摘 要：門戶集成了網(wǎng)絡(luò)中大量的信息和應(yīng)用資源，它為用戶提供統(tǒng)一的入口訪問不同Web應(yīng)用，并為每個用戶提供個性化的服務(wù)。訪問控制是門戶的重要功能，如何建立一個高效的門戶訪問控制模塊成為研究熱點。在分析portal，RBAC訪問控制模型、SAML和XACML后，提出一個擴(kuò)展的RBAC訪問控制模型并將其應(yīng)用到門戶中。該模型引入資源、動作分類概念，并結(jié)合上下文，能夠更好地適應(yīng)動態(tài)網(wǎng)絡(luò)，具有更高的靈活性。

關(guān)鍵詞：門戶平臺；訪問控制；RBAC；SAML；XACML

中圖分類號：TP39308文獻(xiàn)標(biāo)識碼：B

文章編號：1004-373X(2008)22-128-03

Design and Realization of RBAC in Portal System

LIU Yang，WANG Pu，LI Yafen

(College of Electronic Information and Control Engineering，Beijing University of Technology，Beijing，100022，China)

Abstract：Portal integrates a large amount of information and Web services，provides users a single entrance to access different Web services.A safe access control system becomes necessity.After analysing the portal，RBAC model，SAML and XACML，a new RBAC profile which is fit for the portal system and dynamic Web environment.

Keywords：portal platform;access control;RBAC;SAML;XACML

1 引 言

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，越來越多的企業(yè)、學(xué)校和個人采用門戶技術(shù)集成自己的各項業(yè)務(wù)功能模塊、數(shù)據(jù)資源以及互聯(lián)網(wǎng)資源。門戶可以為用戶提供統(tǒng)一的訪問渠道，強大的資源應(yīng)用集成和個性化的服務(wù)，單一性、集成性、個性化是門戶的基本特點^［1］。

單點登錄技術(shù)是門戶實現(xiàn)信息、應(yīng)用集成和統(tǒng)一的訪問入口的重要手段。選擇合適的方式實現(xiàn)訪問控制功能，成為構(gòu)建門戶的一個重要步驟?？紤]到門戶在集成本地和遠(yuǎn)程應(yīng)用的同時，本身也是一個基于Web的應(yīng)用程序。在實現(xiàn)門戶訪問控制時，應(yīng)該結(jié)合Web服務(wù)的訪問控制，使其更適應(yīng)Web環(huán)境。

RBAC基于角色的訪問控制模型在近幾年得到快速的發(fā)展，它將權(quán)限與角色綁定，具備最小權(quán)限特點，可以作為實現(xiàn)Web服務(wù)訪問控制的基本模型。訪問控制語言SAML，XACML與Web服務(wù)通訊協(xié)議SOAP協(xié)議一樣都是基于XML，SAML可以嵌入SOAP^［2］消息，選用SAML和XACML作為訪問控制模塊最終的實現(xiàn)語言，是合適的選擇。

在門戶系統(tǒng)背景下，對門戶的特點、訪問控制模型和控制策略語言進(jìn)行分析，最后提出一個基于門戶系統(tǒng)的訪問控制模型。在設(shè)計過程中對現(xiàn)有的基于角色的訪問控制模型進(jìn)行改善，使其更適應(yīng)門戶的特點。

2 背景介紹

2.1 基于角色的訪問控制系統(tǒng)

訪問控制模型是用于規(guī)定如何做出訪問授權(quán)決定的模型，大致可分為3種：自主訪問控制、強制訪問控制和基于角色的訪問控制^［3］。自主訪問控制基于用戶，擁有資源的用戶可以隨時授予、收回資源的訪問權(quán)，靈活性高，但安全性差；強制訪問控制以主體的安全等級和客體敏感度為判斷依據(jù)，因此比自主訪問控制安全性有了提高，但靈活性差；基于角色的訪問控制^［3］將用戶、角色、權(quán)限分層控制，為用戶賦予角色，角色擁有權(quán)限。用戶、角色、權(quán)限間可以是多對多的關(guān)系。角色管理系統(tǒng)相比前2個模型，更適合分級管理，具有良好的靈活性，適合大規(guī)模實現(xiàn)。

因此，現(xiàn)在的RBAC模型已經(jīng)被大多數(shù)訪問控制系統(tǒng)所采用。上面的圖1表示基于角色的訪問控制的基本控制思想。

2.2 SAML和XACML介紹

SAML(安全聲明標(biāo)記語言)^［4］是一種基于 OASIS 標(biāo)準(zhǔn)的可擴(kuò)展 XML 框架，用于交換身份驗證和授權(quán)信息，如前所述，它可以綁定在SOAP協(xié)議(Web服務(wù)通訊協(xié)議)中。SAML并不是一種身份認(rèn)證模式，它是一種基于XML的描述語言，目的是允許不同安全系統(tǒng)產(chǎn)生的信息進(jìn)行交換，提供進(jìn)行驗證和授權(quán)斷言以及傳遞斷言的機制。而XACML^［5］ 則提供了定義進(jìn)行必要的授權(quán)決策所需規(guī)則的語言，在特定的XML 文檔環(huán)境中，XACML將ACL擴(kuò)展為<對象、主體、動作、條件>。SAML和XACML都是由OASIS制定，并且基于XML，可以同時被機器和人讀懂。基于上面的這些特性和優(yōu)點，本模型采用SAML和XACML結(jié)合實現(xiàn)訪問控制。

在SAML的定義中提供了策略執(zhí)行點PEP和策略決策點PDP兩個功能模塊，XACML已經(jīng)被廣泛的應(yīng)用，PEP，PDP和策略是XACML的重要組件^［6］，可見SAML和XACML在訪問實體的定義上有相互重疊的部分，為它們的結(jié)合使用提供了前提。圖2是一個XACML的訪問控制模型。

在圖2中，用戶請求以SAML形式發(fā)送到策略執(zhí)行點PEP后，PEP將請求轉(zhuǎn)交給上下文處理器，上下文處理器收到請求后，將SAML請求轉(zhuǎn)換為XACML請求并發(fā)送到策略決策點PDP。PDP根據(jù)策略管理點提供的策略，評估請求并返回一個響應(yīng)。這個響應(yīng)經(jīng)上下文處理器返回給策略執(zhí)行點PEP，PEP根據(jù)響應(yīng)執(zhí)行決策結(jié)果。

3 門戶系統(tǒng)訪問控制模型設(shè)計

門戶系統(tǒng)具有集成性特點，它將大量的應(yīng)用和資源整合在一起，為用戶提供統(tǒng)一的個性化的服務(wù)。所以，對門戶中的應(yīng)用和資源進(jìn)行的訪問控制與僅對少數(shù)應(yīng)用進(jìn)行訪問控制是有區(qū)別的。首先，門戶中的信息和內(nèi)容資源數(shù)量眾多，為門戶中的每個資源建立一套角色、權(quán)限以及控制策略是不現(xiàn)實的。其次，考慮門戶集成的Web服務(wù)的可移植性和通用性，在設(shè)計訪問控制模型時應(yīng)盡量回避在Web服務(wù)中存放和角色、資源有關(guān)的信息?；谏厦娴目紤]，對XACML模型進(jìn)行擴(kuò)展使其更適應(yīng)門戶系統(tǒng)。門戶系統(tǒng)訪問控制模型如圖3所示。

3.1 擴(kuò)展模型

整個模型基于RBAC基本思想，包括認(rèn)證和授權(quán)2部分。認(rèn)證模塊完成用戶身份信息的確認(rèn)，授權(quán)模塊根據(jù)用戶請求中包含的信息，完成用戶到角色的映射，并根據(jù)資源、動作及上下文等信息依據(jù)一定的策略，完成角色到權(quán)限的分配。下面對模型中各功能模塊做詳細(xì)介紹：

認(rèn)證服務(wù)器 對用戶提供的用戶名/密碼進(jìn)行認(rèn)證，為通過認(rèn)證的用戶返回一段artifact信息，該artifact信息和存放在認(rèn)證服務(wù)器中的用戶信息如全局ID相關(guān)聯(lián)。

策略執(zhí)行點PEP 根據(jù)策略決策點PDP的決策信息，決定允許或拒絕用戶的操作請求；

策略決策點PDP 根據(jù)策略管理點PAP的策略信息，對請求做出裁斷；

策略管理點PAP 管理授權(quán)策略；

上下文處理器 負(fù)責(zé)SAML和XACML間信息的提取和格式轉(zhuǎn)換；

角色確認(rèn)權(quán)威 根據(jù)用戶請求中的用戶全局ID和被訪問資源信息，確認(rèn)用戶在具體資源中的角色；

資源確認(rèn)權(quán)威 根據(jù)用戶請求中的被訪問資源信息，確認(rèn)被訪問資源的等級；

動作確認(rèn)權(quán)威 根據(jù)用戶請求中的操作信息，確認(rèn)用戶請求動作；

上下文確認(rèn)權(quán)威 根據(jù)整個系統(tǒng)環(huán)境狀態(tài)、系統(tǒng)時間、用戶歷史行為等信息，對上下文做確認(rèn)。

可以看到整個模型是建立在基于角色訪問控制模型基礎(chǔ)上，除了上面的幾個模塊外，模型中還有幾個重要的概念：角色確認(rèn)、資源確認(rèn)、動作確認(rèn)、上下文確認(rèn)。下面對這4個概念做具體描述：

(1) 角色確認(rèn)：在門戶系統(tǒng)中，用戶在每個資源中的角色是不同，有些甚至是互斥的。比如在某資源中用戶的角色是雇主，而在另一資源中的角色是雇員，這樣基本的角色控制模型是不能適應(yīng)門戶環(huán)境的。本模型將角色和資源關(guān)聯(lián)，根據(jù)請求中用戶的信息和被訪問資源判斷用戶在該資源的惟一角色信息。

(2) 資源確認(rèn)：門戶中集成的資源數(shù)目龐大，如果為每個資源中的各個角色編寫控制策略，工作量將不可想象。 將門戶中的資源分類，對不同類別的資源創(chuàng)建訪問控制策略，是簡化門戶系統(tǒng)控制策略管理的辦法。在門戶中，有信息資源和業(yè)務(wù)系統(tǒng)。信息資源又可以分為內(nèi)部和網(wǎng)絡(luò)資源，對信息資源的操作一般是查看，查找操作。雖然，每個業(yè)務(wù)系統(tǒng)中的用戶角色不盡相同，但每個相似等級的角色擁有的操作權(quán)限有時是相同的。如，某高校門戶系統(tǒng)集成了畢業(yè)生就業(yè)信息管理平臺和新聞網(wǎng)后臺管理平臺，兩個管理系統(tǒng)中后臺的最高級別管理員，都擁有對資源的全部操作權(quán)限，而最低級別維護(hù)員只擁有文章添加、修改、刪除、提交功能的操作權(quán)限。

(3) 動作確認(rèn)：用戶請求的具體操作可以被分類，概括成抽象操作。如上面提到的閱讀、查找操作可以抽象為查看操作。

(4) 上下文確認(rèn)：上下文的引入是考慮到系統(tǒng)的動態(tài)環(huán)境下，用戶的歷史動作記錄和系統(tǒng)狀態(tài)對授權(quán)決策的影響。

3.2 訪問過程

用戶訪問門戶資源的整個過程是一個會話周期，用戶首先登錄或被重定向到身份認(rèn)證服務(wù)器，根據(jù)服務(wù)器提示向認(rèn)證服務(wù)器提交身份信息(用戶名/密碼形式)，認(rèn)證服務(wù)器做出身份判斷，如果用戶通過驗證，返回用戶一個SAML身份認(rèn)證聲明，表明用戶通過驗證，并同時在URL中插入一個叫作artifact的固定長度的信息一起返回給用戶。

當(dāng)用戶訪問某個具體應(yīng)用時，訪問請求被發(fā)送到授權(quán)服務(wù)器。用戶的artifact被提交回認(rèn)證服務(wù)器，認(rèn)證服務(wù)器將查找到的用戶信息返回給授權(quán)服務(wù)器，用戶信息中包含著用戶的全局ID等信息。授權(quán)服務(wù)器接收到該信息后和用戶的請求信息一起發(fā)送到策略執(zhí)行點PEP。

PEP先將包含著用戶請求和用戶全局ID的信息依次發(fā)送到角色確認(rèn)權(quán)威、資源確認(rèn)權(quán)威、動作確認(rèn)權(quán)威、上下文確認(rèn)權(quán)威。對請求信息中的用戶角色、被訪問資源、動作和上下文信息進(jìn)行確認(rèn)。經(jīng)過這步處理的請求信息被返回到上下文處理器，上下文處理器將它轉(zhuǎn)發(fā)給PDP。PDP依據(jù)請求中的信息做出最后的授權(quán)決策，并返回給PEP，PEP執(zhí)行授權(quán)決策的決定。

4 模型應(yīng)用

本門戶訪問控制模型是為了整合高校信息和應(yīng)用資源設(shè)計的，為了驗證該模型，將它應(yīng)用到實際項目中。設(shè)計的用戶基本信息表p_userInfo，主要存放用戶的全局ID用于訪問控制認(rèn)證模塊的查詢。p_user_right表存放用戶的角色、資源信息，用戶角色確認(rèn)權(quán)威的訪問查詢。p_action_abact存放用戶可能的操作和抽象操作名稱，用于動作確認(rèn)權(quán)威的訪問。p_session存放用戶訪問門戶session信息，其中包括用戶的行為信息等，為上下文確認(rèn)全文查詢。

就業(yè)信息發(fā)布管理系統(tǒng)是該高校門戶平臺中的一個應(yīng)用系統(tǒng)，用戶根據(jù)職責(zé)對就業(yè)信息文章進(jìn)行查看(view)、添加(add)、編輯(edit)、刪除(delete)、提交(submit)、發(fā)布(public)、退回(reject)、審核(audit)、取消(cancel)等操作。系統(tǒng)中用戶的角色分為3個等級：系統(tǒng)管理員(administrator)、院部審核員(auditor)、院部維護(hù)員。

權(quán)限指派如下：

Administrator：{view，add，edit，delete，public，cancel }

Auditor:：{ view，add，edit，delete，public，reject，audit }

Maintainer：{ view，add，edit，delete，submit }

當(dāng)用戶請求對資源操作時，訪問控制模塊根據(jù)用戶自身的全局ID查找用戶在就業(yè)信息發(fā)布管理系統(tǒng)中被分配的角色，賦予用戶該角色擁有的權(quán)限。門戶系統(tǒng)中除就業(yè)信息發(fā)布管理系統(tǒng)外的另一個應(yīng)用資源為校園內(nèi)網(wǎng)管理系統(tǒng)，它對用戶角色的劃分和操作權(quán)限的委派與就業(yè)信息發(fā)布系統(tǒng)類似。因此，兩個應(yīng)用系統(tǒng)在資源等級劃分中屬于一類，控制策略可以共享，這樣起到了簡化控制策略的目的。

5 結(jié) 語

在文中，首先對門戶系統(tǒng)的特點進(jìn)行分析，提出一種基于RBAC的訪問控制模型，選用SAML和XACML訪問控制語言實現(xiàn)。模型對基本RBAC進(jìn)行擴(kuò)展，提出在授權(quán)模塊進(jìn)行用戶/角色轉(zhuǎn)換的概念，并同時增加了資源、動作和上下文的確認(rèn)權(quán)威機構(gòu)，并在實際項目中應(yīng)用，證明能夠簡化控制策略的創(chuàng)建和管理，更適應(yīng)大量的動態(tài)、分布的網(wǎng)絡(luò)環(huán)境。但本文考慮的情況沒有包括對系統(tǒng)中原有舊系統(tǒng)的改造，對于這方面的研究將在后面的工作中完成。

參考文獻(xiàn)

［1］Clarke S.Standards for Second-generation Portals.IEEE Internet Computing，2004，8(2):54-60.

［2］Bilal Siddiqui，WAP Monster.開發(fā)Web服務(wù).http://www.ibm.com/developerworks/cn/Webservices/ws-intwsdl/part2/index.html，2002.

［3］Sandhu R，Coyne E，F(xiàn)einstein H，et al.Role-based Access Control Mode［J］.IEEE Computer，1996，29(2):38-47.

［4］SAML 2.0 Profile of XACML v2.0 Standard，OASIS，2005.

［5］XACML v3.0 Administrative Policy.Work draft 10，OASIS，2005.

［6］Diala Abi Haidar Nora Cuppens-Boulahia，F(xiàn)rederic Cuppens，et al.An Extended RBAC Profile of XACML.SWS′06，Alexandria，Virginia，USA.2006.

［7］方蔚濤，楊丹，李珩，等.數(shù)字化校園信息門戶的設(shè)計研究.計算機科學(xué)，2007，34(3):135-138。