基于ABAC模型的高校Web服務訪問控制研究

劉友武

（三明學院經濟與管理學院 福建省三明市 365004）

隨著人工智能技術，物聯網及5G 通信技術的快速發展，高校信息化水平的不斷提升,更新換代速度加快。長時期的信息化發展，讓高校網絡環境越發復雜。信息時代，師生的認知水平不斷提升，對信息資源的期望也隨之增強。師生期望能夠無時空限制，靈活便捷的訪問無所不在的信息資源。近些年移動平臺的接入、跨域協同訪問以及在線邊界局部訪問等新型訪問控制需求的出現也給高校信息化部門提出了更高的安全要求。高校教學方式呈現多樣化，在線教學的有效性也給學校提出了從未面臨的問題。在復雜的網絡環境下，用戶的各種行為除了本向具有的角色和安全等級以外，所處的環境、時間、物理位置以及所使用的軟硬件平臺和平臺所經由的網絡等因素都將對訪問控制的授權產生重要影響。

Web 服務作為高校的對外宣傳的重要窗口歷來受到各級領導的重視。隨著信息化的不斷發展，要求Web 服務更加開放以及資源的共享性，但是正是由于Web 的開放性和資源的共享性在提高用戶滿意度的同時也給網絡資源的安全性提出了更高要求。目前高校經過幾十年的信息化發展，信息化環境錯綜復雜，如何構建與行為、多級安全相關聯的訪問控制適應動態的變化因素，為師生及其它用戶提供跨時空及靈活便捷且安全高效的訪問服務,如何在Web 服務的提升效率的同時又能做好統一管理，已經成為當前迫切需要解決的問題。

1 相關工作

近些年，許多學者提出了很多訪問控制模型。文獻[1]完整的闡述了一點ARBAC97 的模型、Generic WA-RBAC[2]及Fuzzy RBAC[3]等缺少對時態和環境的約束，應用的廣度因此也受到了限制。

結合以上研究，并根據高校的實際情況，本文參考了基于行為的訪問控制（ABAC, action-based access control）模型，根據高校組織結構相關穩定，而人員變動較頻繁的特點，引用了崗位單元的概念對ABAC 模型進行優化。

2 ABAC訪問控制模型

文獻[4]提出了RBAC 模型，將傳統的RBAC 模型根據實際需求進行改造并給出了形式化的定義。李鳳華等人于2008年在這些概念的基礎上給出了ABAC 模型的形式化定義[5]。

定義2.1 ABAC 模型具有以下組件

（1）U（用戶）、A（行為）、P（權限）和S（會話），其中A=(R,T,E),R、T、E 分別為角色、時態和環境，A 是一個多元因素相互交叉復雜關系，一般用Action 層次樹或ACL（access control list）描述。

（5）Constraints，表示約束條件。

圖1：ABAC 模型示意

圖2：高校Web 應用場景示意

圖3：基于ABAC 模型的高校Web 服務訪問控制架構

行為集合actions(Si)包括三個方面：角色集合、時態狀態集合和環境集合。其中，環境狀態集合E 具有十分重要的地位。例如，EL 可以通過GPS 等定位系統獲取；EN 可以通過檢測是否選用配有TPM 等安全芯片的硬件平臺獲得。利用上述要素要以對不同的環境E 加以區分。

圖1 為ABAC 模型結構示意，其中包含了行為層次、角色層次、環境層次、時態層次。從圖1 可以看出ABAC 與RBAC 模型的區別在于行為的結構，行為的狀態可以隨著角色、時間及環境等變量進行動態變化。因些，通過角色、時間環境等方面的綜合考慮，可以便ABAC 模型靈活地處理各種復雜網絡環境中的訪問問題。

其中環境和時態將對角色的權限產生直接的影響。角色的權限會根據不同的地理坐標網絡坐標、硬件狀態及軟件平臺等外部因素作用下發生變化。因此綜合考慮到各種因素，ABAC 模型能夠靈活地處理復雜網絡環境中的訪問控制問題。

3 基于ABAC的高校WEB訪問控制模型

3.1 高校Web應用場景

信息技術日新月異，5G、邊緣計算、云計算、生物計算及量子計算等新技術的發展，使得訪問控制技術變得越來越復雜。如圖2 所示，高校Web 應用場景示意：

圖2 可以看出在復雜的網絡環境下，目前高校的訪問用戶主要包括教師、學生、在聊職工、家長及其它用戶等。龐大的用戶群體及群體特性要求訪問控制具體以下幾個功能。

（1）大學資源具體開放共享及動態性。用戶在不同的時間、位置、軟硬件平臺及通過不同網絡對校園資源進行訪問請求，復雜的情況也給高校的訪問控制提出了更高要求。

（2）高校行政教輔人員變動頻繁，權限也隨著人員變動而需要及時更新。但是現實情況下，由于各種原因，人員變動后權限長時間未得到及時更新，導致工作銜接出現斷層而影響工作的效率的問題。

3.2 基于ABAC模型的高校Web服務訪問控制架構

校園信息化發展迅速，校園環境和時態也產生了復雜的形態，必須對傳統的訪問控制進行擴展。文章給出了基于ABAC 模型的高校Web 服務訪問控制安全體系架構，該體系結構充分考慮到了高校的實際情況，增加了統一身份認證系統和CA 的安全環節。如圖3 所示,基于ABAC 模型的高校Web 服務訪問控制架構中，行為判定主要負責用戶在系統中的管理行為，資源服務依據不同的對象屬性支取資源，并且負責驗證用戶的消息，響應用戶的請求。

3.2.1 新用戶行為策略

（1）新用戶通過ID，身份認證等信息將請求發送到行為服務系統；

（2）行為服務系統對用戶的信息進行存儲器；

（3）行為服務系統對用戶信息與內部核對，并返回相關信息；

（4）獲取環境信息；

（5）通過角色系統對用戶進行角色分配；

（6）用戶訪問CA 并獲得公鑰，CA 將相關證書發送給用戶，對請求進行響應；

（7）行為服務系統對信息進行加密處理；

（8）行為服務系統發送安全消息到交互層。

3.2.2 舊用戶行為策略

（1）用戶與交互層交換信息；

（2）用戶在域名服務系統中對驗證信息進行核對；

（3）系統獲得用戶的ID 等信息；

（4）用戶發送資源請求；

（5）系統根據用戶角色進行資源等級分配；

（6）資源服務系統再次核對用戶生命周期，返回相關消息；

（7）資源服務系統計算資源服務地址和生命周期散列值，并判斷返回錯誤信息；

（8）資源管理系統對公鑰進行驗證，返回錯誤信息；

（9）資源管理系統利用私鑰解密相關域，并將相關結果返回；

（10）資源服務系統對散列信息進行簽名；

（11）系統將安全信息返回相關域。

4 結束語

本文在復雜的網絡環境的背景下，引入ABAC 模型并根據高校校園網絡實際情況對其進行優化，在學校統一身份認證的基礎上增加了CA 模塊，在網絡安全保障下，有效地提高了高校WEB 服務的效率。與傳統的訪問控制方法相比，本文提出的模型在細粒度方面表現更做優，同時也增加了訪問控制的動態性。今后的研究將搭建和完善實驗環境平臺，對模型進一步優化。