聯(lián)盟環(huán)境下基于屬性存取的跨域認(rèn)證授權(quán)機(jī)制

摘 要： 在隱私得到保護(hù)的前提下，為了解決位于不同自治域的主體之間動(dòng)態(tài)地交換數(shù)據(jù)和實(shí)現(xiàn)資源共享的問(wèn)題，提出了一個(gè)基于屬性的授權(quán)機(jī)制。該機(jī)制依賴(lài)于信任的第三方或聯(lián)盟中心，對(duì)位于各組織中的主體和對(duì)象的屬性進(jìn)行映射，以屬性集合作為主體的代表，確保不同組織的屬性集合具有一致的存取權(quán)限。在本機(jī)制中給出了跨域?qū)傩杂成涞哪Ｐ秃头?wù)策略，并結(jié)合模型給出其工作流程，實(shí)現(xiàn)跨安全域的身份驗(yàn)證并進(jìn)行授權(quán)。

關(guān)鍵詞： 隱私； 授權(quán)機(jī)制； 聯(lián)盟中心； 屬性映射； 服務(wù)策略

中圖分類(lèi)號(hào)：TP309.2 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2018）09-14-03

Abstract： In order to solve the problem of being able to exchange data and share resources dynamically under the premise of protecting privacy between subjects located in different autonomous domains， an attribute-based authorization mechanism is proposed. The mechanism relies on a trusted third party or federation center to map the attributes of the principals and objects located in each organization， with the attribute set as the representative of the subjects， ensuring that the attribute sets of different organizations have consistent access rights. In this mechanism， the cross-domain attribute mapping model and the service strategy are given， and the workflow is given according to the model. Authentication and authorization about the cross-security domain are implemented.

Key words： privacy； authorization mechanism； federation center； attribute mapping； service strategy

0 引言

針對(duì)不同的應(yīng)用環(huán)境，采用不同的訪問(wèn)控制策略，訪問(wèn)控制技術(shù)一直是信息領(lǐng)域的研究熱點(diǎn)，主要包括自主訪問(wèn)控制DAC、強(qiáng)制訪問(wèn)控制MAC、基于角色的訪問(wèn)控制RBAC和基于任務(wù)的訪問(wèn)控制TBAC。

其中基于角色的訪問(wèn)控制RBAC，通過(guò)在用戶(hù)和權(quán)限之間引入角色，將用戶(hù)和角色聯(lián)系起來(lái)，能夠降低管理的復(fù)雜性和管理成本，通過(guò)對(duì)角色授權(quán)來(lái)控制用戶(hù)對(duì)系統(tǒng)資源的訪問(wèn)[1-2]。RBAC目前在授權(quán)管理領(lǐng)域有較為廣泛的應(yīng)用，但存在著無(wú)法解決跨域多應(yīng)用系統(tǒng)高效統(tǒng)一授權(quán)問(wèn)題[3]。

為了解決跨域應(yīng)用系統(tǒng)的授權(quán)問(wèn)題，我們基于RBAC原理，結(jié)合基于屬性的訪問(wèn)控制[4]，給出了聯(lián)盟環(huán)境下基于屬性存取的跨域認(rèn)證授權(quán)機(jī)制。該機(jī)制在基于用戶(hù)角色的基礎(chǔ)上，根據(jù)主體所擁有的屬性及與當(dāng)前策略相關(guān)的環(huán)境條件，實(shí)現(xiàn)對(duì)訪問(wèn)者進(jìn)行統(tǒng)一授權(quán)控制的策略。

1 架構(gòu)設(shè)計(jì)

1.1 總體架構(gòu)

聯(lián)盟環(huán)境下基于屬性存取的跨域認(rèn)證授權(quán)機(jī)制涉及到多個(gè)自治域，每個(gè)自治域有各自的用戶(hù)、資源和屬性，能夠?qū)τ騼?nèi)用戶(hù)進(jìn)行獨(dú)立的認(rèn)證和授權(quán)，系統(tǒng)總體架構(gòu)如圖1所示。其中D0代表認(rèn)證授權(quán)機(jī)制的協(xié)調(diào)中心/聯(lián)盟中心，D0本身為一個(gè)安全自治域，主要負(fù)責(zé)資源/服務(wù)的組合與構(gòu)建、資源訪問(wèn)權(quán)限和不同自治域?qū)傩孕畔⒅g的映射。Di（0

D0在物理結(jié)構(gòu)上可位于任一Di中，但在邏輯上是一個(gè)獨(dú)立的組織。

1.2 單域數(shù)據(jù)模型

用戶(hù)得到授權(quán)后可以訪問(wèn)聯(lián)盟組織內(nèi)的共享資源。當(dāng)用戶(hù)訪問(wèn)聯(lián)盟組織內(nèi)本域的資源時(shí)，這是一個(gè)典型的單域訪問(wèn)控制架構(gòu)，此時(shí)用戶(hù)、服務(wù)和資源被同一個(gè)管理者所控制，其屬性存取控制模型架構(gòu)如圖2所示。

從圖2中可以看出單域存取控制模型是一個(gè)標(biāo)準(zhǔn)的（U，R，A，Op，Ob）五元組，其中U代表用戶(hù)子集，R代表角色子集，A代表角色擁有的屬性子集，Op代表操作集，Ob代表對(duì)象子集。

設(shè)單域環(huán)境下基于屬性/權(quán)限的分配策略為PR、權(quán)限集為Pe，則：

Pe?2（OpХOb） 其中Х為笛卡爾積操作。

PR=（U，A，Pe）

設(shè)屬性集A'?2A，即{A'|A'?A}，自治域內(nèi)屬性/權(quán)限分配 AP?A'ХPe，設(shè)a1，a2為A的兩個(gè)元素，如果（{a1，a2}，P）∈AP，則表示擁有屬性集合{a1，a2}的實(shí)體擁有權(quán)限P。

1.3 多域數(shù)據(jù)模型

當(dāng)用戶(hù)通過(guò)聯(lián)盟中心訪問(wèn)本聯(lián)盟中外域的資源時(shí)，用戶(hù)、屬性、服務(wù)/資源和分配策略分別被不同的管理者所控制。用戶(hù)首先進(jìn)行本地認(rèn)證，再通過(guò)協(xié)調(diào)中心的屬性映射來(lái)實(shí)現(xiàn)跨域資源存取，其屬性存取控制模型架構(gòu)如圖3所示。

2 機(jī)制的實(shí)現(xiàn)

2.1 系統(tǒng)實(shí)現(xiàn)

2.1.1 問(wèn)題分析與定義

參與跨域數(shù)據(jù)共享的所有自治域構(gòu)成一個(gè)集合D，D={D0，D1，D2，...，DN}，其中D0代表協(xié)調(diào)中心。

設(shè)多域數(shù)據(jù)模型由N個(gè)自治域組成，Di（0

2.1.2 相關(guān)服務(wù)策略

對(duì)每個(gè)自治域而言，它們都是身份提供者IDP和資源提供者SP的統(tǒng)一體。

對(duì)每個(gè)IDP來(lái)說(shuō)，它是一個(gè)（U，A，P）的三元組，U、A、P的定義同上，其中P=（U，A），表示具有屬性A的用戶(hù)被賦予操作權(quán)限P；UA?（UXA）表示用戶(hù)U具有屬性A；AP?（AXP） 表示從屬性到權(quán)限的映射。

對(duì)每個(gè)SP而言，它是一個(gè)（A，Op，Ob）的三元組，AS?（AXS） 表示從屬性到服務(wù)的映射，在多域環(huán)境下，假設(shè)域集合用D_total表示、屬性集合用A_total表示、操作對(duì)象集合用Ob'表示、權(quán)限集合用Pe'表示、整個(gè)聯(lián)盟環(huán)境下訪問(wèn)控制機(jī)制的屬性/權(quán)限集相關(guān)策略用AP'表示，Op各域一致，則有：

2.1.3 跨域?qū)傩杂成?/p>

由于聯(lián)盟環(huán)境下各個(gè)自治域之間的屬性是相互透明的，本機(jī)制通過(guò)協(xié)調(diào)中心來(lái)建立各域?qū)傩灾g的映射。

跨域?qū)傩杂成涞木唧w實(shí)現(xiàn)如下：

將域Di中的屬性Aa映射到域Dj中的屬性Ab上，從而使域Di中的屬性Aa和域Dj中的屬性Ab具有相同的屬性值時(shí)具有相同的權(quán)限。

2.2 工作流

通過(guò)前面的定義和分析，結(jié)合系統(tǒng)的實(shí)現(xiàn)，一個(gè)正常的跨域授權(quán)服務(wù)工作流程如圖4所示主要包含以下幾個(gè)步驟。

⑴ 用戶(hù)向目標(biāo)域中的資源發(fā)出訪問(wèn)申請(qǐng)。

⑵ 系統(tǒng)通過(guò)發(fā)現(xiàn)服務(wù)將用戶(hù)重新定向到用戶(hù)所在安全域進(jìn)行認(rèn)證[6]。

⑶ 通過(guò)認(rèn)證的用戶(hù)，將一個(gè)含有本地屬性的令牌發(fā)送到協(xié)調(diào)中心。

⑷ 協(xié)調(diào)中心通過(guò)屬性映射，將包含有新屬性的外地令牌傳送到目標(biāo)域。

⑸ 目標(biāo)域結(jié)合本地策略和環(huán)境條件對(duì)屬性進(jìn)行驗(yàn)證。

⑹ 如果通過(guò)驗(yàn)證，則允許用戶(hù)訪問(wèn)資源。

3 結(jié)束語(yǔ)

本文研究了聯(lián)盟環(huán)境下多自治域之間資源訪問(wèn)控制問(wèn)題，考慮到各個(gè)安全域的獨(dú)立性和用戶(hù)隱私等特點(diǎn)，在單域RBAC訪問(wèn)控制的基礎(chǔ)上，構(gòu)建了基于屬性的跨域認(rèn)證授權(quán)機(jī)制。基于屬性的存取控制和協(xié)調(diào)中心的權(quán)限策略的通用認(rèn)證和授權(quán)架構(gòu)支持不同的認(rèn)證技術(shù)，保留并利用了各個(gè)自治域原有的認(rèn)證系統(tǒng)；每個(gè)自治域保持資源聯(lián)盟的獨(dú)立性，在此基礎(chǔ)上實(shí)現(xiàn)身份透明的屬性聚合方案，并且保護(hù)了用戶(hù)隱私。本機(jī)制可滿(mǎn)足大型企業(yè)和聯(lián)盟組織之間的資源共享，在實(shí)際應(yīng)用中有較大的價(jià)值，該機(jī)制在Windows平臺(tái)下已經(jīng)實(shí)現(xiàn)并得以應(yīng)用，Linux平臺(tái)下的設(shè)計(jì)和實(shí)現(xiàn)將是下一步努力和研究的方向。

參考文獻(xiàn)（References）：

[1] Sandhu RS， Coyne EJ， Feinstein HL， Youman CE.Role-Based access control models. IEEE Computer，1996.29（2）：38-47

[2] Ferraiolo D， Sandhu R.Proposed NIST Standard for Rolebased Access Control[J]. ACM Transactions on Information and System Security，2001.4（3）：224-274

[3] 申巍葳，王寶生，賀建忠.一種面向公共服務(wù)的跨域授權(quán)模型的研究及實(shí)現(xiàn)[J].國(guó)防科技大學(xué)學(xué)報(bào)，2011.10：123-127

[4] Vincent C. Hu，David Ferraiolo，Rick Kuhn，Adam Schnitzer，Kenneth Sandlin，Robert Miller，Karen Scarfone，Guide to Attribute Based Access Control（ABAC） Definition and Considerations.http：//dx.doi.org/10.6028/NIST.SP.800-162

[5] 張帥，孫建伶，徐斌，黃超.KAVSAleksanderJ，基于RBAC的跨多企業(yè)服務(wù)組合訪問(wèn)控制模型[J].浙江大學(xué)學(xué)報(bào)，2012.11：2037

[6]劉其群，跨域認(rèn)證授權(quán)機(jī)制的研究[J].河南農(nóng)業(yè)，2017.8：58-59