網絡訪問控制模型及其方法和終端的製作方法

2023-10-06 09:49:19 1

專利名稱：網絡訪問控制模型及其方法和終端的製作方法
技術領域：
本發明涉及網絡技術，尤其涉及一種對網絡資源訪問進行控制的方法和系統。
背景技術：
在Web服務中，服務的請求與響應通常通過簡單對象訪問協議(Simple ObjectAccess Protocol, SOAP)消息基於超文本傳輸協議(HyperText Transport Protocol,HTTP)進行傳遞，這使得傳統網絡層防火牆視SOAP消息為合法應用層協議。如果非法用戶通過SOAP消息訪問未經保護的Web服務，可能導致未授權的訪問，甚至對內部應用帶來危害。此外，一些Web服務可能只是針對特定用戶群開放，只有經過認證和授權的請求者才能訪問相應的服務。因此，對服務請求進行有效的訪問控制是Web服務應用中需重點解決的 問題。Web服務環境具有開放、動態和分布式的特徵，交互雙方通常都是陌生主體，可能位於不同安全域(不同安全域中的計算機通常具有不同的安全等級和安全需求)，用戶身份和數量不可預知，進行預先的身份信息存儲和權限分配是不現實的。因此，Web服務最好能夠進行跨安全域的訪問控制，實現對跨域的未知用戶的訪問授權。傳統方法在假定用戶身份(identity)已經確定的基礎上進行訪問控制，比如、在資料庫或訪問控制策略中存在用戶身份與權限的固定關聯，因而不適應Web服務環境的需求。為了克服基於身份方法在開放分布式環境中的局限性，行業內提出了一種稱為基於角色的訪問控制(Role-Based Access Control, RBAC)的方法,引入了角色的概念,管理員首先分配好各個角色的權限，然後將系統的用戶分配到各個不同的角色中，從而完成用戶權限的設定，而不用逐個設置用戶的使用權限。然而在上述方法中，用戶的權限仍然需要管理員設定，仍然存在著在陌生用戶的訪問問題。

發明內容
本發明目的在於提供一種網絡訪問控制模型及其方法和終端，從而能更好地提高網絡的安全訪問性能。本發明提供的網絡訪問控制模型用於對訪問一網絡資源的用戶分配恰當的訪問權限，其特徵在於，包括用戶模塊，用於提取所述用戶的至少一屬性；權限模塊，定義了對所述網絡資源的若干訪問權限；角色模塊，定義了若干角色，每個角色預設有若干所述的訪問權限；本體模塊，至少定義了用戶的所述屬性；規則模塊，至少定義了一規則，該規則基於所述屬性而分配給所述用戶一匹配的角色，從而使該用戶訪問所述網絡資源；會話模塊，建立、維持和撤消所述匹配的角色與所屬用戶的關聯。
本發明還公開了該網絡訪問控制模型所採用的方法及其所應用的服務終端。本發明能對訪問控制的策略執行與訪問授權實現自動的推理，允許合法的用戶訪問，禁止非法用戶訪問。


圖I為本發明網絡資源的訪問控制系統的一實施例的模塊圖；圖2為圖I中用戶模塊的一實施例的模塊圖。
具體實施例方式如圖I所示，本發明的較佳實施例中所提出的網絡訪問控制策略模型包括RBAC本體、用戶模塊、會話模塊、角色模塊、權限模塊和規則模塊，其中規則模塊用來實現用戶模塊、角色模塊、權限模塊之間或內部的推導，從而自動地分配用戶與角色、角色與權限之間 的對應關係，並且根據實際需要，也可以對角色的分配進行限制。本實施例中所說的模塊，可以是單獨實現某一特定功能的軟體、硬體、固件或其組合，如程序、存儲介質、集成電路等，也可以存儲在同一網絡實體或者分布式地存儲在不同網絡實體中，本發明並不想當然的局限在特定的實施方式上。以下分別對各模塊做具體介紹。用戶模塊(Users/Credentials)為了增強角色分配的靈活性和動態性，以適應Web服務環境需求，本實施例直接使用用戶所提供的信任證(credential)來表徵用戶，然後基於信任證及其屬性來進行用戶-角色分配。這些信任證是由可信權威發布並籤名，能夠進行跨域的驗證和接受。如圖2所示，為了在語義層次上對各種信任證進行概念、屬性以及關係的提取，本實施例構造了一個信任證模塊(Credential)，在用信任證表徵用戶的前提下，該信任證模塊即用戶模塊，該模塊中對各種信任證進行了分層次的提取，其中，用戶名令牌(UserNameToken)子類表示其身份是由用戶名和密碼確定的用戶集合；二進位安全令牌(BinarySecurityToken)子類表示其身份是由某種二進位安全令牌確定的用戶集合,如X. 509證書或Kerberos票據；密鑰(Key)子類表徵其身份是由公鑰或對稱密鑰確定的用戶集合，等等。另外，Credential類還包含了各種屬性(property)來提取和描述信任證中的相關屬性。比如，屬性被發布(issuedBy)用來指明用戶提供的信任證是由誰發布的、屬性是否內部(islnternal)用來表明用戶信任證針對服務提供者來說是由外部權威還是內部權威發布的、屬性是否有效(isValid)用來表示用戶提供的信任證當前是否是有效的，等等。基於用戶模塊的各種概念和屬性斷言可作為後面提到的相關語義規則的前提條件，用來執行動態的角色分配。權限模塊(Permissions)權限是RBAC中對受保護對象執行某個動作的一種許可。在Web服務中，受保護對象包括服務以及服務的操作，其動作就是對服務或服務操作的調用。因此，這裡直接使用服務和操作來表不RBAC中權限的概念。權限模塊中分別定義服務模塊(Service)和操作模塊(Operation)來表示服務集和操作集，對象屬性具有操作(hasOperation)用來將類Service和Operation關聯在一起，表示通過屬性hasOperation可以獲取一個服務對應的操作的信息。被發布(publishedBy)和安全等級(securityLevel)是為類Service和Operation定義的兩個數據類型屬性,前者用來指明誰是服務的發布者，而後者用來表示服務或操作所需要的安全級別。此外，還可以根據需求定義其他類似的屬性，基於這些屬性的斷言可以作為後面提到的許可-角色分配的前提條件。服務模塊還可以進一步劃分為兩個子模塊內部服務模塊(InternalServie)和外部服務模塊(ExternalService)，分別表示內部服務集和外部服務集。不過，在實際應用中，一個服務既可能是內部服務模塊的實例，又可能是外部服務模塊的實例，即這個服務既可以在內部域使用，又允許被外部域實體調用，因此，內部服務模塊和外部服務模塊通常是相交的。需要指出的是，根據具體應用需求，可以在 服務模塊和操作模塊中構造新的服務或操作以及新的屬性。此外，為了在權限模塊與角色模塊以及權限模塊與用戶模塊之間建立關聯，本實施例還定義了一些特定的屬性。比如，對象類型屬性分配服務(assignedService)和分配操作(assignedOperation)將角色模塊分別與權限模塊的服務模塊和操作模塊關聯在一起，表示通過這兩個屬性可以獲取角色有權訪問的服務和操作信息；對象類型屬性允許服務(permittedService)和允許操作(permittedOperation)將用戶模塊分別與權限模塊的服務模塊和操作模塊關聯在一起，表示通過這兩個屬性可以獲取擁有某信任證的用戶所有的有權訪問的服務和操作信息；對象類型屬性激活服務(activatedService)和激活操作(activatedOperation)也將用戶模塊與所述服務模塊和操作模塊關聯在一起，表示在當前會話中用戶通過激活的角色而有權訪問的服務和操作信息。角色模塊(Roles)角色模塊用來關聯前述的用戶模塊和權限模塊，即用戶通過其在角色模塊中對應的具體角色而具有該角色的權限，進而對服務進行訪問。為了避免角色的重複定義，本實施例中的角色模塊中定義了一個頂層角色類(Role)來描述角色這個核心概念，每個具體的角色都是類Role的一個實例，並且定義了對象屬性具有角色(hasRole)用來將用戶模塊與角色模塊相關聯,表示通過屬性hasRole可以獲取賦予當前用戶的角色信息。為了表示各角色之間的權限繼承關係，角色模塊定義了具有傳遞性(transitive)的對象屬性從屬於角色(subRoleOf)，用來將角色模塊與其自身進行關聯。比如，subRoleOf (rl, r2)表示角色rl繼承了角色r2的所有權限。另外，由屬性subRoleOf的傳遞性可知，若有 subRoleOf (rl, r2)並且 subRoleOf (r2, r3),則可直接得到 subRoleOf (rl, r3)的結論。此外，本實施例還定義兩個具有對稱性(symmetric)的對象屬性靜態職責分離屬性(SSd)和動態職責分離屬性(dsd)，分別用來表示角色之間的靜態職責分離(StaticSeparation of Duty, SSD)和動態職責分離(Dynamic Separation of Duty, DSD)關係，這兩個對象屬性的定義域和值域均為角色模塊自身。比如，SSd(rl，r2)表示rl和r2不能同時分配給一個用戶，dsd (rI，r2)表示rl和r2不能同時被激活。由屬性ssd的對稱性可知，ssd(rl，r2)和ssd(r2，rl)的語義是相同的，屬性dsd與此類似。會話模塊(Sessions)會話模塊定義了用戶模塊中的各用戶與角色模塊的各角色之間的映射關係，當一個用戶激活它所有角色的一個子集時，用戶模塊與角色模塊之間建立一個會話。在實際應用中，每個會話通常只與一個用戶關聯，而一個用戶可以和一個或多個會話關聯，用以表示一個用戶具有多個不同的角色。會話模塊中，具有反函數性質(inverse functional)的對象類型屬性建立(establish)將用戶模塊與會話模塊關聯在一起，表明通過屬性establish可以獲取用戶建立的會話信息，establish的反函數性質能很好地表示用戶和會話之間一對多的特性。 會話模塊通過對象類型屬性激活角色(activatedRole)與角色模塊關聯在一起，表示通過屬性activatedRole可以獲取會話中激活的角色信息。當用戶建立一個會話時，會話斷言以及相關事實需要在訪問控制執行過程中動態產生。RBAC 本體RBAC本體用來定義前述訪問控制策略模型中的所有模塊及其屬性、關係和層級結構。在本實施例中，米用Web本體語言(Web Ontology Language，OWL)對RBAC進行定義，具體描述如下所示Class (rbac: Credential partial owl: Thing)Class(rbac:UserNameToken partial rbac: Credential)Class (rbac:BinarySecurityToken partial rbac: Credential)Class (rbac:Key partial rbac:Credential)Class (rbac:SAMLAssertion partial rbac: Credential)Class (rbac:X509Certif icate partial rbac:BinarySecurityToken)Class (rbac:Kerboros partial rbac:BinarySecurityToken)Class (rbac:SymmetricKey partial rbac:Key)Class (rbac:PublicKey partial rbac:Key)DatatypeProperty (rbac : issuedBy domain (rbac : Credential)range (xsd:string))DatatypeProperty (rbac: i s Internal domain (rbac !Credential)range(xsd:boolean))DatatypeProperty (rbac : isValid domain (rbac : Credential)range(xsd:boolean))//以上定義了圖2所示用戶模塊及其層級結構、屬性Class (rbac:Role partial owl:Thing)ObjectProperty(rbac:hasRole domain(rbac:Credential)range (rbac:Role))ObjectProperty (rbac:subRoleOf domain (rbac: Role)range(rbac: Role)TransitiveProperty)ObjectProperty (rbac : ssd domain (rbac : Role) range (rbac : Role)SymmetricProperty)ObjectProperty (rbac : dsd domain (rbac : Role) range (rbac : Role)SymmetricProperty)//以上定義了角色模塊及其屬性、操作Class (rbac:Servcie partial owl: Thing)Class (rbac:Operation partial rbac:Thing)Class (rbac:ExternalService partial rbac: Service)Class (rbac:InternalService partial rbac: Service)DatatypeProperty(rbac:publishedBy range (xsd: string))DatatypeProperty (rbac:securityLevel range (xsd:integer)) ObjectProperty (rbac : hasOperation domain (rbac : Service)range (rbac: Operation))ObjectProperty (rbac : assignedService domain (rbac : Role)range(rbac: Service))ObjectProperty (rbac : assignedOperation domain (rbac : Role)range (rbac: Operation))ObjectProperty (rbac:permittedService domain (rbac: Credential)range(rbac: Service))Obj ectProperty(rbac:permittedOperation domain (rbac: Credential)range(rbac: Operation))ObjectProperty (rbac: activatedService domain (rbac: Credential)range(rbac: Service))ObjectProperty (rbac:activatedOperation domain(rbac: Credential)range(rbac: Operation))//以上定義了權限模塊及其結構、屬性及操作Class (rbac: Session partial owl:Thing)ObjectProperty (rbac : activatedRole domain (rbac : Session)range(rbac: Role)ObjectProperty (rbac : establish domain (rbac : Credential)range(rbac: Session)InverseFunctional)Η以上定義了會話模塊及其屬性規則模塊(Rules)為了使本發明實施例訪問控制策略模型中的操作，比如動態角色分配、職責分離約束、角色激活與撤銷等能夠通過本體層的簡單推理而得以執行，本實施例定義了規則模塊並將其加入到RBAC本體中，該規則模塊包括一系列語義規則，並基於這些語義規則的推理來實現本實施例網絡訪問控制策略模型所要求的各種操作。本實施例採用語義Web邏輯層的推薦標準SWRL來定義所需規則。定義的規則劃可分成五個類型，分別用來實現模型中的各種關鍵操作，其規則實例列舉說明所下·用戶-角色分配規則主要根據用戶模塊中相關概念及屬性來執行動態的用戶-角色分配。如、一個用戶能提供由某外部權威證書授權中心(CertificationAuthority, CA)發布的、有效的X. 509證書，則它可以分配給角色Rl
Rl. IhasRole ( u, Rl) —X509Certificate ( u) Λ islnternal ( u, false) Λ issuedBy ( u, 〃ca〃)Λ isValid( u, true)。·權限-角色分配規則基於服務模塊和操作模塊的相關概念和屬性斷言來執行權限-角色分配。如、對於安全級別大於"3"的任意一個服務，其訪問權限只能分配給角色R2 R2. 2assignedService (R2, so) — Service ( so) Λ securityLevel ( so, i) Λ swrlb: g reaterThan( i, 3)。·職責分離約束規則I)靜態職責分離約束規則，表示如果在任意兩個角色之間存在基於ssd的關係斷言，那麼這兩個角色不能同時分配給一個用戶R3. I hasRole ( u, r2) — hasRole ( u, rl) Λ ssd ( rl, r2)。2)動態職責分離約束規則，表示如果在任意兩個角色之間存在基於dsd的關係斷言，那麼這兩個角色不能同時在一個用戶的會話中被激活R3. 2 activatedRole ( s, r2) activatedRole ( s, rl) Λ dsd ( rl, r2) 角色層次推理規則表示基於角色層次的相關推理。比如，對於任意用戶U以及任意角色rl和r2,如果用戶u分配了角色rl並且在角色rl與r2之間存在subRoleOf關係斷言，那麼可推斷r2也是用戶u的一個角色，這是通過角色繼承獲得的一個隱含角色R4. I hasRole( u, r2) — hasRole( u, rl) Λ subRoleOf( rl, r2) 輔助規則，這些規則的建立是為了便於系統的查詢和管理。如，直接獲取一個用戶有權訪問的所有服務R5. IpermittedService( u, so) — hasRole( u, r) Λ assignedService ( r, so) 上述語義規則具有較好的分類性和組件化特徵，可以通過添加或禁用一類規則來實現或取消相應的功能。以上結合實施例對本發明做了介紹，在具體實施中，網絡的服務端應用該網絡訪問控制策略模型，對服務訪問進行有效控制。以下結合操作示例對利用該實施例的網絡訪問控制方法作一簡單描述。當一陌生的終端用戶想要對服務端的服務申請某一操作時，它首先向服務端發送一建立會話的請求。服務端提取該用戶的信任證信息，並利用規則模塊對其所適合的角色信息進行推理。如果該用戶提供的是由某外部權威證書授權中心(CertificationAuthority, CA)發布的、有效的X. 509證書,則根據推理規則Rl. I而給該用戶分配角色Rl,並建立會話，依該角色Rl的權限對服務進行訪問。如果沒有匹配的角色，則服務端拒絕該請求。對服務端的其他訪問操作依據具體的規則、用戶能提供的具體信任證信息等推理內容而實現基於對應角色的訪問授權。以上的描述是基於本發明的一個較佳實施例。所謂較佳，主要是從該實施例所具有的特徵、實現的功能及達成的效果而言的。在本發明的公開範圍內，本領域的普通技術人員還可以根據具體的需求，對該較佳實施例做適應性的變動，例如當僅需要實現根據用戶信息、分配恰當的角色時，前述RBAC本體中完全可以僅定義信任證/用戶模塊的信息，而不必定義其他模塊的信息；對應的，規則模塊中也可以僅定義「用戶-角色分配規則」。原因是，在一些實施例中，完全可以僅通過用戶提供的信任證信息推理就可以給該用戶分配適當的角色。在其他實施例中，也可以利用用戶的其他屬性進行動態的角色分配。此時，僅需要根據具體需要、設定合適的推理規則即可。在特定的實施例中，當需要進行「權限-角色分配」、「職責分離約束」、「角色層次推理」等控制時，本領域的普通技術人員可以依實際需求而選擇前述RBAC本體的元素和規定恰當的推理規則。在所有的實施例中，推理規則可以依據實際的需求而定義，可以以邏輯推理規則、映射規則等任意的合理形式或其組合實現。此外，本實施例中所提取的用戶屬性是其信任證信息，但本發明並非限定在此屬性信息上。在不同的適用場合中，可以自行定義提取用戶所具有的各種信息。例如，僅需對通過不同網絡訪問的用戶進行訪問限制時，也可以根據其各自的地址信息而分配不同的角色。雖然本發明已以較佳實施例揭露如上，然其並非用以限定本發明。本發明所屬技術領域中具有通常知識者，在不脫離本發明的精神和範圍內，當可作各種的更動與潤飾。因此，本發明的保護範圍當視權利要求書所界定者為準。
權利要求
1.一種網絡訪問控制模型，用於對訪問一網絡資源的用戶分配訪問權限，其特徵在於，包括 用戶模塊，用於提取所述用戶的至少一屬性； 權限模塊，定義了對所述網絡資源的若干訪問權限； 角色模塊，定義了若干角色，每個角色預設有若干所述的訪問權限； 本體模塊，至少定義了用戶的所述屬性； 規則模塊，至少定義了一規則，該規則基於所述屬性而分配給所述用戶一匹配的角色，從而使該用戶訪問所述網絡資源； 會話模塊，建立、維持和撤消所述匹配的角色與所屬用戶的關聯。
2.根據權利要求I所述的網絡訪問控制模型，其特徵是所述用戶模塊提取所述用戶的 目任證 目息。
3.根據權利要求2所述的網絡訪問控制模型，其特徵是所述本體模塊中以層次結構定義所述信任證信息。
4.根據權利要求I所述的網絡訪問控制模型，其特徵是所述規則模塊基於對所述屬性的語義推理而分配角色。
5.根據權利要求I所述的網絡訪問控制模型，其特徵是所述本體模塊以層次結構定義了所述角色模塊，所述規則模塊基於所述角色的層次關係進行角色推理。
6.根據權利要求5所述的網絡訪問控制模型，其特徵是所述規則模塊對所述角色之間進行職責分離約束。
7.根據權利要求I所述的網絡訪問控制模型，其特徵是所述規則模塊對所述權限模塊進行權限-角色分配。
8.—種對網絡資源的訪問控制方法，該方法包括以下步驟 提取一用戶的預定屬性； 根據所預定屬性匹配一角色； 依據所述角色所具有的權限，對所述網絡資源進行訪問。
9.根據權利要求8所述的方法，其特徵是所述預定屬性是該用戶的信任證。
10.一種實現所述權利要求8的網絡終端。
全文摘要
本發明提供一種網絡訪問控制模型及其方法和終端，用於對訪問一網絡資源的用戶分配恰當的訪問權限。該網絡訪問控制模型包括用戶模塊,用於提取所述用戶的至少一屬性；權限模塊，定義對受保護對象執行某個動作的一種許可，定義了對所述網絡資源的若干訪問權限；角色模塊，定義了若干角色，每個角色預設有若干所述的訪問權限；本體模塊，至少定義了用戶的所述屬性；規則模塊，至少定義了一規則，該規則基於所述屬性而分配給所述用戶一匹配的角色，從而使該用戶訪問所述網絡資源；會話模塊，用於建立、維持和撤消所述用戶與相匹配的角色的關聯。本發明可以動態地給一陌生的訪問用戶分配合適的訪問權限，從而增強網絡訪問的安全。
文檔編號H04L9/32GK102857488SQ20121014289
公開日2013年1月2日 申請日期2012年5月10日 優先權日2012年5月10日
發明者吳禮發, 李華波, 曾曉光, 鄭成輝, 賴海光, 賀正求 申請人:中國人民解放軍理工大學