電子政務基于屬性證書的訪問控制模型

摘要：隨著我國電子政務的發展，如何保障電子政務中的資源信息不被非法訪問已成為當務之急。如何進行用戶對資源和服務使用的限制，決定主體是否對客體有權限進行某種操作，即對用戶進行訪問控制的問題信息安全研究中的重要方面。

授權來源于訪問控制，即先對用戶進行授權，然后根據用戶具有的權限來進行訪問控制。屬性證書包含了一系列用戶的權限信息，所以屬性證書可以看作是權限信息的載體。

根據屬性證書中用戶的權限信息可以對用戶訪問資源進行控制，基干角色的訪問控制（RBAC）是一種新興的訪問控制技術和理念，是將用戶劃分成與其職能和職位相符合的角色，根據角色賦予相應操作權限，以減少授權管理的復雜性，降低管理開銷和為管理員提供一個比較好的實現復雜安全政策的環境，是傳統的自主訪問控制和強制訪問控制的升級和替代。RBAC的建模和實現技術是目前RBAC技術研究的熱點和難點。NRBAC模型是一種更接近現實情況的模型。

基于屬性證書和電子政務中存在的特殊要求和特點，結合RBAC96、ARBAC97 模型以及NRBAC模型，構造了一個適合電子政務系統使用的基于角色的安全訪問控制模型eGA－NRBAC；利用該訪問控制模型解決了電子政務工程中授權管理系統和授權服務系統的工程化實現問題。測試和實際使用都證明了此訪問控制模型的正確性、可行性和可靠性。

關鍵詞：電子政務；屬性證書；訪問控制；基于角色的訪問控制

中圖分類號：TP309文獻標識碼：A 文章編號：1009-3044(2008)30-0749-03

Access Control Model of Electronic Government Based on Attribute Certificate

YUAN Na1，2，XUE Xiao-hong3

(1.Wuhan University， Wuhan 430079，China;2.Wuhan Yisheng co， Wuhan 430079， China;3.Network Information Center，Changjiang Water Resources Commission， Wuhan 430010， China)

Abstract: Information developing strategy has strongly promoted the development of electronic government in our country. How secure information resource to avoid lawless-access is important. How make control on the usage of resource and how make decision what operation can be make on resource are the important issues in information security research.

Authorization comes from access-control.We can authorate on the user firstly，then make access-control on him. AC includes a set of information on the user，AC is the carrier of privilege.

We can make access-control on the the usage of resource based on AC. Role-based access control(RBAC) can reduce the complexity and cost of authorization managements compared with traditional access control method， and the roles can be consistent with the personnel structure in a organization or corporation. RBAC is the best schema to enforce authorization policy on large net. NRBAC is an access-control model which is closer to realism.

We construct a role_based access control model－－eGA－NRBAC which is based on the particularity of electronic government，AC and combination of RBAC96，ARBAC97 and NRBAC. We resolve the problem that how to realize the privilege management system and the privilege services system. The testing and the running of the system also prove the correctness， feasibility and reliability of the model.

Key words: electronic government; attribute certificate; access-control; role-based access control

1 引言

隨著我國電子政務的發展，如何保障電子政務中的資源信息不被非法訪問已成為當務之急。如何進行用戶對資源和服務使用的限制，決定主體是否對客體有權限進行某種操作，即對用戶進行訪問控制的問題信息安全研究中的重要方面。

授權來源于訪問控制，即先對用戶進行授權，然后根據用戶具有的權限來進行訪問控制。屬性證書包含了一系列用戶的權限信息，所以屬性證書可以看作是權限信息的載體。

根據屬性證書中用戶的權限信息可以對用戶訪問資源進行控制，基干角色的訪問控制（RBAC）是一種新興的訪問控制技術和理念，是將用戶劃分成與其職能和職位相符合的角色，根據角色賦予相應操作權限，以減少授權管理的復雜性，降低管理開銷和為管理員提供一個比較好的實現復雜安全政策的環境，是傳統的自主訪問控制和強制訪問控制的升級和替代。RBAC的建模和實現技術是目前RBAC技術研究的熱點和難點。NRBAC模型是一種更接近現實情況的模型。

基于屬性證書和電子政務中存在的特殊要求和特點，結合RBAC96、ARBAC97 模型以及NRBAC模型，構造了一個適合電子政務系統使用的基于角色的安全訪問控制模型eGA－NRBAC；利用該訪問控制模型解決了電子政務工程中授權管理系統和授權服務系統的工程化實現問題。測試和實際使用都證明了此訪問控制模型的正確性、可行性和可靠性。

隨著Internet規模的日益擴大，網絡各處存儲的關鍵和敏感數據也越來越多，如何保護各網絡系統不被非法訪問這一問題顯得越來越重要。網絡信息系統是共享資源和關鍵敏感數據集中存放的地方，因此必須采取有效的手段來保證信息系統的安全性。

訪問控制[5-7]又稱安全訪問，是指系統能夠對資源的訪問(包括對資源的各種操作、使用)進行控制，保證只有對資源擁有訪問權限的主體才能訪問資源。一般說來，一個系統中幾乎所有的資源都需要訪問控制，只是所需的訪問控制強度不同，這是由系統的安全策略決定的。其中使用的訪問控制技術就是通過不同的手段和策略實現網絡上的安全訪問，有效地維護系統的保密性、完整性和可控性。

PMI中的訪問控制是為了限制主體對客體的訪問權限，從而使被訪問資源在合法范圍內使用；訪問控制機制根據主體的授權信息來決定主體能做什么，及做到什么程度。訪問控制策略是指授權體系中的訪問驗證者根據何種依據向系統返回特權持有者是否能夠訪問某些資源以及對這些資源能夠進行何種操作的判斷依據或方法。所以，如何建立一個安全、有效、實用的訪問控制模型在PMI授權體系中特別重要。

PMI是一個比較新的研究課題，X.509(1997)版引入了屬性證書的概念。屬性證書處理關于用戶授權行為的屬性，但是這一概念定義的不完善，對于想要實現這一系統的用戶基本沒有什么幫助。X.509（2000）協議對屬性證書和PMI框架做了大致的描述，目前許多和PMI相關的研究和應用都是基于此協議的。

PMI模型[15-17]主要圍繞特權的分配使用和驗證來進行。屬性證書框架通過以下幾個模型來描述權限的流轉和使用，勾勒系統的大致架構。借助這些模型，我們可以明確PMI中的主要相關實體，主要操作進程，以及交互的內容。

2 特權授權模型

在一些環境中有可能需要特權的委托，所以這是一個可選架構，并不一定要求用在所有的環境中。授權模型又4個組件：特權檢驗員，SOA（信任源），其它AAs和特權聲稱者。如圖1所示。

這里SOA是證書的最初發布者，它可以直接指派特權給特權持有者。然而在實際應用中，SOA批準特權持有者作為AA。AA可以繼續對最終實體授權或者對其它AA進行更深委托，此委托通過將自己所擁有的特權（或其中一個子集）以證書的形式簽發給其它的實體。SOA能施加約束給下層的AA（例如約束路徑長度，約束能被實施的委托的名空間）。同樣，每一個中間層的AAs也能通過相同的方式來約束更下游AAs。

X.509中定義PMI的一個重要的原則是：AA所能授予實體的特權不能超出它自己擁有的特權范圍。所以，下游AA可能會比上游AA受到更多的限制。

如果特權聲稱者的證書不是由SOA簽發的，則特權檢驗員必須定位一條證書的委托路徑并從這個特權聲稱員所持證書上溯到由SOA發行的證書去。委托路徑的確認必須包含檢查每一個AA是否有足夠的特權來簽發授權證書。

特權是通過屬性證書的方式被有效的轉讓，屬性證書的委托路徑是不同于用于確認包含在委托過程中的實體的公鑰證書的證書確認路徑。委托路徑包含完整的屬性證書或完整的公鑰證書。一個委托人在一個可委托的屬性證書中獲得它的特權，如果被授權，則通過簽發的屬性證書獲得特權。同樣一個委托人在公鑰證書中獲得它的特權，如果被授權，能僅通過并發的公鑰證書的發行委托。一個AAs能委托特權。目標實體不能。

3 特權管理模型

PMI特權管理體系結構一般由三部分組成:對象(Object)、特權聲稱者(Privilege Asserter)和特權驗證者(Privilege Verifier)。其中對象指的是受保護的資源。例如在訪問控制應用中，對象就是指被訪問的資源。這種類型的對象常具有一定的援引方法。如當對象是某文件系統中的文件時，則該文件具有“讀”、“寫”和“執行”等對象方法。特權聲稱者即指擁有一定特權并針對某一特定服務聲稱具有其權限的實體。特權驗證者指的是根據用戶聲稱的特權對其是否享有某一服務作出判斷的實體。

特權驗證者在獲得用戶的屬性證書后，將依據以下四點判斷是否允許該用戶訪問某一資源(見圖2)：

1) 特權聲稱者的權限(Privilege of the Privilege Asserter)。封裝在特權聲稱者屬性證書(或公鑰證書中的SubjectDirectoryAttributes主體目錄屬性擴展字段)中的屬性。特權持有者的權限反映了證書發放機構對其的信任程度。

2) 權限策略(Privilege Policy)。規定訪問某一特定對象所需權限的最小集合或門限。它精確地定義了特權驗證者為了允許特權持有者訪問某一請求對象、資源或應用服務應包含的特權集。權限策略因其完整性和真實性應受到嚴密的保護。

3) 當前環境變量(Current Environment Variables)。特權驗證者在進行訪問控制判斷時依據權限策略規定需要使用的一些參數，如訪問時間，請求者的源地址。需要注意的是，環境變量的提交完全是一種局部事件。

4) 對象方法的敏感度(Sensitivity of the Object Method).它反映了將要處理的文檔或請求的屬性，文件內容的機密等級等。對象方法的敏感度既可以顯式地加密于聯合安全標簽中或由對象方法支持的屬性證書內，也可以隱式地封裝于數據對象的數據結構中。當然，它也可以用其他方法進行加密。在一些應用環境中，對象方法的敏感度是不需要的。如圖2所示。

將特權驗證者與任意屬性權威從進行任意綁定是沒有必要的。正如特權持有者可以擁有許多不同從頒發給他的屬性證書，特權驗證者也可以驗證由多個AA發布的證書。

4 屬性證書的獲取模型

X.509中對于屬性證書到特權驗證者的傳輸機制目前定義有兩種:一種是“Push\"機制，另一種是，\"Pull”機制[8，18]。在“Push\"機制中，用戶從證書庫中取出自己的屬性證書，而后把它作為對象請求的一部分連同公鑰證書一起發送給特權驗證者以獲得訪問權限;而在‘`Pull”機制中用戶只需把公鑰證書傳遞給特權驗證者，特權驗證方在認證了用戶身份后再自行從證書庫中查找所需用戶的屬性證書。

分析表明，兩種機制各有自身的優缺點。\"push'，機制實現起來相對簡單，不需要特權驗證者對目錄中的相關屬性證書進行查找，驗證效率較高，可提高系統性能。但它需要改變已有客戶和服務器間的通信協議，并且系統的靈活性較\"Pull\"機制要差一些，處理一些例外情況比較復雜，如屬性證書的撤銷問題等。而\"Pull\"機制參照X.509的標準慣例，頒發的證書以X.500目錄形式管理。實施中可沿用己有的通信協議，不需對現有客戶端做大的修改，同時系統的靈活性較好，可由特權驗證者加入自定義的一些檢查步驟。至于應用系統中采用哪種方式應根據具體環境及要求決定。

隨著計算機網絡技術的發展，網絡上各系統的互聯也得到越來越多的重視，人們在享用其帶來的一系列好處的同時，不得不投入大量精力解決它帶來的安全問題，尤其是在對安全性要求較高的應用領域。對所有訪問資源的網絡行為進行有效的控制是其中的一個重要組成部分。基于角色的訪問控制(RBAC)是近年來應用在訪問控制研究領域的一個重要策略，它為訪問控制研究注入新的血液，得到越來越廣泛的重視，但現在真正可以應用到電子政務中的RBAC模型并不多，而已有的一些模型總是存在不能很好地反映電子政務中的實際的問題，本文便是針對這一現狀提出了一種適合政務系統中使用的模型。

5 結束語

本文提出了一個適合電子政務環境基于屬性證書的訪問控制模型。面對國家信息化的飛速發展和各式各樣的安全需求，現有模型還需要在更大規模的應用環境中進行驗證和完善，基于該模型實現的系統還有許多環節和流程需要改進，進一步提高系統的穩定性和運行效率。

1) 現有模型在支持基于任務的訪問控制方面還有許多不足之處，這是我們下一步研究的重點內容。

2) 現有系統的實現是先定義屬性項及其值集，并由AA預先發布角色及角色

的屬性，并且已定義的屬性值集上的各種運算也是預先定義的。這樣在屬性項較少、屬性值集明確的前提下容易保證某一屬性及其值集的完備性，但是屬性集比較大時，每當新增加一種屬性，屬性集的完備性及每項屬性的非互斥性就難以保證。如何解決這一問題有待探討。

3) 在授權服務系統做訪問控制時，是根據用戶的公鑰證書查找屬性證書庫中

用戶的屬性證書的，這在屬性證書庫數目比較少的情況下，可以采用遍歷的方法來查找。但在屬性證書庫數目較多時，這種查找方式效率比較低。這是一個需要近一步研究的問題。

參考文獻:

[1] 國家信息安全工程技術研究中心，國家信息安全基礎設施研究中心版.電子政務總體設計與技術實現[M]．北京:電子工業出版社，2003:1-7.

[2] 蔣輝柏. 密鑰管理系統中高性能密鑰恢復方案的設計與實現．西安：西安電子科技大學，2003.

[3] William Stallings． 密碼編碼學與網絡安全:原理與實踐．第二版．楊明，胥光輝，齊望東等譯． 北京：電子工業出版社，2001．130-160.

[4] 關振勝.公鑰基礎設施PKI與認證機構CA[M]．北京：電子工業出版社，2002:1-197.

[5] R.S.Sandhu and P．Samarati． Access Control: Principles and Pratice． IEEE Communciation Magazine，1994，23:40-48.

[6] T.Y.C.Woo and S．S．Lam．Authentication for Distributed Systems．IEEE Computer，1992，25:39-52.

[7] R.S.Sandhu．Lattice-Based Access Control Models．IEEE Computer，1993，26:9-19.

[8] S.Farrell， R． Housley． An Internet Attribute Certificate Profile for Authorization．rfc3281，April 2002，2-30.http://www.ietf.org/rfc/rfc3281.txt.

[9] D.Pinkas，R.Housley.Delegated Path Validation and Delegated Path Discovery Protocol Requirements．rfc3379， September 2002.2-16. http：//www．ietf．org/rfc/rfc3379．txt.

[10] S.Chokhani，W.Ford， R.Sabett et al.Internet X．509 Public Key InfrastructureCertificate Policy and Certification Practices Framework.rfc3647， November 2003．9～53． http：//www．ietf．org/rfc/rfc3647．txt

[11] S.Santesson， M.Nystrom，T.Polk.Internet X．509 Public Key Infrastructure：Qualified Certificates Profile．rfc3739， March 2004．4～14.http：//www．ietf．org/rfc/rfc3739．txt

[12] W． Polk， R． Housley， L． Bassham． Algorithms and Identifiers for the Internet X．509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile．rfc3279， April 2002．4～7． http：//www．ietf．org/rfc/

rfc3279.txt.

[13] S.Boeyen，T． Howes．P.Richard． Internet X．509 Public Key Infrastructure Operational Protocols - LDAPv2．rfc2559， April 1999．1～12.http：//www.ietf．org/rfc/rfc2559．txt

[14] Andrew Nash等． 公鑰基礎設施（PKI）：實現和管理電子安全．張玉清等譯．北京：清華大學出版社．2002:393-407.

[15] 譚寒生．授權管理基礎設施PMI的研究及原型設計與實現 ．成都：電子科技大學，2003.

[16] 許長楓． PMI屬性證書授權機制的應用研究．成都：西南交通大學，2003.

[17] 李俊娥，王娟．PKI與PMI聯合安全認證系統及其設計．計算機應用，2002，22:7-10

[18] 許長楓，劉愛江，何大可． 基于屬性證書的PMI及其在電子政務安全建設中的應用．計算機應用研究，2004，第1期：119～122

[19] Janie Jaworski．Java安全手冊．北京：電子工業出版社，2001:1-56.

[20] 李偉琴，楊亞平．基于角色的訪問控制系統．電子工程師．2000(2):11-14.

[21] 龔檢，陸最，王倩．計算機網絡安全導論．南京：東南大學出版社，2000.

[22] 張紹蓮，茅兵，謝立．訪問控制技術的研究和進展．計算機科學．2001.

[23] 李軍，孫玉方．計算機安全與安全模型．計算機研究與發展．1996(4):22-25.

[24] 劉懷宇，李偉琴．淺談訪問控制技術．電子展望與決策．1999(1):19-22.

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文