刘友武

（三明学院经济与管理学院 福建省三明市 365004）

随着人工智能技术，物联网及5G 通信技术的快速发展，高校信息化水平的不断提升,更新换代速度加快。长时期的信息化发展，让高校网络环境越发复杂。信息时代，师生的认知水平不断提升，对信息资源的期望也随之增强。师生期望能够无时空限制，灵活便捷的访问无所不在的信息资源。近些年移动平台的接入、跨域协同访问以及在线边界局部访问等新型访问控制需求的出现也给高校信息化部门提出了更高的安全要求。高校教学方式呈现多样化，在线教学的有效性也给学校提出了从未面临的问题。在复杂的网络环境下，用户的各种行为除了本向具有的角色和安全等级以外，所处的环境、时间、物理位置以及所使用的软硬件平台和平台所经由的网络等因素都将对访问控制的授权产生重要影响。

Web 服务作为高校的对外宣传的重要窗口历来受到各级领导的重视。随着信息化的不断发展，要求Web 服务更加开放以及资源的共享性，但是正是由于Web 的开放性和资源的共享性在提高用户满意度的同时也给网络资源的安全性提出了更高要求。目前高校经过几十年的信息化发展，信息化环境错综复杂，如何构建与行为、多级安全相关联的访问控制适应动态的变化因素，为师生及其它用户提供跨时空及灵活便捷且安全高效的访问服务,如何在Web 服务的提升效率的同时又能做好统一管理，已经成为当前迫切需要解决的问题。

1 相关工作

近些年，许多学者提出了很多访问控制模型。文献[1]完整的阐述了一点ARBAC97 的模型、Generic WA-RBAC[2]及Fuzzy RBAC[3]等缺少对时态和环境的约束，应用的广度因此也受到了限制。

结合以上研究，并根据高校的实际情况，本文参考了基于行为的访问控制（ABAC, action-based access control）模型，根据高校组织结构相关稳定，而人员变动较频繁的特点，引用了岗位单元的概念对ABAC 模型进行优化。

2 ABAC访问控制模型

文献[4]提出了RBAC 模型，将传统的RBAC 模型根据实际需求进行改造并给出了形式化的定义。李凤华等人于2008年在这些概念的基础上给出了ABAC 模型的形式化定义[5]。

定义2.1 ABAC 模型具有以下组件

（1）U（用户）、A（行为）、P（权限）和S（会话），其中A=(R,T,E),R、T、E 分别为角色、时态和环境，A 是一个多元因素相互交叉复杂关系，一般用Action 层次树或ACL（access control list）描述。

（5）Constraints，表示约束条件。

图1：ABAC 模型示意

图2：高校Web 应用场景示意

图3：基于ABAC 模型的高校Web 服务访问控制架构

行为集合actions(Si)包括三个方面：角色集合、时态状态集合和环境集合。其中，环境状态集合E 具有十分重要的地位。例如，EL 可以通过GPS 等定位系统获取；EN 可以通过检测是否选用配有TPM 等安全芯片的硬件平台获得。利用上述要素要以对不同的环境E 加以区分。

图1 为ABAC 模型结构示意，其中包含了行为层次、角色层次、环境层次、时态层次。从图1 可以看出ABAC 与RBAC 模型的区别在于行为的结构，行为的状态可以随着角色、时间及环境等变量进行动态变化。因些，通过角色、时间环境等方面的综合考虑，可以便ABAC 模型灵活地处理各种复杂网络环境中的访问问题。

其中环境和时态将对角色的权限产生直接的影响。角色的权限会根据不同的地理坐标网络坐标、硬件状态及软件平台等外部因素作用下发生变化。因此综合考虑到各种因素，ABAC 模型能够灵活地处理复杂网络环境中的访问控制问题。

3 基于ABAC的高校WEB访问控制模型

3.1 高校Web应用场景

信息技术日新月异，5G、边缘计算、云计算、生物计算及量子计算等新技术的发展，使得访问控制技术变得越来越复杂。如图2 所示，高校Web 应用场景示意：

图2 可以看出在复杂的网络环境下，目前高校的访问用户主要包括教师、学生、在聊职工、家长及其它用户等。庞大的用户群体及群体特性要求访问控制具体以下几个功能。

（1）大学资源具体开放共享及动态性。用户在不同的时间、位置、软硬件平台及通过不同网络对校园资源进行访问请求，复杂的情况也给高校的访问控制提出了更高要求。

（2）高校行政教辅人员变动频繁，权限也随着人员变动而需要及时更新。但是现实情况下，由于各种原因，人员变动后权限长时间未得到及时更新，导致工作衔接出现断层而影响工作的效率的问题。

3.2 基于ABAC模型的高校Web服务访问控制架构

校园信息化发展迅速，校园环境和时态也产生了复杂的形态，必须对传统的访问控制进行扩展。文章给出了基于ABAC 模型的高校Web 服务访问控制安全体系架构，该体系结构充分考虑到了高校的实际情况，增加了统一身份认证系统和CA 的安全环节。如图3 所示,基于ABAC 模型的高校Web 服务访问控制架构中，行为判定主要负责用户在系统中的管理行为，资源服务依据不同的对象属性支取资源，并且负责验证用户的消息，响应用户的请求。

3.2.1 新用户行为策略

（1）新用户通过ID，身份认证等信息将请求发送到行为服务系统；

（2）行为服务系统对用户的信息进行存储器；

（3）行为服务系统对用户信息与内部核对，并返回相关信息；

（4）获取环境信息；

（5）通过角色系统对用户进行角色分配；

（6）用户访问CA 并获得公钥，CA 将相关证书发送给用户，对请求进行响应；

（7）行为服务系统对信息进行加密处理；

（8）行为服务系统发送安全消息到交互层。

3.2.2 旧用户行为策略

（1）用户与交互层交换信息；

（2）用户在域名服务系统中对验证信息进行核对；

（3）系统获得用户的ID 等信息；

（4）用户发送资源请求；

（5）系统根据用户角色进行资源等级分配；

（6）资源服务系统再次核对用户生命周期，返回相关消息；

（7）资源服务系统计算资源服务地址和生命周期散列值，并判断返回错误信息；

（8）资源管理系统对公钥进行验证，返回错误信息；

（9）资源管理系统利用私钥解密相关域，并将相关结果返回；

（10）资源服务系统对散列信息进行签名；

（11）系统将安全信息返回相关域。

4 结束语

本文在复杂的网络环境的背景下，引入ABAC 模型并根据高校校园网络实际情况对其进行优化，在学校统一身份认证的基础上增加了CA 模块，在网络安全保障下，有效地提高了高校WEB 服务的效率。与传统的访问控制方法相比，本文提出的模型在细粒度方面表现更做优，同时也增加了访问控制的动态性。今后的研究将搭建和完善实验环境平台，对模型进一步优化。