李懷明,王慧佳,符 林

(1.大連理工大學(xué)管理與經(jīng)濟(jì)學(xué)部,遼寧大連116024;2.中國(guó)人民銀行大連市中心支行,遼寧大連116024)

基于組織的Web服務(wù)訪問(wèn)控制模型

李懷明1,王慧佳1,符 林2

(1.大連理工大學(xué)管理與經(jīng)濟(jì)學(xué)部,遼寧大連116024;2.中國(guó)人民銀行大連市中心支行,遼寧大連116024)

針對(duì)現(xiàn)有訪問(wèn)控制策略難以保障面向Web服務(wù)的復(fù)雜電子政務(wù)系統(tǒng)授權(quán)的靈活性問(wèn)題,在研究基于組織的四層訪問(wèn)控制模型(OB4LAC)的基礎(chǔ)上,提出一種基于組織的Web服務(wù)訪問(wèn)控制模型。以組織為核心,從管理的視角研究訪問(wèn)控制與授權(quán)管理問(wèn)題。通過(guò)引入崗位代理和授權(quán)單元,使授權(quán)隨著環(huán)境上下文信息的變化而調(diào)整,從而實(shí)現(xiàn)動(dòng)態(tài)授權(quán),同時(shí)利用授權(quán)單元的狀態(tài)遷移,對(duì)工作流模式提供支持。并且模型將權(quán)限分為服務(wù)權(quán)限和服務(wù)屬性權(quán)限2級(jí),實(shí)現(xiàn)細(xì)粒度的資源保護(hù)。應(yīng)用實(shí)例結(jié)果表明,該模型能夠契合電子政務(wù)系統(tǒng)中的復(fù)雜組織結(jié)構(gòu),在保護(hù)Web服務(wù)資源的同時(shí),使得授權(quán)更加高效和靈活。

訪問(wèn)控制;電子政務(wù);組織結(jié)構(gòu);Web服務(wù);崗位代理;動(dòng)態(tài)授權(quán)

1 概述

近年來(lái),Web服務(wù)技術(shù)已廣泛應(yīng)用于電子政務(wù)的建設(shè),特別是在電子政務(wù)遺留系統(tǒng)［1］集成領(lǐng)域,憑借其平臺(tái)獨(dú)立、松耦合和復(fù)用性高等特性,起到了很大作用。然而,Web服務(wù)的開(kāi)放性給重構(gòu)后的復(fù)雜電子政務(wù)系統(tǒng)帶來(lái)了新的安全隱患,因此,需要一種安全的訪問(wèn)控制機(jī)制來(lái)識(shí)別用戶身份,使得合法用戶能夠訪問(wèn)其請(qǐng)求的資源,而拒絕非法的訪問(wèn)。

已有眾多學(xué)者對(duì)Web服務(wù)環(huán)境下的訪問(wèn)控制進(jìn)行了研究,并且提出了一些實(shí)用的模型,如許峰等人結(jié)合動(dòng)態(tài)角色代理和基于工作流的模型［2］,提出了一個(gè)面向服務(wù)和工作流的基于角色的訪問(wèn)控制模型,通過(guò)實(shí)際任務(wù)和服務(wù)狀態(tài)對(duì)授權(quán)進(jìn)行動(dòng)態(tài)控制,有效地加強(qiáng)了訪問(wèn)控制系統(tǒng)的靈活性和安全性［3］;文獻(xiàn)［4］通過(guò)引入授權(quán)組概念和分級(jí)訪問(wèn)控制機(jī)制,提出了一種面向服務(wù)的動(dòng)態(tài)分級(jí)角色訪問(wèn)控制模型,有效增強(qiáng)了Web服務(wù)訪問(wèn)控制的獨(dú)立性、靈活性和擴(kuò)展性,但缺少對(duì)實(shí)現(xiàn)方法的探索;文獻(xiàn)［5］提出了一種使用控制［6］支持的組合Web服務(wù)業(yè)務(wù)流程動(dòng)態(tài)訪問(wèn)控制模型,具備上下文感知、細(xì)粒度訪問(wèn)管理等特性,并給出了模型的實(shí)施框架;文獻(xiàn)［7-8］針對(duì)Web資源訪問(wèn)控制對(duì)訪問(wèn)控制策略的動(dòng)態(tài)性和靈活性等需求,提出了基于屬性和角色的訪問(wèn)控制模型,給出相關(guān)定理和規(guī)則,并對(duì)模型的安全性進(jìn)行了分析;文獻(xiàn)［9］提出了一種以RBAC模型為基礎(chǔ)的多域動(dòng)態(tài)訪問(wèn)控制模型,并給出了相應(yīng)的授權(quán)框架,但未根據(jù)模型實(shí)現(xiàn)訪問(wèn)控制系統(tǒng)。

這些模型分別從不同方面提出了改良的思路,但主要都建立在RBAC模型［10-11］的基礎(chǔ)之上,當(dāng)系統(tǒng)角色和權(quán)限數(shù)目龐大時(shí),基于RBAC模型的系統(tǒng)性能會(huì)顯著降低,同時(shí)管理復(fù)雜度也顯著增加,因此,這些模型都不能滿足多級(jí)、多部門、多應(yīng)用的復(fù)雜信息系統(tǒng)的授權(quán)需要。

考慮到政府部門特殊的組織管理機(jī)制,以及應(yīng)對(duì)基于Web服務(wù)的復(fù)雜電子政務(wù)系統(tǒng)的動(dòng)態(tài)訪問(wèn)安全需求,本文在基于組織的四層訪問(wèn)控制模型［12］(OB4LAC)思想的指引下,提出一種基于組織的Web服務(wù)訪問(wèn)控制模型,引入崗位代理、授權(quán)單元等概念,以較好地解決訪問(wèn)控制安全和靈活性問(wèn)題。

2 基于組織崗位的訪問(wèn)控制模型

授權(quán)是組織正常運(yùn)轉(zhuǎn)的基礎(chǔ),甚至權(quán)限的分配還體現(xiàn)著組織的內(nèi)部結(jié)構(gòu)和運(yùn)作方式,因此,電子政務(wù)系統(tǒng)中的授權(quán)管理應(yīng)該契合組織的結(jié)構(gòu),才能實(shí)現(xiàn)清晰、高效的授權(quán)管理。

政府組織結(jié)構(gòu)通常是相對(duì)穩(wěn)定的,同時(shí)崗位對(duì)應(yīng)的權(quán)限通常也是相對(duì)穩(wěn)定的,而人員確是在不斷變化的。在某些政府部門中,人員的調(diào)整頻率比較大,例如存在輪崗機(jī)制,人員調(diào)整后,與之相關(guān)的權(quán)限也應(yīng)該隨之改變,如果政務(wù)系統(tǒng)非常龐大、復(fù)雜時(shí),授權(quán)工作就會(huì)變得十分繁重［12］。

如果將RBAC模型或者其拓展模型運(yùn)用到復(fù)雜的電子政務(wù)系統(tǒng),授權(quán)管理容易與組織結(jié)構(gòu)脫節(jié),上述問(wèn)題并不能得到解決。因此,為了應(yīng)對(duì)RBAC模型的管理復(fù)雜度隨著角色、權(quán)限的增加而顯著增加,以及更好地適應(yīng)復(fù)雜電子政務(wù)系統(tǒng)的組織結(jié)構(gòu),文獻(xiàn)［12］在RBAC的基礎(chǔ)上提出了基于組織的四層訪問(wèn)控制模型(OB4LAC)。

OB4LAC模型的核心思想是:認(rèn)證、授權(quán)和責(zé)任認(rèn)定都以組織為基礎(chǔ),用戶被指派的是相應(yīng)的崗位而不是角色;權(quán)限設(shè)定為對(duì)信息對(duì)象類型的操作而非對(duì)信息對(duì)象本身的操作,一個(gè)用戶擁有對(duì)某一信息對(duì)象的操作權(quán)限,當(dāng)且僅當(dāng)該用戶被指派了一個(gè)崗位,該崗位與某一角色關(guān)聯(lián),而該角色擁有對(duì)該信息對(duì)象類型的操作權(quán)限,并且該信息對(duì)象與該崗位相關(guān)［12］。OB4LAC模型如圖1所示。

圖1 OB4LAC模型

基于OB4LAC模型的訪問(wèn)授權(quán)體系已經(jīng)成功地被應(yīng)用到多套復(fù)雜電子政務(wù)應(yīng)用系統(tǒng)中,如遼寧省交通廳省市縣三級(jí)協(xié)同辦公系統(tǒng)、山西省行政審批電子監(jiān)察系統(tǒng)等,并且效果顯著,從而證明了OB4LAC模型的科學(xué)性和實(shí)用性。

3 WS-OBAC模型

如上文所述,將OB4LAC模型運(yùn)用到傳統(tǒng)的電子政務(wù)系統(tǒng)建設(shè)中,確實(shí)頗有成效,因?yàn)樵撃Ｐ湍軌虬咽跈?quán)管理與政府組織管理緊密融合,從而更高效地進(jìn)行授權(quán)管理工作。然而,隨著大數(shù)據(jù)時(shí)代的來(lái)臨和電子政務(wù)的推進(jìn),我國(guó)政府開(kāi)始從管理型政府向管理服務(wù)性政府轉(zhuǎn)變,旨在通過(guò)電子政務(wù)系統(tǒng)集成和協(xié)作為公民提供更便捷、優(yōu)質(zhì)的服務(wù)。特別是基于Web服務(wù)的電子政務(wù)整合方案的提出,對(duì)訪問(wèn)控制提出了新的要求和挑戰(zhàn),因?yàn)樘岢稣?qǐng)求的客體和提供服務(wù)的客體都具有較高的動(dòng)態(tài)特性,同時(shí)組合Web服務(wù)業(yè)務(wù)需要工作流模式的支持。而OB4LAC模型無(wú)法滿足這種需求。因此,本文在OB4LAC模型的基礎(chǔ)上進(jìn)一步擴(kuò)展,并結(jié)合文獻(xiàn)［3］中的分級(jí)訪問(wèn)概念,提出了基于組織的Web服務(wù)訪問(wèn)控制模型(WS-OBAC),使其能夠根據(jù)系統(tǒng)環(huán)境上下文變化實(shí)現(xiàn)動(dòng)態(tài)授權(quán)。

3.1 WS-OBAC的基本概念

在闡述WS-OBAC模型的具體定義之前,先介紹一下模型中要用到的一些基本概念。

定義1 崗位代理(Pagent)。Pagent是用戶激活角色、崗位對(duì)時(shí),系統(tǒng)自動(dòng)生成一個(gè)動(dòng)態(tài)崗位代理對(duì)象?？梢杂靡粋€(gè)四元組＜User,Organization,Roles,Lifetime＞表示,崗位代理集合記為A。其中,User表示激活角色、崗位對(duì)的實(shí)時(shí)用戶;Organization表示用戶的崗位;Roles表示用戶崗位所對(duì)應(yīng)的角色集合; Lifetime表示Pagent的生命周期,用戶只有在生命周期內(nèi)才能有效地執(zhí)行訪問(wèn)權(quán)限。

當(dāng)用戶對(duì)應(yīng)角色、崗位對(duì)被激活時(shí),系統(tǒng)便會(huì)產(chǎn)生一個(gè)Pagent,并將該角色、崗位對(duì)的約束傳遞到Pagent中,使得用戶能夠通過(guò)Pagent間接獲得服務(wù)權(quán)限。系統(tǒng)調(diào)整Pagent的權(quán)限即調(diào)整實(shí)時(shí)用戶的可執(zhí)行權(quán)限。

定義2 原操作(Unary Operation,UO)。是指對(duì)訪問(wèn)對(duì)象的不可分解的基本操作,可以用一個(gè)二元組＜Object,Operation＞表示,記作uo,uo∈UO。

定義3 授權(quán)單元(Authorization Unit,AU)。是指用戶在工作流中對(duì)請(qǐng)求服務(wù)的訪問(wèn)過(guò)程。一個(gè)授權(quán)單元由一個(gè)崗位代理和相關(guān)授權(quán)服務(wù)集合構(gòu)成。其中,授權(quán)服務(wù)集合是指崗位代理能夠訪問(wèn)的所有服務(wù)的集合。由于受到環(huán)境上下文約束,用戶能真正使用的可執(zhí)行權(quán)限往往小于或者等于總共擁有的權(quán)限。在WS-OBAC模型中,AU有5種狀態(tài):

(1)睡眠狀態(tài)。表示AU尚未被激活。

(2)就緒狀態(tài)。表示AU已完成運(yùn)行前的所有準(zhǔn)備工作。

(3)運(yùn)行狀態(tài)。表示AU已被激活,正在運(yùn)行。

(4)掛起狀態(tài)。表示AU運(yùn)行中斷,可能由多種原因引起。

(5)終止?fàn)顟B(tài)。表示AU終止運(yùn)行,其擁有的權(quán)限失效。

AU的5種狀態(tài)遷移如圖2所示。當(dāng)用戶試圖訪問(wèn)某個(gè)服務(wù)時(shí),系統(tǒng)會(huì)根據(jù)用戶請(qǐng)求以及環(huán)境上下文約束條件判斷是否合法,如果條件滿足,則AU進(jìn)入就緒狀態(tài),如果此時(shí)被請(qǐng)求的服務(wù)可用,那么AU將被激活進(jìn)入運(yùn)行狀態(tài);如果服務(wù)不可用則進(jìn)入掛起狀態(tài);運(yùn)行過(guò)程中如果出現(xiàn)異常或者任務(wù)完成, AU將進(jìn)入終止?fàn)顟B(tài)。

圖2 授權(quán)單元狀態(tài)遷移

定義4 用戶約束集(User Constraints,UC)。是指用戶的先決約束條件集合,記為uc,uc∈UC。

定義5 權(quán)限(permission)。是指角色被賦予的可以訪問(wèn)的對(duì)象集合。本文將權(quán)限分為2種:服務(wù)權(quán)限和服務(wù)屬性權(quán)限。權(quán)限集合記為P。

定義6 會(huì)話集(Sessions)。用來(lái)存儲(chǔ)用戶與系統(tǒng)交互所需的信息,記為SS。

定義7 服務(wù)(Service)。是指政府部門根據(jù)業(yè)務(wù)需求包裝好的一組獨(dú)立的功能單元,對(duì)外提供接口,可以被用戶調(diào)用以實(shí)現(xiàn)其功能。服務(wù)可分為單個(gè)服務(wù)和組合服務(wù)2種,組合服務(wù)由若干服務(wù)有機(jī)結(jié)合而成,旨在實(shí)現(xiàn)復(fù)雜的業(yè)務(wù)流程,例如跨部門的一站式文件審批業(yè)務(wù)。所有服務(wù)構(gòu)成的集合記為S。

定義8 服務(wù)權(quán)限約束集(Service Permission Constraints,SPC)。是指服務(wù)權(quán)限的先決約束條件集合,記為spc,spc∈SPC。

定義9 動(dòng)態(tài)授權(quán)(Dynamic Authorization,DA)。是指系統(tǒng)根據(jù)用戶所擁有的角色、崗位對(duì)的服務(wù)權(quán)限集以及授權(quán)單元的具體狀態(tài),動(dòng)態(tài)決定用戶所擁有的實(shí)際可執(zhí)行權(quán)限,記為DA。

定義10 訪問(wèn)模式(Access Pattern)。是指角色被賦予服務(wù)屬性的權(quán)限類型。屬性的訪問(wèn)模式可以不止一種,記為AP。

定義11 服務(wù)屬性(Service Attribute,SA)。是指服務(wù)能夠?yàn)橛脩籼峁┑膶?shí)際交互信息,可以是輸入/輸出參數(shù),或者是細(xì)粒度的操作,如特定表單的插入和刪除權(quán)限等。用戶想使用服務(wù)屬性所攜帶的信息,就必須同時(shí)擁有服務(wù)權(quán)限和服務(wù)屬性權(quán)限。服務(wù)屬性集合記為SA。

定義12 授權(quán)遷移(Authorization Transition, AT)。是指用戶在執(zhí)行工作流中不同任務(wù)時(shí),授權(quán)單元AU的狀態(tài)隨任務(wù)和授權(quán)環(huán)境上下文而動(dòng)態(tài)變化的過(guò)程,記為AT。

3.2 WS-OBAC模型定義

WS-OBAC模型在OB4LAC的基礎(chǔ)上引入了崗位代理、授權(quán)單元和動(dòng)態(tài)授權(quán)等概念,實(shí)現(xiàn)權(quán)限的動(dòng)態(tài)管理。當(dāng)用戶執(zhí)行工作流中具體任務(wù)時(shí),系統(tǒng)可以通過(guò)崗位代理和授權(quán)單元的狀態(tài)遷移來(lái)動(dòng)態(tài)監(jiān)控和調(diào)整用戶的實(shí)際可執(zhí)行權(quán)限以及權(quán)限的生命周期等信息。同時(shí),WS-OBAC模型將權(quán)限具體劃分成服務(wù)權(quán)限和服務(wù)屬性權(quán)限2種,更加符合Web服務(wù)的應(yīng)用特征。用戶擁有服務(wù)權(quán)限只能保證其可以調(diào)用服務(wù),當(dāng)且僅當(dāng)用戶同時(shí)擁有服務(wù)屬性權(quán)限,其才能夠調(diào)用該服務(wù)的屬性,實(shí)現(xiàn)信息交換。WS-OBAC模型如圖3所示。

圖3 WS-OBAC模型

WS-OBAC模型可用單元組＜U,O,R,A,P,SS,AU,DA,S,AP,SA,AT＞表示。該模型中還定義了如下關(guān)系:

(1)角色-崗位分配關(guān)系。是指角色到崗位的指派關(guān)系集合,簡(jiǎn)記為RO?R×O。

(2)角色-權(quán)限分配關(guān)系。是指角色到權(quán)限的指派關(guān)系集合,簡(jiǎn)記為PR?P×R。需要說(shuō)明的是,本文存在服務(wù)訪問(wèn)權(quán)限和服務(wù)屬性訪問(wèn)權(quán)限2種權(quán)限。

(3)用戶-角色、崗位對(duì)分配關(guān)系。是指角色、崗位對(duì)到用戶的指派關(guān)系集合,簡(jiǎn)記為:UA?U×RO。

(4)崗位關(guān)系。是崗位之間的相互關(guān)系,表現(xiàn)為集合O上的一種偏序關(guān)系,記為OH。

(5)角色關(guān)系。是指角色之間的相互關(guān)系,該模型中角色分為普通角色(Regular Role,RR)和管理角色(Managerial Role,MR)2種,普通角色之間的偏序關(guān)系記為RRH,管理角色之前的偏序關(guān)系記為MRH,則有角色關(guān)系集合RH=RRH∪MRH,且RR∩MR=Φ。

(6)管理角色-普通角色分配關(guān)系。是指管理角色到普通角色的多對(duì)多指派關(guān)系,記為:MRRM?MR×RR。

(7)用戶-角色、崗位對(duì)分配約束關(guān)系。是指用戶指派給角色、崗位對(duì)時(shí)的約束定義,記為:CAN_ASSIGN_CONSTRAINT?MRRM×RO×UC。

(8)服務(wù)-角色、崗位對(duì)分配約束關(guān)系:是指派服務(wù)權(quán)限到角色、崗位對(duì)時(shí)的先決約束條件,記為:CAN_ASSIGN_SERVICE?MRRM×RO×SPC。

(9)角色-服務(wù)分配關(guān)系。是指角色到服務(wù)的指派關(guān)系集合,簡(jiǎn)記為SPR,有SPR?PR。

(10)角色-服務(wù)屬性分配關(guān)系。是指角色到服務(wù)屬性的指派關(guān)系集合,簡(jiǎn)記為SPAR,有SPAR＜PR。用戶要與一個(gè)服務(wù)進(jìn)行交互,首先得獲得服務(wù)訪問(wèn)權(quán)限,從而可以訪問(wèn)服務(wù),然后必須通過(guò)服務(wù)屬性訪問(wèn)權(quán)限與服務(wù)進(jìn)行信息交互,最后才能得到想要的回饋信息。因此,用戶的PR?SPR×SPAR。

(11)服務(wù)關(guān)系。是指服務(wù)之間的相互關(guān)系,關(guān)系集合記為:SH?S×S。

3.3 模型訪問(wèn)控制策略和機(jī)理

WS-OBAC模型為適用Web服務(wù)的特點(diǎn),對(duì)實(shí)際服務(wù)對(duì)象實(shí)行動(dòng)態(tài)的分級(jí)保護(hù)策略。模型通過(guò)動(dòng)態(tài)控制崗位代理能夠獲取的服務(wù)資源以及授權(quán)單元的狀態(tài)遷移,間接地實(shí)時(shí)控制和管理用戶的實(shí)際可執(zhí)行權(quán)限。模型訪問(wèn)控制實(shí)施步驟主要分為4步:用戶指派,權(quán)限分配,崗位激活和動(dòng)態(tài)調(diào)整權(quán)限。

(1)用戶指派

用戶指派是指系統(tǒng)為用戶指派角色、崗位對(duì)的過(guò)程。相關(guān)定義如下:

1)ousers:O→2U,表示崗位到其包含的所有用戶集合映射函數(shù)。形式化描述為:

ousers(o)表示崗位o所包含的所有用戶集合,而ouser*(o)表示崗位o以及其下屬崗位所包含的所有用戶集合。

2)rmanagement:MR→2RR,表示管理角色到普通角色的映射函數(shù),其中,管理角色具有對(duì)普通角色的管理權(quán)限。形式描述為:

其中,rmanagement(mr)表示管理角色mr所管理的所有普通角色的集合;rmanament*(mr)表示管理角色mr及其下屬管理角色所管理的所有普通角色的集合。

3)may_manage_user:MR×U×RO×UC→{true,false}。謂詞may_manage_user(mr,u,(rr,o),uc)為真,當(dāng)且僅當(dāng):

may_manage_user的定義表明具有管理角色mr的用戶可以管理用戶u,當(dāng)且僅當(dāng)用戶u符合用戶先決條件uc,并且隸屬于崗位o或者其下屬崗位,同時(shí)管理角色mr及其下屬角色對(duì)普通角色rr具有管理權(quán)限。

4)can_assign_user:該謂詞表示在一次會(huì)話中,某一用戶是否有權(quán)限將另一用戶指派給某一角色、崗位對(duì),形式化描述為can_assign_user(ss,u1,u2, (r,o))為真,當(dāng)且僅當(dāng):

謂詞can_assign_user(ss,u1,u2,(r,o))為真,當(dāng)且僅當(dāng)會(huì)話ss中激活了具有角色、崗位對(duì)(mr,o′)的崗位代理,用戶u1具有管理角色mr權(quán)限,且隸屬于崗位 o′或者其 o′下屬崗位,而 u2滿足 CAN_ ASSIGN_CONSTRAINT中規(guī)定的所有先決約束條件,同時(shí),用戶u1具有將用戶u2指派給角色、崗位對(duì)(rr,o′)的權(quán)限,并且管理角色mr或者其下屬管理角色擁有對(duì)普通角色rr的管理權(quán)限。

系統(tǒng)通過(guò)綜合利用以上函數(shù)為用戶完成角色、崗位對(duì)指派功能。

(2)權(quán)限分配

權(quán)限分配是指權(quán)限到角色的指派關(guān)系,崗位通過(guò)其擁有的角色,間接擁有操作權(quán)限。由權(quán)限的定義可知,模型中的權(quán)限分為服務(wù)權(quán)限和服務(wù)屬性權(quán)限,分別記為SP和SPS。相關(guān)定義如下:

1)oroles(o):O→2R,是崗位到崗位擁有的所有角色集合的映射函數(shù)。形式化描述為:

oroles(o)表示崗位o擁有的角色集合,oroles*(o)表示崗位o以及其下屬崗位擁有的角色集合。

2)oservices:O→2SP,是崗位到可訪問(wèn)的服務(wù)集合的映射函數(shù)。形式化描述為:

oservices(o)表示崗位o能夠訪問(wèn)的服務(wù)集合, oservices*(o)則表示崗位o以及其下屬崗位能夠訪問(wèn)的服務(wù)集合。

3)can_manage_service:RO×SP×RR×PC→{true,false}:謂詞can_manage_service((mr,o),sp, rr,pc)為真,當(dāng)且僅當(dāng):

其涵義表明具有管理角色、崗位對(duì)(mr,o)的用戶,可以管理角色rr的服務(wù)權(quán)限sp,當(dāng)且僅當(dāng)服務(wù)權(quán)限sp滿足權(quán)限先決條件pc,并且可應(yīng)用于崗位o或者其下屬崗位,同時(shí)管理角色mr或者其下屬角色對(duì)普通角色rr有管理權(quán)限。

4)can_assign_service:該謂詞表示一次會(huì)話中,某一服務(wù)權(quán)限是否可以指派給某一角色。形式化描述為:can_assign_service(ss,sp,rr)為真,當(dāng)且僅當(dāng):

由謂詞can_assign_service(ss,sp,rr)的定義可看出,當(dāng)前用戶可以指派服務(wù)權(quán)限sp到角色rr,當(dāng)且僅當(dāng)會(huì)話ss存在激活的具有管理角色、崗位對(duì)(mr,o)的崗位代理Pagent(ss),并且服務(wù)權(quán)限滿足CAN_ASSIGN_SERVICE的所有先決約束條件,同時(shí)該服務(wù)權(quán)限可應(yīng)用于崗位o或者其下屬崗位,以及管理角色mr或者其下屬角色擁有對(duì)普通角色rr有管理權(quán)限。

以上定義基本描述了有關(guān)服務(wù)權(quán)限到角色、崗位對(duì)的分配策略,由于服務(wù)屬性權(quán)限到角色、崗位對(duì)的分配策略定義與之類似,此處不再贅述。

(3)崗位激活

在一次會(huì)話中,當(dāng)用戶u請(qǐng)求訪問(wèn)服務(wù)s時(shí),系統(tǒng)會(huì)對(duì)其進(jìn)行身份認(rèn)證,檢查用戶對(duì)應(yīng)的崗位所擁有的角色集合中是否有角色擁有服務(wù)s的服務(wù)權(quán)限以及相關(guān)服務(wù)屬性權(quán)限,如果檢查通過(guò),激活角色、崗位對(duì),并生成相應(yīng)的崗位代理。形式化描述如下:

其中,req(u,sp,spa)表示用戶發(fā)起請(qǐng)求; oserviceatti*(o)表示崗位o以及其下級(jí)崗位所擁有的服務(wù)屬性權(quán)限集合;activate(u,(r,o))表示動(dòng)態(tài)生成崗位代理。

(4)動(dòng)態(tài)調(diào)整權(quán)限

在WS-OBAC模型中,授權(quán)可用＜U,(R,O),A, SH,SP,SPA,AU,LF＞表示,其中,LF表示AU從激活到撤銷的時(shí)限。崗位代理激活之后,AU處于就緒狀態(tài),此時(shí)權(quán)限是無(wú)效的,唯有AU被觸發(fā)進(jìn)入運(yùn)行狀態(tài)后,崗位代理才能調(diào)用授權(quán)服務(wù)以及授權(quán)服務(wù)屬性中的權(quán)限。由于AU與用戶執(zhí)行的任務(wù)息息相關(guān),通常任務(wù)具有時(shí)效性,因此AU同樣具有時(shí)效性。在LF時(shí)限內(nèi),授權(quán)是有效的,當(dāng)超出LF,AU進(jìn)入終止?fàn)顟B(tài),系統(tǒng)開(kāi)始撤銷崗位代理,回收授權(quán)。再者,根據(jù)工作流中任務(wù)的執(zhí)行情況,AU的狀態(tài)也會(huì)通過(guò)授權(quán)遷移而得到動(dòng)態(tài)調(diào)整,例如AU從運(yùn)行狀態(tài)進(jìn)入掛起狀態(tài),或者甚至從AUi轉(zhuǎn)變?yōu)锳Uj(i≠j)。

用戶能否實(shí)際獲取服務(wù)權(quán)限,取決于工作流是否觸發(fā)了授權(quán)單元。在用戶與目標(biāo)服務(wù)交互的過(guò)程中,系統(tǒng)根據(jù)環(huán)境上下文信息和約束條件,動(dòng)態(tài)調(diào)整崗位代理和授權(quán)單元的狀態(tài),從而間接更新用戶的實(shí)際可執(zhí)行服務(wù)權(quán)限。

4 應(yīng)用示例

WS-OBAC模型已在筆者參與的山西省多個(gè)市縣的行政審批電子監(jiān)察系統(tǒng)中成功應(yīng)用,實(shí)現(xiàn)了訪問(wèn)權(quán)限的動(dòng)態(tài)控制,這里僅以山西省長(zhǎng)治市為例,簡(jiǎn)要說(shuō)明模型在應(yīng)用系統(tǒng)中的實(shí)現(xiàn)過(guò)程。

4.1 系統(tǒng)的總體設(shè)計(jì)

該系統(tǒng)涉及到長(zhǎng)治市監(jiān)督局、發(fā)改委、安監(jiān)局等幾十個(gè)委辦局系統(tǒng)中存在的各應(yīng)用系統(tǒng),設(shè)計(jì)開(kāi)發(fā)工作牽扯到各個(gè)層面的利益關(guān)系,是一項(xiàng)十分龐大而復(fù)雜的系統(tǒng)工程,因此需要運(yùn)用復(fù)雜系統(tǒng)理論和優(yōu)異的訪問(wèn)控制模型,解決系統(tǒng)中用戶、組織、崗位和權(quán)限等問(wèn)題。

系統(tǒng)的總體體系結(jié)構(gòu)如圖4所示。首先,基于WS-OBAC模型的電子政務(wù)系統(tǒng)是從組織的整體性角度看待授權(quán)問(wèn)題的,所以要將組織人事管理從系統(tǒng)中分離開(kāi)來(lái),構(gòu)成組織人事管理子系統(tǒng),負(fù)責(zé)政府部門中人員到崗位之間的指派關(guān)系,并交由相關(guān)的人事部門進(jìn)行管理;其次,資源角色管理子系統(tǒng)涉及到將政府業(yè)務(wù)封裝成Web服務(wù)以及角色到服務(wù)權(quán)限和服務(wù)屬性權(quán)限指派等工作,專業(yè)性較強(qiáng),可交由IT部門負(fù)責(zé);再者,崗位到角色的指派關(guān)系由分布式授權(quán)管理子系統(tǒng)負(fù)責(zé),并可交由政府安全管理部門進(jìn)行管理;最后,整個(gè)系統(tǒng)必須建立在PKI安全認(rèn)證體系之上,使系統(tǒng)整體的安全性得以保障。

圖4 復(fù)雜電子政務(wù)系統(tǒng)的總體體系結(jié)構(gòu)

4.2 實(shí)際狀況及應(yīng)用效果

該系統(tǒng)由眾多功能模塊構(gòu)成,如組織管理、服務(wù)管理、角色管理和工作流管理等。圖5為組織管理模塊工作界面的部分截圖,該模塊用來(lái)完成 WSOBAC模型中的用戶指派功能,主要負(fù)責(zé)部門、崗位和人員的添加工作,為崗位綁定相應(yīng)角色,同時(shí)通過(guò)該模塊的用戶屬性頁(yè)為用戶指派崗位,并且系統(tǒng)中如果有人員需要調(diào)動(dòng),直接調(diào)整其用戶與崗位對(duì)應(yīng)關(guān)系即可。服務(wù)管理模塊負(fù)責(zé)對(duì)服務(wù)集合以及相關(guān)服務(wù)屬性集合的管理工作。角色管理模塊負(fù)責(zé)角色的管理以及角色到服務(wù)權(quán)限和服務(wù)屬性權(quán)限的指派,從而實(shí)現(xiàn)WS-OBAC模型中的權(quán)限分配功能。圖6是工作流管理模塊工作界面部分截圖,該模塊根據(jù)具體業(yè)務(wù)需求,將相應(yīng)Web服務(wù)進(jìn)行組合,形成工作流,實(shí)現(xiàn)一站式行政審批。同時(shí),系統(tǒng)根據(jù)工作流中任務(wù)的實(shí)時(shí)狀態(tài)更新崗位代理和授權(quán)單元狀態(tài),實(shí)現(xiàn)WS-OBAC模型中的動(dòng)態(tài)調(diào)整權(quán)限功能,并確保用戶的特權(quán)達(dá)到最小。

圖5 組織管理模塊工作界面

圖6 工作流管理模塊工作界面

根據(jù)實(shí)際運(yùn)行結(jié)果,并與之前的系統(tǒng)對(duì)比發(fā)現(xiàn), WS-OBAC模型帶來(lái)的具體效果有如下3點(diǎn):(1)授權(quán)過(guò)程更加貼近真實(shí)世界中政府的工作方式,大大提高了網(wǎng)上政務(wù)辦公的效率和靈活性;(2)支持Web服務(wù)集成,系統(tǒng)實(shí)現(xiàn)簡(jiǎn)單,同時(shí)可以對(duì)組合Web服務(wù)業(yè)務(wù)流程中的工作流模式提供支持,實(shí)現(xiàn)了復(fù)雜政府業(yè)務(wù)的跨部門聯(lián)合審批;(3)建立政務(wù)外網(wǎng)門戶網(wǎng)站,實(shí)現(xiàn)了各部門應(yīng)用系統(tǒng)的統(tǒng)一登錄和資源共享,為公眾提供了更優(yōu)質(zhì)、便捷的在線服務(wù)。

5 結(jié)束語(yǔ)

近年來(lái),面向Web服務(wù)的訪問(wèn)控制研究備受關(guān)注,然而大多數(shù)都是針對(duì)集團(tuán)型企業(yè)應(yīng)用系統(tǒng),不能很好地適應(yīng)復(fù)雜電子政務(wù)系統(tǒng)。本文在研究基于組織的四層訪問(wèn)控制模型(OB4LAC)的基礎(chǔ)上,提出了基于組織的Web服務(wù)訪問(wèn)控制模型(WS-OBAC)。

該模型的優(yōu)勢(shì)主要表現(xiàn)在:(1)基于組織崗位的授權(quán)模式與復(fù)雜電子政務(wù)系統(tǒng)的組織結(jié)構(gòu)契合,用戶與角色相分離,崗位與授權(quán)相關(guān)聯(lián),更加符合復(fù)雜電子政務(wù)建設(shè)的實(shí)際需求。(2)通過(guò)引進(jìn)崗位代理和授權(quán)單元,根據(jù)訪問(wèn)服務(wù)的環(huán)境上下文和相關(guān)約束條件,動(dòng)態(tài)控制用戶的實(shí)際可執(zhí)行權(quán)限。并通過(guò)授權(quán)單元的狀態(tài)遷移,對(duì)面向組合Web服務(wù)業(yè)務(wù)流程的訪問(wèn)控制提供支持,促進(jìn)政府機(jī)構(gòu)通過(guò)Web服務(wù)技術(shù)對(duì)業(yè)務(wù)流程進(jìn)行重組,實(shí)現(xiàn)各機(jī)構(gòu)、各部門之間互通互聯(lián)和政務(wù)協(xié)作。(3)將訪問(wèn)權(quán)限分為服務(wù)權(quán)限和服務(wù)屬性權(quán)限,用戶必須同時(shí)擁有某一服務(wù)的服務(wù)權(quán)限和對(duì)應(yīng)的服務(wù)屬性權(quán)限,才能夠與服務(wù)進(jìn)行交互,從而更好地保護(hù)服務(wù)資源。(4)易于實(shí)現(xiàn)統(tǒng)一授權(quán)管理、單點(diǎn)登錄和多部門系統(tǒng)集成。

［1］ 文俊浩,饒錫如,何 盼,等.基于工作流的服務(wù)組合在電子政務(wù)中的應(yīng)用［J］.計(jì)算機(jī)應(yīng)用,2009,29(9):2512-2515.

［2］ 鄧集波,洪 帆.基于任務(wù)的訪問(wèn)控制模型［J］.軟件學(xué)報(bào),2003,14(1):76-82.

［3］ 許 峰,賴海光,黃 浩,等.面向服務(wù)的角色訪問(wèn)控制技術(shù)研究［J］.計(jì)算機(jī)學(xué)報(bào),2005,28(4):686-693.

［4］ 朱一群,李建華,張全海.一種面向Web服務(wù)的動(dòng)態(tài)分級(jí)角色訪問(wèn)控制模型［J］.上海交通大學(xué)學(xué)報(bào),2007, 41(5):783-788.

［5］ 上超望,劉清堂,趙呈領(lǐng),等.UCON支持的組合Web服務(wù)業(yè)務(wù)流程訪問(wèn)控制模型［J］.武漢大學(xué)學(xué)報(bào):理學(xué)版,2011,57(5):408-412.

［6］ Park J,Sandhu R.The UCONABCUsage Control Model［J］.ACM Transactions on Information and System Security,2004, 7(1):128-174.

［7］ 劉 淼,李 鵬.結(jié)合屬性和角色的Web服務(wù)訪問(wèn)控制［J］.計(jì)算機(jī)工程與設(shè)計(jì),2012,33(2):484-488.

［8］ 張 斌,張 宇.基于屬性和角色的訪問(wèn)控制模型［J］.計(jì)算機(jī)工程與設(shè)計(jì),2012,33(10):3807-3811.

［9］ 張 帥,孫建伶,徐 斌,等.基于RBAC的跨多企業(yè)服務(wù)組合訪問(wèn)控制模型［J］.浙江大學(xué)學(xué)報(bào):工學(xué)版, 2012,46(11):2035-2043.

［10］ Sandhu R.Role-based Access Control Models［J］.IEEE Computer,1996,29(2):38-47.

［11］ 廖俊國(guó),洪 帆,肖海軍,等.細(xì)粒度的基于角色的訪問(wèn)控制模型［J］.計(jì)算機(jī)工程與應(yīng)用,2007,43(34):138-140.

［12］ 李懷明.電子政務(wù)系統(tǒng)中基于組織的訪問(wèn)控制模型研究［D］.大連:大連理工大學(xué),2009.

編輯 任吉慧

Organization-based Access Control Model for Web Service

LI Huaiming1,WANG Huijia1,FU Lin2
(1.Faculty of Management and Economic,Dalian University of Technology,Dalian 116024,China;
2.Dalian Central Sub-branch,The People's Bank of China,Dalian 116024,China)

For the problem of current access control strategies difficultly guaranteeing the flexibility of authorization of complex E-government system for Web service,this paper proposes an organization-based access control model for Web services on the basis of the research of the organization-based 4 level access control model.The model takes organization as the core and studies the issue of access control and authorization management from the perspective of management.Through importing the position agent and authorization unit in the model,the authorization can be adjusted according to the change of the environment context information to implement the dynamic authorization,while taking advantage of the state migration of authorization units,provides support for workflow patterns.Furthermore,the model divides permissions into service permissions and service attribute permissions,and achieves fine-grained resource protection.Application examples show that the model can commendably fit the complex organization structure in E-government system.Moreover,it can make authorization more efficient and flexible meanwhile protecting the Web service resources.

access control;E-government;organization structure;Web service;position agent;dynamic authorization

1000-3428(2014)11-0065-06

A

TP311.5

10.3969/j.issn.1000-3428.2014.11.013

國(guó)家自然科學(xué)基金資助重點(diǎn)項(xiàng)目(91024029);國(guó)家自然科學(xué)基金青年科學(xué)基金資助項(xiàng)目(71001013)。

李懷明(1962-),男,副教授、博士,主研方向:電子政務(wù),軟件工程;王慧佳,碩士研究生;符 林,高級(jí)經(jīng)濟(jì)師、博士。

2014-01-15

2014-02-25E-mail:dl_lhm@dl.gov.cn

中文引用格式:李懷明,王慧佳,符 林.基于組織的Web服務(wù)訪問(wèn)控制模型［J］.計(jì)算機(jī)工程,2014,40(11):65-70.

英文引用格式:Li Huaiming,Wang Huijia,Fu Lin.Organization-based Access Control Model for Web Service［J］.Computer Engineering,2014,40(11):65-70.