到业务流集成,集成度越来越高,但是目前的研究中也存在着众多的问题和困难,尤其是集成系统中的信息安全问题,更是引起了人们的广泛关注[1]。
集成系统中的信息安全威胁主要来源于系统集成对原独立系统的信息安全保护机制的破坏[2],当多个独立系统组成集成系统后,它们本来物理分开的数据和工作流程也融合在一起,那么就存在有某个系统的用户越权访问另一个系统数据的可能。而另外一个来源是独立系统之间的安全控制策略冲突,也可能会产生新的系统安全漏洞给集成系统信息带来安全威胁。
为了解决以上所述的问题,本文提出了一种虚拟系统视图模型,它扩展了数据库中数据视图原理,通过建立系统虚拟视图,在用户终端实现一个虚拟的系统,而用户只能通过虚拟系统中来访问集成后的系统数据,执行虚拟系统所提供的功能,而虚拟系统视图的建立是与用户的权限相关联,从而实现合法用户以合法的权限访问系统数据的目的。
2 虚拟系统视图模型
2.1 模型结构
虚拟系统视图主要是扩展了数据库系统中的数据视图的概念而形成的。在数据库系统中视图只是原始数据库数据的一种变换,是查询表中数据的另外一种方式。可以将视图看成是一个移动的窗口,通过它可以看到感兴趣的数据[3]。数据视图在数据库系统中的应用不仅可以起到减少数据交换的次数,而且还有个重要的作用就是安全性,视图与表类似,但又不同于表,它只有结构而没有数据,其数据实际上可能存在于原始数据库中的多个基表中,因此数据视图也起到了屏蔽基表的结构作用,并且当用户要求使用视图更改数据时,就要求用户对视图的基表也要有相应的修改权限。
本文所提出的虚拟系统视图模型如图1所示。
从图1中可以看出,本模型的结构中存在有三台服务器:用户认证服务器,虚拟系统视图服务器和业务流服务器。它们的主要实现的功能分别为:
1)用户认证服务器:它的功能分为两个部分,一部分是对整个集成系统中的用户进行管理,包括设置角色,角色权限,角色对系统资源的访问策略,用户与角色的关联等。而另一部分则是对访问系统的用户的身份进行鉴别和认证,确认用户与声明的身份一致。用户认证服务器是整个集成系统实现信息安全保护的重要基础。
2)虚拟系统视图服务器:该服务器是实现虚拟系统视图的核心服务器,它的主要功能是向用户终端显示虚拟系统界面,并将执行完业务流从各个原独立应用系统返回的数据回馈给用户,当然这些数据都会根据用户的权限进行重组,类似于数据库系统的视图功能,再呈现用户。
3)业务流服务器:业务流服务器与其它的集成系统是一致的,它主要完成用户提及的任务,并把任务分解成业务流,再根据配置的业务执行规则,把业务流分发到各独立的应用系统中执行。
2.2 模型工作流程
整个虚拟系统视图模型的工作流程分为如下几个步骤:
1)用户通过终端向系统提交身份认证证明,如口令,身份认证数据等,当用户认证服务器接收到用户提交的请求后,它会对用户进行验证,确定用户的身份以及其对应的角色,并分配给用户一个临时的会话密钥,同时将该用户的身份认证结果和密钥绑定发送至虚拟系统视图服务器。
2)虚拟系统接收到用户认证服务器发来的认证结果以及会话密钥数据后,根据认证结果中用户对应的角色以及角色对应的权限,构建虚拟系统视图,并与用户终端建立连接,将虚拟系统视图界面发送至用户终端,准备接收用户提交的应用请求。而构建的虚拟系统视图完全是依据用户角色的权限设置的,只提供其角色权限所允许的系统操作功能。
3)用户终端接收到虚拟系统视图后,即可通过界面向业务流服务器发送应用请求,业务流服务器在接收到用户提交的请求后,将业务进行分解,并发送到各个原独立系统中,由原独立系统执行后,将执行后的结果数据发送到虚拟系统视图服务器。这一部分的工作与一般的集成系统的工作流程是一致的。
4)虚拟系统视图服务器在接收到业务流执行结果数据后,根据用户的角色权限设置对业务流执行结果数据进行重组和清选,最终利用用户的临时会话密钥将重组清选后的数据返回至用户终端。完成一次用户业务请求。
5)当用户完成工作,退出系统后,虚拟系统视图服务器会将该用户的临时会话密钥作废,同时用户终端也会将其中保存的数据全部清除。
从上述的工作流步骤可以看出,在本模型中用户的虚拟系统视图是根据用户的角色而生成的,其功能与其角色权限紧密关联,而用户从其终端是无法直接访问集成系统的数据。
2.3 模型关键技术
在本模型中涉及到数据安全保护最为主要的操作就是:从用户角色映射成虚拟系统视图功能和界面,从用户角色映射到用户允许访问的数据范围。这两个操作是贯彻和执行集成系统数据安全保护策略的重要步骤。其中从用户角色映射到虚拟系统视力功能和界面的步骤体现了用户的操作权限,具体的映射由安全策略定义实现,如下所示;
Rule #xxxx: role A:〈Flow B,dataCond〉
其中#xxxx是策略的编号,而role A代表A角色,Flow B代表一个工作流,其中工作流是可以嵌套定义的。由以上这条规则可以看出,可以给集成系统中每个角色设定其所能进行的工作流,而工作流反映到虚拟系统视图即是用户可以进行的操作,再由操作生成对应的操作界面,即为虚拟系统的用户界面。
而用户角色映射到用户允许访问的数据范围这步骤的实现必须要应用到工作流与数据的绑定,只有通过这种绑定,最终在虚拟系统视图服务器中才能区分不同的数据来源以及确定最终对数据的重组和清洗。从上述的规则定义可以看出,这种绑定是通过二元组的方式来表述的。DataCond表达了FlowB执行结果数据集中重组和清洗的规则,这种规则的描述可以通过XML进行描述。例如设定用户只能访问自己创建的数据规则可以如下描述:
在这个规则中描述了一个匹配的要求,即要求虚拟视图系统取得的用户名必须与工作流执行结果数据的创建者一致才可以返回给用户终端。
3 应用举例
以下本文以一个系统集成为例说明本模型的实际使用。本系统集成由一个文档管理系统与财务系统集成,其中文档管理系统中包含了一个组织内使用的所有文档,而财务系统则包含该组织内部财务信息。通过系统集成后,文档管理系统的用户可以直接在系统中填写财务报销的凭证,然后直接提交给财务系统,财务系统处理后,将返回用户报销的处理情况。显然对于用户来说,他只需要访问自己的报销事务信息就可以了,他不应该具有访问财务系统其它信息的权限。针对这个系统集成可以建立以下的虚拟系统视图予以实现。
首先是在系统中针对上述用户建立一个角色,该角色可以访问并提交数据给财务系统的报销模块信息,但只限于其自身的报销事务信息。当角色建立后,就可以在系统中为该类用户分配该角色。当用户进入集成系统时,他必须要向系统提交其身份认证,当认证服务器通过其身份认证后,将分配的临时会话密钥发送到用户终端和虚拟系统视图服务器,虚拟系统视图服务器即可以根据用户角色向用户终端反馈回虚拟系统界面。显然根据该用户角色,其虚拟系统界面上不存在财务系统的其它功能如,生成财务报表等如图2所示。
当用户利用文档管理系统编辑其报销凭证并生成凭证数据,利用虚拟系统视图功能将其提交给原财务系统服务器,原财务系统接收用户提交的报销数据后,将其插入其数据库中并返回提交成功的信息到虚拟系统视图服务器。由该服务器反馈回用户终端。而当用户查询其报销处理情况时,虚拟系统视图将根据用户的身份检查反馈回的数据,只将与用户身份匹配的数据加密后返回给用户终端,这个检查的过程可以使用如2.3节所述的规则来实现。
从这个例子可以看出,通过虚拟系统模型完全屏蔽了用户对财务系统数据的访问,并可以根据用户身份对返回的财务系统数据进行审查和清选,保证了用户不会访问到除他自己的报销事务信息之外的其它信息,从而保证了财务系统的数据安全。
4 总结与讨论
本文主要是提出一种虚拟系统视图模型,该模型的主要目的是为了实现集成系统中对用户的数据屏蔽,使用户不能直接访问到集成系统中某个子系统的数据,从而达到对集成系统中数据信息的安全保护目的。从上述的模型的结构及其工作流程来看,本系统具有主要具有以下三个优点:
第一,本模型对于集成系统的数据保护比较严密,通过虚拟视图系统服务器使得用户不能直接访问集成系统中的数据,而且服务器提交给用户的数据都经过重组清选,加密更进一步保护了系统的安全。
第二,本模型可以实现细粒度的用户权限控制,因为本模型所虚拟出的系统是根据用户角色权限而建立的,其功能与角色权限一一对应,由此可见,本模型中每个角色都可以实现不同的系统功能及界面。与一般的集成系统采用控制用户界面功能失效和激活的方式相比,配置更灵活,而且控制粒度更细。
第三,对原有系统的变更较少,从本模型的结构可以看出,与一般的集成系统相比,本模型只是添加了身份验证服务器,和虚拟系统视图服务器,而原有的集成系统工作流服务变更很小,从而节省集成系统的集成费用和工程量。
当然,本模型也存在一些缺点,主要是如果系统业务大的情况下,系统结构中虚拟系统视图服务器可能会成为整个系统的瓶颈而影响系统工作效率,而这是可以通过其它方式解决的,总体上说本模型具有良好的扩展性和系统兼容性,因而具有一定的实际使用价值。
参考文献:
[1] 周权,肖德琴,唐屹.基于XML应用集成安全模型设计[J].计算机应用研究,2005,22(11).
[2] 潘海鹏,周天瑞,肖任贤,等.网络化信息集成系统安全性的研究与实现[J].机械设计与制造,2006(11).
[3] AbrahamSilberschatz.数据库系统概念[M]. 3版.机械工业出版社,2000:17-20.
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文