張柳軍,豐景春

(1.河海大學(xué)商學(xué)院,江蘇 南京 211100; 2.河海大學(xué)項目管理研究所,江蘇 南京 211100)

信息化是國家“十二五”規(guī)劃的重要內(nèi)容,也是水利行業(yè)監(jiān)理企業(yè)提高自身管理效率的重要手段。隨著計算機網(wǎng)絡(luò)和信息技術(shù)的發(fā)展,水利行業(yè)監(jiān)理管理信息系統(tǒng)在滿足企業(yè)復(fù)雜應(yīng)用需求的同時面臨系統(tǒng)訪問控制策略滯后的問題,利用基于角色的訪問控制技術(shù)雖能在一定程度上優(yōu)化權(quán)限管理,但由于角色與權(quán)限的高度耦合,使得已定義主體與角色的內(nèi)部權(quán)限不可再分,導(dǎo)致不能較好地實現(xiàn)主體內(nèi)部授權(quán)與跨角色執(zhí)行部分權(quán)限的問題,難以滿足水利行業(yè)監(jiān)理企業(yè)實際管理工作的需要,系統(tǒng)訪問控制已成為水利行業(yè)監(jiān)理信息系統(tǒng)亟待解決的問題。

訪問控制技術(shù)出現(xiàn)于20世紀(jì)70年代,最初用于解決大型主機數(shù)據(jù)共享的訪問權(quán)限問題[1],經(jīng)過多年發(fā)展,基于角色的訪問控制(RBAC)模型以其獨特的權(quán)限與主體分離的優(yōu)勢得到廣泛應(yīng)用,它通過建立權(quán)限與角色、角色與主體之間的映射,實現(xiàn)對系統(tǒng)的訪問控制,成為現(xiàn)代訪問控制技術(shù)研究的基礎(chǔ)。目前,尚未提出針對水利行業(yè)監(jiān)理信息系統(tǒng)訪問控制問題的有效的訪問控制模型。文獻[2- 4]研究并提出了基于任務(wù)的訪問控制模型,通過工作流規(guī)范業(yè)務(wù)流程,為每個任務(wù)定義相應(yīng)權(quán)限,但由于該控制模型對業(yè)務(wù)流程的規(guī)范性要求較高,難以直接用在水利行業(yè)監(jiān)理信息系統(tǒng)中;文獻[5]提出了在基于角色的訪問控制(RBAC)模型上建立了時間特性的約束條件,但應(yīng)用較為單一;文獻[6]在時間約束的授權(quán)方面進行了深入的研究,并在文獻[7]中通過對無時間特性的角色訪問控制形式化表達的基礎(chǔ)上擴展了時間特性,提出了一種帶時間特性的角色訪問控制模型;其他訪問控制模型大多也是以基于角色的訪問控制(RBAC)模型為核心的擴展與衍生,包括具有環(huán)境適應(yīng)性的角色訪問控制模型[8]、具有委托功能的角色訪問控制模型[9]、具有空間特性的角色訪問控制模型[10]等。

綜上所述,現(xiàn)有訪問控制模型在相關(guān)領(lǐng)域內(nèi)較好地優(yōu)化了系統(tǒng)訪問控制,但由于現(xiàn)有訪問控制模型中的權(quán)限與角色、角色與主體之間表現(xiàn)為硬性關(guān)系,訪問控制策略的柔性較差,使其不能較好地適應(yīng)水利行業(yè)監(jiān)理信息系統(tǒng)的訪問控制,難以滿足水利行業(yè)監(jiān)理企業(yè)的實際工作與信息系統(tǒng)對接的需要。本文在總結(jié)分析現(xiàn)有研究成果的基礎(chǔ)上,提出主體與角色的內(nèi)部再分,即“二次定義”的概念,通過對已定義的主體與角色內(nèi)部的再次定義，即定義二級主體與角色,有效地解決了水利行業(yè)監(jiān)理企業(yè)實際工作中信息系統(tǒng)權(quán)限分配等問題,并據(jù)此建立了基于二次定義的角色訪問控制優(yōu)化模型。

1 水利行業(yè)監(jiān)理信息系統(tǒng)訪問控制現(xiàn)狀與問題分析

1.1 現(xiàn)狀分析

水利行業(yè)監(jiān)理企業(yè)管理一般分為3個層面,分別是領(lǐng)導(dǎo)層、職能層和監(jiān)理層,如圖1所示。

圖1 水利行業(yè)監(jiān)理企業(yè)組織結(jié)構(gòu)

領(lǐng)導(dǎo)層的主要任務(wù)是對企業(yè)整體的把握,保證企業(yè)良好運營,并負(fù)責(zé)對報審信息進行審核與審批工作;職能層的主要職能是完成企業(yè)日常具體業(yè)務(wù)需求;監(jiān)理層是被管理的對象,水利行業(yè)監(jiān)理信息系統(tǒng)數(shù)據(jù)的重要提供者。RBAC模型出現(xiàn)在自主訪問控制(DAC)和強制訪問控制(MAC)之后,能夠較好地解決DAC的安全性和MAC的局限性問題。通過引入角色的概念,實現(xiàn)主體與權(quán)限的分離;通過在權(quán)限與角色、角色與主體之間建立映射關(guān)系,實現(xiàn)主體訪問權(quán)限的分配,規(guī)范系統(tǒng)的授權(quán)管理。

由于水利行業(yè)監(jiān)理企業(yè)職能部門具有主體龐大、監(jiān)理部門管理模式統(tǒng)一等特點,基于角色的訪問控制(RBAC)方法存在系統(tǒng)主體與角色定義比較籠統(tǒng)、職能部門和監(jiān)理部門主體權(quán)限過于集中、不能滿足實際工作的要求等缺陷,但是過度定義主體與角色又會使授權(quán)難以控制。水利行業(yè)監(jiān)理信息系統(tǒng)的訪問權(quán)限控制大多是根據(jù)水利行業(yè)監(jiān)理企業(yè)組織結(jié)構(gòu)進行設(shè)計的,根據(jù)企業(yè)所包含的組織機構(gòu)定義角色,由于監(jiān)理層定義了監(jiān)理企業(yè)所有的監(jiān)理部門,且各監(jiān)理部門自身的管理模式是相同的,因此,一般情況下監(jiān)理部門所擁有的權(quán)限相對固定,在分配角色到主體的過程中通常將監(jiān)理部門作為一個整體來處理,監(jiān)理部門內(nèi)部不允許進行權(quán)限與角色、角色與主體的再分配。職能部門雖然可以通過管理員進行授權(quán),但授權(quán)方式還是以部門為單位。

1.2 存在的問題

a. 職能部門與監(jiān)理部門內(nèi)部權(quán)限的不可再分性使得系統(tǒng)的使用權(quán)限只屬于職能部門和監(jiān)理部門負(fù)責(zé)人,權(quán)限的過度集中,增加了部門負(fù)責(zé)人的工作強度,同時也不利于系統(tǒng)職能層與監(jiān)理層的授權(quán)管理,職能部門和監(jiān)理部門其他人員無法通過使用系統(tǒng)行使自身的實際工作職能,這是RBAC模型無法有效解決水利行業(yè)監(jiān)理信息系統(tǒng)訪問控制的主要問題。

b. 角色與權(quán)限的映射較為硬性。水利行業(yè)監(jiān)理企業(yè)的人員調(diào)動較為頻繁,包括監(jiān)理部門人員的相互調(diào)動和職能部門與監(jiān)理部門之間的人員調(diào)動等。通過對主體角色的授予與撤銷,RBAC模型雖在一定程度上解決了人員變動所帶來的權(quán)限變化問題,但水利行業(yè)監(jiān)理企業(yè)的主體經(jīng)常需要跨角色執(zhí)行系統(tǒng)所有或者部分權(quán)限,由于所有權(quán)限的授予可通過賦予主體角色實現(xiàn),因此跨角色執(zhí)行部分權(quán)限成為需解決的主要問題。目前RBAC模型中的角色與權(quán)限之間的映射較為硬性,不能較好地解決上述問題,無法滿足水利行業(yè)監(jiān)理信息系統(tǒng)的實際工作需要。主體跨角色執(zhí)行權(quán)限如圖2所示。

圖2 主體跨角色執(zhí)行權(quán)限示意圖

圖3 RBAC96模型

2 基于角色的訪問控制優(yōu)化模型

2.1 主體與角色的二次定義

主體與角色的二次定義是在主體與角色第一次定義完成后,每個主體和角色依據(jù)需要進行第二次定義,定義所得主體權(quán)限的總和等于一級主體的權(quán)限集。RBAC模型雖然可以定義多個主體與角色,但在水利行業(yè)監(jiān)理企業(yè),一個主體一般是以一個組織存在,組織的職能是由同一角色下不同的個人行使不同的權(quán)限實現(xiàn)的,在系統(tǒng)整體層面為每個個人建立角色顯然是不合理的,而角色二次定義的目的就在于將同一角色下不同權(quán)限授予擁有該角色的同一主體二次定義的不同個體。

2.2 優(yōu)化模型的建立

目前認(rèn)可度較高的角色訪問控制模型為RBAC96模型,它是在原有RBAC模型的基礎(chǔ)上增加了角色的層次關(guān)系和約束條件,由權(quán)限、角色、主體、會話、層次和約束6部分組成,如圖3所示。圖中，RH表示角色與角色之間的繼承關(guān)系；UA表示一次定義中用戶與角色之間的指派關(guān)系；PA表示一次定義中權(quán)限與角色之間的指派關(guān)系。

本文針對水利行業(yè)監(jiān)理信息系統(tǒng)在訪問控制方面存在的問題,對RBAC96模型進行優(yōu)化,即在原有模型的基礎(chǔ)上建立了二次定義模型,二次定義模型中的用戶、角色和權(quán)限的作用域已經(jīng)發(fā)生變化,它是一次定義所產(chǎn)生的某用戶及該用戶被賦予的某角色和該角色所擁有的權(quán)限的集合,如圖4所示。圖4中，ua表示二次定義中用戶與角色之間的指派關(guān)系；pa表示二次定義中權(quán)限與角色之間的指派關(guān)系。

圖4 基于角色的訪問控制優(yōu)化模型

2.3 優(yōu)化模型的應(yīng)用

從圖4中的整體結(jié)構(gòu)上看,該模型分為一級和二級定義,一級定義由系統(tǒng)管理員按照企業(yè)管理結(jié)構(gòu)進行設(shè)置,二級定義由一級主體按照實際工作需求對主體自身進行再分，對所屬角色通過映射關(guān)系進行再分,授權(quán)方式與現(xiàn)有模型類似,主要區(qū)別在于二級授權(quán)的用戶域、角色域和權(quán)限域發(fā)生了變化,主體與角色的二次定義及其授權(quán)方案通過領(lǐng)導(dǎo)審查后即可生效。該模型較好地解決了原有模型中角色與權(quán)限高度耦合的問題,系統(tǒng)訪問控制具備一定的柔性,這樣不僅能夠解決主體內(nèi)部授權(quán)問題,還能滿足主體跨角色行使部分權(quán)限的要求,從而滿足了水利行業(yè)監(jiān)理企業(yè)信息系統(tǒng)的實際工作需要。

在水利行業(yè)監(jiān)理企業(yè)信息化的應(yīng)用中，基于角色的水利行業(yè)監(jiān)理信息系統(tǒng)訪問控制優(yōu)化模型的特點主要體現(xiàn)在訪問控制的靈活性上,首先由系統(tǒng)開發(fā)人員依據(jù)企業(yè)組織架構(gòu)建立以組織為單位的角色-權(quán)限體系,用戶按角色類型獲取相關(guān)訪問權(quán)限,該過程是本模型實現(xiàn)訪問控制優(yōu)化的第一階段,第二階段的實現(xiàn)是在某一主體-角色-權(quán)限這一子體系內(nèi)進行再次定義,子體系的主體一般是二級定義的實施者,根據(jù)主體自身的業(yè)務(wù)需要,可定義多個子用戶與子角色,形成多個子用戶-子角色-子權(quán)限的訪問控制體系,經(jīng)領(lǐng)導(dǎo)審核通過后,子體系權(quán)限便可下放到同一主體的不同個體,實現(xiàn)主體內(nèi)部的訪問控制優(yōu)化,由于優(yōu)化的操作是在子體系內(nèi)進行,對第一階段的訪問控制策略不會產(chǎn)生影響,在增加訪問控制靈活性的同時,安全性也不會因此降低。通過案例分析可以對該模型的優(yōu)化過程形象地進行說明。

3 案例分析

3.1 案例背景

以江蘇某水利行業(yè)監(jiān)理企業(yè)為例,該企業(yè)的業(yè)務(wù)范圍較廣,涉及水利工程、水運工程、公路工程等,其監(jiān)理業(yè)務(wù)系統(tǒng)訪問控制方法是依據(jù)較為基礎(chǔ)的RBAC模型進行設(shè)計的,如圖5所示。

3.2 監(jiān)理部門授權(quán)結(jié)構(gòu)

案例分析中以合同部作為該企業(yè)的主體,以職能部作為角色。系統(tǒng)角色是在系統(tǒng)設(shè)計階段按照該企業(yè)組織結(jié)構(gòu)進行劃分的,并以特定標(biāo)識存入數(shù)據(jù)庫角色表中;職能部通過管理員添加得到,并由管理員為所添加主體賦予角色;系統(tǒng)權(quán)限是依企業(yè)需求在系統(tǒng)開發(fā)過程中形成并存入數(shù)據(jù)庫權(quán)限表中,由管理員針對角色進行分配。監(jiān)理部是由合同部在創(chuàng)建項目基本信息時自動生成主體,同時被賦予監(jiān)理部這一角色,并獲得該角色下已定義的所有權(quán)限,如圖6所示。

該監(jiān)理企業(yè)信息系統(tǒng)的訪問控制方法的優(yōu)點在于RBAC模型能夠簡化系統(tǒng)訪問權(quán)限的控制過程,提高了管理員對授權(quán)的控制能力和系統(tǒng)自身的安全性,但也存在一定的缺陷,無論是職能部門還是監(jiān)理部門主體與角色是不可再分的,主體只有擁有角色的全部權(quán)限或者無權(quán)限兩種選擇,主體內(nèi)部其他人員無法被授權(quán)訪問系統(tǒng),造成系統(tǒng)與實際工作的脫節(jié)。采用二次定義優(yōu)化后的RBAC96模型可在一定程度上解決上述問題,主體與角色的二次定義增加了職能部門和監(jiān)理部門等主體內(nèi)部的靈活性。該監(jiān)理企業(yè)信息系統(tǒng)采用二次定義優(yōu)化后的RBAC96模型的授權(quán)結(jié)構(gòu)如圖7所示(以監(jiān)理部門為例)。

圖6 監(jiān)理部門授權(quán)結(jié)構(gòu)

圖7 主體與角色二次定義授權(quán)結(jié)構(gòu)

通過圖6與圖7兩種授權(quán)模式的對比可知,基于二次定義的角色訪問控制模型在不增加管理復(fù)雜度和降低系統(tǒng)安全性的前提下,能夠有效地實現(xiàn)水利行業(yè)監(jiān)理企業(yè)的訪問控制,具有更加靈活的特點，符合現(xiàn)代監(jiān)理企業(yè)實際業(yè)務(wù)的需求。

4 結(jié) 語

訪問控制是企業(yè)信息化實施過程中不可避免的問題,水利行業(yè)監(jiān)理企業(yè)的行業(yè)特點使其權(quán)限的分配具有一定的復(fù)雜性。在現(xiàn)有的研究中,RBAC模型的主體、角色和權(quán)限三者之間表現(xiàn)為硬性關(guān)系,無法很好適應(yīng)水利行業(yè)監(jiān)理信息系統(tǒng)訪問控制的需要,水利行業(yè)監(jiān)理企業(yè)信息化需要具備一定柔性的訪問控制模型。

基于角色的水利行業(yè)監(jiān)理信息系統(tǒng)訪問控制優(yōu)化模型體現(xiàn)了“二次定義”的思想,通過對用戶主體與角色的二次定義使主體與角色內(nèi)部細分,從而便于系統(tǒng)的授權(quán),并且二次定義由主體內(nèi)部進行,角色二次定義通過映射關(guān)系實現(xiàn),上層授權(quán)不會受到干擾?；诮巧脑L問控制優(yōu)化模型能夠較好地滿足水利行業(yè)監(jiān)理企業(yè)的實際工作需要,提高了系統(tǒng)的可用性。

參考文獻：

[1] 李鳳華,蘇铓,史國振,等.訪問控制模型研究進展及發(fā)展趨勢[J].電子學(xué)報,2012, 40(4)：805-813.

[2] COULOURIS G,DOLLIMORE G,ROBERTS M.Role and task-based access control in the PerDiS groupware platform[C]//Proceedings of the 3rd ACM Workshop Role-Based Access Control.Fairfax:ACM Press, George Mason University, 1998:115-121.

[3] THOMAS R,SANDHU R.Task-based authorization controls(TBAC):a family of models for active and enterprise oriented authorization management[C]//.Proceedings of the IFIP WG11.3 Workshop on Database Security.California:IFIP WG11.3Conference on Database Security,1997:166-181.

[4] 鄧集波,洪帆.基于任務(wù)的訪問控制模型[J].軟件學(xué)報,2003, 14(1)：76-82.

[5] BERTINO E,BONATTI P,FERRARI E.TRBAC：a temporal role-based access control model[J].ACM Transactions on Information and System Security,2001, 4(3)：191-223.

[6] 董光宇,卿斯?jié)h,劉克龍.帶時間特性的角色授權(quán)約束[J].軟件學(xué)報,2002, 13(8)：1521-1527.

[7] 黃建,卿斯?jié)h,溫紅子.帶時間特性的角色訪問控制[J].軟件學(xué)報,2003, 14(11)：1944-1954.

[8] 吳新松,賀也平,周洲儀,等.一個環(huán)境適應(yīng)的基于角色的訪問控制模型[J].計算機研究與發(fā)展, 2011, 48(6)：983-990.

[9] 劉正濤,毛宇光,王建東,等.基于角色的層次受限委托模型[J].電子科技大學(xué)學(xué)報.2010, 39(1)：114-118.

[10] DAMIANI M,BERTINO E,CATANIA B.GEO-RBAC：a spatially aware RBAC[J].ACM Transactions on Information and System Security,2007, 10(1):1-42.