电子政务基于属性证书的访问控制模型

摘要：随着我国电子政务的发展，如何保障电子政务中的资源信息不被非法访问已成为当务之急。如何进行用户对资源和服务使用的限制，决定主体是否对客体有权限进行某种操作，即对用户进行访问控制的问题信息安全研究中的重要方面。

授权来源于访问控制，即先对用户进行授权，然后根据用户具有的权限来进行访问控制。属性证书包含了一系列用户的权限信息，所以属性证书可以看作是权限信息的载体。

根据属性证书中用户的权限信息可以对用户访问资源进行控制，基干角色的访问控制（RBAC）是一种新兴的访问控制技术和理念，是将用户划分成与其职能和职位相符合的角色，根据角色赋予相应操作权限，以减少授权管理的复杂性，降低管理开销和为管理员提供一个比较好的实现复杂安全政策的环境，是传统的自主访问控制和强制访问控制的升级和替代。RBAC的建模和实现技术是目前RBAC技术研究的热点和难点。NRBAC模型是一种更接近现实情况的模型。

基于属性证书和电子政务中存在的特殊要求和特点，结合RBAC96、ARBAC97 模型以及NRBAC模型，构造了一个适合电子政务系统使用的基于角色的安全访问控制模型eGA－NRBAC；利用该访问控制模型解决了电子政务工程中授权管理系统和授权服务系统的工程化实现问题。测试和实际使用都证明了此访问控制模型的正确性、可行性和可靠性。

关键词：电子政务；属性证书；访问控制；基于角色的访问控制

中图分类号：TP309文献标识码：A 文章编号：1009-3044(2008)30-0749-03

Access Control Model of Electronic Government Based on Attribute Certificate

YUAN Na1,2,XUE Xiao-hong3

(1.Wuhan University, Wuhan 430079,China;2.Wuhan Yisheng co, Wuhan 430079, China;work Information Center,Changjiang Water Resources Commission, Wuhan 430010, China)

Abstract: Information developing strategy has strongly promoted the development of electronic government in our country. How secure information resource to avoid lawless-access is important. How make control on the usage of resource and how make decision what operation can be make on resource are the important issues in information security research.

Authorization comes from access-control.We can authorate on the user firstly,then make access-control on him. AC includes a set of information on the user,AC is the carrier of privilege.

We can make access-control on the the usage of resource based on AC. Role-based access control(RBAC) can reduce the complexity and cost of authorization managements compared with traditional access control method, and the roles can be consistent with the personnel structure in a organization or corporation. RBAC is the best schema to enforce authorization policy on large net. NRBAC is an access-control model which is closer to realism.

We construct a role_based access control model－－eGA－NRBAC which is based on the particularity of electronic government,AC and combination of RBAC96,ARBAC97 and NRBAC. We resolve the problem that how to realize the privilege management system and the privilege services system. The testing and the running of the system also prove the correctness, feasibility and reliability of the model.

Key words: electronic government; attribute certificate; access-control; role-based access control

1 引言

随着我国电子政务的发展，如何保障电子政务中的资源信息不被非法访问已成为当务之急。如何进行用户对资源和服务使用的限制，决定主体是否对客体有权限进行某种操作，即对用户进行访问控制的问题信息安全研究中的重要方面。

授权来源于访问控制，即先对用户进行授权，然后根据用户具有的权限来进行访问控制。属性证书包含了一系列用户的权限信息，所以属性证书可以看作是权限信息的载体。

根据属性证书中用户的权限信息可以对用户访问资源进行控制，基干角色的访问控制（RBAC）是一种新兴的访问控制技术和理念，是将用户划分成与其职能和职位相符合的角色，根据角色赋予相应操作权限，以减少授权管理的复杂性，降低管理开销和为管理员提供一个比较好的实现复杂安全政策的环境，是传统的自主访问控制和强制访问控制的升级和替代。RBAC的建模和实现技术是目前RBAC技术研究的热点和难点。NRBAC模型是一种更接近现实情况的模型。

基于属性证书和电子政务中存在的特殊要求和特点，结合RBAC96、ARBAC97 模型以及NRBAC模型，构造了一个适合电子政务系统使用的基于角色的安全访问控制模型eGA－NRBAC；利用该访问控制模型解决了电子政务工程中授权管理系统和授权服务系统的工程化实现问题。测试和实际使用都证明了此访问控制模型的正确性、可行性和可靠性。

随着Internet规模的日益扩大，网络各处存储的关键和敏感数据也越来越多，如何保护各网络系统不被非法访问这一问题显得越来越重要。网络信息系统是共享资源和关键敏感数据集中存放的地方，因此必须采取有效的手段来保证信息系统的安全性。

访问控制[5-7]又称安全访问，是指系统能够对资源的访问(包括对资源的各种操作、使用)进行控制，保证只有对资源拥有访问权限的主体才能访问资源。一般说来，一个系统中几乎所有的资源都需要访问控制，只是所需的访问控制强度不同，这是由系统的安全策略决定的。其中使用的访问控制技术就是通过不同的手段和策略实现网络上的安全访问，有效地维护系统的保密性、完整性和可控性。

PMI中的访问控制是为了限制主体对客体的访问权限，从而使被访问资源在合法范围内使用；访问控制机制根据主体的授权信息来决定主体能做什么，及做到什么程度。访问控制策略是指授权体系中的访问验证者根据何种依据向系统返回特权持有者是否能够访问某些资源以及对这些资源能够进行何种操作的判断依据或方法。所以，如何建立一个安全、有效、实用的访问控制模型在PMI授权体系别重要。

PMI是一个比较新的研究课题，X.509(1997)版引入了属性证书的概念。属性证书处理关于用户授权行为的属性，但是这一概念定义的不完善，对于想要实现这一系统的用户基本没有什么帮助。X.509（2000）协议对属性证书和PMI框架做了大致的描述，目前许多和PMI相关的研究和应用都是基于此协议的。

PMI模型[15-17]主要围绕特权的分配使用和验证来进行。属性证书框架通过以下几个模型来描述权限的流转和使用，勾勒系统的大致架构。借助这些模型，我们可以明确PMI中的主要相关实体，主要操作进程，以及交互的内容。

2 特权授权模型

在一些环境中有可能需要特权的委托，所以这是一个可选架构，并不一定要求用在所有的环境中。授权模型又4个组件：特权检验员，SOA（信任源），其它AAs和特权声称者。如图1所示。

这里SOA是证书的最初者，它可以直接指派特权给特权持有者。然而在实际应用中，SOA批准特权持有者作为AA。AA可以继续对最终实体授权或者对其它AA进行更深委托，此委托通过将自己所拥有的特权（或其中一个子集）以证书的形式签发给其它的实体。SOA能施加约束给下层的AA（例如约束路径长度，约束能被实施的委托的名空间）。同样，每一个中间层的AAs也能通过相同的方式来约束更下游AAs。

X.509中定义PMI的一个重要的原则是：AA所能授予实体的特权不能超出它自己拥有的特权范围。所以，下游AA可能会比上游AA受到更多的限制。

如果特权声称者的证书不是由SOA签发的，则特权检验员必须定位一条证书的委托路径并从这个特权声称员所持证书上溯到由SOA发行的证书去。委托路径的确认必须包含检查每一个AA是否有足够的特权来签发授权证书。

特权是通过属性证书的方式被有效的转让，属性证书的委托路径是不同于用于确认包含在委托过程中的实体的公钥证书的证书确认路径。委托路径包含完整的属性证书或完整的公钥证书。一个委托人在一个可委托的属性证书中获得它的特权，如果被授权，则通过签发的属性证书获得特权。同样一个委托人在公钥证书中获得它的特权，如果被授权，能仅通过并发的公钥证书的发行委托。一个AAs能委托特权。目标实体不能。

3 特权管理模型

PMI特权管理体系结构一般由三部分组成:对象(Object)、特权声称者(Privilege Asserter)和特权验证者(Privilege Verifier)。其中对象指的是受保护的资源。例如在访问控制应用中，对象就是指被访问的资源。这种类型的对象常具有一定的援引方法。如当对象是某文件系统中的文件时，则该文件具有“读”、“写”和“执行”等对象方法。特权声称者即指拥有一定特权并针对某一特定服务声称具有其权限的实体。特权验证者指的是根据用户声称的特权对其是否享有某一服务作出判断的实体。

特权验证者在获得用户的属性证书后，将依据以下四点判断是否允许该用户访问某一资源(见图2)：

1) 特权声称者的权限(Privilege of the Privilege Asserter)。封装在特权声称者属性证书(或公钥证书中的SubjectDirectoryAttributes主体目录属性扩展字段)中的属性。特权持有者的权限反映了证书发放机构对其的信任程度。

2) 权限策略(Privilege Policy)。规定访问某一特定对象所需权限的最小集合或门限。它精确地定义了特权验证者为了允许特权持有者访问某一请求对象、资源或应用服务应包含的特权集。权限策略因其完整性和真实性应受到严密的保护。

3) 当前环境变量(Current Environment Variables)。特权验证者在进行访问控制判断时依据权限策略规定需要使用的一些参数，如访问时间，请求者的源地址。需要注意的是，环境变量的提交完全是一种局部事件。

4) 对象方法的敏感度(Sensitivity of the Object Method).它反映了将要处理的文档或请求的属性，文件内容的机密等级等。对象方法的敏感度既可以显式地加密于联合安全标签中或由对象方法支持的属性证书内，也可以隐式地封装于数据对象的数据结构中。当然，它也可以用其他方法进行加密。在一些应用环境中，对象方法的敏感度是不需要的。如图2所示。

将特权验证者与任意属性权威从进行任意绑定是没有必要的。正如特权持有者可以拥有许多不同从颁发给他的属性证书，特权验证者也可以验证由多个AA的证书。

4 属性证书的获取模型

X.509中对于属性证书到特权验证者的传输机制目前定义有两种:一种是“Push"机制，另一种是，"Pull”机制[8,18]。在“Push"机制中，用户从证书库中取出自己的属性证书，而后把它作为对象请求的一部分连同公钥证书一起发送给特权验证者以获得访问权限;而在‘`Pull”机制中用户只需把公钥证书传递给特权验证者，特权验证方在认证了用户身份后再自行从证书库中查找所需用户的属性证书。

分析表明，两种机制各有自身的优缺点。"push'，机制实现起来相对简单，不需要特权验证者对目录中的相关属性证书进行查找，验证效率较高，可提高系统性能。但它需要改变已有客户和服务器间的通信协议，并且系统的灵活性较"Pull"机制要差一些，处理一些例外情况比较复杂，如属性证书的撤销问题等。而"Pull"机制参照X.509的标准惯例，颁发的证书以X.500目录形式管理。实施中可沿用己有的通信协议，不需对现有客户端做大的修改，同时系统的灵活性较好，可由特权验证者加入自定义的一些检查步骤。至于应用系统中采用哪种方式应根据具体环境及要求决定。

随着计算机网络技术的发展，网络上各系统的互联也得到越来越多的重视，人们在享用其带来的一系列好处的同时，不得不投入大量精力解决它带来的安全问题，尤其是在对安全性要求较高的应用领域。对所有访问资源的网络行为进行有效的控制是其中的一个重要组成部分。基于角色的访问控制(RBAC)是近年来应用在访问控制研究领域的一个重要策略，它为访问控制研究注入新的血液，得到越来越广泛的重视，但现在真正可以应用到电子政务中的RBAC模型并不多，而已有的一些模型总是存在不能很好地反映电子政务中的实际的问题，本文便是针对这一现状提出了一种适合政务系统中使用的模型。

5 结束语

本文提出了一个适合电子政务环境基于属性证书的访问控制模型。面对国家信息化的飞速发展和各式各样的安全需求，现有模型还需要在更大规模的应用环境中进行验证和完善，基于该模型实现的系统还有许多环节和流程需要改进，进一步提高系统的稳定性和运行效率。

1) 现有模型在支持基于任务的访问控制方面还有许多不足之处，这是我们下一步研究的重点内容。

2) 现有系统的实现是先定义属性项及其值集，并由AA预先角色及角色

的属性，并且已定义的属性值集上的各种运算也是预先定义的。这样在属性项较少、属性值集明确的前提下容易保证某一属性及其值集的完备性，但是属性集比较大时，每当新增加一种属性，属性集的完备性及每项属性的非互斥性就难以保证。如何解决这一问题有待探讨。

3) 在授权服务系统做访问控制时，是根据用户的公钥证书查找属性证书库中

用户的属性证书的，这在属性证书库数目比较少的情况下，可以采用遍历的方法来查找。但在属性证书库数目较多时，这种查找方式效率比较低。这是一个需要近一步研究的问题。

参考文献:

[1] 国家信息安全工程技术研究中心，国家信息安全基础设施研究中心版.电子政务总体设计与技术实现[M]．北京:电子工业出版社，2003:1-7.

[2] 蒋辉柏. 密钥管理系统中高性能密钥恢复方案的设计与实现．西安：西安电子科技大学，2003.

[3] William Stallings． 密码编码学与网络安全:原理与实践．第二版．杨明，胥光辉，齐望东等译． 北京：电子工业出版社，2001．130-160.

[4] 关振胜.公钥基础设施PKI与认证机构CA[M]．北京：电子工业出版社，2002:1-197.

[5] R.S.Sandhu and P．Samarati． Access Control: Principles and Pratice． IEEE Communciation Magazine，1994,23:40-48.

[6] T.Y.C.Woo and S．S．Lam．Authentication for Distributed Systems．IEEE Computer，1992,25:39-52.

[7] R.S.Sandhu．Lattice-Based Access Control Models．IEEE Computer，1993,26:9-19.

[8] S.Farrell， R． Housley． An Internet Attribute Certificate Profile for Authorization．rfc3281，April 2002,2-30./rfc/rfc3281.txt.

[9] D.Pinkas,R.Housley.Delegated Path Validation and Delegated Path Discovery Protocol Requirements．rfc3379， September 2002.2-16. http：//www．ietf．org/rfc/rfc3379．txt.

[10] S.Chokhani，W.Ford, R.Sabett et al.Internet X．509 Public Key InfrastructureCertificate Policy and Certification Practices Framework.rfc3647， November 2003．9～53． http：//www．ietf．org/rfc/rfc3647．txt

[11] S.Santesson, M.Nystrom,T.Polk.Internet X．509 Public Key Infrastructure：Qualified Certificates Profile．rfc3739， March 2004．4～14.http：//www．ietf．org/rfc/rfc3739．txt

[12] W． Polk， R． Housley， L． Bassham． Algorithms and Identifiers for the Internet X．509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile．rfc3279， April 2002．4～7． http：//www．ietf．org/rfc/

rfc3279.txt.

[13] S.Boeyen，T． Howes．P.Richard． Internet X．509 Public Key Infrastructure Operational Protocols - LDAPv2．rfc2559， April 1999．1～12.http：//www.ietf．org/rfc/rfc2559．txt

[14] Andrew Nash等． 公钥基础设施（PKI）：实现和管理电子安全．张玉清等译．北京：清华大学出版社．2002:393-407.

[15] 谭寒生．授权管理基础设施PMI的研究及原型设计与实现 ．成都：电子科技大学，2003.

[16] 许长枫． PMI属性证书授权机制的应用研究．成都：西南交通大学，2003.

[17] 李俊娥，王娟．PKI与PMI联合安全认证系统及其设计．计算机应用，2002,22:7-10

[18] 许长枫，刘爱江，何大可． 基于属性证书的PMI及其在电子政务安全建设中的应用．计算机应用研究，2004，第1期：119～122

[19] Janie Jaworski．Java安全手册．北京：电子工业出版社，2001:1-56.

[20] 李伟琴，杨亚平．基于角色的访问控制系统．电子工程师．2000(2):11-14.

[21] 龚检，陆最，王倩．计算机网络安全导论．南京：东南大学出版社，2000.

[22] 张绍莲，茅兵，谢立．访问控制技术的研究和进展．计算机科学．2001.

[23] 李军，孙玉方．计算机安全与安全模型．计算机研究与发展．1996(4):22-25.

[24] 刘怀宇，李伟琴．浅谈访问控制技术．电子展望与决策．1999(1):19-22.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文