賈新茹，汪健雄，王紅愛(ài)

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所， 北京 100081）

鐵路客票發(fā)售和預(yù)訂系統(tǒng)（TRS）是一個(gè)復(fù)雜的、實(shí)時(shí)交易的生產(chǎn)系統(tǒng)，該系統(tǒng)覆蓋全國(guó)18個(gè)鐵路局，2000多個(gè)車(chē)站，系統(tǒng)進(jìn)行窗口售票作業(yè)的用戶(hù)有1.6萬(wàn)個(gè)左右，在“黃金周”等節(jié)假日還會(huì)增加10%左右，具有實(shí)時(shí)交易量大，涉及用戶(hù)多，待管理資源多、權(quán)限管理復(fù)雜的特點(diǎn)，同時(shí)系統(tǒng)的業(yè)務(wù)規(guī)則需要嚴(yán)格遵循管理制度的規(guī)定。隨著外部環(huán)境的變化(如需求變更)，系統(tǒng)中的訪(fǎng)問(wèn)控制要素（主體、客體、操作等）將會(huì)發(fā)生變化。因此，找到一種管理方便、代價(jià)較小且適應(yīng)力強(qiáng)、確保系統(tǒng)安全的權(quán)限管理方式是個(gè)值得研究的問(wèn)題，具有重要的現(xiàn)實(shí)意義。

1 訪(fǎng)問(wèn)控制技術(shù)的比較

1.1 自主訪(fǎng)問(wèn)控制（DAC，Discretionary Access Control）

自主訪(fǎng)問(wèn)控制是根據(jù)訪(fǎng)問(wèn)者和它所屬組的身份來(lái)控制對(duì)客體目標(biāo)的授權(quán)訪(fǎng)問(wèn)，即用戶(hù)自主設(shè)置自己的訪(fǎng)問(wèn)權(quán)限，其靈活性較高，但是這種訪(fǎng)問(wèn)控制策略的安全級(jí)別較低。對(duì)于實(shí)際的生產(chǎn)系統(tǒng)存在很大風(fēng)險(xiǎn)，不適合大用戶(hù)量的系統(tǒng)使用。

1.2 強(qiáng)制訪(fǎng)問(wèn)控制(MAC，Mandatory Access Control)

強(qiáng)制訪(fǎng)問(wèn)控制技術(shù)是主、客體事先定義各自的安全級(jí)別，然后嚴(yán)格按照定義約定進(jìn)行訪(fǎng)問(wèn)控制，其優(yōu)點(diǎn)是管理集中，缺點(diǎn)是具體實(shí)現(xiàn)工作量太大，不便管理，缺乏同級(jí)別間的控制機(jī)制。這種控制技術(shù)從確保系統(tǒng)安全的角度符合TRS系統(tǒng)的要求，但會(huì)造成管理員繁重的工作。

1.3 RBAC（Role- based Access Control）的優(yōu)勢(shì)

與 DAC 和 MAC 相比，RBAC訪(fǎng)問(wèn)技術(shù)引入了角色的概念，角色作為用戶(hù)與訪(fǎng)問(wèn)許可權(quán)之間的橋梁，實(shí)現(xiàn)了用戶(hù)與權(quán)限的邏輯分離，用戶(hù)不直接擁有權(quán)限，而是與特定的一個(gè)或多個(gè)角色相聯(lián)系，角色與一個(gè)或多個(gè)訪(fǎng)問(wèn)許可權(quán)相聯(lián)系。該訪(fǎng)問(wèn)控制技術(shù)能有效彌補(bǔ)前兩種訪(fǎng)問(wèn)控制技術(shù)的不足，實(shí)現(xiàn)靈活地權(quán)限管理、系統(tǒng)資源管理和權(quán)限校驗(yàn)等問(wèn)題，降低了權(quán)限管理的復(fù)雜度，縮減了系統(tǒng)維護(hù)管理開(kāi)銷(xiāo)，同時(shí)滿(mǎn)足業(yè)務(wù)協(xié)調(diào)管理的需要，提高TRS系統(tǒng)中用戶(hù)、權(quán)限管理的靈活應(yīng)變能力。

2 RBAC模型介紹

RBAC標(biāo)準(zhǔn)模型體系結(jié)構(gòu)如圖1。

圖1 RBAC模型體系

該模型要解決的問(wèn)題是：“主體”能夠?qū)Α爸黧w”進(jìn)行“權(quán)限允許”的操作。

（1）用戶(hù)：系統(tǒng)的使用者，即完成操作的主體。（2）角色：是權(quán)限的集合。實(shí)現(xiàn)了用戶(hù)和權(quán)限的分離，權(quán)限綁定在角色上，用戶(hù)通過(guò)獲得角色而具有該角色對(duì)應(yīng)的權(quán)限。（3）會(huì)話(huà)：用戶(hù)獲得權(quán)限的過(guò)程。（4）權(quán)限或許可：分為操作和被操作對(duì)象。這部分描述的系統(tǒng)中有資源上允許的操作。（5）UA： 即用戶(hù)與角色的對(duì)應(yīng)，是一個(gè)多對(duì)多的關(guān)系。（6）PA：即權(quán)限與角色對(duì)應(yīng)，也是一個(gè)多對(duì)多的關(guān)系。

3 RBAC在客票系統(tǒng)中的應(yīng)用

3.1 TRS系統(tǒng)中的RBAC模型映射

經(jīng)過(guò)對(duì)業(yè)務(wù)需求的分析、對(duì)系統(tǒng)中權(quán)限以及資源的梳理，同時(shí)結(jié)合業(yè)務(wù)操作相關(guān)的管理規(guī)定，對(duì)于系統(tǒng)中用戶(hù)、權(quán)限、角色以及相應(yīng)之間對(duì)應(yīng)關(guān)系進(jìn)行了界定，提出了TRS系統(tǒng)中RBAC模型，具體如圖2。

（1）操作員：即系統(tǒng)用戶(hù)。系統(tǒng)用戶(hù)分為3層：鐵道部級(jí)、鐵路局級(jí)、車(chē)站級(jí)用戶(hù)；按照完成業(yè)務(wù)種類(lèi)不同進(jìn)行分類(lèi)，包括：售票、退票、訂票、結(jié)賬、計(jì)劃、數(shù)據(jù)、管理員等。 其中各層中由于側(cè)重業(yè)務(wù)的不同所包括的具體業(yè)務(wù)操作員類(lèi)型有所不同。（2）業(yè)務(wù)角色：進(jìn)行相關(guān)業(yè)務(wù)操作的權(quán)限集合，業(yè)務(wù)角色按照實(shí)際業(yè)務(wù)功能進(jìn)行分類(lèi)，主要有：售票、退票、訂票、結(jié)賬、計(jì)劃管理、數(shù)據(jù)維護(hù)、值班管理員角色等。（3）用戶(hù)登錄：是用戶(hù)合法性判斷和用戶(hù)權(quán)限驗(yàn)證的動(dòng)態(tài)過(guò)程，當(dāng)用戶(hù)登錄到系統(tǒng)后，即具有相應(yīng)的角色權(quán)限。（4）權(quán)限許可：包括具體的業(yè)務(wù)操作及對(duì)象，以計(jì)劃員進(jìn)行票額調(diào)整為例，業(yè)務(wù)操作是進(jìn)行票額調(diào)整，操作的對(duì)象為席位。系統(tǒng)中的業(yè)務(wù)操作：售普通車(chē)票、窗口結(jié)帳、票額調(diào)整、列車(chē)加掛、列車(chē)基本信息定義、窗口信息定義、設(shè)備管理等。被操作對(duì)象：席位、進(jìn)款、設(shè)備、數(shù)據(jù)庫(kù)中定義的信息等。（5）用戶(hù)角色分配：管理員進(jìn)行為用戶(hù)分配業(yè)務(wù)角色。（6）角色許可分配：為業(yè)務(wù)角色界定所允許進(jìn)行的業(yè)務(wù)操作及被操作對(duì)象。

圖2 TRS中RBAC的應(yīng)用

3.2 模型應(yīng)用實(shí)現(xiàn)

上述模型在TRS系統(tǒng)中已經(jīng)應(yīng)用實(shí)現(xiàn)。由于涉及實(shí)際生產(chǎn)系統(tǒng)，簡(jiǎn)要列舉其中若干項(xiàng)：

（1）用戶(hù)定義表

用戶(hù)工號(hào) string not null，

用戶(hù)名 string not null，

用戶(hù)歸屬單位代碼 string not null。

（2）角色定義表

角色代碼 string not null，

角色名稱(chēng) string not null。

（3）權(quán)限定義表

權(quán)限代碼string not null，

權(quán)限名稱(chēng)string not null。

（4）用戶(hù)—角色關(guān)系表

用戶(hù)工號(hào) string not null，

用戶(hù)名string not null，

角色代碼string not null。

（5）功能模塊定義表

模塊編碼string not null，

模塊名稱(chēng) string not null。

3.4 角色激活

權(quán)限激活指的是用戶(hù)獲得角色所代表的權(quán)限過(guò)程，該過(guò)程在用戶(hù)登錄系統(tǒng)過(guò)程中完成，其流程如圖3。

圖3 RBAC訪(fǎng)問(wèn)權(quán)限驗(yàn)證流程

3.5 權(quán)限控制策略

3.5.1 自上而下的授權(quán)機(jī)制

TRS系統(tǒng)的權(quán)限管理控制遵循鐵路行政管理模式，采用自上而下、逐級(jí)授權(quán)的機(jī)制。鐵道部為最高管理層，管轄各鐵路局，鐵路局再對(duì)下屬的多個(gè)車(chē)站進(jìn)行管理，最終的作業(yè)終端為各個(gè)售票窗口，系統(tǒng)最終用戶(hù)為售票員以及各層的相關(guān)業(yè)務(wù)人員。每級(jí)的權(quán)限均由上級(jí)進(jìn)行分配，并接受上一級(jí)的監(jiān)督管理。具體架構(gòu)如圖4。

圖4 TRS系統(tǒng)權(quán)限管理體系

3.5.2 X權(quán)限

每一級(jí)管理層使用Z角色進(jìn)行權(quán)限管理，包括用戶(hù)管理和角色管理，其中用戶(hù)管理包括用戶(hù)的增加、刪除、修改以及為用戶(hù)進(jìn)行角色分配。角色管理主要完成角色的配置，完成角色（權(quán)限組）定義、用戶(hù)—角色關(guān)聯(lián)定義等工作。

根據(jù)實(shí)際業(yè)務(wù)管理的需要，在鐵路局管理級(jí)和車(chē)站管理級(jí)中引入了X角色，即超級(jí)管理員權(quán)限，在權(quán)限管理中X角色可以看作是上一級(jí)管理員角色，可以代表上一級(jí)的管理員完成授權(quán)功能，從而實(shí)現(xiàn)管理權(quán)限的靈活轉(zhuǎn)移和下放。同時(shí)，X權(quán)限和Z權(quán)限的區(qū)分，實(shí)現(xiàn)了授權(quán)功能和維護(hù)管理功能的分離，具有Z權(quán)限的用戶(hù)可以進(jìn)行相關(guān)的維護(hù)工作，其所做的有關(guān)權(quán)限管理的定義必須經(jīng)X權(quán)限管理員的確認(rèn)授權(quán)才能生效，這種權(quán)限角色化的方式在保證安全的同時(shí)也提高了工作效率。具有X權(quán)限的值班員能為同一管理層的其他Z權(quán)限用戶(hù)賦予X權(quán)限，或?qū)權(quán)限賦予下屬一級(jí)的用戶(hù)，使其能代為進(jìn)行相應(yīng)的管理操作和授權(quán)操作。

3.5.3 權(quán)限校驗(yàn)

權(quán)限校驗(yàn)包括兩方面：（1）使用層權(quán)限校驗(yàn)，即判斷當(dāng)前用戶(hù)是否具有相應(yīng)的操作權(quán)限，主要包括：用戶(hù)是否有權(quán)訪(fǎng)問(wèn)系統(tǒng)；用戶(hù)可用的系統(tǒng)菜單、按鈕等功能項(xiàng)；用戶(hù)對(duì)系統(tǒng)數(shù)據(jù)庫(kù)中記錄級(jí)數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限。使用層的權(quán)限校驗(yàn)在用戶(hù)登錄過(guò)程中完成。（2）存儲(chǔ)層權(quán)限校驗(yàn)，系統(tǒng)采用加密算法對(duì)用戶(hù)和權(quán)限的對(duì)應(yīng)關(guān)系以及加密規(guī)則進(jìn)行保存，如果數(shù)據(jù)庫(kù)中的數(shù)據(jù)被直接修改，使用層權(quán)限校驗(yàn)出錯(cuò)，用戶(hù)將不能登錄系統(tǒng)。使用層權(quán)限校驗(yàn)和存儲(chǔ)層權(quán)限校驗(yàn)結(jié)合使用為系統(tǒng)應(yīng)用級(jí)的安全提供有效保障。

4 結(jié)束語(yǔ)

運(yùn)用 RBAC技術(shù)對(duì)TRS系統(tǒng)進(jìn)行訪(fǎng)問(wèn)控制不僅能夠減少授權(quán)管理的復(fù)雜性，同時(shí)也符合鐵路業(yè)務(wù)的管理機(jī)制，是TRS系統(tǒng)應(yīng)用級(jí)的安全保障的重要手段?；?RBAC 訪(fǎng)問(wèn)控制模型在TRS系統(tǒng)應(yīng)用級(jí)安全建設(shè)方面發(fā)揮了重要作用。

[1]單杏花，徐 彥，朱建生，周亮瑾.中國(guó)鐵路客票發(fā)售和預(yù)訂系統(tǒng)5.0版本的關(guān)鍵技術(shù)研究[J]. 鐵路計(jì)算機(jī)應(yīng)用，2006，15（11A）：1-4.

[2]林 磊，駱建彬，鄧 憲. 管理信息系統(tǒng)中基于角色的權(quán)限控制[J]. 計(jì)算機(jī)應(yīng)用研究，2002，20（6）：82-84.

[3]黃 靜，陳 震，危水根，王 凌. RBAC模型在B /S醫(yī)院信息系統(tǒng)中的應(yīng)用[J]. 計(jì)算機(jī)技術(shù)與發(fā)展，2011，21（6）：246-249.