基于表單訪問權限控制策略

吳承來，周傳華，周家億

(1．安徽工業大學 管理科學與工程學院，安徽 馬鞍山 243032；2．東南大學 計算機科學與工程學院，江蘇 南京 211189)

基于表單訪問權限控制策略

吳承來1，周傳華1，周家億2

(1．安徽工業大學 管理科學與工程學院，安徽 馬鞍山 243032；2．東南大學 計算機科學與工程學院，江蘇 南京 211189)

為解決權限控制交互性問題，在屬性訪問控制的基礎上提出了一種基于表單訪問權限控制策略。策略引入表單實體，使用表單和屬性映射表實現了用戶界面和數據屬性的雙向權限控制，在保留了屬性訪問控制安全性和靈活性的基礎上，進一步提升了權限控制的用戶交互性，改進的權限管理模型更適用于工程應用中權限控制的實現。最后，用圖靈機對策略進行安全分析，從理論上保證該策略的安全可靠性。原型系統實現基于面向對象(OO)和面向切面編程(AOP)思想以及Java標簽和Ajax技術，實現了權限控制對業務系統的低侵入性和松散耦合，加強了系統的可維護性和可重用性，并且使得該策略的有效性和靈活性得到了驗證。

權限管理模型；表單控制；控制粒度；映射表；安全分析；圖靈機

1 概 述

隨著全球經濟一體化步伐的加快，信息技術在各個領域應用的深度和廣度不斷拓展，使得信息系統的集成性和復雜性不斷加大，而且對信息系統的交互性和用戶體驗要求越來越高。傳統基于RBAC的權限控制模型往往不能有效解決全球一體化背景下信息系統越來越復雜的權限控制需求。當前信息系統權限控制主要面臨以下三個問題和挑戰：分布式和跨域環境下的權限控制問題，基于時空上下文的權限控制問題，權限的控制粒度和權限控制的用戶交互性問題[1-2]。

針對上述權限控制問題，學術界和工程界提出了相應的解決方案。

在分布式和跨域環境下的權限控制方面，Freudenthal等提出了分布式角色訪問控制模型(Distributed Role-Based Access Control,DRBAC)[3]。該模型利用PKI識別操作實體的身份和驗證委托證書，在跨多個管理域的動態協作環境中實現了資源的訪問控制；Liu等針對分布式協同操作環境中基于角色的訪問控制在利用角色映射的方式時可能存在的安全問題，提出了一種適用于分布式協同操作環境的RBAC模型(Role-Based Access Control model for Distributed Cooperation environment,RBAC-DC)[4]。

隨著移動互聯網的發展，出現了很多基于位置的服務和應用軟件，傳統的權限控制模型不能很好地解決基于空間上下文的權限控制，所以有學者提出了基于時空上下文的權限控制模型。Ray等提出了一個位置感知的訪問控制模型(Location-aware Role Based Access Control，LRBAC)，通過引入空間角色的概念將空間上下文集成到角色中，可根據用戶的當前位置來判斷會話中哪些角色是有效的[5-6]；張穎君等在訪問控制中同時整合了時間和空間因素，提出了一種基于尺度的時空RBAC模型[7-8]。

在權限的控制粒度方面，熊智提出了一種云儲存環境下的基于屬性的權限控制方案[9]，采用字典變量表示主客體等實體，為云環境下文件提供了一種高效的權限控制方法；趙衛東和李陽提出了一種細粒度的權限控制模型[10-11]，李陽在他的論文中提出了一種基于UCON的屬性訪問控制模型(attribute based access control model)，將屬性和角色授權委托引入了控制模型，細化了模型的控制粒度，但是該模型只能對數據屬性進行權限控制，沒有考慮對用戶界面的控制，基于該模型實現的權限系統用戶交互性較差。

在工程界，中間件提供商將權限控制的理念抽取出來，在RBAC模型的基礎上單獨形成一套權限系統，解決需要權限控制的系統需求，增強了用戶體驗。但用它來控制權限的系統，必須在界面上統一風格，對業務系統存在很強的侵入性，而且只是實現了對權限的功能級控制，沒有實現對數據屬性和表單的權限控制。Spring Security和Apache Shiro都基于RBAC提供了一套底層的權限管理方案[12-13]，簡化了權限管理的實現過程。但這些方案都是對RBAC模型的部分封裝和實現。RABC96元素關系圖如圖1所示。

圖1 RABC96元素關系圖

學術界和工程界越來越關注權限系統的安全性和用戶交互性問題。文中在這種背景下，旨在提出一種安全可靠且有良好用戶交互性的權限控制策略。表單訪問權限控制在策略中引入了表單實體，從模型組件層擴展了基于屬性的訪問控制模型，該策略具有了對表單權限控制的能力，策略中采用表單和屬性映射表，實現了用戶接口層和數據層的雙向權限控制，在保證安全的前提下，增強了用戶交互性，且更易于工程實現。在該策略的實現過程中，采用純面向對象和面向切面的編程思想和可插拔設計，加強了系統的可維護性和可重用性；攔截器的使用，實現了權限底層攔截的AOP，提升了系統的安全性；權限標簽的設計，既保留了目前工程界使用的權限系統良好的用戶體驗的優點，又克服了權限系統對業務系統侵入性問題，不需要在界面上統一風格。

2 表單訪問權限控制策略

2.1 表單訪問權限控制策略機理

傳統基于屬性的權限控制模型，通過屬性實體來實現對數據屬性的細粒度權限控制，但在工程中用戶一般不能直接訪問數據屬性，而是通過用戶界面中的表單來訪問數據屬性。一個數據屬性可以對應多個表單元素。所以在新策略中增加了對用戶接口層的權限控制。新策略對基于屬性的權限控制進行了擴展，屬性不再是模型控制的原子對象，一個屬性可以對應一個或多個表單域對象，通過表單與屬性映射表把表單權限映射到數據屬性權限，實現了對表單和數據屬性的雙向權限控制。新策略元素關系如圖2所示。

圖2 表單訪問控制策略元素關系圖

該策略中，在RABC96模型的基礎上增加了4個元素：表單域集合、數據屬性集合、表單域許可權集合和數據屬性許可權集合。表單域許可權集合是角色到表單域的權限指派，數據屬性許可權集合是角色到數據屬性的權限指派。數據屬性權限是表單域許可權集合映射和數據屬性許可權集合的總和。通過客體資源來訪問表單域和數據屬性權限。

表單域和數據屬性權限類型表示為枚舉類型{none,readonly,written}：none表示既沒有讀權限，又沒有寫權限，表單域表現為在頁面中不顯示表單域，數據屬性表現為不能執行對該屬性數據的查詢操作；readonly為只讀權限，只能查看表單域中的數據，不能修改和刪除數據，數據屬性表現為只能查詢該屬性數據，不能修改和刪除數據；written為寫權限，既可以查看該表單域中的數據，又可以修改和刪除數據，對于數據屬性表示擁有對數據屬性的查詢、修改和刪除權限。

2.2 策略形式化描述

上述提出表單訪問權限控制機理后，為了對表單訪問權限控制進行更一般性的描述，采用康托爾集合論(Cantor’s Set)對表單訪問權限控制策略進行形式化描述。

定義1：模型基本元素。

定義2：權限指派。

(1)角色之間的繼承關系表示為：RH=R×R；

(3)角色r指派表單域資源f表示為：RF=R×F；

(4)角色r指派數據屬性資源a表示為：RA=R×A；

(5)角色r指派客體資源n表示為：RN=R×N；

(6)表單域到屬性的映射關系表示為：fa:F→A，如果表單域沒有屬性與之對應，則fi→null，且表單域到屬性是一個非單射。

由模型訪問機理知，表單域權限對象集表示為p={none,readonly,written}。

由上述分析知，表單域權限可以使用三元組(f,a,p)來表示，其中f為表單域資源對象集，fp為表單域權限對象集。表單域許可權集合可以表示為Pf=RF×p。數據屬性權限是表單域許可權集合映射與數據屬性許可權集合的并集，數據屬性許可權集合可以表示為Pd=RA×p，所以數據屬性權限為Pa=fa(Pf)∪Pd。

2.3 策略安全分析

訪問控制模型作為保障系統安全的重要組件，模型的自身安全越來越受到關注。而且目前廣泛應用的分散授權對模型的安全性提出了更高的要求，權限泄露[14]成為分散授權中破壞控制系統安全的重要因素。安全分析主要用來分析當前訪問控制系統中是否存在權限泄露[14]。文中在角色約束條件下使用圖靈機對表單訪問控制策略進行安全分析。

定義3：角色約束。若角色r擁有的權限集合不能被更改，則稱該角色為成員確定的角色，記為rD；若角色r擁有的權限集合可被更改，則稱該角色為成員不確定的角色，記為rU。且r=rD∪rU,rD∩rU=?[15]。

定義4：角色替代。r'是rU的關聯角色，即r'中的權限只能部分決定rU擁有的權限。與角色rU關聯的所有集合為r1',r2',…,rn'，令R'=r1'∪r2'∪…∪rn'，那么rU擁有的權限集合可以用R'和rU當前擁有的權限集合來表示。

圖靈機(TM)分析過程如下[15]：

(1)把角色以字符串的形式表示；

(2)從左到右依次掃描字符，把形如rU的字符用與rU相關的集合R'中的所有字符串替代；

(3)如果在第(2)步之后，字符串中只剩下形如rU的字符串，則認為不存在權限泄露；

(4)如果在第(2)步之后，沒有進行任何字符置換，且字符串中仍然存在rD相關字符，則認為存在權限泄露；

(5)返回字符串頭部，并轉到步驟(2)。

當前安全狀態是S，若非信任安全管理員通過操作K狀態轉化為S'，通過圖靈機對狀態S'進行安全分析，若分析結果為存在權限泄露，則認為當前操作是一個非法操作，拒絕當前操作；若分析結果為不存在權限泄露，則認為當前是一個合法操作，允許當前操作。

3 表單訪問控制策略設計實現

為降低權限系統與業務系統之間的耦合程度，對表單的權限控制實現基于Java標簽和Ajax技術。頁面加載結束后，JavaScript遍歷頁面中所有表單中每一個表單域元素，根據表單ID、表單域元素的ID以及認證用戶的身份，Ajax發送異步請求去查詢當前用戶表單域對象的權限，根據Ajax的返回結果，使用JavaScript技術動態修改表單中的表單域狀態。

上述設計不需要改變表單域元素的風格，克服了中間件提供商必須在界面上統一風格造成對業務系統侵入性問題。

表單訪問控制時序圖見圖3。

圖3 用戶接口訪問權限控制時序圖

頁面文件中script標簽引入外部權限驗證JS腳本文件，腳本文件解析DOM，獲取頁面中所有表單中的表單域對象，每一個表單域調用verify()方法發送Ajax權限驗證請求，Servlet的service()方法接受來自Ajax的請求，根據表單對象的name屬性、表單域元素的name屬性以及當前用戶名稱三個參數，驗證當前用戶對表單域元素的表單域權限，Ajax接受Servlet的返回結果，腳本文件JavaScript對DOM中的表單域元素進行動態修改。

數據屬性的訪問控制采用J2EE中可插拔的攔截器實現。當客體資源需要訪問數據資源時，攔截器會檢查當前用戶是否擁有對該數據屬性的權限。例如當前用戶擁有對該數據屬性的readonly權限，如果用戶執行select操作，能夠正常執行；如果用戶執行update或delete操作，則拋出異常，阻止該操作繼續執行。

4 表單訪問權限控制模型應用實例

J2EE是一個企業級開發平臺，可以方便地使用J2EE平臺來實現權限控制。符合J2EE規范的組件具有可移植性強、可重用性好、易于維護和可伸縮性好等特點。依托J2EE平臺實現了表單訪問權限控制策略的部分功能。最后，把表單訪問控制策略用于學生管理系統的權限控制，用戶可以在角色列表界面對角色的表單域權限進行設置，表單訪問權限控制用戶交互界面見圖4。

圖4 角色表單域權限交互界面圖

5 結束語

文中從權限系統的控制粒度和用戶交互性角度，提出了一種基于表單訪問權限控制策略，并用圖靈機對策略進行了安全分析。基于該策略實現的權限系統在保證良好交互性和用戶體驗的基礎上，克服了中間件提供商權限系統在界面上統一風格的限制，降低了權限系統對業務系統的侵入性。但在權限實現過程中，每個權限標簽都需要向后臺發送Ajax請求，需要頻繁與數據庫交互，影響了系統性能。因此在后期設計中需要引入緩存設計，減少系統與數據庫交互的頻率，從而提高系統性能。

[1] 李鳳華,蘇 铓,史國振,等.訪問控制模型研究進展及發展趨勢[J].電子學報,2012,40(4):805-813.

[2] 李昕昕,嚴張凌,王賽蘭.改進的基于角色的通用權限管理模型及其實現[J].計算機技術與發展,2012,22(3):240-244.

[3]FreudenthalE,PesinT,PortL,etal.dRBAC:distributedrole-basedaccesscontrolfordynamiccoalitionenvironments[C]//Proceedingsofthe22ndinternationalconferenceondistributedcomputingsystems.[s.l.]:IEEEComputerSociety,2002:411-420.

[4]LiuSY,HuangHJ.Role-basedaccesscontrolfordistributedcooperationenvironment[C]//Proceedingsof2009internationalconferenceoncomputationalintelligenceandsecurity.Beijing,China:IEEEComputerSociety,2009:455-459.

[5]RayI,YuLJ.Shortpaper:towardsalocation-awarerole-basedaccesscontrolmodel[C]//Proceedingsofthefirstinternationalconferenceonsecurityandprivacyforemergingareasincommunicationsnetworks.Athens,Greece:IEEEComputerSociety,2005:234-236.

[6]RayI,KumarM,YuLJ.LRBAC:alocation-awarerolebasedaccesscontrolmodel[C]//Proceedingsofthesecondinternationalconferenceoninformationsystemssecurity.Kolkata,India:Springer-Verlag,2006:147-161.

[7] 張穎君,馮登國.基于尺度的時空RBAC模型[J].計算機研究與發展,2010,47(7):1252-1260.

[8]BertinoE,CataniaB,DamianiM,etal.GEO-RBAC:aspatiallyawareRBAC[C]//Proceedingsofthe10thACMsymposiumonaccesscontrolmodelsandtechnologies.NewYork:ACMPress,2005:29-37.

[9] 熊 智,王 平,徐江燕,等.一種基于屬性的企業云存儲訪問控制方案[J].計算機應用研究,2013,30(2):513-517.

[10] 趙衛東,畢曉清,盧新明.基于角色的細粒度訪問控制模型的設計與實現[J].計算機工程與設計,2013,34(2):475-479.

[11] 李 陽.基于屬性RBAC的訪問控制模型研究[D].濟南：山東師范大學，2014.

[12]JohnsonR.Pivotalsoftwareinc[EB/OL].(2003-03-24)[2013-01-17].http://projects.spring.io/spring-security/.

[13]Apache.TheApachesoftwarefoundation[EB/OL].(2008-02-18)[2014-04-17].http://shiro.apache.oro/.

[14] 劉 強,姜云飛,李黎明.RBAC系統的權限泄漏問題及分析方法[J].計算機集成制造系統，2010,16(2):431-438.

[15] 楊秋偉,洪 帆,楊木祥,等.基于角色訪問控制管理模型的安全性分析[J].軟件學報,2006,17(8):1804-1810.

Form Based Access Control Strategy

WU Cheng-lai1,ZHOU Chuan-hua1,ZHOU Jia-yi2

(1.School of Management Science and Engineering,Anhui University of Technology,Ma’anshan 243032,China;2.School of Computer Science and Engineering,Southeast University,Nanjing 211189,China)

To solve the problem of user interactiveness,based on attribute access control,a form based access control strategy was proposed.The form is introduced into the strategy,which uses the form and attribute mapping table to achieve the two-way access control of user interface and data layer.The strategy ensures the safety and flexibility of attribute access control,enhancing user interactiveness of access control further.Improved access control model is applied more strongly in access control in engineering application.Eventually,the reliability of the strategy is guaranteed in theory by analyzing its safety with turing machine.Based on Object Oriented (OO) and Aspect Oriented Programming (AOP),Java Tag and Ajax technology,the prototype system,to the business system,implements low invasive and loose coupling of the access control,strengthening its the maintainability and reusability.Meanwhile,the effectiveness and flexibility of the strategy are verified.

privilege management model;form based access control;granularity of access control;mapping table;safety analysis;turing machine

2015-05-07

2015-08-14

時間：2016-01-26

國家自然科學基金面上項目(71172219)；安徽省教育廳重大計劃項目(ZD200904))作者簡介：吳承來(1990-)，男，碩士研究生，CCF會員，研究方向為軟件工程、信息安全；周傳華，教授，研究方向為信息安全、機器學習。

http://www.cnki.net/kcms/detail/61.1450.TP.20160126.1517.022.html

TP301

A

1673-629X(2016)02-0035-04

10.3969/j.issn.1673-629X.2016.02.008