陳 柯 李 鋼

（中國電子科技集團(tuán)公司第28研究所 江蘇 210007）

0 引言

大型組織（如跨國企業(yè)）的信息資源往往根據(jù)組織結(jié)構(gòu)維護(hù)，其中存在大量同構(gòu)的、擁有同類信息資源的單元。采用傳統(tǒng)的RABC對于單個獨(dú)立系統(tǒng)內(nèi)用戶的以及權(quán)限的管理是相當(dāng)有效的，但是傳統(tǒng)的RBAC模型在這種環(huán)境下需要為每個同構(gòu)單元定義權(quán)限和角色。雖然可以利用RABC模型中的角色繼承概念，通過對于角色對于整個層次組織架構(gòu)的模仿，構(gòu)建層次，具有繼承結(jié)構(gòu)的角色樹。但是由于角色繼承是一個偏序關(guān)系，是對組織機(jī)構(gòu)層次中權(quán)限和責(zé)任的一種映射，實(shí)際的使用中違反了權(quán)限最小化原則。如一個企業(yè)有總經(jīng)理、部門經(jīng)理和材料員，而角色繼承表示總經(jīng)理繼承部門經(jīng)理的權(quán)限，部門經(jīng)理繼承材料員的權(quán)限，也就是說總經(jīng)理通過傳遞關(guān)系獲取了材料員的權(quán)限，而在實(shí)際的工作中，總經(jīng)理是不具備材料員的管理權(quán)限。

在分層管理的大型分布式系統(tǒng)中使用基于角色的訪問控制往往會面臨角色、對象、權(quán)限過多的問題。如果在各個機(jī)構(gòu)內(nèi)部重復(fù)建立大量的角色、分配相似的權(quán)限，不但工作量大，而且容易出錯，而他們之間的區(qū)別僅僅在于所屬的分支機(jī)構(gòu)不同。特別在同構(gòu)單元數(shù)量很多時授權(quán)管理非常困難，尤其是在進(jìn)行跨域授權(quán)時，涉及到互聯(lián)系統(tǒng)間角色、用戶、信息資源和它們之間的相互關(guān)系，為了保證訪問授權(quán)和管理簡化這兩個目標(biāo)，這對于安全管理員來說是非常困難的。

按照大型跨國公司的組織架構(gòu)，劃分為公司總部，區(qū)域管理中心，分區(qū)公司，營運(yùn)團(tuán)隊以及外部實(shí)體這幾個層次。大型組織內(nèi)的信息單元是具有獨(dú)立性，同時在整個系統(tǒng)內(nèi)具有大量功能，角色，用戶相似的特征。采用這項特質(zhì)，按照其在組織架構(gòu)內(nèi)的特征，劃分為管理域（域?qū)樱?。模型不再使用角色繼承來表示組織結(jié)構(gòu)，而是將組織結(jié)構(gòu)引入訪問控制模型，用它來組織客體、權(quán)限以及之間相互的關(guān)系。

1 基于角色的訪問控制模型（RBAC）

基于角色訪問控制模型由Ferraio1o和 Kuhn在 1992年提出，這是當(dāng)今使用最為廣泛的權(quán)限管理模型，這是一個復(fù)合的訪問控制策略，用戶并不直接獲取對于資源的權(quán)限，而是用戶通過擔(dān)任某些角色而獲取訪問權(quán)限，這能夠大大的簡化權(quán)限管理且易于理解和描述，其中關(guān)鍵的概念如下。

用戶（U）：系統(tǒng)資源的使用者 U sers={U1,U2,..., Un}

角色（R）：多個權(quán)限的集合 R oles={R1,R2... Rn}

許可（P）：對系統(tǒng)資源的操作權(quán)限 P ermissions ={P1,P2...Pn}

用戶與角色以及角色與權(quán)限之間為多對多的關(guān)系

PA? P × R 表示從許可到角色的多對多的關(guān)系；

PA? P × R 表示從用戶到角色的多對多的關(guān)系。

在 RBAC0模型的基礎(chǔ)上引入了角色層次關(guān)系擴(kuò)展為RBAC1模型。

PA? P × R 表示角色集 R 上的一個偏序，稱為角色繼承關(guān)系。

引入了了約束形成了RBAC2模型。將RBAC1與RBAC2特性結(jié)合形成RBAC3模型，具體的關(guān)系見圖1。

由于 RBAC將用戶從底層的訪問控制實(shí)現(xiàn)機(jī)制中脫離出來，同時可以靈活的表達(dá)組織中的各種安全角色，可以映射日常組織架構(gòu)，在各個領(lǐng)域中均得到了廣泛的應(yīng)用。實(shí)際上RBAC訪問控制模型應(yīng)用中采用一級控制模型，即將訪問資源的權(quán)限授予角色，再將角色授予用戶。在傳統(tǒng)的獨(dú)立管理域環(huán)境下可以很好的解決權(quán)限管理的問題。這種方法在單元和客體較少的情況下還勉強(qiáng)可行，但是數(shù)目到了一定規(guī)模，模型的管理就非常困難了?，F(xiàn)今分布式系統(tǒng)（多域）環(huán)境下，造成管理員額外的負(fù)擔(dān)。

圖1 RBAC訪問控制模型

2 改進(jìn)的層次RABC

將組織中的一個相對自治的機(jī)構(gòu)劃分為域，以此為基礎(chǔ)，為解決大型組織中對于海量的用戶及對象的管理問題，將系統(tǒng)中的各個要素（U，P，R）劃分至不同的域。對應(yīng)于組織中的相似結(jié)構(gòu)的機(jī)構(gòu)劃分為一個組，稱為域?qū)?。這就為我們簡化對于海量權(quán)限以及用戶的管理提供了前提基礎(chǔ)。同一個策略域中的分支機(jī)構(gòu)具有相同的組織結(jié)構(gòu)，在同一個域?qū)哟蝺?nèi)實(shí)施統(tǒng)一的角色，用戶，對象組定義。在同一域?qū)觾?nèi)實(shí)施統(tǒng)一的用戶、角色，當(dāng)然也可以定義自己私有的特殊角色減少了系統(tǒng)中的角色和權(quán)限。將權(quán)限授予崗位而不是直接授予企業(yè)中的用戶，崗位與一組完成崗位任務(wù)的角色相對應(yīng)。當(dāng)組織內(nèi)的人員發(fā)生流動，只需在權(quán)限模型中修改該用戶的崗位信息即可，無需針對該用戶重新進(jìn)行權(quán)限授予。相比較傳統(tǒng)的訪問控制模型，可大大減輕管理員的工作負(fù)擔(dān)。

傳統(tǒng)的RBAC中權(quán)限定義為對客體的操作，其中的客體是獨(dú)立的對象，如針對某個資源如數(shù)據(jù)庫對象，文件對象等。針對大型的機(jī)構(gòu)中的域，為了簡化對客體的定義，引入對象組概念。對象組定義為一組具有相同屬性對象的集合，同一個對象依據(jù)提取出的不同屬性可以被劃分到不同的對象組。原先操作定義為對象而現(xiàn)在該為對象組。

這些對象組按照域?qū)庸芾淼囊螅瑢ο蠼M中對象允許的操作是一致的，對象必須屬于一個對象組且可以屬于多個對象組。對象組必須屬于一個域或是屬于一個域?qū)樱`屬于域?qū)拥膶ο蟊挥驅(qū)觾?nèi)所有的域所擁有；而屬于域的對象只能被該域獨(dú)占。

3 多域環(huán)境下用戶訪問控制管理策略

分布式系統(tǒng)通常按組織機(jī)構(gòu)層次、應(yīng)用系統(tǒng)范圍、管理策略等原則進(jìn)行安全域劃分。在大型企業(yè)中，采用按照組織結(jié)構(gòu)的層次進(jìn)行安全域的劃分特別適合這種具有強(qiáng)烈層次結(jié)構(gòu)的組織。在分布式環(huán)境中，權(quán)限以及權(quán)限-角色分配都是本地自治，而不強(qiáng)調(diào)全局化。多域之間針對權(quán)限的管理較之傳統(tǒng)的單一信任域情況下主要體現(xiàn)在域之間的交叉授權(quán)問題，需要將域內(nèi)訪問控制規(guī)則和域間訪問控制規(guī)則有機(jī)結(jié)合起來。核心問題在于計算系統(tǒng)的各種資源處于分級的多個管理域中，分別由相應(yīng)的訪問控制規(guī)則進(jìn)行控制。根據(jù)被訪問的資源所在管理域的不同，訪問控制規(guī)則可以分為域內(nèi)訪問控制和域間訪問控制。在進(jìn)行跨域訪問的使用場景下，可以根據(jù)安全域?qū)嶋H的劃分情況采用集中或者分層兩種權(quán)限管理策略。

在集中式驗證的策略下，通過中心安全認(rèn)證服務(wù)器提供域之間的交叉驗證和授權(quán)，并提供單點(diǎn)登錄控制，避免域之間的多個授權(quán)交互。

在分布式驗證的策略下，為了保證信息交換的正確性，需要在每一個安全域上增加一些相應(yīng)的路由信息，使各個安全域能夠訪問其上級和下級安全域，這些路由信息可以從組織架構(gòu)的層次關(guān)系上獲取。

3.1 集中式

在網(wǎng)絡(luò)條件正常，系統(tǒng)服務(wù)運(yùn)行正常的情況下，采用集中式安全策略訪問管理，所有的安全策略均由中心安全認(rèn)證服務(wù)器提供。由于所有節(jié)點(diǎn)都必須和中心服務(wù)器通信，導(dǎo)致中心服務(wù)器負(fù)載過重，容易形成阻塞，影響效率；但該體系結(jié)構(gòu)簡單，最大的缺點(diǎn)在于擴(kuò)展性不強(qiáng)，不能滿足大規(guī)模復(fù)雜應(yīng)用。

3.2 分布式

為了提高系統(tǒng)的可靠性，提供系統(tǒng)抗毀性，在分布式系統(tǒng)中，對任何一個安全域的用戶-角色分配操作，都把該分配信息推到層次結(jié)構(gòu)中該安全域的上級安全域服務(wù)器，利用“推”結(jié)構(gòu)和“拉”結(jié)構(gòu)，高效地進(jìn)行用戶-角色全局性管理。在最差的情況下，采用本節(jié)點(diǎn)自己提供的安全信息管理服務(wù)。在分布式系統(tǒng)中，對任何一個安全域的用戶-角色分配操作，都把該分配信息"推"到層次結(jié)構(gòu)中該安全域的上級安全域服務(wù)器。在實(shí)施訪問控制時，若一個用戶在某個安全域沒有直接訪問某資源的權(quán)限，則沿路由信息回溯其上級安全域，“拉”回其需要的用戶-角色分配信息。

4 結(jié)束語

本文構(gòu)建的模型，將組織結(jié)構(gòu)劃分為域?qū)?，并將對象組的概念引入RBAC，減少了角色的重復(fù)定義，簡化了權(quán)限的分配，使 RBAC模型更適合在大型的、具有大量分支機(jī)構(gòu)的系統(tǒng)中應(yīng)用。在不同的實(shí)際使用場景中，依據(jù)當(dāng)時的網(wǎng)絡(luò)環(huán)境采用不同的策略對用戶權(quán)限進(jìn)行驗證及進(jìn)行交叉授權(quán)。

[1]Sandhu R S.Coyne E J,Feinstein H L,et al.Role-based Access Control Models[J].IEEE Computer,1996.

[2]Ferraiolo D F，Barkley J F，Kuhn D R.A Role-based Access Control Model and Reference Implementation Within a Corporate Intranet[J].ACM Transaction of Information System Security.1999.

[3]Kumar A,Karnik N,Chafle G.Context Sensitivity in Role-based Access Control[J].ACM SIGOPS Operating Systems Review,2002.

[4]徐震，馮登國.一種使用組織結(jié)構(gòu)的訪問控制方法.計算機(jī)工程.2006.

[5]孫艷俊.基于RBAC模型的應(yīng)用訪問權(quán)限系統(tǒng)設(shè)計與實(shí)現(xiàn)現(xiàn)代電子工程.2013.

[6]余亮.基于CAS的單點(diǎn)登錄系統(tǒng).現(xiàn)代電子工程.2012.