孔 震 畢 嵐

（1、國(guó)網(wǎng)電力科學(xué)研究院信息技術(shù)研究所，江蘇 南京 210003 2、南京郵電大學(xué)理學(xué)院，江蘇 南京 21003）

1 引言

隨著企業(yè)信息化程度的不斷提高，越來(lái)越多的關(guān)鍵性數(shù)據(jù)和業(yè)務(wù)被納入企業(yè)信息系統(tǒng)進(jìn)行管理。為能有效控制不同用戶對(duì)不同數(shù)據(jù)和業(yè)務(wù)的處理權(quán)限，從而界定用戶職責(zé)、劃分工作范圍，增強(qiáng)信息系統(tǒng)的安全性及協(xié)同工作效率，信息系統(tǒng)必須具有完備、靈活的權(quán)限控制方法。本文主要論述了一種基于安全域的、高復(fù)用性的信息系統(tǒng)訪問(wèn)權(quán)限控制策略，以及其在企業(yè)信息系統(tǒng)中的典型應(yīng)用方案。

2 基于角色的訪問(wèn)控制模型

基于RBAC 模型進(jìn)行信息系統(tǒng)安全訪問(wèn)控制是目前業(yè)界信息系統(tǒng)的常見(jiàn)實(shí)現(xiàn)方法。RBAC 模型中的核心概念包括訪問(wèn)權(quán)限（Privilige）、角色（Role）和用戶（User）。訪問(wèn)權(quán)限是對(duì)信息系統(tǒng)中某種業(yè)務(wù)數(shù)據(jù)或操作的執(zhí)行權(quán)限的概括性描述，其本身并不直接體現(xiàn)哪些用戶可以擁有該權(quán)限。訪問(wèn)權(quán)限的常見(jiàn)命名方式有兩種：一、名詞結(jié)構(gòu)，以“權(quán)”作為名稱結(jié)尾，如“請(qǐng)假單審批權(quán)”；二、動(dòng)賓結(jié)構(gòu)，如“審批請(qǐng)假單”。上述兩種方式均表示一種具有審批請(qǐng)假單的業(yè)務(wù)權(quán)限。角色是對(duì)信息系統(tǒng)中一組訪問(wèn)權(quán)限集合的抽象描述，一個(gè)角色可以包含一個(gè)或多個(gè)訪問(wèn)權(quán)限。角色均以名詞命名，并通常與崗位名稱相同，如“部門(mén)經(jīng)理”。用戶是對(duì)信息系統(tǒng)操作人員的一種表述形式，即通常所說(shuō)的系統(tǒng)帳號(hào)，其命名只需遵循唯一性原則即可。

在基于RBAC 模型構(gòu)建的信息系統(tǒng)中，用戶、角色和訪問(wèn)權(quán)限間的關(guān)系如圖表1 所示。角色與用戶間存在多對(duì)多關(guān)系，即一個(gè)角色可以包含多個(gè)用戶，且一個(gè)用戶可以擁有多個(gè)角色；訪問(wèn)權(quán)限不直接與用戶綁定，而是與角色進(jìn)行綁定，即用戶是通過(guò)角色間接與訪問(wèn)權(quán)限建立關(guān)聯(lián)。當(dāng)用戶登錄信息系統(tǒng)時(shí)，用戶擁有的角色集合已被事先定義，在其訪問(wèn)指定數(shù)據(jù)或業(yè)務(wù)前，信息系統(tǒng)會(huì)判定該用戶擁有的角色集合中是否有角色具備當(dāng)前數(shù)據(jù)或業(yè)務(wù)所需要的訪問(wèn)權(quán)限，若具備則允許用戶訪問(wèn)，否則則禁止。比如，用戶張三擁有部門(mén)經(jīng)理角色，而部門(mén)經(jīng)理角色關(guān)聯(lián)了請(qǐng)假單審批權(quán)，因此，張三有權(quán)進(jìn)行請(qǐng)假單審批。

圖表1 RBAC 模型中用戶、角色和訪問(wèn)權(quán)限間的UML 對(duì)象關(guān)系圖

3 基于安全域的訪問(wèn)控制模型

3.1 基于RBAC 的訪問(wèn)控制模型的優(yōu)缺點(diǎn)分析

基于RBAC 模型的訪問(wèn)權(quán)限控制模型實(shí)現(xiàn)了用戶與訪問(wèn)權(quán)限的邏輯分離，極大的方便了權(quán)限管理。例如，一個(gè)用戶的崗位發(fā)生變化，其處理數(shù)據(jù)和業(yè)務(wù)的訪問(wèn)權(quán)限也隨之發(fā)生變化，此時(shí)，只要將該用戶原先崗位關(guān)聯(lián)的角色去除，并關(guān)聯(lián)新崗位所對(duì)應(yīng)的角色，即可實(shí)現(xiàn)訪問(wèn)權(quán)限的變更。若某崗位的訪問(wèn)權(quán)限發(fā)生變化，需要該崗位的用戶不僅有權(quán)處理表單A，還增加了對(duì)表單B 和表單C 的訪問(wèn)權(quán)限。在用戶直接關(guān)聯(lián)訪問(wèn)權(quán)限的方式下，該崗位所有有權(quán)處理表單A 的用戶（假設(shè)為N 個(gè)）均需增加對(duì)表單B和表單C 的處理權(quán)限，修改權(quán)限策略數(shù)量為2*N；而在角色關(guān)聯(lián)訪問(wèn)權(quán)限的方式下，通常只需將崗位中有權(quán)處理表單A 的唯一角色與表單B 和表單C 的訪問(wèn)權(quán)限關(guān)聯(lián)即可，修改權(quán)限策略數(shù)量為2。綜上所述，基于RBAC 模型進(jìn)行權(quán)限管理，比直接基于用戶進(jìn)行權(quán)限管理要便捷很多。深入分析RBAC 模型可以發(fā)現(xiàn)，RBAC 中的訪問(wèn)控制（Privilige）包含了操作對(duì)象和操作方式兩種元素，如前文所述的“請(qǐng)假單審批權(quán)”是由“請(qǐng)假單”和“審批”組成，“請(qǐng)假單”即操作對(duì)象，“審批”即操作方式。一種操作對(duì)象可對(duì)應(yīng)多種操作方式，如“請(qǐng)假單”除“審批”外，還可能有“申請(qǐng)”、“歸檔”等操作方式；而一種操作方式又可對(duì)應(yīng)多種操作對(duì)象，如“審批”除針對(duì)“請(qǐng)假單”外，還可能針對(duì)“報(bào)銷單”、“采購(gòu)單”等操作對(duì)象。針對(duì)上述情況，基于RBAC 模型進(jìn)行角色授權(quán)時(shí)，勢(shì)必要將角色與各種可能的操作對(duì)象和操作方式組合而成的訪問(wèn)權(quán)限進(jìn)行關(guān)聯(lián)。假設(shè)操作對(duì)象的數(shù)量是M，操作方式的數(shù)量是N，則針對(duì)角色進(jìn)行訪問(wèn)控制授權(quán)的策略數(shù)量為M*N，當(dāng)M、N 較大時(shí)，基于角色的訪問(wèn)權(quán)限管理工作的復(fù)雜度將顯著增加。

3.2 基于安全域的訪問(wèn)控制模型

上述問(wèn)題的根本原因在于RBAC 模型未能細(xì)分訪問(wèn)權(quán)限中的操作對(duì)象和操作方式。從易變性角度分析，信息系統(tǒng)中的操作對(duì)象會(huì)隨著業(yè)務(wù)規(guī)模的變化而頻繁變化，且數(shù)量較大，從100 至10000 不等，甚至更多；而操作方式較為穩(wěn)定，常見(jiàn)的有增、刪、改、查、歸檔等，數(shù)量有限，且能在不同操作對(duì)象間復(fù)用。針對(duì)此分析結(jié)果，本文提出一種新的基于安全域的訪問(wèn)控制模型?；诎踩虻脑L問(wèn)控制模型是RBAC 模型的衍生，其核心是將操作對(duì)象和操作方式分離，并通過(guò)操作對(duì)象和安全域之間的關(guān)聯(lián)關(guān)系表達(dá)權(quán)限控制策略。其間關(guān)系如圖表2 所示。

圖表2 基于安全域的訪問(wèn)控制模型的UML 對(duì)象關(guān)系圖

安全域由一系列角色和操作方式組成，例如，“部門(mén)級(jí)表單管理”安全域的內(nèi)容如下表所示：

圖表3“部門(mén)級(jí)表單管理”安全域內(nèi)容

由上表可見(jiàn)，安全域并非完整的訪問(wèn)控制策略的定義結(jié)果，只有當(dāng)其與具體操作對(duì)象建立關(guān)聯(lián)后方能生效。如將“請(qǐng)假單”與上述“部門(mén)級(jí)表單管理”安全域進(jìn)行關(guān)聯(lián)，則表示“部門(mén)經(jīng)理”和“部門(mén)副經(jīng)理”角色對(duì)“請(qǐng)假單”有“增加、刪除、編輯、讀取”權(quán)限。當(dāng)操作對(duì)象范圍發(fā)生變化時(shí)，如需要部門(mén)擴(kuò)充管理“采購(gòu)單”、“報(bào)銷單”，則只需將“采購(gòu)單”、“報(bào)銷單”和“部門(mén)級(jí)表單管理”安全域進(jìn)行關(guān)聯(lián)，而按常規(guī)的RBAC 模型進(jìn)行管理時(shí)，需要分別針對(duì)“部門(mén)經(jīng)理”、“部門(mén)副經(jīng)理”與“采購(gòu)單”、“報(bào)銷單”及“增加、刪除、編輯、讀取”增加2*2*4=16 條權(quán)限控制策略；當(dāng)某角色的操作方式發(fā)生變化時(shí)，如取消“部門(mén)副經(jīng)理”的“增加、刪除、編輯”操作方式，則只需單點(diǎn)更改“部門(mén)級(jí)表單管理”安全域中的3 條記錄，與之關(guān)聯(lián)的“請(qǐng)假單”、“采購(gòu)單”、“報(bào)銷單”均能自動(dòng)生效，而基于RBAC 模型進(jìn)行管理時(shí)，則需刪除“部門(mén)副經(jīng)理”與“請(qǐng)假單”、“采購(gòu)單”、“報(bào)銷單”及“增加、刪除、編輯”相關(guān)的3*3=9 條權(quán)限控制策略。

4 結(jié)論

綜上所述，基于安全域的訪問(wèn)控制模型在繼承了RBAC 模型通過(guò)角色簡(jiǎn)化權(quán)限訪問(wèn)控制過(guò)程的方法基礎(chǔ)上，進(jìn)一步細(xì)分操作對(duì)象和操作方式，將角色和操作方式封裝為安全域，增強(qiáng)了不同操作對(duì)象間的權(quán)限控制策略的復(fù)用性，進(jìn)而大大簡(jiǎn)化權(quán)限控制策略的維護(hù)過(guò)程。

[1]李孟珂，基于角色的訪問(wèn)控制技術(shù)及應(yīng)用，計(jì)算機(jī)應(yīng)用研究，2000年第17 卷第10 期

[2]喬穎，一種基于角色訪問(wèn)控制(RBAC)的新模型及其實(shí)現(xiàn)機(jī)制，計(jì)算機(jī)研究與發(fā)展 ，2000，1.

[3]李細(xì)雨，基于粒邏輯的擴(kuò)展RBAC 模型，浙江師范大學(xué)學(xué)報(bào)：自然科學(xué)版，2009年第32 卷第3 期

[4]李金雙，HARBAC：基于分級(jí)管理思想的RBAC 層級(jí)管理模型，小型微型計(jì)算機(jī)系統(tǒng).