基于擔保的Ｗｅｂ服務訪問控制模型

摘 要：提出的基于擔保的Web服務訪問控制模型采用形式化的方式描述，核心思想就是主體與對象之間通過擔保人建立聯系，擔保人為主體頒發授權擔保，多級擔保形成一條擔保鏈，通過擔保鏈，主體可以得到對象一定信任度的授權；給出了基于擔保的Web服務訪問控制模型的授權決策算法，并通過實例說明了基于擔保的授權決策過程。

關鍵詞：Web服務；訪問控制模型；擔保；信任度

中圖分類號：TP393．08 文獻標志碼：A

文章編號：1001-3695(2008)07-2177-04



Guaranteebased access control model for Web services

YAN Xuexiong1，WANG Qingxian1，MA Hengtai2



(1.Institute of Information Engineering， PLA Information Engineering University， Zhengzhou450002，China; 2.Institute of Software， Chinese Academy of Sciences， Beijing 100080，China)



Abstract:This article presented a new access control model for Web services that bases on guarantee(s). It was a formal model， and the key point of the model was that the subject and the provider of the Web services could contact with one another through a guarantor(s)， which could made a guarantee for the subject. Multi guarantees made up a guarantee chain. By using the guarantee chain， the subject could get the authorization of the Web services to some degrees of trust. This article also described an access decision algorithm and an application example of this model.

Key words：Web services;access control model; guarantee; degrees of trust



Web服務可應用于企業電子商務，也可用于企業內部的資源整合；Web服務還適用于電子政務，為政府的信息化提供一種信息集成的手段；同時為軍隊的信息化提供了方便的途徑，美軍的NCES就是一個典型例子。

訪問控制就是保證資源只授予授權用戶、程序、進程等，保護資源免于非法訪問。Web服務在訪問控制方面提出了許多挑戰性問題：

a)多域訪問控制的挑戰。傳統的訪問控制主要是基于單域，也就是主體和對象都在同一個管理域，主體和對象之間相互認識。Web服務可以實現不同組織、部門之間的信息集成，這樣就需要多域之間的訪問控制，也就是說，必須在不認識的主體和對象之間實現訪問控制。因此，在Web服務應用系統中，不僅要考慮單域的訪問控制，還需要考慮多域的訪問控制。

b)動態授權的挑戰。所謂動態授權就是主體在服務請求時，動態申請訪問授權的一種授權方式。傳統訪問控制模型的授權方式一般都是靜態的，主體與對象之間的授權由管理員事先分配，然后將這些預設關系保存起來（如使用訪問控制列表ACL），以備訪問控制時進行驗證。在Web服務訪問控制中，主體可能事先不知道目標對象，主體在執行任務時，需要動態獲得對象的訪問授權。因此，在Web服務的應用環境下，需要同時考慮靜態和動態授權。

c)臨時授權的挑戰。在傳統的訪問控制模型中，主體與對象之間的授權一般來說比較穩定，時間相對比較長。但是在Web服務訪問控制中，主體在執行任務時，臨時需要一些服務協助完成特定的任務，對這些服務的訪問是突發性的、暫時的，并且與主體當前的狀態、環境相關。因此，需要同時考慮臨時和永久授權。

d)相對信任的挑戰。在傳統的訪問控制模型中，主體獲得的對象授權均是絕對信任的授權，也就是說，只要得到授權，隨時可以享受對象的服務。而實際上，主體之間、主體與資源對象之間的信任是有限度的，而且信任的程度會因外界環境的變化而變化。因此，Web服務訪問控制必須解決相對信任問題。

這些問題的根源在于Web服務應用主要是多域之間的應用。因此，首先需要解決多域訪問控制問題，然后在這個基礎上解決其他問題。基于擔保的Web服務訪問控制模型就是在這個思路上提出來的。該模型核心思想就是主體與對象之間通過擔保人建立聯系，擔保人為主體頒發授權擔保，多級擔保形成一條擔保鏈。通過擔保鏈，主體可以得到對象一定信任度的授權。

1 相關工作分析

訪問控制就是通過限制對資源對象的訪問權限，從而保證資源只提供給授權主體。訪問控制模型就是對訪問控制過程的抽象。在訪問控制中，主體（subject）、對象（object）和權限（permission）是三大基本要素。目前為止，已經提出了很多訪問控制模型。本節對這些工作進行分析，在此基礎上，提出了基于擔保的訪問控制模型基本思想。

1．1 傳統訪問控制模型

基于訪問控制矩陣模型^[1，2]就是將主體、對象和權限存放在一個矩陣中。訪問控制決策就是在矩陣中查找主體和對象對應的權限項，依據這個權限項來判斷主體的請求是否可以同意。

訪問控制矩陣的優點就是非常簡單、靈活。其缺點主要是對信息流缺少保護和系統管理比較復雜，同時不能反映組織內部的人員組織結構。

基于格的訪問控制模型^[3]基本思想就是為對象和主體分配標簽，這些標簽表示它們的級別，在這些標簽之間的信息流動有一些規則限制。標簽和流動限制就構成了一個格。對于不同的信息流限制規則，又有不同的訪問控制模型，如BLP格模型、Biba格模型和中國墻格模型等。應用基于格的訪問控制模型可以非常方便地實現強制訪問控制。

基于角色訪問控制模型（RBAC模型）^[4，5]基本思想就是為主體分配角色。當一個主體訪問一個對象時，首先根據主體與角色映射關系給主體分配角色，主體根據分配的角色獲得相應的權限，再依據權限進行訪問控制決策。

傳統訪問控制模型的用戶信息管理以及訪問控制管理（授權管理和訪問控制策略管理等）均在同一域中實現。在多域的情況，不同域之間用戶信息（如用戶ID、角色信息以及標簽屬性信息等）的相互認可問題，傳統訪問控制模型很難處理，也就是說，當主體與對象之間事先并不認識的情況下，使用傳統訪問控制模型很難實現訪問控制。

1．2 現有Web服務訪問控制模型

2001年，E.Damiani等人提出了一種基于SOAP消息的訪問控制機制^[6]，其基本思想是在SOAP消息中加入主體的信息，如用戶的ID、請求的來源地、組信息以及角色信息等。根據這些信息制定策略對SOAP消息過濾。該機制的用戶信息管理以及訪問控制管理均在同一域中，沒有考慮多域的情況。

2004年，Liu Peng^[7]、Xu Feng^[8]、R. Wonohoesodo^[9]等人分別提出了基于RBAC的Web服務訪問控制模型。這些模型在本質上還是用戶的角色指派和角色的權限指派，也只能解決單域情況下的訪問控制。在多域情況下，當一個其他域的主體請求服務時，由于服務對象沒有主體的任何信息，很難為請求服務的主體分配合適的角色。同時，這些模型沒有提供一種動態授權和臨時授權的機制，也沒有解決相對信任的問題。

Eric Yuan^[10]、E.Bertino^[11]等人分別提出了基于屬性的訪問控制模型來解決Web服務中的訪問控制問題。Eric Yuan等人的基本思想就是依據主體屬性（如主體的ID、職務頭銜等）、資源屬性（如資源的擁有者、服務質量QoS等）以及環境屬性（如當前時間、當前網絡安全級別、當前病毒攻擊情況等）來進行訪問控制決策。E.Bertino等人的基本思想就是訪問控制決策主要依據主體的屬性（如年齡、級別等）和服務調用的參數。但是，這些模型主要應用單域，也沒有解決相對信任問題。

2005年，Bemmel等人^[12]提出在選擇訪問控制點時，可從服務發現階段實現訪問控制，這種思想減少了訪問控制決策時間，但也沒有考慮多域的情況。

目前已有的Web服務訪問控制模型主要是解決單域中的Web服務訪問控制問題。其中最關鍵的一個問題就是沒有提供一種不認識的主體與對象之間的訪問控制方法，因此還無法很好地解決Web服務訪問控制中的挑戰性問題。

關于不認識的主體與對象之間的訪問控制，在分布式訪問控制中已經有不少的研究。其中最重要的一種思想就是基于轉讓授權的思想，如SPKI^[13]、Delegation Logic^[14]等。但是這些機制不方便實現動態授權和臨時授權；同時，這些機制沒有考慮到轉讓授權后信任度的變化問題。

2 模型思想和概念

2．1 模型基本思想

Web服務訪問控制模型首先應該提供一種訪問控制方法。該方法可以讓不認識的主體與對象之間實現訪問控制，然后在這個方法中綜合動態授權和臨時授權機制，同時，考慮訪問控制過程中信任的變化情況。

基于擔保的Web服務訪問控制模型也是一種轉讓授權模型，授權的轉讓通過擔保實現。其基本思想就是：當需要服務時，如果沒有相應的授權，則尋求獲得擔保人的授權擔保，同時，這樣的授權擔保是動態申請的，可以滿足動態授權和臨時授權的需要；而且，這種擔保的信任是有限度的，多級擔保形成一條擔保鏈，擔保鏈具有授權非遞增性和信任度非遞增性，這樣又提供了一種反映相對信任的機制。

2．2 基于擔保的訪問控制模型基本概念

定義1 User（用戶）。用戶可以擁有一個或多個代表其身份的公鑰 k。

定義2 Administrator（管理員）。對于一個具體的管理域來說，它可能有多個不同類型的管理員，本模型假定授權管理由一個管理員負責，用管理員代表管理域。所有管理員的集合表示為A，個體表示為a。

定義3 Subject（主體）。主體可以是用戶賬號、角色、公鑰、組成員、進程、應用程序等。所有主體的集合用sub表示，個體用sub表示，每一個主體都有一個公鑰 k表示其身份。

定義4 Method（方法）。主體可請求Web服務執行的最小操作單元。所有方法組成一個方法集合M，個體方法表示為m。

定義5 Web service（Web服務）。服務提供基本單元，是一個資源對外提供的Web服務方法的集合，標志為w。所有Web服務組成一個Web服務集合，標志為W。

一個管理域包括管理員、主體和Web服務，表示為a[k1，…，kn;w1，…，wm]。一般用a來代表管理域， ki(1≤i≤n)表示被管理的主體， wj(1≤j≤m)表示被管理的服務。

主體k或者服務w可以通過獲取管理域運算adm(x)得到其管理域，如adm(k1)=a，adm(w1)=a。

定義6 Permission（權限）。Web服務w允許主體執行的方法的集合，表示為p，顯然有pw。

定義7 Guarantor（擔保人）。對其他主體的訪問權限進行擔保的主體。

定義8 身份斷言。主體身份的憑證，可以是第三方提供的，也可以是自己提供的證明材料。

定義9 信任度。擔保人對被擔保主體的信任程度，用一個數值表示。為信任度級聯運算符，其形式與模型具體實現相關。運算具有如下性質：如果d1=d2d3，那么d1≤d2，且d1≤d3。

定義10 單/多域訪問控制。當一個主體k訪問一個服務w時，如果adm(k)=adm(w)，則是單域訪問控制；如果adm(k)≠adm(w)，則是多域訪問控制。

3 訪問控制模型

基于擔保的Web服務訪問控制模型主要由擔保（guarantee）、服務請求（req）、訪問控制策略（policy）以及訪問控制決策算法（decision）組成。

3．1 擔保和擔保鏈

定義11 Guarantee（擔保）。擔保人k1為擔保對象k0頒發的擔保s1表示為s1=〈k0，p0，d0，s0，t1，k1〉。其中：k0就是擔保對象；p0是擔保權限；d0是信任度；s0是針對擔保人k1的擔保，表明擔保人的權限來源，s0可能為空；t1是擔保的時間屬性；k1是擔保人。

對于擔保有如下的運算：

a)主體獲取sub(x)。查詢擔保的擔保對象信息，如sub(s1)=k0。

b)擔保權限獲取perm(x)：提取擔保中的擔保權限，如perm(s1)=p0。

c)信任度獲取deg(x)。提取擔保中的信任度，如 deg(s1)=d0。

d)權限來源獲取source(x)。查詢擔保人的權限來源信息，如 source(s1)=s0。

e)擔保人獲取guarantor(x)。查詢擔保的擔保人信息，如 guarantor(s1)=k1。

f)時間獲取time(x)。提取擔保中的時間屬性，如 time(s1)=t1。

從定義11中可以看到，s1是擔保。其中權限來源 s0也是擔保。這樣s1s0就組成一條信任鏈，該信任鏈描述了權限在多級擔保中的傳遞過程。

定義12 Guarantee chain（擔保鏈）。擔保鏈sl=sn…s1。其中：si(i=1，…，n)是擔保，且source(si+1)=si(i=1，…，n-1)，guarantor(si+1)稱為guarantor(si)的下級擔保人；guarantor(si)稱為guarantor(si+1)的上級擔保人；sn稱為擔保鏈的最低級擔保，記為low(sl)；s1稱為最高級擔保，記為top(sl)。

對擔保鏈信任度計算為deg（sl)=deg(sn)…deg(s1)。具有如下性質的擔保鏈稱為有效擔保鏈：

性質1 權限非遞增性。perm(si+1）perm(si)；i=1，…，n-1。下級擔保人的擔保權限不比上級擔保人的擔保權限大。

性質2 信任度非遞增性。deg(sn…si)≤deg(sn…si+1），i=1，…，n-1。信任度是隨著擔保鏈長度增加而單調下降的。

性質3 時間限制性質。time(si+1）≤time(si)，下級擔保人所擔保的時間屬性必須在上級擔保人的時間屬性所限定的范圍內。

擔保鏈和常規的轉讓授權鏈相比較，引入了信任度的概念，解決了相對信任的問題，而常規的轉讓授權鏈中的信任是絕對信任。

3．2 服務請求

定義13 服務請求。req=〈p，para，s，auth_asser〉。其中：p表示服務請求的權限；para表示請求參數；s表示服務請求者提交的擔保；auth_asser表示請求者的身份斷言。

3．3 訪問控制策略

定義14 訪問控制策略。policy=〈k，d，low_d，p，para〉。其中：k表示擔保人；d表示對擔保人k的信任度；low_d表示最低能夠接受的信任度；p表示擔保人k的最高擔保權限；para表示對服務參數的限制條件。

4 訪問控制決策算法

訪問控制決策算法根據訪問控制策略判斷一個服務請求是否可以接受。決策算法表示為result=Decision(req，policy)。決策算法輸入請求req和相應的策略policy，result表示決策結果，result∈{訪問同意，訪問拒絕，建議}。訪問同意表示訪問可以通過；訪問拒絕表示訪問不被允許；建議表示請求暫時無法接受，還需要重新遞交材料或者需要進行某些調整（如調整調用參數等）。

具體算法描述如下：

根據auth_asser判斷訪問主體是否與sub(low（sl))一致；

if(主體不一致) return 訪問拒絕；//請求的主體和擔保對象不一致

if(sl不是有效擔保鏈) return 訪問拒絕；

根據guarantor(top(sl))得到的最高級擔保人，查找策略policy中的擔保人；

if(沒有匹配的擔保人) return 訪問拒絕；

//不是認可的擔保人

dall=deg(sl)d；

//計算擔保鏈的信任度

if(dall＜low_d) return訪問拒絕； //信任度不夠

if(!(perm(top(sl))p)) return 訪問拒絕；

//擔保權限不符合

對請求中的參數和策略中的參數para進行判斷；

if(條件符合) return 訪問同意；

else return 建議；//建議包括變更訪問參數等

}

5 應用實例

某大學通過Web服務集成圖書資源，其結構如圖1所示。



計算機學院圖書館直接管理本學院的學生信息，外語學院則由各系圖書館獨立管理各系的學生信息。每一個圖書館提供圖書借/還服務，其方法有borrow（借書方法，B）和return（還書方法，R）。各圖書館獨立負責對本館藏書的管理。送書服務（借/還書上門服務）負責送書，送書服務的方法有submit，即S。



現在假設入校新生k1要借閱的圖書是英語系的一本書，編號是908。那么k1需要調用wa來完成借書服務，同時，k1需要調用we來完成送書服務。

5．1 訪問同意情形

主體判斷通過；

sl有效性判斷通過（sl滿足有效擔保鏈性質）；

根據最高級擔保人ku，找到相關的策略〈ku，0．85，0．6，{B，R}，本館圖書編號〉；

計算信任度dall=deg(sl)d=0．94×0．92×0．85=0．735 08;

信任判斷通過（dall=0．735 08＞0．6=low_d）；

權限判斷通過（{B，R}{B，R}）；

參數判斷通過（英語書籍編號908是英語系圖書編號）；

return 訪問同意；

}

學生k1獲得對英語系圖書908的借閱權限，同時根據 s2和pe，學生k1可以得到送書服務。

5．2 訪問拒絕情形

服務wa的訪問控制策略p′a如表3所示。

由于信任度不夠(dall=deg(sl)d=0．94×0．92×0．8=0．691 84＜0．7)，

訪問將被拒絕：decision(req，pa)=訪問拒絕

5．3 訪問建議

如果學生輸入的圖書編號不是英語系圖書的編號，那么計算機結果為Decision(req，pa)=建議。

建議學生k1重新輸入圖書編號，請求英語系的圖書。

6 結束語

本文首先分析了Web服務給訪問控制問題帶來的挑戰性問題，對多域、動態授權、臨時授權以及相對信任問題進行了分析；對單/多域訪問控制進行了形式化定義，嚴格界定了訪問控制域的概念；詳細討論了傳統訪問控制模型在適應多域情況下的困難，進一步分析了現有一些針對Web服務訪問控制模型在解決多域問題上的缺陷。本文提出了基于擔保的Web服務訪問控制模型，很好地解決了單/多域情況下的訪問控制問題，提供了一種動態和臨時授權機制。本模型中，引入了信任度的概念，從而有了相對信任，改進了傳統訪問控制模型信任傳遞模式，更好地適應了多域訪問控制的特點。

本模型在處理多級擔保時，能夠很好地遵循最小特權原則，實現分權，可以防止通過代理等方式帶來的可能的權限濫用問題。在本模型中，還有如下幾個問題需要進一步研究：

a）身份驗證。本模型需要與身份驗證進行配合使用，如主體身份的維護、驗證等，這是筆者正在進行的工作。

b）擔保申請。本模型中，如果主體沒有相應的授權，則通過申請擔保獲得授權。如何找到合適的擔保人，從而獲得相應的授權擔保，也是筆者正在研究的一個問題。

致謝 季慶光博士為本文提出了很好的意見和建議，在此表示衷心感謝。

參考文獻：

［1］ LAMPSON B W. Protection[C]//Proc of the 5th Princeton Symposium on Information Science and System.1971: 437-443.

[2]SANDHU R S， SAMARATI P. Access controlprinciples and practice[J]. IEEE Communication， 1994，32(9):40-48.

[3]SANDHU R S. Latticebased access control models[J]. IEEE Computer， 1993，26(11)9-19.

[4]FERRAIOLO D F， BARKLEY JF，KUHA D R. A role based access control model and reference implementation within a corporate Intranet[J]. ACM Trans on Information and System Security， 1999，2(1):34-64.

[5]SANDHU R， FERRAIOLO D， KUHN R. The NIST model for role based access control: towards a unified standard[C]// Proc of the 5th ACM Workshop on Role Based Access Control. 2000.

[6]DAMIANI E， VIMERCATI S De C di， PARABOSCHI S，et al. Fine grained access control for SOAP eservices[C]// Proc of the 10th IntConf on World Wide Web (WWW). 2001:504-513.

[7]LIU Peng， CHEN Zhong. An extended RBAC model for Web services in business process[C]//Proc of IEEE International Conference onECommerce Technology for Dynamic EBusiness (CECEast’04). 2004:100-107.

[8]XU Feng， LIN Guoyuan， HUANG Hao ，et al. Rolebased access control system for Web services[C]// Proc of the 4th International Conference on Computer and Information Technology (CIT’04). 2004:357-362.

[9]WONOHOESODO R， TARI Z. A role based access control for Web services[C]//Proc of IEEE International Conference on Services Computing (SCC’04). 2004: 49-56.

[10]YUAN E， TONG Jin. Attributed based access control (ABAC) for Web services[C]//Proc of IEEE International Conference on Web Services (ICWS’05). 2005:561-569.

[11]BERTINO E， SQUICCIARINI A C， MEVI D. A finegrained access control model for Web services[C]//Proc of IEEE International Conference on Services Computing (SCC’04). 2004:33-40.

[12]BEMMEL Evan， WEGDAM M， LAGERBERG K. 3PAC: enforcing access policies for Web services[C]// Proc of IEEE International Conference on Web Services (ICWS’05). 2005:589-596.

[13]ELLISON C， FRANTZ B， LAMPSON ，et al. RFC 2693， SPKI certificate Theory[S].1999.

[14]LI N， GROSOF BN，FEIGENBAUM J. Delegation logic: a logicbased approach to distributed authorization[J]. ACM Trans on Information and System Security ， 2003，6(1):128-171.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。”