吳 薇

(武夷學院數(shù)學與計算機學院，福建 武夷山 354300)

近年來，隨著互聯(lián)網(wǎng)技術的普遍應用，利用網(wǎng)絡提供服務來構建的分布式協(xié)同環(huán)境已經(jīng)隨處可見，如貼近居民生活的小區(qū)監(jiān)控系統(tǒng)，用于家庭的安防系統(tǒng)和用于企業(yè)的電子政務系統(tǒng)等。人們可以通過分布式協(xié)同環(huán)境提供的Web服務，共享Internet上的數(shù)據(jù)和功能。網(wǎng)絡用戶的安全訪問權限控制問題，逐漸受到研究人員的關注［1］。唐寧九等人詳細描述了幾種分布式對象技術的特點，給出了今后分布式系統(tǒng)對象管理的發(fā)展方向［2］。劉瓊波等人提出一種在分布式系統(tǒng)下的安全訪問控制策略和訪問請求判定的方法，并給出了訪問請求判定的算法，解決了在分布式系統(tǒng)授權、私有權限傳播和規(guī)則沖突等問題［3］。譚文芳等人提出一種分布式環(huán)境下的動態(tài)角色管理機制，結(jié)合了RBAC模型并以CORBA作為中間件來實現(xiàn)，充分考慮了角色的動態(tài)變化，引入事件觸發(fā)機制［4］。孫軍紅等人將RBAC中的角色擴展為職能角色和任務角色，并為任務角色增加了域的屬性，解決了不同域間互相訪問資源的問題［5］。竇文陽等人提出了一個安全分布式訪問控制系統(tǒng)SDAC，該系統(tǒng)具有模糊授權推理能力，可以根據(jù)安全策略及上下文的變化，動態(tài)調(diào)整用戶權限，使得授權和訪問控制自適應于普適計算環(huán)境［6］。在本次研究中，將探討一種改進的自適應RBAC模型——ARBAC模型，以進一步強化服務器數(shù)據(jù)安全保障。

1 ARBAC模型

1.1 ARBAC模型的提出

1996年，針對傳統(tǒng)訪問控制策略不能適應應用環(huán)境變化的不足，Ravi Sandhu提出了基于角色的訪問控制模型(role-based access control models)，即RBAC96模型［7］。在2001年和2004年，一些學者和美國國家信息技術標準委員會進一步確定了此模型的標準［8-9］。在該模型中，引入角色管理，使用戶與客體的權限實現(xiàn)邏輯分離，用戶通過成為該角色的成員而得到相應的權限，極大地簡化了權限的管理。為了對系統(tǒng)資源進行訪問控制，由全局管理員來統(tǒng)一管理，以避免出現(xiàn)安全漏洞;而這些對于角色權限的管理都是靜態(tài)的，并不適用于分布式協(xié)同環(huán)境下服務器管理無人值守的情形［10］。

在分布式協(xié)同環(huán)境中，網(wǎng)絡中各個域均具有相對獨立性，它們對于整個環(huán)境是透明的，域和域之間的相互操作只能通過Web服務進行。用戶通過認證后登錄系統(tǒng)，可以訪問所需的客體資源。各域內(nèi)的管理員只負責自治領域內(nèi)的安全訪問控制，對于跨域訪問沒有相關的安全策略。

針對這一新問題，本次研究提出一種改進的RBAC模型 ——自適應ARBAC(adaptive role based access control)模型。在分布式協(xié)同環(huán)境沒有統(tǒng)一安全管理的情況下，可以根據(jù)客體資源的主體的權限級別，在服務器內(nèi)授予其一個動態(tài)的、自適應訪問權限。為了達到此目的，客體資源的創(chuàng)建者自己設定對該客體的邏輯授權，然后服務器再根據(jù)該邏輯授權創(chuàng)建用戶和角色的關聯(lián)規(guī)則。當分布式協(xié)同環(huán)境中申請訪問客體的主體可能未知或者訪問授權要求有變化時，就可以進行動態(tài)管理，保障數(shù)據(jù)安全。

1.2 ARBAC模型的相關定義

該模型中首先需要對各種角色及用戶作出定義，賦予其權限及內(nèi)容。

(1)用戶集u，是所有用戶的集合，若用Su表示所有用戶集集合，則有u∈Sc。

(2)角色集r，是所有角色的集合。若用Sr表示所有角色集集合，則有r∈Sr。

(3)客體集o，是系統(tǒng)中客戶端要訪問的資源，本例中如監(jiān)控錄像文件等。若用So表示權限集集合，則有 o∈So。

(4)操作集op，是系統(tǒng)中客戶端對客體執(zhí)行的動作，如本例中錄像、回放、查詢、刪除等。若用Sop表示操作集集合，則有op∈Sop。

(5)權限集p，用戶集對客體資源訪問的許可權限。若用Sp表示權限集集合，則有p∈S［11］p。每個權限后面跟上的是一個邏輯授權:permissions=＜邏輯授權＞，表示描述主體可能對客體執(zhí)行的操作。

(6)邏輯授權描述，其定義形式如下:

＜ only|not{any{u1，u2，u3，…，um}{op1，op2，…，opn}}＞

在此需要說明一下，邏輯授權需要把能或不能對客體操作的主體集合或操作全部列舉出來，或者至少列出來滿足邏輯授權的條件。

這里:u1，u2，u3，…，um∈Sc;op1，op2，…，opn∈Sop;“only”表示“僅”“只有”;“not”表示“否定”“非”;“any”表示“任一”“任何”。

(7)會話集s，是指用戶登錄系統(tǒng)并激活授權的角色后，建立映射，取得會話過程。會話集s={s1，s2，s3，…，sn}。

(8)用戶角色指派UA，是指用戶集u到角色集r并映射一種多對多的關系，即UA?u×r。(u，r)∈UA為一個二元關系，表示對用戶u指派一個角色r。

(9)角色權限指派PA，是系統(tǒng)為角色分配權限p，映射多對多的關系，即 PA?p×r。(p，r)∈PA為二元關系，表示把權限p分配給角色r。

1.3 ARBAC模型的角色繼承、互斥關系及邏輯授權規(guī)則

1.3.1 角色繼承

角色繼承(role inheritance)是指對角色間的關系設定限制性繼承條件。假定RH?r×r是角色集r上的偏序關系，用≤表示。如果r1，r2∈r且r1≤r2且表示r1是r2的上級角色，則r1擁有r2的所有權限。

假設有用戶 u1、u2、u3、u4、u5與角色 r1、r2、r3、r4、r5的分配存在對應關系，如圖1所示。

圖1 用戶與角色對應關系圖

有授權permissions=＜not{u1{op1}}＞，表示非u1所對應的角色 r2，如 r3所對應的 u3、u4、u5用戶可以執(zhí)行op1操作。

1.3.2 角色互斥關系

角色互斥關系(mutually exclusive roles)是角色與角色間的限制關系，它表示指定的角色具有不同的職責，不能讓同一個用戶同時擁有?；コ獾慕巧肊r表示:

滿足下式:

1.3.3 邏輯授權規(guī)則

有授權 permissions= ＜ {u1{any}，u3{op1，op2}u5{op1}}＞，表示有客戶端u1可以執(zhí)行任何操作，u3對該客體執(zhí)行操作op1和op2，u5對該客體執(zhí)行操作op1。若此時有新認證用戶u6請求對客體做op1操作，或u1做op3操作，由于授權沒有被事先指定，則可以被許可。

有授權 permissions= ＜only{u1{op1，op2}}{u2{op2}}＞，表示只有u1可以對該客體執(zhí)行操作op1和op2，u2可以執(zhí)行操作op2，其他用戶對該客體執(zhí)行任何操作都將被拒絕。但由于u1和u2同屬于同一個角色r2，根據(jù)最小權限原則，u1和u2只能對該客體執(zhí)行操作op2。

有授權Permissions=＜not{u3{op2}}{u5{op1}}＞，表示u3的操作op2被拒絕而且u5可以執(zhí)行操作op1。

有授權permissions=＜not{u3{op1}}{u4{op1，op3}}＞，表示u3操作op1被拒絕，而且u4可以執(zhí)行操作op1和op3，但由于u3和u4同屬于角色r4，則u4僅能執(zhí)行操作op3。

1.4 ARBAC模型的實現(xiàn)過程

ARBAC模型的實現(xiàn)過程如圖2所示。具體實現(xiàn)過程如下:

(1)用戶登錄系統(tǒng)后，通過角色管理模塊查詢角色數(shù)據(jù)庫，激活相應角色。

(2)用戶向系統(tǒng)發(fā)送某客體資源訪問權限的邏輯授權，訪問控制管理模塊接受這一請求，并交由權限管理模塊進行判斷。

(3)權限管理模塊在邏輯授權數(shù)據(jù)庫中查詢，若無該客體相關訪問權限的邏輯授權(有可能該用戶是該客體資源的創(chuàng)建者)，則在邏輯授權數(shù)據(jù)庫中增加定義該客體的訪問許可權限;若有該客體相關訪問權限的邏輯授權，則判斷該用戶發(fā)送的訪問許可是否與邏輯授權數(shù)據(jù)庫中的邏輯授權相一致。若一致，即通知訪問控制管理模塊同意這一訪問要求;若不一致，需經(jīng)過邏輯授權規(guī)則演算，確認后通知訪問控制管理模塊返回拒絕操作的指令。

(4)訪問控制模塊得到權限管理模塊的指示后將信息反饋給用戶。

(5)用戶訪問客體資源數(shù)據(jù)庫里的客體信息或者被禁止訪問。

(6)用戶退出登錄。

圖2 ARBAC模型的實現(xiàn)過程

2 ARBAC的應用實例

現(xiàn)有一個全國聯(lián)網(wǎng)的某連鎖店監(jiān)控視頻網(wǎng)絡，其組成如圖3所示，其角色的層次關系如圖4所示。

圖3 某連鎖店監(jiān)控視頻網(wǎng)絡組成

圖4 角色的層次關系

它們的角色繼承關系是由上往下繼承，總部用戶對應的角色headquarters有最高權限。

假設二級代理A1用戶產(chǎn)生一個視頻文件Monitor1.hie，它發(fā)送邏輯授權 permissions= ＜only{A1{read，write}}，由于 A1所對應的角色為 subagent A1，其上級角色為agent A，依據(jù)角色繼承原則，角色agent A對應的用戶A可以對Monitor1.hie進行讀寫操作。若此時有一個用戶C2想訪問文件Monitor1.hie，由于其對應角色subagent C1不是subagent A1的上級角色，于是拒絕其訪問。

3 結(jié)語

針對基于TCP/IP協(xié)議聯(lián)網(wǎng)的分布式協(xié)同環(huán)境下安全訪問控制的復雜性問題，本次研究中提出一種自適應的ARBAC模型，并通過實例解釋應用該模型。該模型用于實踐，可保障服務器無人值守的情況下的系統(tǒng)內(nèi)數(shù)據(jù)安全。

［1］王子仁，陸億紅.RBAC在信息系統(tǒng)中的應用研究［J］.計算機應用，2007(27):240-241.

［2］唐寧九，張旭.分布式對象管理的幾種常用技術［J］.計算機應用研究，2001(8):74-77.

［3］劉瓊波，施軍，尤晉元.分布式環(huán)境下的訪問控制［J］.計算機研究與發(fā)展，2001，38(6):735-740.

［4］譚文芳，胡南軍，陳貴海.基于CORBA的分布式訪問控制［J］.小型微型計算機系統(tǒng)，2011，22(11):1359-1363.

［5］孫軍紅，王新紅.一種分布式環(huán)境下基于角色的訪問控制模型［J］.計算機工程與應用，2011，47(23):84-87.

［6］竇文陽，王小明，張立臣.普適計算環(huán)境下的安全分布式訪問控制系統(tǒng)研究［J］.計算機科學，2013，40(6):132-186.

［7］Sandehu R，Coyne E，F(xiàn)einstein H.Role-based Access Control Models［J］.IEEE Computer，1996，29(6):38-47.

［8］Fereaiolo D F，Sandhu R，Gavrila S，et al.Proposed NIST Standard for Role-based Access Control［J］.ACM Transactions on Information and System Security，2001，4(3):224-274.

［9］Anti.American National Standard for Information Technology-Role-based Access Control［C］//ANSI Int'l Committee for Information Technology Standards.2004:359.

［10］季星，朱曉潔，王東.基于Web服務的分布式協(xié)同環(huán)境中DRBAC訪問控制［J］.科學技術與工程，2007，7(12):2885-2893.

［11］陳剛，陳長琴，李光軍.基于角色和部門的兩級訪問控制模型［J］.武漢科技大學學報(自然科學版)，2006，29(4):398-400.