基于代理和角色的訪問控制模型

基于代理和角色的訪問控制模型

1web服務(wù)訪問控制模型在web服務(wù)的訪問控制研究領(lǐng)域，rbac訪問策略的缺點之一是缺乏靈活性。對于基于內(nèi)容和上下文的訪問策略以及基于任務(wù)流程任務(wù)的訪問策略，沒有靈活的方法。為了適應(yīng)Web服務(wù)代理動態(tài)和臨時的特點以及滿足Web服務(wù)內(nèi)容和上下文敏感的要求,需要對傳統(tǒng)的RBAC模型進行擴展。本文提出了一種基于代理和角色的Web服務(wù)的訪問控制模型(ARBAC)。在本模型中,用戶訪問一個代理服務(wù)時,用戶的角色、權(quán)限以及訪問約束等信息將和代理所擁有的角色、權(quán)限以及訪問約束信息一起生成一個新的臨時的訪問主體,稱為代理實體;然后,由代理實體作為訪問主體來向服務(wù)端請求服務(wù)。關(guān)于Web服務(wù)的訪問控制技術(shù)的相關(guān)研究工作,在文獻中作者提出了一種WS-AC訪問控制模型,該模型的特點主要有參數(shù)識別以及協(xié)商機制。在文獻中,作者為Web服務(wù)提出了SWS-RBAC和CWS-RBAC模型。另外,XACML作為一種Web服務(wù)訪問控制的XML協(xié)議,已經(jīng)通過了W3C以及ORASIS的標準。本文首先從一個汽車代理商的實例開始分析,主要介紹ARBAC訪問控制模型以及代理實體的生成以及約束規(guī)則的重建,最后還將簡單討論代理實體的生命周期。2基于代理的訪問控制模型arbac2.1汽車公司的需求管理首先看一個簡單的用戶通過代理商向汽車公司定購汽車的例子。首先,用戶向代理商提出購買請求,并且將自己的需求以及偏好告訴代理商。然后,代理商將會把用戶請求以及用戶個人信息轉(zhuǎn)發(fā)給汽車公司。對于汽車公司而言,它的服務(wù)對象是代理商提交的用戶這樣的一個實體,該實體一方面代表了代理商本身,一方面是用戶信息的反映。在這個過程中,代理商扮演代理的角色,而代理商提交的用戶實體在訪問控制的策略中具體表現(xiàn)為一個代理實體。2.2代理訪問控制器現(xiàn)在討論基于角色和代理的訪問控制模型(ARBAC)。該模型如圖1所示。用戶通過代理請求服務(wù)的整個過程如下:(1)用戶請求一個代理服務(wù),用戶的角色信息(包括用戶在代理服務(wù)上的角色以及在指定服務(wù)上的角色)作為訪問主體參數(shù)傳到代理服務(wù)的訪問控制器。(2)代理訪問控制器將決定該用戶是否具有訪問代理的權(quán)限,如果滿足代理的訪問要求,代理和用戶之間將建立一個臨時的運行時聯(lián)系。(3)代理訪問控制器根據(jù)自身角色、用戶角色以及上下文等環(huán)境信息生成一個新的訪問主體,這個新的訪問主體就是代理實體。代理實體是一個虛擬的臨時訪問主體。(4)代理利用代理實體查找服務(wù)并向該服務(wù)發(fā)出服務(wù)請求。(5)服務(wù)的訪問控制器決定是否接受該代理實體的訪問請求,如果接受將建立一個服務(wù)實體。(6)用戶通過代理實體和服務(wù)實體之間的聯(lián)系獲得需要的服務(wù),直到服務(wù)結(jié)束或用戶取消訪問請求。2.3運行時約束的限制如果滿足訪問控制條件,代理和用戶之間以及代理實體和服務(wù)實體之間將建立運行時聯(lián)系。運行時聯(lián)系受運行時約束的限制。運行時約束是動態(tài)約束,是隨主體屬性以及服務(wù)參數(shù)發(fā)生變化的,是內(nèi)容敏感以及上下文相關(guān)的。主體屬性以及服務(wù)參數(shù)是生成代理實體的重要信息,用以決定是否允許該訪問請求以及訪問主體在相應(yīng)的服務(wù)上的權(quán)限。(1)a,a-領(lǐng)域主體屬性是由屬性名A和屬性值域A-domain組成,即(A,A-domain)。在購買汽車的例子中,主體屬性可以考慮用這樣的一些集合來表示,如(資歷,{0…100})、購買次數(shù),{0…1000})。(2)學(xué)生,銀卡,金卡;銀卡;銀卡服務(wù)參數(shù)Par是由參數(shù)名P和服務(wù)域P-domain組成,即(P,P-domain),如(類型,{標準,學(xué)生,銀卡,金卡})、(折扣,)。我們可以用Acc=<[公司:上海大眾,資歷:5,購買次數(shù):1,年齡:40],服務(wù)參數(shù),[類型:銀卡,折扣:70]>表示一個和上海大眾公司有合作關(guān)系的主體,表示主體參數(shù)為:資歷為5,曾經(jīng)購買過一次,年齡為40歲;而服務(wù)參數(shù)為:銀卡待遇,折扣為7折。2.4實體的輸入信息代理實體是臨時的虛擬訪問主體,它由訪問用戶和代理兩者的信息重組而成,并由代理的訪問控制器生成。生成代理實體的輸入信息包括用戶的角色集、上下文、訪問策略和代理的角色集、上下文、訪問策略。輸出的是代理實體,代理實體的信息包括重新生成的角色集、上下文以及訪問策略。(1)角色集主要是指該用戶或代理在不同服務(wù)域中所具有的角色信息集合。(2)信息的要素包括代理監(jiān)測到的用戶或代理的狀態(tài)和位置信息等,比如當前時間、用戶或代理位置、用戶或代理輸入的參數(shù)等。上下文信息包括的事實及規(guī)則是根據(jù)用戶環(huán)境以及應(yīng)用程序的上下文狀態(tài)而變化的。上下文環(huán)境是確定用戶主體屬性的不可或缺的因素。(3)動態(tài)規(guī)則的構(gòu)建是一些靜態(tài)及動態(tài)的規(guī)則集合并作為用戶或代理輸入的一部分。所謂靜態(tài)規(guī)則是我們在創(chuàng)建時所定義的一些規(guī)則集合,而動態(tài)規(guī)則則是我們在運行時刻根據(jù)運行狀態(tài)而定義的規(guī)則。靜態(tài)規(guī)則相對來說不經(jīng)常改變,而動態(tài)規(guī)則則是根據(jù)不同的運行時環(huán)境而不斷改變的。關(guān)于代理實體的角色集的計算將是一個非常復(fù)雜的過程,包括初步計算以及過濾。簡單的計算方式可以取用戶角色集和代理角色集的并集。例如,用三元組<U,Uri,Si>來表示用戶U在服務(wù)Si中擁有角色組Uri,其中i=1,…,n。代理用三元組<A,Ari,Si>來表示,那么生成的代理角色的角色信息為<Ua,Uari,Si>,Uari表示代理實體Ua在服務(wù)Si中的角色組,Uari=Uri+Ari。代理實體上下文環(huán)境組合也可以取用戶上下文環(huán)境和代理上下文環(huán)境的并集,不改變上下文環(huán)境的參數(shù)值也能讓我們更好地跟蹤該訪問請求的來源。2.5代理ap代理實體中的角色集用于決定該實體在服務(wù)中所擁有的角色,服務(wù)端訪問控制器將決定該代理實體擁有哪些權(quán)限。我們也要考慮用戶會需要什么樣的服務(wù),代理服務(wù)怎樣將用戶的需求與服務(wù)商提供的服務(wù)結(jié)合起來。對于代理實體,需要一種策略來重組用戶的策略集和代理服務(wù)的策略集。假設(shè)定義用戶的策略集由兩個規(guī)則組成:Up=(Urule1,Urule2)其中:(1)Urule1=(價格:小于15萬,油耗:小于9升/百公里,類別:舒適型);(2)Urule2=(價格:小于25萬,油耗:小于10升/百公里,類別:豪華型)。這兩個規(guī)則定義了用戶可能想要購買的兩種車型:一種為舒適型,另一種為豪華型。代理商代理服務(wù)信息,為了簡單起見,假設(shè)該代理商只提供兩家的代理即上海大眾和東風(fēng)雪鐵龍兩種汽車品牌。我們定義三個規(guī)則來描述代理商的策略集:Ap=(Arule1,Arule2,Arule3)其中:(1)Arule1=(汽車品牌:上海大眾,車型:帕薩特1.8T手排天窗版,價格:22.99萬,油耗:11.5升/百公里;(2)Arule2=(汽車品牌:上海大眾,車型:途安1.8T手動5座豪華型,價格:22萬,油耗:9.8升/百公里);(3)Arule3=(汽車品牌:東風(fēng)雪鐵龍,車型:帕薩特1.8T手排天窗版,價格:11.78萬,油耗:6.1升/百公里)。我們定義規(guī)則重組的算法為UAp=Up×Ap,重組后的規(guī)則集為:((Urule1,Arule1)、(Urule1,Arule2)、(Urule1,Arule3)、(Urule2,Arule1)、(Urule2,Arule2)、(Urule2,Arule3))。由于需求和服務(wù)的匹配問題,最后我們將只篩選出兩個規(guī)則,從而有:UAp=((Urule1,Arule3),(Urule2,Arule2))UAp=((Urule1,Arule3),(Urule2,Arule2))這樣,代理將會向東風(fēng)汽車公司發(fā)出購買帕薩特1.8T手排天窗版的請求,以及向上海大眾發(fā)出請求購買途安1.8T手動五座豪華型汽車。2.6臨時授權(quán)的有效對用戶來說,代理實體在服務(wù)端擁有的權(quán)限不應(yīng)該超過用戶授權(quán)的范圍。同時,它所擁有用戶權(quán)限的時間也應(yīng)限于用戶允許的時間范圍。由于用戶的訪問是臨時的,該授權(quán)也將是臨時的,而權(quán)限的有效期應(yīng)該只限于這一次請求。一般地,臨時授權(quán)的生命周期從用戶發(fā)出請求開始到用戶請求正常結(jié)束或異常結(jié)束為止。我們把從用戶授權(quán)(生成代理實體)到代理實體結(jié)束這一個過程稱為代理實體的生命周期。該過程如圖2所示。(1)代理服務(wù)器的功能用戶通過代理向服務(wù)發(fā)出一個服務(wù)請求時,即賦予了代理一定的權(quán)限從而能夠讓代理完成用戶的請求。代理服務(wù)器將生成一個代理實體到服務(wù)端獲取服務(wù)。代理實體在沒有通過服務(wù)端的訪問控制驗證之前是處于非活動狀態(tài)的。(2)活動狀態(tài)的測定當服務(wù)端驗證通過了代理實體的訪問許可,那么該實體就處于活動狀態(tài)?？梢詫姆?wù)端獲得的服務(wù)返回給用戶,此時服務(wù)端通過服務(wù)實體向代理實體提供服務(wù)。(3)懸掛當服務(wù)端忙且暫時無法處理該服務(wù)時,代理實體及服務(wù)實體并不會取消而是緩存起來,直到獲得服務(wù)資源而被激活。(4)完成后服務(wù)結(jié)束,代理角色的生命周期也結(jié)束了。(5)異常