基于WoT的訪問控制的設計與實現

呂環宇，鄢楚平

（華北計算技術研究所，北京 100083）

基于WoT的訪問控制的設計與實現

呂環宇，鄢楚平

（華北計算技術研究所，北京 100083）

Web of Things（WoT）就是把物聯網和Web技術結合起來，將物聯網網絡環境中的設備抽象為資源和服務能力連接到Web空間。針對WoT技術，當前存在的訪問控制模型并不完全適用。因此本文結合了基于角色的訪問控制模型和基于屬性的訪問控制模型，并在基于WoT思想的“物聯網通用體系架構”的基礎上，設計一個訪問控制子模塊，展開對滿足物聯網特性的訪問控制機制的研究和實現，提出一種改進的訪問控制機制。在基于角色的訪問控制基礎上增加屬性的判斷，從而在保留基于角色訪問控制優點的同時實現自動分配權限的功能。

訪問控制；基于角色的訪問控制；基于屬性的訪問控制; 物聯網

本文著錄格式：呂環宇，鄢楚平. 基于WoT的訪問控制的設計與實現[J]. 軟件，2016，37（12）：153-156

0 引言

Web of Things（WoT）是近幾年提出的把Web和物聯網技術相結合的技術實現形式，利用Web中REST風格架構的靈活和易用等優勢，解決傳統物聯網系統中存在的架構封閉化、耦合度高和擴展性差等問題，使得物聯網上的設備和業務更容易接入與訪問。

WoT技術使得物聯網環境更加開放，用戶使用Web進行訪問更加便捷快速。但隨之而來的安全問題也日益顯著，而訪問上的安全問題則成為其中重要的一部分。在傳統的基于角色、基于身份的訪問控制模型中，由于物聯網中系統、設備的位置不斷變化，訪問者的身份、地點等也在隨之改變。這樣的動態性導致了無法預知附近訪問者的權限從未提前分配；又加之物聯網中對某一信息的訪問者往往數量巨大，這也增加了提前分配權限的工作量，使之難以實現。而基于屬性的訪問控制根據用戶的屬性特點，使用提前預設的規則將用戶歸類，進而能夠動態的分配權限，雖然能夠解決動態性這一問題，但單純的基于屬性的訪問控制授權過程復雜、不靈活，不能滿足實時性[1]；同時規則的數量也會隨著用戶和屬性的增加而急劇膨脹。

因此，本課題在基于WoT思想的“物聯網通用體系架構”的基礎上，設計一個訪問控制子模塊，展開對滿足物聯網特性的訪問控制機制的研究和實現，提出一種改進的訪問控制機制——基于角色和屬性的混合訪問控制。在基于角色的訪問控制模型的基礎上增加屬性的判斷，從而在保留基于角色訪問控制優點的同時實現自動分配權限的功能。

1 訪問控制模型概述

1.1 基于角色的訪問控制模型

基于角色的訪問控制模型是在1992年由美國國家標準化和技術委員會的Ferraiolo等人提出的，該模型的核心思想是在用戶和系統訪問權限之間加入角色的概念[2]，將系統的訪問權限與角色建立對應關系，為不同的角色分配不用的權限[1]。然后在用戶訪問系統時為其分配角色，這樣將用戶和權限相關聯，系統為用戶分配不同的角色就可以實現不同用戶的訪問控制。基于角色的訪問控制基本模型如圖1所示：

圖1 基于角色的訪問控制模型

在圖1中可以看出，基于角色的訪問控制模型擁有三個基本概念。用戶[3]：用戶是一個主體，在物聯網系統中是指對設備信息或者數據進行訪問的人或應用。角色[4]：角色是模型中核心的概念，是權限的集合。角色作為用戶和權限之間的中間層，將用戶和權限結合起來。不同的角色通過不同是權限來實現各自的功能。權限[5]：權限是對物聯網系統中數據或者其他資源進行訪問的一種許可。例如對溫度傳感器中數據讀取或者開關的控制都是一種權限。

1.2 基于屬性的訪問控制模型

基于屬性的訪問控制和基于角色的訪問控制模型所包含的基本元素大體相同，都包括了訪問主體、被訪問的資源、訪問方式和外界條件[6]。基于屬性的訪問控制是隨著分布式系統的發展而被提出的，目的在于解決分布式應用中的訪問控制問題。該模型的基本思想是：訪問控制以實體的屬性作為基礎進行授權決策，它可以隨著實體屬性的變化，動態地更新訪問控制策略，從而提供一種更加靈活的、細粒度的動態訪問控制方法。在基于屬性的訪問控制模型中，屬性是訪問控制策略授權判斷的依據和基礎，用戶滿足訪問控制策略中規定的屬性條件即可獲得策略規定的訪問權限。并且，主體、資源統一用屬性來描述，每個元素的屬性可以根據系統的實際需求來定義。

2 基于WoT的體系架構概述

2.1 物聯網通用體系架構

針對WoT的思想，該項目中提出了一套完整的針對物聯網核心基礎設施的新型的物聯網通用體系架構。通用體系架構將物體和應用分離，在物體和應用間添加一個中間層，即物聯港支撐系統，成為應用的共性支撐。物聯港支撐系統對下供物體接入并進行服務封裝，對上提供便捷統一的開發接口支持應用構建。同時采用通用體系架構的物聯網系統之間可以實現互聯互通互操作，為用戶提供通用的物聯網應用共性支撐平臺。在物聯網的體系建設中，起到承上啟下的橋梁作用，實現對物體統一描述與接入、統一標識與尋址、統一服務封裝與調用。

2.2 物聯港支撐系統

物聯港支撐系統是構建物聯港的軟件系統，利用物聯港支撐系統，可以在服務器、PC或者嵌入式設備上構建硬件承載方式、規模大小不同的物聯港系統，支撐多樣化的物聯網物體接入和應用構建方式。其基本功能包括支持物體的注冊、接入和管理，支持便捷的物體感知/控制數據傳輸，支持物體服務的封裝及事件訂閱。

2.3 PE（Physical Entity）

PE是具有可交互接口的設備在物聯港內對應的數字對象，其對應物體世界中確定的物體。PE具有屬性和接口，直接支撐VE的生成、開發和運行，可以利用PE配置工具生成。PE中描述的接口需要符合E-things物聯港接口規范。

2.4 VE（Visual Entity）

VE是虛擬實體的簡稱，是物聯港內具有統一服務化接口的數字實體。VE是物聯港系統內直接與應用發生交互的對象，在應用看來，對物體的操作實際是對VE的操作。VE既可以由PE自動生成和部署，也可以利用VE開發支持框架開發VE模板然后進行部署。

3 訪問控制系統的設計

訪問控制系統基于上述物聯網通用體系架構設計，該訪問控制模塊具有如下幾個功能：認證訪問物聯網平臺服務的用戶/應用，只有認證合法的用戶/應用才允許對物聯港進行訪問。鑒定用戶/應用的對物聯網平臺中資源的訪問權限，只有鑒定通過的用戶/應用才允許對平臺中的資源進行訪問。授予用戶/應用對對物聯網平臺中資源的訪問權限，具體包括授予服務擁有者對物體的開發權限、授予用戶/應用對服務的訪問權限。管理用戶信息，包括第三方應用，VE擁有者，PE擁有者的注冊信息，以及VE擁有者，PE擁有者擁有的資源的信息。

如圖2所示，根據訪問控制系統需要實現的功能，該系統具有如下幾個模塊：授權模塊、用戶管理模塊、資源管理模塊。

3.1 授權模塊

圖2 訪問控制系統總體架構圖

授權模塊負責為第三方應用（VE擁有者）發放訪問令牌，并管理訪問令牌。包括授權碼管理，令牌管理，對外服務端口等子模塊

對于第三方應用來說，可以通過授權碼模式或者客戶端模式申請訪問令牌。在客戶端模式下，第三方應用以自己的名義向授權服務器申請某些權限。在授權碼模式下，是物聯港用戶將自己的某些權限授權給第三方應用。

在客戶端模式下，具體訪問流程如下：

1）第三方應用在物聯港注冊之后。第三方應用通過客戶端模式向物聯港申請某些權限。

2）授權服務器將第三方應用的信息與授權規則進行匹配，將匹配成功的權限授予給第三方應用。

3）授權服務將訪問令牌和刷新令牌返回給第三方應用。

在授權碼模式下，具體訪問流程如下：

1）第三方應用向授權服務器申請授權碼。

2）授權服務器對VE擁有者進行認證。

3）對VE擁有者認證成功后，返回VE擁有者所擁有的所有權限信息。

4）VE擁有者選擇要授予的權限，并同意授權。

5）授權服務器生成授權碼返回給第三方應用。

6）第三方應用攜帶授權碼換取訪問令牌。

7）授權服務器通過授權碼生成相應的訪問令牌和刷新令牌，將其返回給第三方應用。

3.2 用戶管理模塊

對物聯港來說，VE擁有者，PE擁有者和第三方應用都屬于物聯港的用戶。用戶管理模塊主要作用是提供用戶注冊，用戶登錄，用戶信息修改，管理用戶信息等基本功能。用戶在物聯港內注冊成為物聯港用戶，物聯港將注冊信息轉發給授權服務器。

授權服務器驗證注冊信息的有效性，將注冊結果返回給物聯港。VE擁有者，PE擁有者在物聯港內進行任何操作之前首先需要登錄，物聯港將登錄信息轉發給授權服務器。授權服務器驗證登錄信息的合法性，將登錄結果返回給物聯港。用戶可以在已登錄的基礎上修改個人信息，物聯港轉發該請求到授權服務器。授權服務器驗證合法性和有效性，將修改結果返回給物聯港。

3.3 資源管理模塊

物聯港內的資源包括VE向外提供的服務，PE提供的操作。同時，VE的生成是依賴與PE的。資源管理模塊的主要工作就是負責PE和VE的管理，包括生成PE，生成VE同時負責管理每一個PE與其操作的對應關系，每一個VE的服務與PE的對應關系。模塊內使用PE的操作和VE的接口都用一個抽象的Resource對象來表示。

PE擁有者，VE擁有者在成功登陸之后可以進行PE生成和VE生成操作。PE擁有者在物聯港內生成PE，填寫相應的PE信息，物聯港將PE信息轉發到授權服務器。授權服務器驗證PE擁有者的合法性，返回PE生成結果。VE擁有者在物聯港生成VE，填寫相應的VE信息，并選擇要綁定的PE及接口。物聯港將生成VE的請求轉發到授權服務器。授權服務器內部驗證VE的合法性，并將VE與要綁定的PE接口所對應的授權規則進行匹配，若匹配成功則VE成功生成，否則生成失敗。授權服務器將生成結果信息返回給物聯港。

3.4 鑒權模塊

獲得訪問令牌的第三方應用調用VE的服務，或者VE調用PE的操作時，都要攜帶訪問令牌到物聯港請求要調用的資源，物聯港將該請求轉發到授權服務器，授權服務器對該訪問令牌進行鑒權，將鑒權結果返回給物聯港，若鑒權成功，物聯港即將所請求的資源返回給調用者。

4 結論

本文中所述的在傳統的基于角色的訪問控制模型基礎上與基于屬性的訪問控制相結合，提出一種優化的適于WoT技術的訪問控制系統。與傳統的訪問控制相比，具有高效、靈活等特點，更適用于物聯網中設備數量多、種類多，訪問者身份、位置動態變化的環境。同時，該系統的應用實踐也表明所述的模型實現了對物聯網系統中權限的控制和管理。

[1] 王小明, 付紅, 張立臣. 基于屬性的訪問控制研究進展[J].電子報, 2010, 38, No.7.

[2] 楊庚, 沈劍剛, 容淳銘. 基于角色的訪問控制理論研究[J].南京郵電大學學報: 自然科學版, 2006, 26(3): 1-8.

[3] 曹天杰, 張永平. 管理信息系統中基于角色的訪問控制[J].計算機應用, 2001, 21(8): 198-201.

[4] 吳薇. 基于角色的訪問控制技術的用戶權限管理及實現[J]福建電腦, 200, 11: 176-177.

[5] 栗龍, 盧山. 物流信息系統中RBAC模型角色繼承關系的研究與實現[J]. 軟件, 2013, 34(7): 15-18.

[6] 李曉峰, 馮登國, 陳朝武, 等. 基于屬性的訪問控制模型[J]. 通信學報, 2008. 29 (4): 90-99.

[7] 常豆, 宋美娜, 楊俊. 一種基于角色和數據項的訪問控制方式[J]. 軟件, 2014, 35(7): 40-43.

[8] 韓金松. 基于角色權限的投票測評系統的設計與實現[J].軟件, 2013, 34(9): 47-48.

[9] 趙凱, 汪衛平. 數字化校園中基于角色的權限控制[J]. 軟件, 2014, 35(11): 22-24.

[10] 劉志杰. 物聯網技術的研究綜述[J]. 軟件, 2013, 34(5): 164-165.

[11] 沈海波, 洪帆. 訪問控制模型研究綜述[J]. 計算機應用研究, 2005, No. 6: 9-11.

Design and Implementation of an Access Control Method Based on WoT

LV Huan-yu, Yan Chu-ping

(North China Institute of Computing Technology, Beijing 100083)

Web of Things (WoT) combines the Internet of Things and Web technology,and takes devices as resources and service capabilities to connect to the Web space. For WoT technology, the existing access control model is not fully applicable. Therefore, this paper combines the role-based access control model and attribute-based access control model, and designs an access control sub-module based on the general architecture of Internet of Things. Then this paper proposes an improved access control mechanism which can retain the advantages of role-based access control while achieving the function of automatic allocation of permissions.

Access control; Role-based access control model; Attribute-based access control model; Web of things

TP391

A

10.3969/j.issn.1003-6970.2016.12.032

呂環宇(1992-)，男，研究生，計算機系統結構；鄢楚平(1965-)，男，研究員，通信與移動計算技術。