一種層次信任的RBAC擴展模型

盧清平，蘇守寶，2，郁書好，3，4

（1.皖西學院信息工程學院，安徽 六安237012；2.金陵科技學院信息技術學院，江蘇 南京 211169；3.合肥工業(yè)大學計算機與信息學院，安徽 合肥 230009；4.合肥工業(yè)大學計算機網(wǎng)絡研究所，安徽 合肥 230009）

隨著互聯(lián)網(wǎng)應用的普及，安全可靠的數(shù)據(jù)業(yè)務處理及大型企業(yè)門戶服務平臺建設中對權限管理和數(shù)據(jù)訪問控制的安全性變得更復雜，尤其對跨域用戶的認證和集中授權的研究具有十分重要的意義和實用價值.訪問控制是保證企業(yè)門戶及信息系統(tǒng)安全的一項重要措施，常用的訪問控制技術包括自主訪問控制（DAC）、強制訪問控制（MAC）、基于任務的訪問控制（TBAC）和基于角色的訪問控制（RBAC）等，角色是一組訪問權限的抽象，RBAC已發(fā)展成為NIST和ANSI標準規(guī)范［1］.研究者針對現(xiàn)有模型在解決用戶統(tǒng)一認證與集中授權中的不足，不斷提出改進的方法，如基于信任授權的模糊訪問控制模型、動態(tài)網(wǎng)格環(huán)境中不同的域之間的信任關系及其訪問控制方法等［2－4］.文獻［5］結合PKI和PMI的層次結構，設計采用PKI的CA認證機構PMI的SOA授權管理中心的交叉證書的方式完成用戶對跨域系統(tǒng)的安全訪問控制方法.針對現(xiàn)有RBAC委托模型在支持細粒度和權限傳播可控性上存在的不足，文獻［6－7］提出一種信任度的靈活角色映射機制的授權方法、授權信任約束的細粒度訪問控制模型等.由于分布式系統(tǒng)中服務實體身份難以確定、接入平臺復雜且網(wǎng)絡環(huán)境動態(tài)多變，文獻［8－9］引入“綁定上下文”約束，對用戶身份、接入平臺及用戶行為進行多維度量，根據(jù)網(wǎng)絡環(huán)境和用戶狀態(tài)的動態(tài)多變性，實現(xiàn)動態(tài)角色授權控制.文獻［10－11］研究了一種輕量級認證密鑰協(xié)商協(xié)議（EC－SAKA）的基于用戶行為的信任評估模型，可用于智能環(huán)境、普適計算中用戶隱私保護并確保通信實體之間的信任.文獻［12］利用語義Web技術來描述云資源的訪問控制授權模式、層次化RBAC（hRBAC）、條件RBAC（cRBAC）和分層對象（HO），以及在云中的資源保護訪問規(guī)則的邏輯形式主義與多租戶性質(zhì).文獻［13］通過優(yōu)化所有通信實體間信任配置，用推薦令牌來建立跨組織應用程序間的協(xié)調(diào)聯(lián)合.文獻［14］可信網(wǎng)絡連接（TNC）中用戶訪問層面、系統(tǒng)訪問層面和網(wǎng)絡態(tài)勢感知層面訪問控制總體架構TNACA.根據(jù)請求者的行為及其平臺計算環(huán)境特征評估其信任級別的方法，文獻［15］研究了可信網(wǎng)絡連接架構中具有反饋功能的動態(tài)訪問授權模型等，以不斷改善互聯(lián)網(wǎng)應用系統(tǒng)的用戶授權管理和安全性能.

一個完善的企業(yè)門戶訪問權限管理體系應有以下特性［1］：（1）權限管理模塊具有相對的獨立性、非植入性，與應用系統(tǒng)模塊松散耦合；（2）能夠?qū)崿F(xiàn)可變粒度的信任認證，可提供多層次、多粒度的、來自平臺內(nèi)外部不同等級的安全認證服務，可滿足來自不同應用系統(tǒng)的多種認證需求；（3）權限管理系統(tǒng)應具有一定的可伸縮性，通過配置集成和配置擴展，實現(xiàn)權限系統(tǒng)與其他應用系統(tǒng)的集成應用，擴展權限管理系統(tǒng)的應用范圍，增加系統(tǒng)的可擴展和可重用性能.目前在權限訪問管理方面常用的技術規(guī)范或協(xié)議主要有Kerberos和SAML.基于SAML標準的動態(tài)權限管理項目為大型企業(yè)門戶環(huán)境中的異構應用間互相認證提供了服務基礎［3］.針對以上情況，本文結合SAML對NIST－RBAC的統(tǒng)一模型進行改進，提出以SAML標準實現(xiàn)可移植的信任角色授權的訪問控制擴展模型（ExRBAC），利用SAML的可信憑證擴展用戶和角色之間的層次，增加角色的信任層次以加強粒度控制，同時設置分層預處理，用于降低處理權限判決點時的復雜性，簡化權限分配.信任管理可具體擴展到應用服務所在域或應用服務后臺資源本身，用戶通過其認證可信度獲取相應的應用系統(tǒng)角色，結合分層的角色權限管理機制實現(xiàn)訪問認證粒度的動態(tài)性和可變性，最后給出了擴展模型授權流程以及在企業(yè)門戶服務平臺eXo Platform上的應用實例.

1 基于SAML的非植入式信任授權

1.1 SAML的組成

SAML的身份信任環(huán)境主要包括Service Provider服務提供者、Identity Provider認證提供者和Subject用戶主體等.

（1）Service Provider服務提供者，即信任需求方.可以是 WEB系統(tǒng)或在線內(nèi)容，即需要通過SAML認證才能訪問的受保護的資源，由其決定允許何種請求.

（2）Identity Provider認證提供者，即認證提供方.負責提供SAML安全信息，為Service Provider提供身份認證.

（3）Subject用戶主體，是與身份信息相關的訪問用戶.

通常在一個SAML的身份信任環(huán)境下會有許多Subject和數(shù)個Service Provider，也可能存在多個Identity Provider.在SAML中，定義了3類安全斷言聲明來攜帶信任信息.斷言聲明中包含頭信息、主體名稱和若干個語句，在斷言的頭信息包含有Identity Provider的來源和發(fā)行有效期等其他信息，Service Provider或信任方通過斷言了解訪問請求的身份信息、請求用戶的主體信息、提供安全信息的Identity Provider方的可信任性.

1.2 SAML的協(xié)議擴展

為了方便Service Provider與Identity Provider進行交換消息，SAML提供了相應的機制使得認證和授權信息可以在不同的安全服務域之間進行交換，可以實現(xiàn)不同安全服務系統(tǒng)間的互相操作性.SAML將傳輸?shù)陌踩畔⒍x為斷言聲明，用XML語言來描述，以請求／問答的形式在信任環(huán)境中的多個Service Provider之間傳遞.

SAML的3類聲明中包括描述認證對象的相關信息的描述認證方式、認證時間、請求來源等內(nèi)容.對于SAML標準尚未涉及的需求，SAML也支持協(xié)議擴展機制，允許開發(fā)者對其中的一些元素進行擴展和選擇，通過定義傳輸、認證、安全技術為開發(fā)者提供與平臺無關的安全服務框架，極大地增加了SAML的靈活性和應用范圍.

1.3 SAML信息交換流程

SAML提供了2種應用模式將安全信息通過Identity Provider傳送到Service Provider（Artifact Bindings模式和Post Bindings模式）.其中Artifact Bindings模式的信息傳遞流程如圖1所示.其中：

（1）Subject向Identity Provider發(fā)送認證請求，請求安全信任憑證；

（2）Identity Provider對Subject進行認證，生成認證聲明，建立對應的Artifact，將其返回給Subject；

（3）Subject重定向到Service Provider，提交獲得的Artifact憑證以及服務請求；

（4）Service Provider通過 Artifact憑證，產(chǎn)生SAML請求，查詢Identity Provider，要求憑證斷言；

（5）憑證是Identity Provider產(chǎn)生的，Identity Provider根據(jù)對應關系回應SAML斷言給Service Provider；

（6）Service Provider信任Identity Provider的SAML斷言，根據(jù)斷言聲明判斷用戶身份，決定是否為Subject提供服務.

圖1 Artifact Bindings的信息傳遞流程

1.4 基于SAML的非植入式信任授權

具有門戶認證身份的用戶信息可以實現(xiàn)不同域的信任，考慮到集成環(huán)境中的各類應用應該有各自的身份信任機制，需要在更高層次上通過SAML來建立統(tǒng)一的身份信任，以便屏蔽各應用間的差異.SAML是OASIS制定的適用于在復雜的環(huán)境下交換用戶的身份識別信息的標記語言.SAML1.1標準的主要內(nèi)容是安全信息交換.SAML2.0則引入了支持身份聯(lián)盟的一些重要功能，可不受系統(tǒng)架構和域的限制來交換安全斷言，門戶系統(tǒng)以及類似的大型企業(yè)集成環(huán)境中異域結構的系統(tǒng)可以統(tǒng)一到SAML的標準框架中，實現(xiàn)松散耦合的非植入式信任授權.SAML目前定義了3類安全斷言聲明信息：認證聲明用于認證身份信息；屬性聲明定義安全屬性信息；授權聲明則定義了對相應資源的授權.這3類聲明均可以嵌入到SAML的一組XML格式的請求——應答消息中進行傳遞.

2 層次信任的RBAC擴展模型

基于角色的訪問控制（Role－Based Access Control，RBAC）是門戶系統(tǒng)中常用的訪問控制策略.安全管理人員根據(jù)授權需要定義各種角色，并為角色設置合適的訪問權限，用戶則被指派為不同的角色，通過角色獲得相應的服務訪問權限.這樣，門戶系統(tǒng)的訪問控制過程就分成2個部分，即訪問權限與角色相關聯(lián)，角色再與用戶關聯(lián)，從而實現(xiàn)了用戶與訪問權限的邏輯分離，減小了門戶系統(tǒng)中授權管理的復雜性，降低了管理開銷.

隨著門戶系統(tǒng)中集成的應用服務不斷擴展，用戶對不同應用服務的更細粒度的訪問需求日益加深，傳統(tǒng)的RBAC系統(tǒng)中個體差異很難實現(xiàn)，RBAC相對靜態(tài)的權限管理思想并不能滿足門戶中需要根據(jù)用戶特征的動態(tài)改變而動態(tài)地改變用戶角色的需要.

2.1 NIST－RBAC訪問控制模型

NIST－RBAC模型的基本結構如圖2所示.

組成模型的各元素含義描述如下：

（1）U，R，P 分別表示用戶集、角色集、權限集3個最基本的要素；

（2）S表示會話的集合，在實際的系統(tǒng)運行中，用戶可以選擇確定某次會話需要使用的角色集合；

（3）URA（URA?U×R）表示用戶與角色的多對多的分配關系；

圖2 NIST－RBAC模型基本結構圖

（4）PRA（PRA?P×R）表示權限與角色的多對多的分配關系；

（5）RH（角色層次）（RH?R×R），是角色集R上的一個偏序關系，用來描述模型中的角色繼承關系；例如，有（r1，r2）∈RH，則表示角色r2是角色r1的父角色，角色r2繼承角色r1的所有權限.

2.2 層次信任的擴展模型（ExRBAC）

NIST－RBAC模型中的用戶和角色的關系是靜態(tài)指定的，不能適應門戶系統(tǒng)中動態(tài)匹配需要.在實際應用中，利用SAML的信任斷言機制對NIST－RBAC模型中的角色層次關系進行擴展.通過在角色集R，設定其中有一些角色是信任管理角色，其他角色可以通過指派該信任而來，訪問角色所在域，并擁有角色在應用域中被分配的權限.需要說明的是，用戶關聯(lián)了信任角色后，是在角色的創(chuàng)建域有角色被分配的權限，而不是在被信任域擁有角色被分配的權限；另外，被信任用戶被委派的信任角色，在被信任域不能再進行權限的分配，用戶登錄角色的創(chuàng)建域后擁有的權限只是角色在其創(chuàng)建域被分配的權限.改進后的模型中的角色層次關系是基于管理范圍這個概念和反對稱二叉關系trust－authority∈R×R.trust－authority關系又為信任－授權關系.

如果（a，r）∈trust－authority，則a是一個信任管理角色并且a控制r.

定義T（a）＝｛r∈R｜（a，r）∈trust－authority｝，

T（a）表示角色a所直接控制的信任角色集.在改進后的模型中，由R和trust－authority關系定義了一個擴展層次，表示為〈R，≤〉.

假定給定一個角色a∈R，在模型中定義：

設X是偏序集，Y?X，那么↑Y＝｛x∈X｜存在y∈Y使得x≤y｝，↓Y＝｛x∈X｜存在y∈Y 使得y≤x｝，X＼Y表示在集合X 中去掉集合Y中元素后所得到的集合.其中↑r，↑T（a）和↓T（a）由〈R，≤〉中求得.S（a）是a的管理范圍，S＋（a）是a的信任管理范圍.如果r∈S（a），則說a是r的一個信任管理角色.當角色層次關系發(fā)生變化時，每個管理角色的管理范圍會隨著trust－authority關系的變化而隨之變化.管理角色范圍可以隨著角色層次關系的變化而動態(tài)改變的，可以直接地或是作為層次操作的結果間接地修改RBAC關系，加入信任屬性后的擴展RBAC模型如圖3所示.基本元素和指派關系同NIST－RBAC模型，設計中加入了獨立于角色或角色層次的用戶庫單元和權限庫單元.用戶庫單元包含事先定義好的用戶，權限庫單元包含事先定義好的權限.

圖3 擴展RBAC模型

3 信任角色的擴展模型實例

3.1 ExRBAC實例

在此實例中選用ObjectWeb發(fā)布的eXo Platform V2門戶作為動態(tài)身份控制系統(tǒng)的構建平臺，此門戶中集成了若干用戶信息應用類系統(tǒng)，包括幾個用戶業(yè)務系統(tǒng).基于SAML的信任角色擴展模型實例如圖4所示.

其動態(tài)身份訪問控制流程描述如下：

（1）用戶向門戶提供一個身份驗證信息，一個包含訪問信息的目標文檔或一個SAML斷言；

（2）門戶將其交給SAML訪問控制決策器，決策生成器依據(jù)策略庫中提供的信息生成此用戶的訪問控制決議；

（3）用戶的訪問控制決議由SAML訪問控制決策器中的策略執(zhí)行機構完成執(zhí)行，并根據(jù)執(zhí)行結果緩存目標文檔或更新SAML安全斷言；

（4）此次訪問決議執(zhí)行結果生成可信的SAML安全斷言返回給用戶，用戶再次訪問時，可檢查此斷言是否存在，若存在則提供給請求者，以提高訪問效率.

圖4 基于SAML的信任角色擴展模型實例

3.2 信任證書實體設計及描述

信任證書中存放用戶標志Uid，角色Role，以及可以訪問的應用服務Server.證書實體具有下列屬性.

｛uid；｛server；userRole；trusttype；trustvalue｝；validate；｝，其中：

（1）uid是一個用戶區(qū)別于其他用戶的唯一標志.和SAML實體中的uid一致.

（2）server中存放應用服務URL地址.

（3）userRole中存放具有server權限的角色名，可以是多個值.

（4）trusttype和trustvalue存放該用戶以角色userRole使用server的信任約束，和用戶實體中的trusttype和trustvalue相對應.每一個server都對應一個userRole和trusttype及trustvalue.

（5）validdate中存放該證書的有效期.

一個用戶的信任證書如表1所示.這個證書是uid＝zhangling的用戶的全域信任證書.它表示該用戶可以以角色Role1訪問serverA中信任類型為初級，信任值為tv1的服務資源，可以以角色Role2和Role3訪問serverB的公開服務資源.Zhangling可以使用這張證書的有效期到2013年3月6日.

在實際的應用實現(xiàn)中，定義一個CreateCertificate類來生成用戶對應用服務的信任證書：

class CreateCertificate｛

Public Role trustRole（String uid）｛……｝／／查找uid用戶的信任屬性信息，如果匹配成功，寫入用戶實體中，返回角色對象

Public List inheritRole（User userinfo）｛……｝／／在信任角色中查找被繼承的信任角色，返回角色列表

Public List findSever（List roleinfo）｛……｝／／查詢權限庫，返回應用服務地址列表

Public void writeCertificate（String uid，List serverinfo，List roleinfo，User userinfo）｛……｝

／／將獲得的信息寫入信任證書庫中

｝

表1 信任證書實體示例

4 結束語

本文提出以SAML標準實現(xiàn)可移植的信任，在門戶環(huán)境和類似大型集成應用場景中建立的一種標準的、與協(xié)議無關的非植入式權限管理模型，結合SAML交換認證和授權憑證提出一種層次信任的RBAC擴展模型，具有能夠提供非植入式信任授權功能.用戶通過其認證可信度獲取相應的應用系統(tǒng)角色，結合分層的角色權限管理機制實現(xiàn)訪問認證粒度的動態(tài)性和可變性.本文給出了模型授權流程以及在企業(yè)門戶服務平臺eXo Platform上的應用實例，設計了改進后的訪問控制的實現(xiàn)，以后將進一步研究擴展模型的多粒度、多租戶訪問控制模型及其實現(xiàn)技術等.

［1］BISKUP J，HIELSCHER J，WORTMANN S.A trust－and property－based access control model［J］.Electronic Notes in Theoretical Computer Science，2008，197（2）：169－177.

［2］付爭方，王小明，竇文陽，等.基于信任授權的模糊訪問控制模型［J］.微電子學與計算機，2007，24（9）：29－32.

［3］馬曉寧，馮志勇，徐超.WEB服務中基于信任的訪問控制［J］.計算機工程，2010，36（3）：10－13.

［4］MARTINO AS，PERRAMON X.A model for securing e－banking authentication process：antiphishing approach［C］.Proc IEEE Congress on Services，2011：251－254.

［5］李源.基于SAML和PMI的認證授權機制的研究與應用［D］.長沙：湖南大學，2010.

［6］蔡偉鴻，韋崗，肖水.基于映射機制的細粒度 RBAC委托授權模型［J］.電子學報，2010，38（8）：1753－758.

［7］夏啟壽，殷曉玲，王汝傳.RBAC中基于信任的細粒度訪問控制研究［J］.計算機工程與應用，2012，48（12）：75－79.

［8］曹春，馬曉星，呂建.SCOAC：一個面向服務計算的訪問控制模型［J］.計算機學報，2006，29（7）：1209－1206.

［9］劉飛，常朝穩(wěn).基于多維度量和上下文的訪問控制模型［J］.計算機工程，2011，37（24）：129－131.

［10］HUSSEINI AE，MHAMED A，HASSAN BEL.A novel trust－based authentication scheme for low－resource devices in smart environments［J］.Procedia Computer Science，2011，5：362－369.

［11］LUO J Z，NI X D，YONG J M.A trust degree based access control in grid environments［J］.Information Sciences，2009，179（15）：2618－628.

［12］BERNABE J B，PEREZ J M，CALERO J M，et al.Semantic－aware multi－tenancy authorization system for cloud architectures，F(xiàn)uture Generation Computer Systems［EB］.［2012－05－11］.http：／／dx.doi.org／10.1016／j.future.

［13］NOUREDDINE M，BASHROUSH R.An authentication model towards cloud federation in the enterprise［J］.Journal of Systems and Software，2013，86（9）：2269－275.

［14］吳琨.可信網(wǎng)絡訪問控制關鍵技術研究［D］.北京：北京郵電大學，2012.

［15］鄒冰玉，張煥國，郭曦，等.可信網(wǎng)絡連接中一種基于可信度的細粒度授權模型［J］.武漢大學學報：理學版，2011，56（2）：147－150.