歐陽榮彬，劉云峰，龍新征

(北京大學 計算中心，北京 100871)

基于屬性規(guī)則的PRBAC參數(shù)模型研究與實現(xiàn)

歐陽榮彬，劉云峰，龍新征

(北京大學 計算中心，北京 100871)

PRBAC模型可以實現(xiàn)細粒度的數(shù)據(jù)訪問控制.論文分析了以往有關RBAC數(shù)據(jù)權限的研究，總結了具體的實踐探索經(jīng)驗，提出一種基于屬性規(guī)則的PRBAC參數(shù)模型，以實現(xiàn)通用的數(shù)據(jù)權限管理.筆者闡述了模型的設計思路，包括數(shù)據(jù)權限規(guī)則的形式組成、具體含義，還闡述了模型的實現(xiàn)方案，包括規(guī)則的實現(xiàn)形式、PRBAC參數(shù)應用時機、規(guī)則校驗的主要實現(xiàn)算法，以及相關的技術要點.論文還結合該模型在北京大學IAAA系統(tǒng)的應用實踐闡述了模型的優(yōu)勢，即數(shù)據(jù)權限規(guī)則設置具有較強的通用性，靈活而便捷，最后指出模型實現(xiàn)方案可以在規(guī)則沖突檢驗方面進一步完善.

訪問控制；數(shù)據(jù)權限；PRBAC；屬性規(guī)則；參數(shù)模型

0 引言

1992年文獻[1]提出了基于角色的訪問控制模型(role-based access control， RBAC)，之后有關RBAC的研究不斷發(fā)展，并形成了相關標準.NIST(The National Institute of Standards and Technology，美國國家標準與技術研究院)的標準定義了三類RBAC模型，分別是基本模型(core RBAC)、角色分層模型(hierarchal RBAC)、角色限制模型(constraint RBAC)[2].

目前，RBAC模型已經(jīng)成為一種廣泛應用的訪問控制模型，其簡潔、可擴展、易管理的特性被廣泛認可.在實際應用中，當一批用戶具有同等的功能權限，他們被授予一個相同的角色，但是這些用戶可以操作的數(shù)據(jù)對象卻可能是各不相同的，即他們應當具有相應的數(shù)據(jù)權限.RBAC標準模型并沒有明確定義數(shù)據(jù)權限模型，也沒有給出建議的實現(xiàn)策略.雖然從理論上來說，RBAC標準模型可以通過細粒度的操作對象(OBS)劃分實現(xiàn)數(shù)據(jù)權限，但是在實際環(huán)境中，細粒度的劃分并形成更細粒度的權限(PRMS)，勢必需要大量的角色，而且操作繁復.

PRBAC(parameterized RBAC)模型是對RBAC基本模型的擴展，能夠完成細粒度的權限訪問控制，而且無需大量角色和繁復的操作.在具體應用的實現(xiàn)過程中，如何設計參數(shù)才能有效地應對不同數(shù)據(jù)對象的訪問控制呢？筆者提出了一種基于屬性規(guī)則的PRBAC參數(shù)模型，將PRBAC中的參數(shù)設計為一組規(guī)則集，規(guī)則集中定義了角色可以訪問的數(shù)據(jù)對象，及其應當滿足的屬性規(guī)則.模型和規(guī)則可以靈活地適配于各類不同的數(shù)據(jù)對象.

筆者接下來首先回顧和總結了有關PRBAC和數(shù)據(jù)權限的研究，然后具體闡述了基于屬性規(guī)則的PRBAC參數(shù)模型，并給出了具體的實現(xiàn)算法，介紹了有關技術要點，最后介紹了該模型在北京大學的應用實踐.

1 相關研究

很多研究人員在PRBAC的細粒度權限控制方面做了不少有益的探索和研究.

文獻[3]在PRBAC的基礎上引入面向對象的概念，提出了策略模板(policy template)和角色類(role class)，即通過角色的實例化實現(xiàn)細粒度權限控制.文獻[4]提出參數(shù)化角色的設計，即不同用戶被授予同一個角色的時候有可能攜帶不同的參數(shù).文獻[5-6]采用Z語言，在FRBAC(flat RBAC)的基礎上對PRBAC模型進行了規(guī)范化闡述.文獻[7-8]對RBAC的Web Service訪問控制進行了論述，其中的Actor概念和PRBAC目標相近，也是為了實現(xiàn)細粒度的權限控制.文獻[9-12]引入了數(shù)據(jù)角色和數(shù)據(jù)權限規(guī)則的概念，旨在將數(shù)據(jù)權限與功能權限獨立開來，以實現(xiàn)對數(shù)據(jù)訪問的細粒度權限控制，然而數(shù)據(jù)角色的引入增加了管理的復雜性.

PRBAC是對RBAC模型的擴展，在RBAC模型的各個部件中加入了參數(shù)(包括角色、對象、權限等)以實現(xiàn)對權限尤其是數(shù)據(jù)權限的細粒度控制.用戶在被賦予某個角色的時候可以攜帶一系列的參數(shù)，并將這些參數(shù)傳遞給模型中的各個部件.如此，不同參數(shù)的用戶角色，其訪問權限尤其是數(shù)據(jù)訪問權限就會各不相同.

為了設計一種通用的參數(shù)，使其可以適配各種不同的數(shù)據(jù)對象，常見的做法是將SQL條件語句作為參數(shù).但是，由于數(shù)據(jù)庫類型多樣，SQL語句處理情況也多樣，因此這種做法的通用性受到很大的限制.筆者將PRBAC中的參數(shù)設計為一組規(guī)則集，規(guī)則集中定義了角色可以訪問的數(shù)據(jù)對象，及其應當滿足的屬性規(guī)則，可以靈活地與各類不同的數(shù)據(jù)對象適配.

2 PRBAC參數(shù)模型

PRBAC模型中引入?yún)?shù)的目的是為了實現(xiàn)更加精細的數(shù)據(jù)權限訪問控制.為了實現(xiàn)參數(shù)模型的通用性，筆者將PRBAC中的參數(shù)具體設計為一組基于屬性規(guī)則的數(shù)據(jù)權限規(guī)則集，規(guī)則集的主要內容正是訪問控制的對象——數(shù)據(jù)對象及其屬性.

2.1 數(shù)據(jù)權限規(guī)則

首先介紹數(shù)據(jù)權限規(guī)則dpr.在形式上， dpr由元素對(data,rule_set)表示，下面是對元素對的各組成部分的描述.

data： 數(shù)據(jù)對象，由數(shù)據(jù)對象名(obj_name)和數(shù)據(jù)對象類型(obj_type)組成；

rule_set：屬性規(guī)則集，形式上由元素對(relation,rules,rule_sets)表示，元素對中子元素描述如下：

①relation：邏輯關系符，取值OR或AND，表示rules中組成元素以及rule_sets中組成元素之間的關系；

②rules：屬性規(guī)則rule的集合，每個rule為一個簡單的比較運算表達式，形式上由元素對(attr_name,comparator,value)表示，其子元素分別表示對象屬性名、比較符和右值；

③rule_sets：屬性規(guī)則集rule_set的集合.

基于上述描述，dpr元素對(data,rule_set)可以構成一個由比較運算表達式和邏輯關系符組成的復雜的布爾表達式，邏輯關系符為relation，每個比較表達式都由rule元素對(attr_name,comparator,value)中的子元素構成.data元素也參與比較表達式的構成，主要是用于限制元素attr_name的所屬.具體示例會在第3.1節(jié)“規(guī)則實現(xiàn)形式”中解釋.

2.2 動態(tài)屬性規(guī)則

在形式上，屬性規(guī)則rule元素對(attr_name,comparator,value)中的右值value可以有兩種：常量形式和變量形式.常量形式為一具體的值，例如具體的院系代碼“00082”.

變量形式時，其值則與用戶會話相關，如采用“{USER.deptID}”表示當前會話中用戶的單位編碼.如此，PRBAC的參數(shù)就具有了用戶會話的屬性，產(chǎn)生動態(tài)效果.形成了基于對象屬性和用戶會話屬性的數(shù)據(jù)權限規(guī)則，使得數(shù)據(jù)權限的配置更加靈活.

3 實現(xiàn)方案

3.1 規(guī)則實現(xiàn)形式

在具體實現(xiàn)時，可以采用XML形式的屬性規(guī)則，表1為屬性規(guī)則示例.如果某個角色被賦予了表1所示的參數(shù)，那么這個角色可以(不是只可以，因為示例中還有其他規(guī)則集，而且關系符還是OR)訪問院系單位為00082的人員基本信息(類型為pku.model.PersonInfo).

3.2 參數(shù)應用的時機

按PRBAC模型所述，用戶登錄系統(tǒng)進入會話之后，激活已經(jīng)賦予了參數(shù)的用戶授權角色，此時的參數(shù)為一組數(shù)據(jù)權限規(guī)則集，因為一個角色可能被賦予多個數(shù)據(jù)權限規(guī)則.同時，如果數(shù)據(jù)權限規(guī)則中的屬性規(guī)則右值(value)采用了變量形式，那么在用戶登錄之后需要將這些變量替換成實際的用戶會話屬性值.

文獻[4]指出，被賦予了參數(shù)的權限(parameterized privileges)，形式為(xx{a1,a2,…,an},m)，其中：x為數(shù)據(jù)對象;a1、a2、…、an為參數(shù)；m為訪問操作.所以，應當是在用戶進行數(shù)據(jù)訪問操作的時候應用參數(shù)，校驗數(shù)據(jù)權限規(guī)則，確保用戶只能操作那些通過規(guī)則校驗的數(shù)據(jù)，即具體的數(shù)據(jù)權限規(guī)則只對具體的用戶訪問操作生效，而不是對用戶同類型數(shù)據(jù)的所有訪問操作都生效.

表1 屬性規(guī)則示例

由于一個角色可能被賦予了多個數(shù)據(jù)權限規(guī)則，這些規(guī)則可能都是針對同一類數(shù)據(jù)對象.當一個用戶角色具有多個數(shù)據(jù)權限規(guī)則時，這些規(guī)則之間的關系應該是OR的關系.

3.3 規(guī)則校驗

參數(shù)應用的過程就是數(shù)據(jù)權限規(guī)則校驗的過程.過程FilterWithDPRs的功能是對數(shù)據(jù)對象集合依據(jù)數(shù)據(jù)權限規(guī)則集進行過濾，其算法描述如表2所示.其中參數(shù)data_list表示原數(shù)據(jù)對象集合，dpr_list表示用戶在當前會話中的數(shù)據(jù)權限規(guī)則集.算法中涉及的子過程FilterWithRS是將數(shù)據(jù)對象集合依據(jù)單個數(shù)據(jù)權限規(guī)則的屬性規(guī)則集合進行過濾，其算法表述如表3.其他涉及的子過程功能描述如表4.

表2 基于DPRs的過濾

表3 基于RS的過濾

表4 相關子過程功能描述

3.4 Java反射

在過程FilterWithRule中，需要校驗單個屬性規(guī)則.然而，屬性規(guī)則中的屬性名都被配置成了文本，一般的做法是遍歷所有可能屬性名，然后調用相應的屬性訪問方法.但是，一個數(shù)據(jù)對象一般都具有多個屬性，而且數(shù)據(jù)對象的類型也不可能只有少數(shù)幾個，不同的應用系統(tǒng)都可以定義自己不同的數(shù)據(jù)對象類型.因此，不可能在FilterWithRule的具體實現(xiàn)中通過文本判斷遍歷所有的情況.

Java語言中的反射機制能夠通過文本的屬性名獲取到該屬性的訪問方法，并且可以通過程序觸發(fā)運行，從而獲得數(shù)據(jù)對象的屬性值.實際上，Java語言的反射機制對于本文基于屬性規(guī)則的PRBAC參數(shù)模型的通用性有極為關鍵的作用,而且，其他的面向對象語言中也都有類似的反射機制.

4 應用實踐

“北京大學統(tǒng)一身份認證和權限管理系統(tǒng)”(以下簡稱“IAAA系統(tǒng)”)是北京大學電子校務環(huán)境下集成了用戶管理、身份認證、權限管理和日志審計管理等功能的綜合安全管理系統(tǒng)[13].其中權限管理部分基于PRBAC模型設計和實現(xiàn)，在數(shù)據(jù)權限管理方面應用了筆者提出的PRBAC參數(shù)模型，實現(xiàn)了通用而且細粒度的數(shù)據(jù)權限管理.其簡化的實現(xiàn)類圖如圖1所示.其中“對象約束屬性”對應2.1節(jié)中闡述的屬性規(guī)則rule元素對中的attr_name.

圖1 權限管理類圖

“IAAA系統(tǒng)”目前共管理北京大學電子用戶身份數(shù)據(jù)大約21萬條，為108個應用系統(tǒng)提供統(tǒng)一身份認證服務，為29個應用系統(tǒng)提供統(tǒng)一權限管理服務(共有角色約320個)，其中10個應用系統(tǒng)集成了數(shù)據(jù)權限管理服務.“IAAA系統(tǒng)”面向全校的應用系統(tǒng)提供統(tǒng)一而分級的權限管理服務，應用系統(tǒng)的權限管理均由注冊的應用系統(tǒng)安全管理員管理和配置，無需分別在應用系統(tǒng)中重復設計實現(xiàn)和管理.

實踐表明，“IAAA系統(tǒng)”能夠合理而有效地實現(xiàn)數(shù)據(jù)權限管理，應用系統(tǒng)集成簡便，規(guī)則配置靈活，滿足了應用系統(tǒng)的權限管理需求.

5 結論

筆者通過分析以往研究并總結具體的實踐探索經(jīng)驗，提出了基于屬性規(guī)則的PRBAC參數(shù)模型.闡述了該模型的設計思路和實現(xiàn)方案，包括數(shù)據(jù)權限規(guī)則的形式組成、具體含義，以及規(guī)則的具體實現(xiàn)形式、參數(shù)的應用時機、規(guī)則校驗的主要實現(xiàn)算法和相關的實現(xiàn)技術要點等.規(guī)則配置時對規(guī)則沖突的檢驗方面本文的實現(xiàn)方案并未涉及，還需要進一步完善.

最后，北京大學“IAAA系統(tǒng)”的應用實踐表明，筆者提出的基于屬性規(guī)則的PRBAC參數(shù)模型可以合理而有效地實現(xiàn)數(shù)據(jù)權限管理，規(guī)則設置具有較強通用性，靈活而且便捷，滿足了應用系統(tǒng)的權限管理需求.

[1] FERRAIOLO D, KUHN R. Role-based access control[C]// Proceedings of the NIST-NSA National(USA) Computer Security Conference. Piscataway: IEEE, 1992:554-563.

[2] ANSI. American National Standard for information technology-role based access control[M]. ANSI INCITS 359-2004. New York: American National Standards Institute, Inc. 2004.

[3] EMIL L, MORRIS SM. Reconciling role based management and role based access control[C]//Proceedings of Symposium on Access Control Model and Technologies. New York: ACM. 1997:135-141.

[4] MEI G, SYLVIA L O. A design from parameterized roles[C]//Proceedings of Research Directions in Data and Application Security XVII. Laxenburg: IFIP, 2004:251-264.

[5] ETIENNE J K, ALI E A. A formal model for flat role-based access control[C]//Proceedings of ACS/IEEE International Conference on Computer Systems and Application. Piscataway: IEEE, 2003.

[6] ALI E A, ETIENNE J K. A formal model for parameterized role-based access control[C]//Proceedings of Workshop on Information Technologies and Systems. Georgia: WITS, 2005:233-246.

[7] XU F, LIN GY, HUANG H, et al. Role-based access control system for web services[C]//Proceedings of Conference on Computer and Information Technology. Piscataway: IEEE, 2004:357-362.

[8] JONATHAN K A. A service-centric approach to a parameterized RBAC service[C]//Proc. of the 5th WSEAS International Conference on Applied Computer Science. Wisconsin: WSEAS , 2006.

[9] LIANG Z H, HUANG X F, PAN L, et al. A desion and implementation of data access control in digital campus systems using the RBAC method[C]//Proc. of the First IEEE International Symposium on Information Technologies and Applications in Education. Piscataway: IEEE, 2007:274-277.

[10]ZHANG D M, LU Z X. Strategy design of permission management and data access scope control in provincial centralized project[C]//Proc. of International Forum on Computer Science-Technology and Applications. Piscataway: IEEE, 2009:396-398.

[11]王莉娟，郭培輝. PLM系統(tǒng)中數(shù)據(jù)權限控制研究[J]. 電子設計工程, 2011,19(3):131-133.

[12]龔藝. 一種基于RBAC的數(shù)據(jù)權限模型的設計與實現(xiàn)[J]. 網(wǎng)絡安全技術與應用, 2012(8):42-44.

[13]劉云峰，歐陽榮彬，來天平，等. 面向職責的細粒度委托授權機制及其應用研究[J]. 太原理工大學學報, 2012,43(專輯)：150-154.

Implementation of Parameter Model of PRBAC Based on Attribute Rules

OUYANG Rongbin, LIU Yunfeng, LONG Xinzheng

(Computer Center, Peking University, Beijing, 100871)

PRBAC was always implemented to achieve fine-grained access control. This paper analyzed recent research on data permissions, summarized related experiences, and presented a parameter model of PRBAC based on attribute rules. It presented the model’s design, including the rule’s formal form and its components. It also described a general implementation scheme, including the rules’ specification, rule’s application time choice, algorithm of the rule’s validation, and some key techniques of the implementation. With the practice on IAAA at PKU, it showed that the model was flexible and the rules’ setting was convenient. This paper also pointed out that rules’ conflict checking should be implemented in future.

access control; data permissions; PRBAC; attribute rules; parameter model

2016-10-31；

2016-11-29

國家發(fā)改委2011國家信息安全專項資助項目

歐陽榮彬(1979— )，男，北京大學高級工程師，主要從事教育信息化研究，E-mail:ouyang@pku.edu.cn.

1671-6833(2017)02-0013-04

TP315

A

10.13705/j.issn.1671-6833.2017.02.004