呂環(huán)宇，鄢楚平

（華北計算技術(shù)研究所，北京 100083）

基于WoT的訪問控制的設(shè)計與實現(xiàn)

呂環(huán)宇，鄢楚平

（華北計算技術(shù)研究所，北京 100083）

Web of Things（WoT）就是把物聯(lián)網(wǎng)和Web技術(shù)結(jié)合起來，將物聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境中的設(shè)備抽象為資源和服務(wù)能力連接到Web空間。針對WoT技術(shù)，當(dāng)前存在的訪問控制模型并不完全適用。因此本文結(jié)合了基于角色的訪問控制模型和基于屬性的訪問控制模型，并在基于WoT思想的“物聯(lián)網(wǎng)通用體系架構(gòu)”的基礎(chǔ)上，設(shè)計一個訪問控制子模塊，展開對滿足物聯(lián)網(wǎng)特性的訪問控制機制的研究和實現(xiàn)，提出一種改進的訪問控制機制。在基于角色的訪問控制基礎(chǔ)上增加屬性的判斷，從而在保留基于角色訪問控制優(yōu)點的同時實現(xiàn)自動分配權(quán)限的功能。

訪問控制；基于角色的訪問控制；基于屬性的訪問控制; 物聯(lián)網(wǎng)

本文著錄格式：呂環(huán)宇，鄢楚平. 基于WoT的訪問控制的設(shè)計與實現(xiàn)[J]. 軟件，2016，37（12）：153-156

0 引言

Web of Things（WoT）是近幾年提出的把Web和物聯(lián)網(wǎng)技術(shù)相結(jié)合的技術(shù)實現(xiàn)形式，利用Web中REST風(fēng)格架構(gòu)的靈活和易用等優(yōu)勢，解決傳統(tǒng)物聯(lián)網(wǎng)系統(tǒng)中存在的架構(gòu)封閉化、耦合度高和擴展性差等問題，使得物聯(lián)網(wǎng)上的設(shè)備和業(yè)務(wù)更容易接入與訪問。

WoT技術(shù)使得物聯(lián)網(wǎng)環(huán)境更加開放，用戶使用Web進行訪問更加便捷快速。但隨之而來的安全問題也日益顯著，而訪問上的安全問題則成為其中重要的一部分。在傳統(tǒng)的基于角色、基于身份的訪問控制模型中，由于物聯(lián)網(wǎng)中系統(tǒng)、設(shè)備的位置不斷變化，訪問者的身份、地點等也在隨之改變。這樣的動態(tài)性導(dǎo)致了無法預(yù)知附近訪問者的權(quán)限從未提前分配；又加之物聯(lián)網(wǎng)中對某一信息的訪問者往往數(shù)量巨大，這也增加了提前分配權(quán)限的工作量，使之難以實現(xiàn)。而基于屬性的訪問控制根據(jù)用戶的屬性特點，使用提前預(yù)設(shè)的規(guī)則將用戶歸類，進而能夠動態(tài)的分配權(quán)限，雖然能夠解決動態(tài)性這一問題，但單純的基于屬性的訪問控制授權(quán)過程復(fù)雜、不靈活，不能滿足實時性[1]；同時規(guī)則的數(shù)量也會隨著用戶和屬性的增加而急劇膨脹。

因此，本課題在基于WoT思想的“物聯(lián)網(wǎng)通用體系架構(gòu)”的基礎(chǔ)上，設(shè)計一個訪問控制子模塊，展開對滿足物聯(lián)網(wǎng)特性的訪問控制機制的研究和實現(xiàn)，提出一種改進的訪問控制機制——基于角色和屬性的混合訪問控制。在基于角色的訪問控制模型的基礎(chǔ)上增加屬性的判斷，從而在保留基于角色訪問控制優(yōu)點的同時實現(xiàn)自動分配權(quán)限的功能。

1 訪問控制模型概述

1.1 基于角色的訪問控制模型

基于角色的訪問控制模型是在1992年由美國國家標(biāo)準(zhǔn)化和技術(shù)委員會的Ferraiolo等人提出的，該模型的核心思想是在用戶和系統(tǒng)訪問權(quán)限之間加入角色的概念[2]，將系統(tǒng)的訪問權(quán)限與角色建立對應(yīng)關(guān)系，為不同的角色分配不用的權(quán)限[1]。然后在用戶訪問系統(tǒng)時為其分配角色，這樣將用戶和權(quán)限相關(guān)聯(lián)，系統(tǒng)為用戶分配不同的角色就可以實現(xiàn)不同用戶的訪問控制?；诮巧脑L問控制基本模型如圖1所示：

圖1 基于角色的訪問控制模型

在圖1中可以看出，基于角色的訪問控制模型擁有三個基本概念。用戶[3]：用戶是一個主體，在物聯(lián)網(wǎng)系統(tǒng)中是指對設(shè)備信息或者數(shù)據(jù)進行訪問的人或應(yīng)用。角色[4]：角色是模型中核心的概念，是權(quán)限的集合。角色作為用戶和權(quán)限之間的中間層，將用戶和權(quán)限結(jié)合起來。不同的角色通過不同是權(quán)限來實現(xiàn)各自的功能。權(quán)限[5]：權(quán)限是對物聯(lián)網(wǎng)系統(tǒng)中數(shù)據(jù)或者其他資源進行訪問的一種許可。例如對溫度傳感器中數(shù)據(jù)讀取或者開關(guān)的控制都是一種權(quán)限。

1.2 基于屬性的訪問控制模型

基于屬性的訪問控制和基于角色的訪問控制模型所包含的基本元素大體相同，都包括了訪問主體、被訪問的資源、訪問方式和外界條件[6]?；趯傩缘脑L問控制是隨著分布式系統(tǒng)的發(fā)展而被提出的，目的在于解決分布式應(yīng)用中的訪問控制問題。該模型的基本思想是：訪問控制以實體的屬性作為基礎(chǔ)進行授權(quán)決策，它可以隨著實體屬性的變化，動態(tài)地更新訪問控制策略，從而提供一種更加靈活的、細(xì)粒度的動態(tài)訪問控制方法。在基于屬性的訪問控制模型中，屬性是訪問控制策略授權(quán)判斷的依據(jù)和基礎(chǔ)，用戶滿足訪問控制策略中規(guī)定的屬性條件即可獲得策略規(guī)定的訪問權(quán)限。并且，主體、資源統(tǒng)一用屬性來描述，每個元素的屬性可以根據(jù)系統(tǒng)的實際需求來定義。

2 基于WoT的體系架構(gòu)概述

2.1 物聯(lián)網(wǎng)通用體系架構(gòu)

針對WoT的思想，該項目中提出了一套完整的針對物聯(lián)網(wǎng)核心基礎(chǔ)設(shè)施的新型的物聯(lián)網(wǎng)通用體系架構(gòu)。通用體系架構(gòu)將物體和應(yīng)用分離，在物體和應(yīng)用間添加一個中間層，即物聯(lián)港支撐系統(tǒng)，成為應(yīng)用的共性支撐。物聯(lián)港支撐系統(tǒng)對下供物體接入并進行服務(wù)封裝，對上提供便捷統(tǒng)一的開發(fā)接口支持應(yīng)用構(gòu)建。同時采用通用體系架構(gòu)的物聯(lián)網(wǎng)系統(tǒng)之間可以實現(xiàn)互聯(lián)互通互操作，為用戶提供通用的物聯(lián)網(wǎng)應(yīng)用共性支撐平臺。在物聯(lián)網(wǎng)的體系建設(shè)中，起到承上啟下的橋梁作用，實現(xiàn)對物體統(tǒng)一描述與接入、統(tǒng)一標(biāo)識與尋址、統(tǒng)一服務(wù)封裝與調(diào)用。

2.2 物聯(lián)港支撐系統(tǒng)

物聯(lián)港支撐系統(tǒng)是構(gòu)建物聯(lián)港的軟件系統(tǒng)，利用物聯(lián)港支撐系統(tǒng)，可以在服務(wù)器、PC或者嵌入式設(shè)備上構(gòu)建硬件承載方式、規(guī)模大小不同的物聯(lián)港系統(tǒng)，支撐多樣化的物聯(lián)網(wǎng)物體接入和應(yīng)用構(gòu)建方式。其基本功能包括支持物體的注冊、接入和管理，支持便捷的物體感知/控制數(shù)據(jù)傳輸，支持物體服務(wù)的封裝及事件訂閱。

2.3 PE（Physical Entity）

PE是具有可交互接口的設(shè)備在物聯(lián)港內(nèi)對應(yīng)的數(shù)字對象，其對應(yīng)物體世界中確定的物體。PE具有屬性和接口，直接支撐VE的生成、開發(fā)和運行，可以利用PE配置工具生成。PE中描述的接口需要符合E-things物聯(lián)港接口規(guī)范。

2.4 VE（Visual Entity）

VE是虛擬實體的簡稱，是物聯(lián)港內(nèi)具有統(tǒng)一服務(wù)化接口的數(shù)字實體。VE是物聯(lián)港系統(tǒng)內(nèi)直接與應(yīng)用發(fā)生交互的對象，在應(yīng)用看來，對物體的操作實際是對VE的操作。VE既可以由PE自動生成和部署，也可以利用VE開發(fā)支持框架開發(fā)VE模板然后進行部署。

3 訪問控制系統(tǒng)的設(shè)計

訪問控制系統(tǒng)基于上述物聯(lián)網(wǎng)通用體系架構(gòu)設(shè)計，該訪問控制模塊具有如下幾個功能：認(rèn)證訪問物聯(lián)網(wǎng)平臺服務(wù)的用戶/應(yīng)用，只有認(rèn)證合法的用戶/應(yīng)用才允許對物聯(lián)港進行訪問。鑒定用戶/應(yīng)用的對物聯(lián)網(wǎng)平臺中資源的訪問權(quán)限，只有鑒定通過的用戶/應(yīng)用才允許對平臺中的資源進行訪問。授予用戶/應(yīng)用對對物聯(lián)網(wǎng)平臺中資源的訪問權(quán)限，具體包括授予服務(wù)擁有者對物體的開發(fā)權(quán)限、授予用戶/應(yīng)用對服務(wù)的訪問權(quán)限。管理用戶信息，包括第三方應(yīng)用，VE擁有者，PE擁有者的注冊信息，以及VE擁有者，PE擁有者擁有的資源的信息。

如圖2所示，根據(jù)訪問控制系統(tǒng)需要實現(xiàn)的功能，該系統(tǒng)具有如下幾個模塊：授權(quán)模塊、用戶管理模塊、資源管理模塊。

3.1 授權(quán)模塊

圖2 訪問控制系統(tǒng)總體架構(gòu)圖

授權(quán)模塊負(fù)責(zé)為第三方應(yīng)用（VE擁有者）發(fā)放訪問令牌，并管理訪問令牌。包括授權(quán)碼管理，令牌管理，對外服務(wù)端口等子模塊

對于第三方應(yīng)用來說，可以通過授權(quán)碼模式或者客戶端模式申請訪問令牌。在客戶端模式下，第三方應(yīng)用以自己的名義向授權(quán)服務(wù)器申請某些權(quán)限。在授權(quán)碼模式下，是物聯(lián)港用戶將自己的某些權(quán)限授權(quán)給第三方應(yīng)用。

在客戶端模式下，具體訪問流程如下：

1）第三方應(yīng)用在物聯(lián)港注冊之后。第三方應(yīng)用通過客戶端模式向物聯(lián)港申請某些權(quán)限。

2）授權(quán)服務(wù)器將第三方應(yīng)用的信息與授權(quán)規(guī)則進行匹配，將匹配成功的權(quán)限授予給第三方應(yīng)用。

3）授權(quán)服務(wù)將訪問令牌和刷新令牌返回給第三方應(yīng)用。

在授權(quán)碼模式下，具體訪問流程如下：

1）第三方應(yīng)用向授權(quán)服務(wù)器申請授權(quán)碼。

2）授權(quán)服務(wù)器對VE擁有者進行認(rèn)證。

3）對VE擁有者認(rèn)證成功后，返回VE擁有者所擁有的所有權(quán)限信息。

4）VE擁有者選擇要授予的權(quán)限，并同意授權(quán)。

5）授權(quán)服務(wù)器生成授權(quán)碼返回給第三方應(yīng)用。

6）第三方應(yīng)用攜帶授權(quán)碼換取訪問令牌。

7）授權(quán)服務(wù)器通過授權(quán)碼生成相應(yīng)的訪問令牌和刷新令牌，將其返回給第三方應(yīng)用。

3.2 用戶管理模塊

對物聯(lián)港來說，VE擁有者，PE擁有者和第三方應(yīng)用都屬于物聯(lián)港的用戶。用戶管理模塊主要作用是提供用戶注冊，用戶登錄，用戶信息修改，管理用戶信息等基本功能。用戶在物聯(lián)港內(nèi)注冊成為物聯(lián)港用戶，物聯(lián)港將注冊信息轉(zhuǎn)發(fā)給授權(quán)服務(wù)器。

授權(quán)服務(wù)器驗證注冊信息的有效性，將注冊結(jié)果返回給物聯(lián)港。VE擁有者，PE擁有者在物聯(lián)港內(nèi)進行任何操作之前首先需要登錄，物聯(lián)港將登錄信息轉(zhuǎn)發(fā)給授權(quán)服務(wù)器。授權(quán)服務(wù)器驗證登錄信息的合法性，將登錄結(jié)果返回給物聯(lián)港。用戶可以在已登錄的基礎(chǔ)上修改個人信息，物聯(lián)港轉(zhuǎn)發(fā)該請求到授權(quán)服務(wù)器。授權(quán)服務(wù)器驗證合法性和有效性，將修改結(jié)果返回給物聯(lián)港。

3.3 資源管理模塊

物聯(lián)港內(nèi)的資源包括VE向外提供的服務(wù)，PE提供的操作。同時，VE的生成是依賴與PE的。資源管理模塊的主要工作就是負(fù)責(zé)PE和VE的管理，包括生成PE，生成VE同時負(fù)責(zé)管理每一個PE與其操作的對應(yīng)關(guān)系，每一個VE的服務(wù)與PE的對應(yīng)關(guān)系。模塊內(nèi)使用PE的操作和VE的接口都用一個抽象的Resource對象來表示。

PE擁有者，VE擁有者在成功登陸之后可以進行PE生成和VE生成操作。PE擁有者在物聯(lián)港內(nèi)生成PE，填寫相應(yīng)的PE信息，物聯(lián)港將PE信息轉(zhuǎn)發(fā)到授權(quán)服務(wù)器。授權(quán)服務(wù)器驗證PE擁有者的合法性，返回PE生成結(jié)果。VE擁有者在物聯(lián)港生成VE，填寫相應(yīng)的VE信息，并選擇要綁定的PE及接口。物聯(lián)港將生成VE的請求轉(zhuǎn)發(fā)到授權(quán)服務(wù)器。授權(quán)服務(wù)器內(nèi)部驗證VE的合法性，并將VE與要綁定的PE接口所對應(yīng)的授權(quán)規(guī)則進行匹配，若匹配成功則VE成功生成，否則生成失敗。授權(quán)服務(wù)器將生成結(jié)果信息返回給物聯(lián)港。

3.4 鑒權(quán)模塊

獲得訪問令牌的第三方應(yīng)用調(diào)用VE的服務(wù)，或者VE調(diào)用PE的操作時，都要攜帶訪問令牌到物聯(lián)港請求要調(diào)用的資源，物聯(lián)港將該請求轉(zhuǎn)發(fā)到授權(quán)服務(wù)器，授權(quán)服務(wù)器對該訪問令牌進行鑒權(quán)，將鑒權(quán)結(jié)果返回給物聯(lián)港，若鑒權(quán)成功，物聯(lián)港即將所請求的資源返回給調(diào)用者。

4 結(jié)論

本文中所述的在傳統(tǒng)的基于角色的訪問控制模型基礎(chǔ)上與基于屬性的訪問控制相結(jié)合，提出一種優(yōu)化的適于WoT技術(shù)的訪問控制系統(tǒng)。與傳統(tǒng)的訪問控制相比，具有高效、靈活等特點，更適用于物聯(lián)網(wǎng)中設(shè)備數(shù)量多、種類多，訪問者身份、位置動態(tài)變化的環(huán)境。同時，該系統(tǒng)的應(yīng)用實踐也表明所述的模型實現(xiàn)了對物聯(lián)網(wǎng)系統(tǒng)中權(quán)限的控制和管理。

[1] 王小明, 付紅, 張立臣. 基于屬性的訪問控制研究進展[J].電子報, 2010, 38, No.7.

[2] 楊庚, 沈劍剛, 容淳銘. 基于角色的訪問控制理論研究[J].南京郵電大學(xué)學(xué)報: 自然科學(xué)版, 2006, 26(3): 1-8.

[3] 曹天杰, 張永平. 管理信息系統(tǒng)中基于角色的訪問控制[J].計算機應(yīng)用, 2001, 21(8): 198-201.

[4] 吳薇. 基于角色的訪問控制技術(shù)的用戶權(quán)限管理及實現(xiàn)[J]福建電腦, 200, 11: 176-177.

[5] 栗龍, 盧山. 物流信息系統(tǒng)中RBAC模型角色繼承關(guān)系的研究與實現(xiàn)[J]. 軟件, 2013, 34(7): 15-18.

[6] 李曉峰, 馮登國, 陳朝武, 等. 基于屬性的訪問控制模型[J]. 通信學(xué)報, 2008. 29 (4): 90-99.

[7] 常豆, 宋美娜, 楊俊. 一種基于角色和數(shù)據(jù)項的訪問控制方式[J]. 軟件, 2014, 35(7): 40-43.

[8] 韓金松. 基于角色權(quán)限的投票測評系統(tǒng)的設(shè)計與實現(xiàn)[J].軟件, 2013, 34(9): 47-48.

[9] 趙凱, 汪衛(wèi)平. 數(shù)字化校園中基于角色的權(quán)限控制[J]. 軟件, 2014, 35(11): 22-24.

[10] 劉志杰. 物聯(lián)網(wǎng)技術(shù)的研究綜述[J]. 軟件, 2013, 34(5): 164-165.

[11] 沈海波, 洪帆. 訪問控制模型研究綜述[J]. 計算機應(yīng)用研究, 2005, No. 6: 9-11.

Design and Implementation of an Access Control Method Based on WoT

LV Huan-yu, Yan Chu-ping

(North China Institute of Computing Technology, Beijing 100083)

Web of Things (WoT) combines the Internet of Things and Web technology,and takes devices as resources and service capabilities to connect to the Web space. For WoT technology, the existing access control model is not fully applicable. Therefore, this paper combines the role-based access control model and attribute-based access control model, and designs an access control sub-module based on the general architecture of Internet of Things. Then this paper proposes an improved access control mechanism which can retain the advantages of role-based access control while achieving the function of automatic allocation of permissions.

Access control; Role-based access control model; Attribute-based access control model; Web of things

TP391

A

10.3969/j.issn.1003-6970.2016.12.032

呂環(huán)宇(1992-)，男，研究生，計算機系統(tǒng)結(jié)構(gòu)；鄢楚平(1965-)，男，研究員，通信與移動計算技術(shù)。