0 引言

　　隨著全球化信息技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)作為傳輸信息的載體，將會承載更多的具有機密性的信息(例如商業(yè)機密，國家機密)。而在網(wǎng)絡(luò)中，作為信息載體的郵件傳輸?shù)陌踩砸踩找媸艿街匾暋Ｔ谶@方面，簡單對象訪問協(xié)議SOAP(SimpleObject Access Protocol)是一種輕量級協(xié)議，主要用于在分散型、分布式環(huán)境中交換結(jié)構(gòu)化信息。它是Web Service技術(shù)的核心，具有傳輸簡單、擴展性和適應(yīng)性強等優(yōu)點，因而得到廣泛應(yīng)用。隨著Web service技術(shù)不斷應(yīng)用于國防、商業(yè)和政府部門等，SOAP協(xié)議的安全性也不斷受到重視。而在SOAP協(xié)議中又沒有定義標準的訪問控制安全規(guī)范。不同的SOAP應(yīng)用程序可能會采取不同的方法來處理訪問控制問題，因而易導(dǎo)致應(yīng)用程序的安全隱患。為此，本文主要討論了基于SOAP協(xié)議的郵件傳輸這一應(yīng)用程序的安全問題，并從傳統(tǒng)的郵件傳輸模型人手，針對傳統(tǒng)模型訪問控制的漏洞，提出了一些改進的意見和措施。

　　1 訪問控制機制的主要組成

　　訪問控制就是通過某種途徑準許或限制主體的訪問權(quán)利及范圍的一種方法。通過訪問控制服務(wù)可以限制對關(guān)鍵資源的訪問，防止非法用戶的侵入或因合法用戶不慎操作所造成的破壞。訪問控制由授權(quán)主體，授權(quán)客體，授權(quán)語法和訪問控制系統(tǒng)協(xié)調(diào)運做來完成。

　　圖1所示是訪問控制系統(tǒng)原理框圖。圖中，授權(quán)主體運用授權(quán)語法向訪問控制系統(tǒng)提出請求，然后通過訪問控制系統(tǒng)對主體進行授權(quán)，以使授權(quán)主體能夠訪問控制系統(tǒng)。

　　訪問控制規(guī)定了哪些主體能夠訪問哪些客體及其訪問權(quán)限。訪問控制系統(tǒng)是訪問控制中主要的部分。此外，訪問控制系統(tǒng)中還擁有很多模塊，各個模塊擁有不同的功能，它們依據(jù)訪問控制信息來判斷主體對客體的訪問操作權(quán)限。

　　1.1 授權(quán)主體

　　授權(quán)主體(Authorized Subject)是發(fā)出訪問操作和存取要求的主動方，通常指用戶或用戶的某個進程。授權(quán)主體是必須接受評價的實體，系統(tǒng)基于某種規(guī)范對該實體進行授權(quán)。授權(quán)內(nèi)容包括用戶身份，請求的起始位置(用IP地址來表示) 和用戶被授予的角色等。

　　SOAP運行在開放的系統(tǒng)中，并非所有的用戶都會在服務(wù)端注冊。請求可能是從一個未知的客體發(fā)出。未知客體能否調(diào)用某個服務(wù)主要取決于其被允許的操作范圍，這種限制可通過角色來體現(xiàn)。一般而言，角色的管理體現(xiàn)某種動態(tài)的行為，一般可以根據(jù)條件來激活或停止一個角色，例如，通過賦予郵箱密碼來激活角色。

　　1.2 授權(quán)客體

　　授權(quán)客體(Authorized Object)是表示被調(diào)用的程序或欲存取的數(shù)據(jù)。可將XML的請求消息作為授權(quán)系統(tǒng)的客體，來對請求消息中具體的元素和屬性進行授權(quán)操作(例如方法名)。授權(quán)客體應(yīng)該和SOAP請求消息中的XML元素和屬性相一致，通常用路徑表達式表示。在XML文檔樹中的路徑表達式是由右斜杠"／"分開的元素或者屬性序列R1／R2／……／Rn。如路徑表達式：SOAP-ENV：Envelope／SOAP-ENV：Body／SOAP-ENV：Get-ComName表示元素節(jié)點為：Get-ComName(方法名)。

　　1.3 授權(quán)語法

　　授權(quán)語法(Authorized Grammar)作為一個安全規(guī)則，主要用以確定一個主題是否對某個客體擁有訪問的權(quán)利。

　　一個授權(quán)由一個三元組(subject，object,sign)表示，其中，subject標識授權(quán)主體，可由身份、位置或角色來表示；object是SOAP消息中的元素或?qū)傩裕捎陕窂奖硎臼絹肀硎荆籹ign可以用"true"和"false"來表示訪問控制過濾器允許還是拒絕subject攜帶的object消息通過。下面給出基于XML的授權(quán)語法：

　　2 傳統(tǒng)的郵件安全訪問控制系統(tǒng)

　　圖2所示是一種傳統(tǒng)的網(wǎng)絡(luò)郵件傳輸流程圖。

　　2.1 用戶庫

　　用戶庫(User Base)已經(jīng)在系統(tǒng)中被定義為用戶的描述，通過訪問該庫可判別發(fā)出請求的用戶身份是否真實。對于基于SOAP協(xié)議郵件安全訪問控制系統(tǒng)，所謂的用戶角色無非是兩種：其一是能打開郵箱進行讀信寫信的用戶，其二是外來的郵箱地址用戶。

　　2.2 認證引擎

　　認證(Authentication)是安全訪問控制的重要組件，可用來協(xié)調(diào)所有子系統(tǒng)的動作，并通過搜索認證來確定用戶身份，進而對其進行授權(quán)。如果客戶提供了user.id和password，那么，認證引擎將向用戶庫要求user.id對應(yīng)的密碼，然后通過密碼比較來鑒定用戶身份；如果用戶提供的是證書(Certificate)，那么證書將在證書庫中搜索以尋求相同的證書來接受校驗，從而確定證書的真實性；如果是郵箱地址，那么，首先在"我的好友"的地址欄中搜索和比對，看其是否存在，若存在，就接收在郵箱里面，若不存在，就拒收。這就要求用戶把與其通信的每個人的郵箱地址存在"我的好友"地址欄中。其結(jié)果能確保不接收垃圾郵件。認證引擎依據(jù)具體的角色、用戶身份以及網(wǎng)絡(luò)地址來檢索客戶所擁有的授權(quán)，并參照給定的授權(quán)優(yōu)先級策略產(chǎn)生一個與請求對應(yīng)的訪問控制DOM(Document Object Model，即解析XML文檔對象模型，為中間的安全平臺和上層應(yīng)用提供了通用的API接口)標簽樹。，去掉消息樹中的"false"標簽所對應(yīng)的節(jié)點，即可生成過濾后的請求消息。

　　2.3 XML加密器

　　XML加密器(XML Encryption Device)可用于對XML內(nèi)容進行加密，以確保消息的私密性。它用通信密鑰加密E-mail內(nèi)容(即XML文檔的內(nèi)容)，再用加密通信密鑰的公鑰加密通信密鑰，然后對加密的E-mail用簽名私鑰對其簽名。當其獲得簽名公鑰和加密通信密鑰的公鑰后，雙方就可以利用它們來發(fā)送安全電子郵件，調(diào)用對方提供的E-mail服務(wù)接口，并把安全電子郵件作為參數(shù)傳輸給對方。

　　2.4 XML解密器

　　XML解密器(XML Declassification Device)可以對已經(jīng)加密的郵件進行解密。它先用簽名公鑰解密簽名后的加密E-mail，然后再用加密通信密鑰的私鑰解密通信密鑰，有了通信密鑰就可直接解密E-mail，這樣就可以得到信件了。

　　2.5 XML解析器

　　XML解析器負責將XML文本轉(zhuǎn)換到相應(yīng)的內(nèi)存來進行描述的轉(zhuǎn)換，常用的XML解析器有DOM和SAX．其中DOM是基于對象的接口，SAX是基于事件的接口。本文使用DOM解析器。

　　3 改進后的新型郵件傳輸系統(tǒng)

　　基于SOAP協(xié)議的郵件訪問控制的安全隱患有三點，一是SOAP協(xié)議中XML文檔的安全性，二是郵箱的安全性，三是發(fā)信人的安全性。對于將SOAP協(xié)議應(yīng)用于電子郵件的服務(wù)，本文主要從后兩者的安全性出發(fā)，來提出基于SOAP協(xié)議的新型郵件訪問控制框架，其流程如圖3所示。

　　3.1 證書引擎

　　證書引擎(Certificate Engine)用來評價證書的真實性，此處采用X.509證書標準來實現(xiàn)證書，可通過在擴展域中定義主體擁有的角色。

　　3.2 證書庫

　　證書庫(Certificate Base)可用地維護已經(jīng)在系統(tǒng)中存在的證書。用于與外界申請驗證的證書進行比對校驗，從而驗證用戶身份的真實性。

　　3.3 定時轉(zhuǎn)發(fā)

　　定時轉(zhuǎn)發(fā)(Fix-time Retransmission)是將郵件暫時存在郵箱主服務(wù)器上一段時間，然后再發(fā)送到目的郵箱地址。它將來有望致力于軍事。它的運行原理如下：如果發(fā)端客戶端和目的客戶端的機子都在運行，那么一端發(fā)送，另一端立即收到。收端利用一定的儀器可以知道發(fā)信人的所在位置，并可以予以攻擊。而所謂的定時轉(zhuǎn)發(fā)則是，發(fā)端客戶端將E-mail發(fā)到郵箱主服務(wù)器上(發(fā)信后立即離開發(fā)信地點)，而郵箱主服務(wù)器則在一定時間后再把此信件發(fā)給目的客戶端，這樣就可以避免目的客戶端實時的知道發(fā)信人的位置，從而保護發(fā)信人的安全。

　　3.4 訪問控制系統(tǒng)SOAP組件的影響

　　本文介紹的訪問控制系統(tǒng)不要求對已有的SAOP基礎(chǔ)設(shè)施作大的改動。它獲得請求消息后，即可解密解析請求消息并對它進行授權(quán)過濾，過濾之后重新轉(zhuǎn)化為XML消息。該方式使用SOAP協(xié)議和E-mail服務(wù)相結(jié)合的方法，而并未改變SOAP協(xié)議的執(zhí)行過程。 4 新系統(tǒng)與傳統(tǒng)郵件傳輸系統(tǒng)的比較

　　圖2所示傳統(tǒng)郵件傳輸流程與圖3所示的改進后的系統(tǒng)相比，新系統(tǒng)具有以下三個優(yōu)點。

　　首先是增加了證書驗證，使身份驗證更具安全性。由于證書是由第三方權(quán)威機構(gòu)發(fā)放的，所以使用證書更增加了安全性，可用于傳輸機密的郵件和交易。

　　第二，新系統(tǒng)只允許"我的好友"里面的郵箱地址進入收件箱，從而避免了垃圾郵件，也避免了惡意地址攻擊郵箱，保證了郵箱的安全性。在接收郵件的時候，系統(tǒng)首先辨別其郵箱地址，并在"我的好友"的郵箱地址庫中搜索，如果存在，則接收郵件，如果不存在，則拒收。

　　第三，改進后的系統(tǒng)增加了定時轉(zhuǎn)發(fā)功能，發(fā)信人通過設(shè)置定時轉(zhuǎn)發(fā)(發(fā)信后立即離開發(fā)信地點)可使信件在郵箱主服務(wù)器暫存一定的時間以后再到達目的地址，這樣可以避免目的地址開機檢測到發(fā)信人位置而對發(fā)信人不利的情況。發(fā)信人可在郵箱里面選擇郵件定時轉(zhuǎn)發(fā)功能并設(shè)置轉(zhuǎn)發(fā)時間(例如幾點發(fā)信)，然后把信件發(fā)出去，當信件到達郵箱主服務(wù)器的時候，信件將在郵箱主服務(wù)器上暫存一段時間，以備發(fā)件人及時離開。

　　4 結(jié)束語

　　本文簡要描述了訪問控制的一些主要組成要素，針對現(xiàn)有的郵件訪問控制機制，提出了一些基于SOAP協(xié)議的郵件訪問控制機制的改進措施，并對這種改進的可行性進行了論證。

　　改進后的訪問控制系統(tǒng)與傳統(tǒng)的郵件訪問控制系統(tǒng)相比，其優(yōu)越性在于增加了證書驗證，增強安全性，只允許在"我的好友"欄中的郵箱地址才能被接收，從而阻止了垃圾郵件進入郵箱。另外一點優(yōu)越性是發(fā)信人通過設(shè)置定時轉(zhuǎn)發(fā)(發(fā)信后立即離開發(fā)信地點)，可使信件在郵箱主服務(wù)器暫存一定的時間以后再到達目的地址，這樣可以避免目的地址開機檢測發(fā)信人位置的問題，這樣，收信人就判斷不出其是否在，但是，如果發(fā)信人一直在監(jiān)測，那么也會有機會在收信人開機時候檢測到發(fā)信人，這個安全隱患還有待于進一步研究。