一種層次信任的RBAC擴展模型

盧清平，蘇守寶，2，郁書好，3，4

（1.皖西學院信息工程學院，安徽 六安237012；2.金陵科技學院信息技術學院，江蘇 南京 211169；3.合肥工業大學計算機與信息學院，安徽 合肥 230009；4.合肥工業大學計算機網絡研究所，安徽 合肥 230009）

隨著互聯網應用的普及，安全可靠的數據業務處理及大型企業門戶服務平臺建設中對權限管理和數據訪問控制的安全性變得更復雜，尤其對跨域用戶的認證和集中授權的研究具有十分重要的意義和實用價值.訪問控制是保證企業門戶及信息系統安全的一項重要措施，常用的訪問控制技術包括自主訪問控制（DAC）、強制訪問控制（MAC）、基于任務的訪問控制（TBAC）和基于角色的訪問控制（RBAC）等，角色是一組訪問權限的抽象，RBAC已發展成為NIST和ANSI標準規范［1］.研究者針對現有模型在解決用戶統一認證與集中授權中的不足，不斷提出改進的方法，如基于信任授權的模糊訪問控制模型、動態網格環境中不同的域之間的信任關系及其訪問控制方法等［2－4］.文獻［5］結合PKI和PMI的層次結構，設計采用PKI的CA認證機構PMI的SOA授權管理中心的交叉證書的方式完成用戶對跨域系統的安全訪問控制方法.針對現有RBAC委托模型在支持細粒度和權限傳播可控性上存在的不足，文獻［6－7］提出一種信任度的靈活角色映射機制的授權方法、授權信任約束的細粒度訪問控制模型等.由于分布式系統中服務實體身份難以確定、接入平臺復雜且網絡環境動態多變，文獻［8－9］引入“綁定上下文”約束，對用戶身份、接入平臺及用戶行為進行多維度量，根據網絡環境和用戶狀態的動態多變性，實現動態角色授權控制.文獻［10－11］研究了一種輕量級認證密鑰協商協議（EC－SAKA）的基于用戶行為的信任評估模型，可用于智能環境、普適計算中用戶隱私保護并確保通信實體之間的信任.文獻［12］利用語義Web技術來描述云資源的訪問控制授權模式、層次化RBAC（hRBAC）、條件RBAC（cRBAC）和分層對象（HO），以及在云中的資源保護訪問規則的邏輯形式主義與多租戶性質.文獻［13］通過優化所有通信實體間信任配置，用推薦令牌來建立跨組織應用程序間的協調聯合.文獻［14］可信網絡連接（TNC）中用戶訪問層面、系統訪問層面和網絡態勢感知層面訪問控制總體架構TNACA.根據請求者的行為及其平臺計算環境特征評估其信任級別的方法，文獻［15］研究了可信網絡連接架構中具有反饋功能的動態訪問授權模型等，以不斷改善互聯網應用系統的用戶授權管理和安全性能.

一個完善的企業門戶訪問權限管理體系應有以下特性［1］：（1）權限管理模塊具有相對的獨立性、非植入性，與應用系統模塊松散耦合；（2）能夠實現可變粒度的信任認證，可提供多層次、多粒度的、來自平臺內外部不同等級的安全認證服務，可滿足來自不同應用系統的多種認證需求；（3）權限管理系統應具有一定的可伸縮性，通過配置集成和配置擴展，實現權限系統與其他應用系統的集成應用，擴展權限管理系統的應用范圍，增加系統的可擴展和可重用性能.目前在權限訪問管理方面常用的技術規范或協議主要有Kerberos和SAML.基于SAML標準的動態權限管理項目為大型企業門戶環境中的異構應用間互相認證提供了服務基礎［3］.針對以上情況，本文結合SAML對NIST－RBAC的統一模型進行改進，提出以SAML標準實現可移植的信任角色授權的訪問控制擴展模型（ExRBAC），利用SAML的可信憑證擴展用戶和角色之間的層次，增加角色的信任層次以加強粒度控制，同時設置分層預處理，用于降低處理權限判決點時的復雜性，簡化權限分配.信任管理可具體擴展到應用服務所在域或應用服務后臺資源本身，用戶通過其認證可信度獲取相應的應用系統角色，結合分層的角色權限管理機制實現訪問認證粒度的動態性和可變性，最后給出了擴展模型授權流程以及在企業門戶服務平臺eXo Platform上的應用實例.

1 基于SAML的非植入式信任授權

1.1 SAML的組成

SAML的身份信任環境主要包括Service Provider服務提供者、Identity Provider認證提供者和Subject用戶主體等.

（1）Service Provider服務提供者，即信任需求方.可以是 WEB系統或在線內容，即需要通過SAML認證才能訪問的受保護的資源，由其決定允許何種請求.

（2）Identity Provider認證提供者，即認證提供方.負責提供SAML安全信息，為Service Provider提供身份認證.

（3）Subject用戶主體，是與身份信息相關的訪問用戶.

通常在一個SAML的身份信任環境下會有許多Subject和數個Service Provider，也可能存在多個Identity Provider.在SAML中，定義了3類安全斷言聲明來攜帶信任信息.斷言聲明中包含頭信息、主體名稱和若干個語句，在斷言的頭信息包含有Identity Provider的來源和發行有效期等其他信息，Service Provider或信任方通過斷言了解訪問請求的身份信息、請求用戶的主體信息、提供安全信息的Identity Provider方的可信任性.

1.2 SAML的協議擴展

為了方便Service Provider與Identity Provider進行交換消息，SAML提供了相應的機制使得認證和授權信息可以在不同的安全服務域之間進行交換，可以實現不同安全服務系統間的互相操作性.SAML將傳輸的安全信息定義為斷言聲明，用XML語言來描述，以請求／問答的形式在信任環境中的多個Service Provider之間傳遞.

SAML的3類聲明中包括描述認證對象的相關信息的描述認證方式、認證時間、請求來源等內容.對于SAML標準尚未涉及的需求，SAML也支持協議擴展機制，允許開發者對其中的一些元素進行擴展和選擇，通過定義傳輸、認證、安全技術為開發者提供與平臺無關的安全服務框架，極大地增加了SAML的靈活性和應用范圍.

1.3 SAML信息交換流程

SAML提供了2種應用模式將安全信息通過Identity Provider傳送到Service Provider（Artifact Bindings模式和Post Bindings模式）.其中Artifact Bindings模式的信息傳遞流程如圖1所示.其中：

（1）Subject向Identity Provider發送認證請求，請求安全信任憑證；

（2）Identity Provider對Subject進行認證，生成認證聲明，建立對應的Artifact，將其返回給Subject；

（3）Subject重定向到Service Provider，提交獲得的Artifact憑證以及服務請求；

（4）Service Provider通過 Artifact憑證，產生SAML請求，查詢Identity Provider，要求憑證斷言；

（5）憑證是Identity Provider產生的，Identity Provider根據對應關系回應SAML斷言給Service Provider；

（6）Service Provider信任Identity Provider的SAML斷言，根據斷言聲明判斷用戶身份，決定是否為Subject提供服務.

圖1 Artifact Bindings的信息傳遞流程

1.4 基于SAML的非植入式信任授權

具有門戶認證身份的用戶信息可以實現不同域的信任，考慮到集成環境中的各類應用應該有各自的身份信任機制，需要在更高層次上通過SAML來建立統一的身份信任，以便屏蔽各應用間的差異.SAML是OASIS制定的適用于在復雜的環境下交換用戶的身份識別信息的標記語言.SAML1.1標準的主要內容是安全信息交換.SAML2.0則引入了支持身份聯盟的一些重要功能，可不受系統架構和域的限制來交換安全斷言，門戶系統以及類似的大型企業集成環境中異域結構的系統可以統一到SAML的標準框架中，實現松散耦合的非植入式信任授權.SAML目前定義了3類安全斷言聲明信息：認證聲明用于認證身份信息；屬性聲明定義安全屬性信息；授權聲明則定義了對相應資源的授權.這3類聲明均可以嵌入到SAML的一組XML格式的請求——應答消息中進行傳遞.

2 層次信任的RBAC擴展模型

基于角色的訪問控制（Role－Based Access Control，RBAC）是門戶系統中常用的訪問控制策略.安全管理人員根據授權需要定義各種角色，并為角色設置合適的訪問權限，用戶則被指派為不同的角色，通過角色獲得相應的服務訪問權限.這樣，門戶系統的訪問控制過程就分成2個部分，即訪問權限與角色相關聯，角色再與用戶關聯，從而實現了用戶與訪問權限的邏輯分離，減小了門戶系統中授權管理的復雜性，降低了管理開銷.

隨著門戶系統中集成的應用服務不斷擴展，用戶對不同應用服務的更細粒度的訪問需求日益加深，傳統的RBAC系統中個體差異很難實現，RBAC相對靜態的權限管理思想并不能滿足門戶中需要根據用戶特征的動態改變而動態地改變用戶角色的需要.

2.1 NIST－RBAC訪問控制模型

NIST－RBAC模型的基本結構如圖2所示.

組成模型的各元素含義描述如下：

（1）U，R，P 分別表示用戶集、角色集、權限集3個最基本的要素；

（2）S表示會話的集合，在實際的系統運行中，用戶可以選擇確定某次會話需要使用的角色集合；

（3）URA（URA?U×R）表示用戶與角色的多對多的分配關系；

圖2 NIST－RBAC模型基本結構圖

（4）PRA（PRA?P×R）表示權限與角色的多對多的分配關系；

（5）RH（角色層次）（RH?R×R），是角色集R上的一個偏序關系，用來描述模型中的角色繼承關系；例如，有（r1，r2）∈RH，則表示角色r2是角色r1的父角色，角色r2繼承角色r1的所有權限.

2.2 層次信任的擴展模型（ExRBAC）

NIST－RBAC模型中的用戶和角色的關系是靜態指定的，不能適應門戶系統中動態匹配需要.在實際應用中，利用SAML的信任斷言機制對NIST－RBAC模型中的角色層次關系進行擴展.通過在角色集R，設定其中有一些角色是信任管理角色，其他角色可以通過指派該信任而來，訪問角色所在域，并擁有角色在應用域中被分配的權限.需要說明的是，用戶關聯了信任角色后，是在角色的創建域有角色被分配的權限，而不是在被信任域擁有角色被分配的權限；另外，被信任用戶被委派的信任角色，在被信任域不能再進行權限的分配，用戶登錄角色的創建域后擁有的權限只是角色在其創建域被分配的權限.改進后的模型中的角色層次關系是基于管理范圍這個概念和反對稱二叉關系trust－authority∈R×R.trust－authority關系又為信任－授權關系.

如果（a，r）∈trust－authority，則a是一個信任管理角色并且a控制r.

定義T（a）＝｛r∈R｜（a，r）∈trust－authority｝，

T（a）表示角色a所直接控制的信任角色集.在改進后的模型中，由R和trust－authority關系定義了一個擴展層次，表示為〈R，≤〉.

假定給定一個角色a∈R，在模型中定義：

設X是偏序集，Y?X，那么↑Y＝｛x∈X｜存在y∈Y使得x≤y｝，↓Y＝｛x∈X｜存在y∈Y 使得y≤x｝，X＼Y表示在集合X 中去掉集合Y中元素后所得到的集合.其中↑r，↑T（a）和↓T（a）由〈R，≤〉中求得.S（a）是a的管理范圍，S＋（a）是a的信任管理范圍.如果r∈S（a），則說a是r的一個信任管理角色.當角色層次關系發生變化時，每個管理角色的管理范圍會隨著trust－authority關系的變化而隨之變化.管理角色范圍可以隨著角色層次關系的變化而動態改變的，可以直接地或是作為層次操作的結果間接地修改RBAC關系，加入信任屬性后的擴展RBAC模型如圖3所示.基本元素和指派關系同NIST－RBAC模型，設計中加入了獨立于角色或角色層次的用戶庫單元和權限庫單元.用戶庫單元包含事先定義好的用戶，權限庫單元包含事先定義好的權限.

圖3 擴展RBAC模型

3 信任角色的擴展模型實例

3.1 ExRBAC實例

在此實例中選用ObjectWeb發布的eXo Platform V2門戶作為動態身份控制系統的構建平臺，此門戶中集成了若干用戶信息應用類系統，包括幾個用戶業務系統.基于SAML的信任角色擴展模型實例如圖4所示.

其動態身份訪問控制流程描述如下：

（1）用戶向門戶提供一個身份驗證信息，一個包含訪問信息的目標文檔或一個SAML斷言；

（2）門戶將其交給SAML訪問控制決策器，決策生成器依據策略庫中提供的信息生成此用戶的訪問控制決議；

（3）用戶的訪問控制決議由SAML訪問控制決策器中的策略執行機構完成執行，并根據執行結果緩存目標文檔或更新SAML安全斷言；

（4）此次訪問決議執行結果生成可信的SAML安全斷言返回給用戶，用戶再次訪問時，可檢查此斷言是否存在，若存在則提供給請求者，以提高訪問效率.

圖4 基于SAML的信任角色擴展模型實例

3.2 信任證書實體設計及描述

信任證書中存放用戶標志Uid，角色Role，以及可以訪問的應用服務Server.證書實體具有下列屬性.

｛uid；｛server；userRole；trusttype；trustvalue｝；validate；｝，其中：

（1）uid是一個用戶區別于其他用戶的唯一標志.和SAML實體中的uid一致.

（2）server中存放應用服務URL地址.

（3）userRole中存放具有server權限的角色名，可以是多個值.

（4）trusttype和trustvalue存放該用戶以角色userRole使用server的信任約束，和用戶實體中的trusttype和trustvalue相對應.每一個server都對應一個userRole和trusttype及trustvalue.

（5）validdate中存放該證書的有效期.

一個用戶的信任證書如表1所示.這個證書是uid＝zhangling的用戶的全域信任證書.它表示該用戶可以以角色Role1訪問serverA中信任類型為初級，信任值為tv1的服務資源，可以以角色Role2和Role3訪問serverB的公開服務資源.Zhangling可以使用這張證書的有效期到2013年3月6日.

在實際的應用實現中，定義一個CreateCertificate類來生成用戶對應用服務的信任證書：

class CreateCertificate｛

Public Role trustRole（String uid）｛……｝／／查找uid用戶的信任屬性信息，如果匹配成功，寫入用戶實體中，返回角色對象

Public List inheritRole（User userinfo）｛……｝／／在信任角色中查找被繼承的信任角色，返回角色列表

Public List findSever（List roleinfo）｛……｝／／查詢權限庫，返回應用服務地址列表

Public void writeCertificate（String uid，List serverinfo，List roleinfo，User userinfo）｛……｝

／／將獲得的信息寫入信任證書庫中

｝

表1 信任證書實體示例

4 結束語

本文提出以SAML標準實現可移植的信任，在門戶環境和類似大型集成應用場景中建立的一種標準的、與協議無關的非植入式權限管理模型，結合SAML交換認證和授權憑證提出一種層次信任的RBAC擴展模型，具有能夠提供非植入式信任授權功能.用戶通過其認證可信度獲取相應的應用系統角色，結合分層的角色權限管理機制實現訪問認證粒度的動態性和可變性.本文給出了模型授權流程以及在企業門戶服務平臺eXo Platform上的應用實例，設計了改進后的訪問控制的實現，以后將進一步研究擴展模型的多粒度、多租戶訪問控制模型及其實現技術等.

［1］BISKUP J，HIELSCHER J，WORTMANN S.A trust－and property－based access control model［J］.Electronic Notes in Theoretical Computer Science，2008，197（2）：169－177.

［2］付爭方，王小明，竇文陽，等.基于信任授權的模糊訪問控制模型［J］.微電子學與計算機，2007，24（9）：29－32.

［3］馬曉寧，馮志勇，徐超.WEB服務中基于信任的訪問控制［J］.計算機工程，2010，36（3）：10－13.

［4］MARTINO AS，PERRAMON X.A model for securing e－banking authentication process：antiphishing approach［C］.Proc IEEE Congress on Services，2011：251－254.

［5］李源.基于SAML和PMI的認證授權機制的研究與應用［D］.長沙：湖南大學，2010.

［6］蔡偉鴻，韋崗，肖水.基于映射機制的細粒度 RBAC委托授權模型［J］.電子學報，2010，38（8）：1753－758.

［7］夏啟壽，殷曉玲，王汝傳.RBAC中基于信任的細粒度訪問控制研究［J］.計算機工程與應用，2012，48（12）：75－79.

［8］曹春，馬曉星，呂建.SCOAC：一個面向服務計算的訪問控制模型［J］.計算機學報，2006，29（7）：1209－1206.

［9］劉飛，常朝穩.基于多維度量和上下文的訪問控制模型［J］.計算機工程，2011，37（24）：129－131.

［10］HUSSEINI AE，MHAMED A，HASSAN BEL.A novel trust－based authentication scheme for low－resource devices in smart environments［J］.Procedia Computer Science，2011，5：362－369.

［11］LUO J Z，NI X D，YONG J M.A trust degree based access control in grid environments［J］.Information Sciences，2009，179（15）：2618－628.

［12］BERNABE J B，PEREZ J M，CALERO J M，et al.Semantic－aware multi－tenancy authorization system for cloud architectures，Future Generation Computer Systems［EB］.［2012－05－11］.http：／／dx.doi.org／10.1016／j.future.

［13］NOUREDDINE M，BASHROUSH R.An authentication model towards cloud federation in the enterprise［J］.Journal of Systems and Software，2013，86（9）：2269－275.

［14］吳琨.可信網絡訪問控制關鍵技術研究［D］.北京：北京郵電大學，2012.

［15］鄒冰玉，張煥國，郭曦，等.可信網絡連接中一種基于可信度的細粒度授權模型［J］.武漢大學學報：理學版，2011，56（2）：147－150.