劉友武

（三明學(xué)院經(jīng)濟與管理學(xué)院 福建省三明市 365004）

隨著人工智能技術(shù)，物聯(lián)網(wǎng)及5G 通信技術(shù)的快速發(fā)展，高校信息化水平的不斷提升,更新?lián)Q代速度加快。長時期的信息化發(fā)展，讓高校網(wǎng)絡(luò)環(huán)境越發(fā)復(fù)雜。信息時代，師生的認知水平不斷提升，對信息資源的期望也隨之增強。師生期望能夠無時空限制，靈活便捷的訪問無所不在的信息資源。近些年移動平臺的接入、跨域協(xié)同訪問以及在線邊界局部訪問等新型訪問控制需求的出現(xiàn)也給高校信息化部門提出了更高的安全要求。高校教學(xué)方式呈現(xiàn)多樣化，在線教學(xué)的有效性也給學(xué)校提出了從未面臨的問題。在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，用戶的各種行為除了本向具有的角色和安全等級以外，所處的環(huán)境、時間、物理位置以及所使用的軟硬件平臺和平臺所經(jīng)由的網(wǎng)絡(luò)等因素都將對訪問控制的授權(quán)產(chǎn)生重要影響。

Web 服務(wù)作為高校的對外宣傳的重要窗口歷來受到各級領(lǐng)導(dǎo)的重視。隨著信息化的不斷發(fā)展，要求Web 服務(wù)更加開放以及資源的共享性，但是正是由于Web 的開放性和資源的共享性在提高用戶滿意度的同時也給網(wǎng)絡(luò)資源的安全性提出了更高要求。目前高校經(jīng)過幾十年的信息化發(fā)展，信息化環(huán)境錯綜復(fù)雜，如何構(gòu)建與行為、多級安全相關(guān)聯(lián)的訪問控制適應(yīng)動態(tài)的變化因素，為師生及其它用戶提供跨時空及靈活便捷且安全高效的訪問服務(wù),如何在Web 服務(wù)的提升效率的同時又能做好統(tǒng)一管理，已經(jīng)成為當前迫切需要解決的問題。

1 相關(guān)工作

近些年，許多學(xué)者提出了很多訪問控制模型。文獻[1]完整的闡述了一點ARBAC97 的模型、Generic WA-RBAC[2]及Fuzzy RBAC[3]等缺少對時態(tài)和環(huán)境的約束，應(yīng)用的廣度因此也受到了限制。

結(jié)合以上研究，并根據(jù)高校的實際情況，本文參考了基于行為的訪問控制（ABAC, action-based access control）模型，根據(jù)高校組織結(jié)構(gòu)相關(guān)穩(wěn)定，而人員變動較頻繁的特點，引用了崗位單元的概念對ABAC 模型進行優(yōu)化。

2 ABAC訪問控制模型

文獻[4]提出了RBAC 模型，將傳統(tǒng)的RBAC 模型根據(jù)實際需求進行改造并給出了形式化的定義。李鳳華等人于2008年在這些概念的基礎(chǔ)上給出了ABAC 模型的形式化定義[5]。

定義2.1 ABAC 模型具有以下組件

（1）U（用戶）、A（行為）、P（權(quán)限）和S（會話），其中A=(R,T,E),R、T、E 分別為角色、時態(tài)和環(huán)境，A 是一個多元因素相互交叉復(fù)雜關(guān)系，一般用Action 層次樹或ACL（access control list）描述。

（5）Constraints，表示約束條件。

圖1：ABAC 模型示意

圖2：高校Web 應(yīng)用場景示意

圖3：基于ABAC 模型的高校Web 服務(wù)訪問控制架構(gòu)

行為集合actions(Si)包括三個方面：角色集合、時態(tài)狀態(tài)集合和環(huán)境集合。其中，環(huán)境狀態(tài)集合E 具有十分重要的地位。例如，EL 可以通過GPS 等定位系統(tǒng)獲?。籈N 可以通過檢測是否選用配有TPM 等安全芯片的硬件平臺獲得。利用上述要素要以對不同的環(huán)境E 加以區(qū)分。

圖1 為ABAC 模型結(jié)構(gòu)示意，其中包含了行為層次、角色層次、環(huán)境層次、時態(tài)層次。從圖1 可以看出ABAC 與RBAC 模型的區(qū)別在于行為的結(jié)構(gòu)，行為的狀態(tài)可以隨著角色、時間及環(huán)境等變量進行動態(tài)變化。因些，通過角色、時間環(huán)境等方面的綜合考慮，可以便ABAC 模型靈活地處理各種復(fù)雜網(wǎng)絡(luò)環(huán)境中的訪問問題。

其中環(huán)境和時態(tài)將對角色的權(quán)限產(chǎn)生直接的影響。角色的權(quán)限會根據(jù)不同的地理坐標網(wǎng)絡(luò)坐標、硬件狀態(tài)及軟件平臺等外部因素作用下發(fā)生變化。因此綜合考慮到各種因素，ABAC 模型能夠靈活地處理復(fù)雜網(wǎng)絡(luò)環(huán)境中的訪問控制問題。

3 基于ABAC的高校WEB訪問控制模型

3.1 高校Web應(yīng)用場景

信息技術(shù)日新月異，5G、邊緣計算、云計算、生物計算及量子計算等新技術(shù)的發(fā)展，使得訪問控制技術(shù)變得越來越復(fù)雜。如圖2 所示，高校Web 應(yīng)用場景示意：

圖2 可以看出在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，目前高校的訪問用戶主要包括教師、學(xué)生、在聊職工、家長及其它用戶等。龐大的用戶群體及群體特性要求訪問控制具體以下幾個功能。

（1）大學(xué)資源具體開放共享及動態(tài)性。用戶在不同的時間、位置、軟硬件平臺及通過不同網(wǎng)絡(luò)對校園資源進行訪問請求，復(fù)雜的情況也給高校的訪問控制提出了更高要求。

（2）高校行政教輔人員變動頻繁，權(quán)限也隨著人員變動而需要及時更新。但是現(xiàn)實情況下，由于各種原因，人員變動后權(quán)限長時間未得到及時更新，導(dǎo)致工作銜接出現(xiàn)斷層而影響工作的效率的問題。

3.2 基于ABAC模型的高校Web服務(wù)訪問控制架構(gòu)

校園信息化發(fā)展迅速，校園環(huán)境和時態(tài)也產(chǎn)生了復(fù)雜的形態(tài)，必須對傳統(tǒng)的訪問控制進行擴展。文章給出了基于ABAC 模型的高校Web 服務(wù)訪問控制安全體系架構(gòu)，該體系結(jié)構(gòu)充分考慮到了高校的實際情況，增加了統(tǒng)一身份認證系統(tǒng)和CA 的安全環(huán)節(jié)。如圖3 所示,基于ABAC 模型的高校Web 服務(wù)訪問控制架構(gòu)中，行為判定主要負責用戶在系統(tǒng)中的管理行為，資源服務(wù)依據(jù)不同的對象屬性支取資源，并且負責驗證用戶的消息，響應(yīng)用戶的請求。

3.2.1 新用戶行為策略

（1）新用戶通過ID，身份認證等信息將請求發(fā)送到行為服務(wù)系統(tǒng)；

（2）行為服務(wù)系統(tǒng)對用戶的信息進行存儲器；

（3）行為服務(wù)系統(tǒng)對用戶信息與內(nèi)部核對，并返回相關(guān)信息；

（4）獲取環(huán)境信息；

（5）通過角色系統(tǒng)對用戶進行角色分配；

（6）用戶訪問CA 并獲得公鑰，CA 將相關(guān)證書發(fā)送給用戶，對請求進行響應(yīng)；

（7）行為服務(wù)系統(tǒng)對信息進行加密處理；

（8）行為服務(wù)系統(tǒng)發(fā)送安全消息到交互層。

3.2.2 舊用戶行為策略

（1）用戶與交互層交換信息；

（2）用戶在域名服務(wù)系統(tǒng)中對驗證信息進行核對；

（3）系統(tǒng)獲得用戶的ID 等信息；

（4）用戶發(fā)送資源請求；

（5）系統(tǒng)根據(jù)用戶角色進行資源等級分配；

（6）資源服務(wù)系統(tǒng)再次核對用戶生命周期，返回相關(guān)消息；

（7）資源服務(wù)系統(tǒng)計算資源服務(wù)地址和生命周期散列值，并判斷返回錯誤信息；

（8）資源管理系統(tǒng)對公鑰進行驗證，返回錯誤信息；

（9）資源管理系統(tǒng)利用私鑰解密相關(guān)域，并將相關(guān)結(jié)果返回；

（10）資源服務(wù)系統(tǒng)對散列信息進行簽名；

（11）系統(tǒng)將安全信息返回相關(guān)域。

4 結(jié)束語

本文在復(fù)雜的網(wǎng)絡(luò)環(huán)境的背景下，引入ABAC 模型并根據(jù)高校校園網(wǎng)絡(luò)實際情況對其進行優(yōu)化，在學(xué)校統(tǒng)一身份認證的基礎(chǔ)上增加了CA 模塊，在網(wǎng)絡(luò)安全保障下，有效地提高了高校WEB 服務(wù)的效率。與傳統(tǒng)的訪問控制方法相比，本文提出的模型在細粒度方面表現(xiàn)更做優(yōu)，同時也增加了訪問控制的動態(tài)性。今后的研究將搭建和完善實驗環(huán)境平臺，對模型進一步優(yōu)化。