Ｐ２Ｐ網絡動態精細粒度訪問控制研究

(1.聊城大學 計算機學院， 山東 聊城 252059；2.國家信息中心 信息安全研究與服務中心， 北京 100045)

摘 要：分析了現有P2P系統中訪問控制的不足，結合RBAC(角色訪問控制)和TBAC (基于任務訪問控制)，加入環境約束條件，提出了一種精細粒度的動態訪問控制模型——ETRBAC。該模型對角色、權限、子任務進行層次劃分，角色分為本地角色和協作角色，由子任務選擇必要的角色和權限并進行合理配置。多個子任務協作構成一個會話。最后詳細描述了ETRBAC模型的結構及實施流程。對比分析表明，本模型可以很好地應用到動態協作環境中。

關鍵詞：對等網絡;訪問控制;任務;角色;動態;精細粒度

中圖分類號：TP393文獻標志碼：A

文章編號：1001-3695(2009)04-1467-04

Research on dynamic fine grained access control in P2P networks

LI Jun-qing1，LI Xin-you2，XIE Sheng-xian1，LUO Hong-bin2，LIU Guang-liang1

(1.School of Computer Science Technology， Liaocheng University， Liaocheng Shandong252059， China；2.Information Security Research Services Center， State Information Center， Beijing 100045， China）

Abstract:This paper discussed the disadvantages of access control mechanism of current P2P systems.Proposed a new dynamic and fine-grained access control model named ETRBAC，which was based on RBAC and TBAC， and some environmental constraints were also added into the model. In this model，made roles， permissions， and subtasks hierarchical. Roles were divided into two kinds named local roles and collaborative roles.It was the subtask’s duty to select needed roles and permissions and arrange them in pairs. A session may include many subtasks. At last，described the structure of ETRBAC in detail， and the implementing flow as well. Through comparison analysis with other access controls models，can conclude that the model adapts to dynamic collaborative environment efficiently.

Key words:peer-to-peer;access control;task; role; dynamic; fine-granularity

P2P網絡在近年來得到了廣泛推廣和應用。目前，P2P技術主要應用于文件共享、網絡協作、網絡聊天等領域[1]。相對于傳統的網絡結構，如C/S(client/ser-ver)和B/S(browser/server)，P2P在可擴展性、數據更新性、協作性以及負載平衡性等方面優勢顯著[2]。在大多數P2P網絡中，節點可以自由地加入或退出，同時，由于沒有中央服務器的管理，節點的行為缺乏一定的約束。P2P系統節點間通信具有明顯的匿名性、跨域性、自由性及分布式等特點，決定了該類系統安全機制的復雜性。相關研究[3]指出：P2P網絡面臨各種安全威脅，如文件污染、惡意節點的存在、搭便車節點的存在、冒名者、協同作弊及詆毀等。授權管理是網絡安全管理中非常重要的一部分，P2P網絡中的授權管理顯得尤為重要：P2P系統是高度自治的結構，各個節點關系對等，節點間匿名通信，如果缺少授權管理，擁有資源的節點無法區別對待不同角色的訪問者，資源會被無限制訪問[4]；P2P系統一般劃分出很多安全域，不同安全域有不同的安全訪問規則，角色和權限也不同，在域間協作中，需要不同域角色之間的映射，這些工作必須由授權管理完成。

訪問控制是通過某種途徑顯示地準許或限制主體對客體訪問能力及范圍的一種方法［5］。訪問控制策略是授權管理的重要組成部分，采用恰當的訪問控制策略，可以授予主體適當的權限，使任務得以完成，同時保證主體不會越權。目前，常用的訪問控制模型包括自主訪問控制模型(discretionary access control，DAC)、強制訪問控制模型(mandatory access control，MAC)、基于角色的訪問控制模型(role based access control，RBAC)、基于任務的授權控制模型(task-based authorization control，TBAC)以及使用訪問控制模型(usage control，UC)等。本文分析了P2P網絡訪問控制的基本特點，結合RBAC和TBAC的優點，設計了一種適合于P2P協作的精細粒度的訪問控制模型，并在模型中加入環境約束，使模型具備一定的動態自適應性。

1 P2P系統中訪問控制模型分析

P2P系統存在大量安全問題，如數據安全、節點安全及信息安全等。其中，訪問控制屬于節點安全管理任務之一，主要任務是保證節點間授權過程的安全性。

1.1 P2P系統訪問控制現狀

目前，P2P系統主要采用DAC、MAC及RBAC三種訪問控制技術。DAC和MAC在用于P2P系統中表現出明顯的不足[2]。主要表現在：DAC依賴于管理員的配置，因而無法適應P2P系統的規模擴展性；MAC側重于安全保密性，無法保證授權的靈活性。RBAC是近年來應用于P2P系統的訪問控制技術，可以有效地減少授權管理的復雜性，降低管理開銷[2]。文獻[6]給出了一種在Jxta平臺上采用XML語言定制角色配置策略的RBAC模型。以上這些訪問模型在一定程度上適應了P2P網絡的發展，起到了積極的作用。然而，隨著P2P技術的不斷發展，特別是P2P域間協作不斷增強，傳統模型越來越無法適應這種動態的環境，因而需要提供一種動態的具備精細粒度劃分的訪問控制模型。

1.2 P2P系統訪問控制特點分析

本文主要研究在P2P網絡協作中建立訪問控制模型，因而，主要分析協作環境中的安全因素。在P2P網絡協作中，多個節點協同工作，共同完成一個任務。不可避免，一個節點需要訪問其他節點的數據。本文約定，訪問者稱為主體(subject)，被訪問的數據或資源稱為客體(object)。與其他協作系統相比，P2P網絡協作系統在訪問控制方面表現出如下特點：

a)上下文相關性。節點協作完成某個任務的過程中，客體賦予某個主體的訪問權限會隨著上下文環境的變化而變化。例如，在多個節點協同完成一個計算任務時，通常會將計算任務劃分成多個子任務，客體在決定本次任務中授予主體何種訪問權限時，首先要參考上次任務的執行狀態。

b)主客體環境相關性。P2P系統是一種高度自治的結構，網絡中的節點可以自由加入或退出系統，這種自由性要求在授予主體訪問權限時必須考慮主客體的環境參數，如在線狀態、信任度等。

c)事務性。P2P系統中可以完成某個子任務的節點可能有多個，而這些節點行為無法集中控制。在設計訪問控制模型時需要考慮節點在線行為，如某個節點在執行子任務時下線，模型必須收回該節點的訪問權限，同時賦予另外一個在線節點適當的訪問權限，使得子任務可以繼續執行。

d)跨域性。在P2P協作環境中，往往將完成同一個子任務的節點集合稱為一個安全域(domain)，域內成員按照角色層次對應各自的角色，獲取與之對應的權限。在需要域間協作完成某個合作任務時，一個域內的用戶需要訪問另外一個域的資源，如何在兩個使用不同角色層次的域間進行角色映射是跨域訪問控制需要解決的難題。本文在每個安全域內選擇一個簇節點，執行域間角色映射的任務交給兩個域的簇節點協商解決。

2 ETRBAC模型設計

2.1 基本模型定義

2.1.1 RBAC[7]模型定義

RBAC改變了傳統的直接分配給用戶相應權限的方法，首先定義角色集合，權限直接授予角色，用戶要獲取權限必須首先被指定為某種角色，實現用戶和權限的分離，提高了訪問控制的靈活性。RBAC模型包含四個概念模型[7]，如圖1所示。

RBAC0是一個四元組〈U，R，P，S〉，相關定義如下[6]：

a)用戶（user）、角色（roles）、權限（permission）和會話（session）；

b)PAP×R，PA是權限到角色的多對多關系；

c)UAU×R，UA是用戶到角色的多對多關系；

d)users：（S→U），映射每一個會話Si到一個用戶user(Si)；

e)roles：S→2R，映射每一個會話Si到角色集roles（Si）{r|(users(Si)，r)∈UA)}，另外，會話Si擁有的權限為∪r∈roles(Si){p|(p，r)∈PA}。

2.1.2 TBAC模型定義

TBAC模型包含四個概念模型[8]，基本結構如圖2所示。

TBAC0是最基本的模型，包含了其他模型的必要組件；TBAC1加入了合成授權；TBAC2加入了一些約束條件；最后，由TBAC3構建了統一的框架。

TBAC是一種動態訪問控制模型，在該模型中，主體獲取訪問客體的權限不僅取決于權限本身，還取決于客體的當前任務狀態，權限的分配會隨著任務上下文環境的變化而變化。TBAC中最基本的概念是授權步驟(authorization step， AS)。AS的任務是從信任樹中選出符合條件的主體，并從權限集中挑選出執行該任務必備的權限，之后，AS把選出的權限分配給適當的主體。如圖3所示。

2.2 ETRBAC模型定義

本文結合P2P網絡的訪問控制需求，采用RBAC與TBAC相結合的技術，融入環境約束，設計出基于環境—任務—角色的訪問控制模型ETRBAC(environment-task-role based access control)，如圖4所示。

在RBAC96模型[7]的基礎上，給出的ETRBAC模型是一個十一元組〈U，LR，LP，CR，CP，S，T，E，RH，TH，PH〉，定義為

1)ETRBAC模型 繼承了RBAC96模型中已有的關于U、S的定義，增加了本地角色(local role，LR)、協作角色(collaborative role，CR)、本地權限(local permission，LP)、協作權限(collaborative permission，CP)、任務集合(task)、環境集合(environment)、角色層次(role hierarchy，RH)、權限層次(permission hierarchy，PH)以及任務層次(task hierarchy，TH)；另外，為了實現協作，定義域(domain，D)，D是一個十元組〈U，LR，LP，CR，CP，T，E，RH，PH，TH〉。

2)Di(LUR)U×LR 表示在域Di內部的本地角色分配，多對多的關系。

3)Di(LPR)LP×LR 表示在域Di內部的本地權限分配，多對多的關系；Di(CPR)CP×CR 表示在域Di內部的協作權限到協作角色間的分配，多對多的關系。

4)Di， j(CRR)Di(LR)×Dj(CR) 域間協作角色分配，域Di的本地角色集合R映射到域Dj的協作集合CR，多對多的關系。

5)Dj(T(Si)) 表示會話Si期間需要屬于域Dj的任務集合。

6)Dj(roles(Si)) 表示會話Si期間需要屬于域Dj的角色集合。

7)Dj(P(Si)) 表示會話Si期間需要屬于域Dj的權限集合。

8)TLPT×LP 表示任務選擇必要的本地權限。

9)TCPT×CP 表示任務選擇必要的域間協作權限。

10)STS×T 表示會話需要的任務集合，多對多關系。

11)環境實體(E) 包括了所有可能引起角色分配、角色配置、角色映射、權限分配等映射關系的因素，如上下文環境的變化會引起用戶角色分配的變化，敏感信息的變化也會引起角色配置的變化。另外，把時間參數也加入環境實體中，隨時間的不同，用戶可能分配到不同的角色。定義環境操作：

Envs(Si)：S→E，每個會話對應一個環境，其屬性可以擴展，表示為〈e1，e2，…，en〉。

12) 子任務(T) 為了讓多個節點共同完成一個任務，將任務進行劃分，分成多個子任務。子任務具有睡眠(dormant)、調用(invoked)、執行(in-service)以及完成(completed)等四種狀態，用state_set表示，操作states(t:T(Si)，e:Envs(Si))∈state_set，其功能是獲得子任務t的狀態。

13)角色層次RH 它反映了責任權力的層次關系，是一種偏序關系。利用RH可以形成角色間的繼承關系，有效借助面向對象方法編程技術。域Di的角色層次定義為RHiRi×Ri，若(rim，rin)∈RHi，rim，rin∈Ri，表示rim≥rin，即角色rim比角色rin應該賦予更高的權限。

14)權限層次PH 它反映了權限之間的層次關系，是一種偏序關系。域Di的權限層次定義為PHiPi×Pi，若(pim，pin)∈PHi，pim，pin∈pii，表示pimpin，即權限pim大于權限pin。

15) 子任務層次TH 它反映了子任務之間的層次關系，是一種偏序關系。域Di的子任務層次定義為THiTi×Ti，若(tim，tin)∈THi，tim，tin∈Tii表示timtin，即子任務tin須在子任務tim完成之后啟動；另外，用操作pre(t)表示任務t的所有前序。

16) 角色分配 本地角色表示與客體屬于同一個域的主體可以獲得的角色集合，協作角色表示與客體不在同一個域的主體可以獲得的角色集合。區分本地角色和協作角色可以有效劃定不同域的界限，提高訪問控制的跨域控制能力。角色映射操作定義如下：

a)本地角色分配。local_roles_assign(u:user(Si)，e:Envs(Si)) →2LR，表示在會話Si期間，用戶u可以獲得的本地角色集合。在沒有角色層次時，local_roles_assign(u，e){lr|(users(Si)，lr)∈Dj(LUR) ∧e∈Envs(Si)，j=1，…，n}；加入角色層次后，local_roles_assign(u，e){lr |（lr2≥lr） [(users(Si)，lr2)∈Dj(LUR)] ∧e∈Envs(Si) }。

b）域間協作角色分配。colla_roles_assign(Dj(R)，e:Envs(Si)) →2CR，表示在會話Si期間，用戶域Dj內的角色R可以映射到本域的角色集合。在沒有角色層次時，colla_roles_assign(r，e){cr|(r，cr)∈Di， j(CRR) ∧e∈Envs(Si)∧r∈Dj(roles(Si))}；加入角色層次后，colla_roles_assign(r，e){cr |（cr2≥cr）[(r，cr2)∈Di， j(CRR)] ∧e∈Envs(Si)∧r∈Dj(roles(Si))}。

17)子任務選擇角色 在子任務啟動并執行過程中，可能需要很多角色，子任務選擇角色是一個動態的過程。在會話Si期間，子任務t選擇的角色集合中，包括本地角色和協作角色：操作task_local_roles (t，e)選擇本地角色，定義如下：

task_local_roles (t，e){lr|lrlocal_roles_assign(u，e)∩Dj(roles(Si))∧u∈users(Si)∧e ∈Envs(Si)}

操作task_colla_roles(t，e)選擇協作角色，定義如下：

task_colla_roles(t，e){cr|crcolla_roles_assign (r，e)∩Dj(roles(Si))∧r∈Dj(roles(Si)) ∧e∈Envs(Si)}

18)子任務選擇權限 子任務執行過程中，不但需要選擇角色，還需要選擇相應的權限，子任務選擇權限也是一個動態的過程，包括本地權限和協作權限：操作task_local_permissions(t，e)選擇本地權限，定義如下：

task_local_permissions(t，e){lp|(t，lp)TLP∧lpDj(P(Si)) ∧e∈Envs(Si)}

操作task_colla_permissions (t，e)選擇協作權限，定義如下：

task_colla_permissions (t，e){cp|(t，cp)TCP∧cpDj(P(Si))∧e∈Envs(Si)}

19)權限分配 子任務選擇必要的角色和權限之后，在進入執行狀態時，需要分配適當的權限給相應角色，操作local_permission_assign(r ，e)和colla_permission_assign(r，e)分別完成本地和協作的角色權限分配工作，具體定義如下：

local_permission_assign (r，e){lp|lptask_local_permissions(t，e)∧rtask_local_roles(t，e)∧(lp，r)Dj(LPR) ∧t=Dj(T(Si))∧e∈Envs(Si)}

colla_permission_assign (r，e){cp|cptask_colla_permissions(t，e)∧crtask_colla_roles(t，e)∧(cp，r)Dj(CPR)∧t=Dj(T(Si))∧e∈Envs(Si)}

20)會話選擇任務 當一個會話開始后，可能需要多個子任務協同工作，而子任務間存在偏序關系，一個子任務在進入執行狀態前必須保證其所有前序子任務全部完成。定義了操作session_task_assign(Si，e)選擇會話Si必要的子任務集合，其定義如下：

session_task_assign(Si，e){t|tDj(T(Si))∧(Si，t)ST∧e∈Envs(Si)∧（t2∈pre(t)）[states(t2，e) =completed]}

2.3 ETRBAC實施流程

ETRBAC實施流程如圖5所示，具體步驟如下：

a)用戶可以自由上線或離線，當用戶上線后，根據當前會話狀態及環境參數，采用操作local_roles_assign(u，e)和colla_roles_assign(r，e)為該用戶分配本地角色和協作角色。

b)根據會話狀態及環境參數（如上次任務執行情況、時間參數等）調度不同子任務。

c)采用操作task_roles_assign(t，e)和task_permissions_assign(t，e)為子任務選擇必要的角色和權限。

d)檢查角色和權限是否滿足，如果沒有相應角色，則從當前在線的滿足條件的用戶中選擇并為之分配該角色。

e)如果在任務執行過程中，充當某些角色的用戶下線，則當前會話暫停，回到步驟d)。

2.4 模型分析

分析ETRBAC模型基本結構及其實施流程，可以看出，與其他訪問控制模型相比，ETRBAC具備如下優勢：

a)動態性。模型中加入環境實體E，E具有可以擴展的屬性，如時間、空間等。環境參數影響到角色分配、權限分配、任務選擇角色和權限的過程。

b)精細粒度劃分能力。模型中角色、任務及權限都進行了層次劃分，角色劃分為本地角色和協作角色，權限也劃分成本地權限和域間協作權限。隨著層次劃分深度的加大，模型將具備更細粒度的訪問控制能力。

c)權限的時效性。模型通過子任務挑選必要的角色和權限，只有在子任務進入執行狀態時才允許將權限賦予給適當的角色，在子任務進入其他狀態時收回所有角色的權限，保證了權限的時效性。

d)適應自治系統的能力。P2P系統是一種高度自治的系統，節點可以自由地上線或離線。模型不約束節點的行為，如果當前執行某子任務的節點離線，子任務會從角色集中挑選適當的角色并賦予其相應權限，如果角色集沒有相應角色，模型會從用戶集中挑選出合適的用戶并進行角色分配。

3 結束語

如何保證訪問控制模型的動態性及可精細粒度劃分性是目前訪問控制研究的一個熱點。本文通過加入環境條件，將角色、權限、任務進行層次劃分，把角色和權限劃分成本地和域間協作兩大類，保證了模型的精細粒度劃分性。另外，由子任務選擇必要的角色和權限，只有當子任務進入執行狀態時才賦予角色權限，保證了模型的動態性。今后工作的重點是研究如何描述層次間關系，使模型具備更好的智能性。

參考文獻：

［1］

ZHANG Qian，SUN Yu，LIU Zheng，et al.Design of distributed P2P-based grid content management architecture[C]//Proc of the 3rd Annual Communication Networks and Services Research Conference.2005:339-344.

[2]牛新征，佘堃，路綱，等.基于RBAC技術的P2P安全機制的研究[J].電子科技大學學報，2007，36(3):493-495，499.

[3]竇文，王懷民，賈焰，等.構造基于推薦的peer-to-peer環境下的Trust模型[J].軟件學報，2004，15(4):571-583.

[4]BERKET K，ESSIARI A，THOMPSON M R.Securing resources in collaborative environments a peer-to-peer approach[C]//Proc of the 17th IASTED International Conference on Parallel and Distributed Computing and Systems. Phoenix:[s.n.]，2005:14-16.

［5］沈海波，洪帆.基于企業環境的訪問控制模型[J]. 計算機工程，2005，31(14):144-146.

[6]STAMP M，MATHUR A，KIM S.Role based access control and the Jxta peer-to-peer framework[C]// Proc of International Conference on Security Management.2006.

[7]SANDHU R S，COYNE E J，FEINSTEIN H L，et al.Role-based access control models[J].IEEE Computer，1996，29(2):38-47.

[8]THOMAS R K，SANDHU R.Task-based authentication controls(TABC):a family of models for active and enterprise-oriented authentication management[C]// Proc of the 11th IFIP WG11.3 Workshop on Database Security.Lake Tahoe，California，London:Chapman Hall，1997:166-181.