（無(wú)錫科技職業(yè)學(xué)院，江蘇無(wú)錫市，214028） 王 丹

1 引言

隨著現(xiàn)代信息技術(shù)運(yùn)用的不斷深入，信息系統(tǒng)很容易受到攻擊，發(fā)生如非法訪問(wèn)等事件。因此，安全成為信息系統(tǒng)迫切需要解決的問(wèn)題。一個(gè)完整的安全信息系統(tǒng)，要綜合地使用身份鑒別、訪問(wèn)控制、數(shù)據(jù)加密、安全審計(jì)、安全管理等安全技術(shù)。在現(xiàn)實(shí)環(huán)境中，沒(méi)有任何一項(xiàng)安全技術(shù)能夠單獨(dú)地解決安全問(wèn)題。在這些安全技術(shù)中，訪問(wèn)控制起著極其重要的作用，它是安全策略在系統(tǒng)運(yùn)行中的集中體現(xiàn)。通過(guò)訪問(wèn)控制服務(wù)，可以限制對(duì)關(guān)鍵資源的訪問(wèn)，防止非法用戶(hù)的侵入或者因合法用戶(hù)的不慎操作所造成的破壞。

但是Web 良好的開(kāi)放性也加劇了與系統(tǒng)安全之間的矛盾。因?yàn)橛脩?hù)是分布式的，瀏覽器就成為其進(jìn)行系統(tǒng)訪問(wèn)的主要工具，它對(duì)用戶(hù)端的限制很少，由于缺少必要的用戶(hù)訪問(wèn)控制，往往導(dǎo)致嚴(yán)重的安全漏洞。本文在層次擴(kuò)展客體的基礎(chǔ)上，提出了一種基于Web的WE-RBAC 模型和設(shè)計(jì)方法，有效地解決了用戶(hù)安全訪問(wèn)數(shù)據(jù)的控制問(wèn)題。

2 訪問(wèn)控制技術(shù)

傳統(tǒng)的訪問(wèn)控制技術(shù)主要有自主型的訪問(wèn)控制（DAC）和強(qiáng)制型的訪問(wèn)控制（MAC）。DAC 是目前計(jì)算機(jī)系統(tǒng)中實(shí)現(xiàn)最多的訪問(wèn)控制機(jī)制。而MAC由于過(guò)于偏重保密性，主要被運(yùn)用于專(zhuān)業(yè)系統(tǒng)中。20世紀(jì)90年代以后出現(xiàn)了基于角色的訪問(wèn)控制（Role-Based Access Control，簡(jiǎn)稱(chēng)RBAC）和基于任務(wù)的訪問(wèn)控制（Task-Based Access Control，簡(jiǎn)稱(chēng)TBAC），這兩種技術(shù)在實(shí)際中都有較多的運(yùn)用。RBAC 模型也稱(chēng)RBAC96 模型，其定義了用戶(hù)、角色、權(quán)限三個(gè)基本要素，通過(guò)角色的虛擬，建立了用戶(hù)—角色指派和角色—權(quán)限指派關(guān)系，有效地克服了DAC和MAC模型存在的不足之處，減少了授權(quán)管理的復(fù)雜性。[1]

隨著Web技術(shù)的不斷應(yīng)用，一些新型的訪問(wèn)控制技術(shù)也不斷出現(xiàn)，相對(duì)于傳統(tǒng)的客戶(hù)機(jī)/服務(wù)器模式，由于Web 使用了瀏覽器/服務(wù)器模式，它具有良好的Html代碼可讀性，使安全控制更加不易。2007年，董斌等提出了一種安全Cookie方式來(lái)保存用戶(hù)的登錄和角色等重要信息，通過(guò)加密和安全認(rèn)證來(lái)保證訪問(wèn)的安全。2008年，黃國(guó)純等也結(jié)合Web的特點(diǎn)，提出了區(qū)域集和頁(yè)面集這兩種基本W(wǎng)eb 客體，并給出了一種UR-RAO模型和其在信息系統(tǒng)中的解決方案。安全Cookie 是采用加密技術(shù)把一些關(guān)鍵信息保存在客戶(hù)端，因此一種可靠的加密解密技術(shù)尤為關(guān)鍵，否則容易導(dǎo)致一些數(shù)據(jù)的泄密。后者對(duì)Web客體進(jìn)行了劃分，分別對(duì)頁(yè)面集和區(qū)域集進(jìn)行管理，導(dǎo)致了模型構(gòu)建和管理的復(fù)雜性。[2]

3 WE-RBAC模型

WE-RBAC 模型建立在基本的RBACO 模型基礎(chǔ)上，它包含了基本的用戶(hù)、會(huì)話(huà)、角色、權(quán)限定義，也具有用戶(hù)—角色指派和角色—權(quán)限指派等特征。為了減少模型的復(fù)雜度，本研究沒(méi)有加入角色繼承和動(dòng)態(tài)（或靜態(tài)）職權(quán)分離等，以下的定義是建立在此前提下。

3.1 層次客體和層次權(quán)限

在RBAC 和TBAC 等模型中，沒(méi)有對(duì)客體的粒度進(jìn)行具體描述，從而不能滿(mǎn)足實(shí)際應(yīng)用系統(tǒng)對(duì)權(quán)限管理的需要。常見(jiàn)的客體或權(quán)限之間是一種網(wǎng)狀關(guān)系。通過(guò)對(duì)客體間的關(guān)系進(jìn)行劃分，如果客體之間存在控制關(guān)系，則稱(chēng)這些客體是有層次的"由這些層次客體組成的客體集合稱(chēng)為層次客體集。

由于網(wǎng)狀的關(guān)系在應(yīng)用中的復(fù)雜性，通?？梢詫?duì)網(wǎng)狀的訪問(wèn)路徑進(jìn)行簡(jiǎn)化，常見(jiàn)方法是將其定義成多種樹(shù)型關(guān)系，每個(gè)層次客體可以看作一個(gè)單獨(dú)的節(jié)點(diǎn)，層次客體之間存在著樹(shù)型控制關(guān)系，父節(jié)點(diǎn)可以控制子節(jié)點(diǎn)。根據(jù)權(quán)限的定義，如果這些客體對(duì)應(yīng)的操作是同一種操作，則稱(chēng)這些權(quán)限為層次權(quán)限"層次權(quán)限也存在層次性和層次控制關(guān)系。[3]

3.2 WE-RBAC模型定義

在WE-RBAC 模型中包含了RBAC0 模型的基本定義，包括用戶(hù)、角色和權(quán)限的定義，也包括用戶(hù)—角色指派關(guān)系和角色—權(quán)限指派等關(guān)系，同時(shí)也滿(mǎn)足層次客體RBAC模型中對(duì)層次客體的定義。如圖1所示，用戶(hù)通過(guò)角色的指派來(lái)獲得權(quán)限的指派，只要更改角色的權(quán)限，就直接影響指派了該角色的用戶(hù)的使用權(quán)限，同時(shí)也對(duì)角色和權(quán)限進(jìn)行了劃分。

圖1 WE-RBAC模型

WE-RBAC模型的具體定義如下：[4]

定義1：模型中的權(quán)限都具有層次性。

根據(jù)文獻(xiàn)[2]中劉波等研究者對(duì)層次客體的定義可以推出，層次權(quán)限具有層次性和層次控制關(guān)系。

定義2：功能權(quán)限和區(qū)域權(quán)限。

從權(quán)限應(yīng)用的范圍來(lái)看，層次權(quán)限可以分為功能權(quán)限和區(qū)域權(quán)限。功能權(quán)限是用于層次權(quán)限間的控制關(guān)系，在層次權(quán)限樹(shù)中，它通常表現(xiàn)為非葉子節(jié)點(diǎn)可以控制其他葉子節(jié)點(diǎn)和非葉子節(jié)點(diǎn)；區(qū)域權(quán)限是體現(xiàn)數(shù)據(jù)訪問(wèn)中的范圍界定，在模型中，區(qū)域權(quán)限之間的層次關(guān)系體現(xiàn)為一種包含、互斥或其他的數(shù)據(jù)關(guān)系。

定義3：權(quán)限集，也稱(chēng)為層次權(quán)限集，包括功能權(quán)限集和區(qū)域權(quán)限集。

定義4：功能角色和區(qū)域角色。

從應(yīng)用范圍上看，角色可劃分為功能角色和區(qū)域角色。功能角色對(duì)應(yīng)功能權(quán)限集的角色—權(quán)限指派，區(qū)域角色對(duì)應(yīng)區(qū)域角色集的角色—權(quán)限指派。

定義5：角色約束。

根據(jù)RBAC2 的定義，角色之間存在約束關(guān)系，可以分為靜態(tài)約束（Static Separation of Duty，SSD）和動(dòng)態(tài)約束（Dynamic Separation of Duty，DSD）；同時(shí)，角色之間也存在RBAC1 的繼承關(guān)系（Role Hiberachy RH）。

定義6：權(quán)限約束。

權(quán)限之間不僅存在層次關(guān)系，也可能存在約束關(guān)系。根據(jù)約束的發(fā)生范圍不同，可把權(quán)限約束分為靜態(tài)權(quán)限約束和動(dòng)態(tài)權(quán)限約束，權(quán)限的約束關(guān)系可直接影響角色的約束關(guān)系。

3.3 WE-RBAC模型的關(guān)鍵算法及實(shí)現(xiàn)

在RBAC96模型中，用戶(hù)通過(guò)角色來(lái)賦予、回收和驗(yàn)證權(quán)限，因此，WE-RBAC模型應(yīng)該建立相應(yīng)的算法。相對(duì)于傳統(tǒng)模型，該模型的層次權(quán)限算法、角色權(quán)限權(quán)限分配算法、角色回收算法和用戶(hù)訪問(wèn)驗(yàn)證算法就成為模型實(shí)施的關(guān)鍵部分，而其他的算法與傳統(tǒng)模型基本一致。[5]

層次權(quán)限算法包括對(duì)層次權(quán)限樹(shù)的生成、刪除、修改等動(dòng)作，由于操作對(duì)象是層次權(quán)限樹(shù)，因此直接運(yùn)用樹(shù)的算法來(lái)實(shí)現(xiàn)。角色權(quán)限分配算法是為角色分配層次權(quán)限集，這些權(quán)限的表現(xiàn)形式是層次權(quán)限樹(shù)的形式。而角色權(quán)限分配回收算法的實(shí)現(xiàn)與此類(lèi)似，算法實(shí)現(xiàn)如圖2所示。[6]

用戶(hù)訪問(wèn)驗(yàn)證算法是根據(jù)用戶(hù)需要訪問(wèn)的客體種類(lèi)進(jìn)行功能驗(yàn)證和數(shù)據(jù)驗(yàn)證由于在角色權(quán)限分配算法中，已經(jīng)完整地維護(hù)了權(quán)限的訪問(wèn)控制關(guān)系，因此，功能驗(yàn)證只需要簡(jiǎn)單的關(guān)聯(lián)功能判斷角色是否分配有該項(xiàng)功能權(quán)限； 而數(shù)據(jù)驗(yàn)證需根據(jù)區(qū)域角色對(duì)訪問(wèn)數(shù)據(jù)進(jìn)行數(shù)據(jù)限制。

圖2 角色權(quán)限分配回收算法

4 WE-RBAC在Web中的應(yīng)用

4.1 Web權(quán)限

4.1.1 Web權(quán)限定義

在常用的客戶(hù)—服務(wù)結(jié)構(gòu)的應(yīng)用系統(tǒng)中，客體總是根據(jù)具體的系統(tǒng)應(yīng)用定義，客戶(hù)端可以保存用戶(hù)的關(guān)鍵信息，實(shí)施訪問(wèn)控制直接、方便，對(duì)服務(wù)器影響較小。而對(duì)于瀏覽器—服務(wù)結(jié)構(gòu)的系統(tǒng)來(lái)說(shuō)，由于瀏覽器等的限制，從而不適宜在訪問(wèn)過(guò)程中大量地運(yùn)用權(quán)限策略。

在Web信息管理系統(tǒng)中，客體定義為由一組頁(yè)面和數(shù)據(jù)組成的頁(yè)面集，操作定義為對(duì)頁(yè)面或數(shù)據(jù)的訪問(wèn)許可，因此權(quán)限就表示為對(duì)某個(gè)頁(yè)面或數(shù)據(jù)的使用許可。根據(jù)特定系統(tǒng)的業(yè)務(wù)邏輯關(guān)系，可以把這些權(quán)限定義為層次權(quán)限，組成有一定層次關(guān)系的功能權(quán)限。

由于Web 訪問(wèn)的特殊性，從而不可能在服務(wù)端同時(shí)保存某用戶(hù)的所有訪問(wèn)控制狀態(tài)，只能對(duì)不同的權(quán)限進(jìn)行不同的訪問(wèn)控制.從訪問(wèn)的內(nèi)容來(lái)看，可以將權(quán)限劃分為頁(yè)間控制和頁(yè)面控制。頁(yè)間訪問(wèn)是指該頁(yè)面是否對(duì)用戶(hù)可見(jiàn)，如訪問(wèn)該頁(yè)面的某菜單項(xiàng)或鏈接；頁(yè)面訪問(wèn)是指在通過(guò)頁(yè)間訪問(wèn)允許后，頁(yè)面需控制的內(nèi)容是否對(duì)用戶(hù)有效，這些內(nèi)容包括按鈕、鏈接地址或數(shù)據(jù)。在系統(tǒng)實(shí)施中，可以?xún)H實(shí)施頁(yè)面或頁(yè)間控制，或者同時(shí)實(shí)施，以保證系統(tǒng)控制的嚴(yán)密性。

4.1.2 層次權(quán)限設(shè)計(jì)

Web系統(tǒng)的權(quán)限通常有鏈接控制、頁(yè)面操作控制和數(shù)據(jù)區(qū)域訪問(wèn)控制。鏈接控制指頁(yè)面訪問(wèn)路徑的控制，需要在訪問(wèn)前進(jìn)行控制，是一種靜態(tài)控制；同時(shí)，為了防止通過(guò)鏈接路徑直接訪問(wèn)，在頁(yè)面載入時(shí)也要進(jìn)行頁(yè)面驗(yàn)證，這屬于動(dòng)態(tài)控制。頁(yè)面操作控制是當(dāng)前頁(yè)面的組成元素，需要控制用戶(hù)是否可以訪問(wèn)。數(shù)據(jù)區(qū)域訪間控制是作為控制數(shù)據(jù)訪問(wèn)范圍的驗(yàn)證，與普通的操作控制相比，它控制的是數(shù)據(jù)是否對(duì)該用戶(hù)可用。

鏈接地址、頁(yè)面操作和數(shù)據(jù)區(qū)域都是WERBAC 模型中層次權(quán)限的組成部分，根據(jù)層次權(quán)限的定義來(lái)看，通常的Web信息系統(tǒng)層次權(quán)限用樹(shù)結(jié)構(gòu)表示。在數(shù)據(jù)庫(kù)中層次權(quán)限定義如表3所示的結(jié)構(gòu)：privId 是層次權(quán)限在系統(tǒng)中的唯一標(biāo)識(shí)，privAction表示該權(quán)限的動(dòng)作，可能是一個(gè)鏈接按鈕或數(shù)據(jù)區(qū)域的標(biāo)識(shí)，parentId 表示該權(quán)限的父權(quán)限指向哪個(gè)唯一的privId，不能為本權(quán)限的或一個(gè)不存在的privId，當(dāng)為空的時(shí)候，表示當(dāng)前權(quán)限是根權(quán)限。這種數(shù)據(jù)定義就構(gòu)造了系統(tǒng)中的層次權(quán)限樹(shù)。[7]

4.2 Web系統(tǒng)構(gòu)建

例如，表1中有3條記錄對(duì)應(yīng)了3個(gè)權(quán)限，其中，頁(yè)面“頁(yè)面a”是根權(quán)限，它有子權(quán)限“頁(yè)面a 中按鈕”，它們是功能權(quán)限并分別需要進(jìn)行頁(yè)間驗(yàn)證和頁(yè)面驗(yàn)證；而權(quán)限“數(shù)據(jù)b”是一種數(shù)據(jù)區(qū)域權(quán)限。

表1 層次權(quán)限舉例

通常的Web 信息系統(tǒng)是由用戶(hù)(瀏覽端)、Web控制和Web 服務(wù)端三層構(gòu)成，如圖3 所示。Web 控制是建立在WE-RBAC 規(guī)則庫(kù)基礎(chǔ)上的訪問(wèn)控制層，Web服務(wù)為訪問(wèn)提供頁(yè)面訪問(wèn)或數(shù)據(jù)服務(wù)。用戶(hù)使用瀏覽器在Web控制下獲得Web服務(wù)，在正常的訪問(wèn)中，虛線表示用戶(hù)通過(guò)控制層透明的訪問(wèn)服務(wù)端的頁(yè)面或數(shù)據(jù)。

圖3 Web訪問(wèn)控制

Web控制可以是一個(gè)獨(dú)立的模塊，也可以是和Web 服務(wù)集成后共同組成綜合的服務(wù)平臺(tái)。從數(shù)據(jù)安全訪問(wèn)的原則上考慮，獨(dú)立的WEB 控制符合系統(tǒng)安全設(shè)計(jì)原則。Web控制主要運(yùn)用WE-RBAC模型構(gòu)建的規(guī)則庫(kù)，為用戶(hù)提供訪問(wèn)控制的接口。為了訪問(wèn)的簡(jiǎn)便，規(guī)則庫(kù)一般用數(shù)據(jù)庫(kù)實(shí)現(xiàn)，根據(jù)WE-RBAC 模型的定義，規(guī)則庫(kù)應(yīng)該包含用戶(hù)、角色、權(quán)限和之間的對(duì)應(yīng)關(guān)系。

Web 服務(wù)就是通常提供信息服務(wù)的Web 服務(wù)器它包括通常的Web 頁(yè)面服務(wù)和Web 數(shù)據(jù)服務(wù)。頁(yè)面通常指網(wǎng)頁(yè)等，數(shù)據(jù)指要為用戶(hù)訪問(wèn)提供的數(shù)據(jù)庫(kù)中的數(shù)據(jù)， 數(shù)據(jù)可能包含在頁(yè)面中，也可能是一種數(shù)據(jù)接口。

在信息系統(tǒng)中，還應(yīng)該包含為頁(yè)面提供數(shù)據(jù)的數(shù)據(jù)庫(kù)系統(tǒng)，在圖3中就沒(méi)有將其單獨(dú)地標(biāo)注出來(lái)，它屬于系統(tǒng)的基本配置。同時(shí)，從廣泛的數(shù)據(jù)考慮WE-RBAC 規(guī)則庫(kù)是定義在數(shù)據(jù)庫(kù)中，也是權(quán)限控制的范疇。

4.3 Web訪問(wèn)控制

用戶(hù)通過(guò)WE-RBAC 模型來(lái)訪問(wèn)Web 資源，首先要為角色分配層次權(quán)限，然后建立一個(gè)WERBAC 會(huì)話(huà)，在會(huì)話(huà)中可以得到用戶(hù)的角色集和權(quán)限集，對(duì)用戶(hù)權(quán)限進(jìn)行驗(yàn)證。

在層次權(quán)限的基礎(chǔ)上為角色分配權(quán)限，一般規(guī)定，當(dāng)且僅當(dāng)用戶(hù)遞歸擁有某個(gè)權(quán)限的父權(quán)限，用戶(hù)才能分配該權(quán)限。也就是說(shuō)，必須要為用戶(hù)分配根權(quán)限到該權(quán)限整條路徑中的所有權(quán)限后" 該權(quán)限才分配成功。這種權(quán)限分配過(guò)程的復(fù)雜性縮短了權(quán)限訪問(wèn)驗(yàn)證的過(guò)程，其分配算法在定義模型的關(guān)鍵算法中。

當(dāng)用戶(hù)要訪問(wèn)某項(xiàng)權(quán)限時(shí)，就要對(duì)用戶(hù)操作的合法性進(jìn)行驗(yàn)證，通過(guò)返回可以執(zhí)行的URL或允許執(zhí)行進(jìn)行確認(rèn)。如果用戶(hù)沒(méi)有通過(guò)訪問(wèn)驗(yàn)證，則該權(quán)限對(duì)用戶(hù)不可見(jiàn)或者是不可訪問(wèn)。

4.4 WE-RBAC與RBAC等的比較

通過(guò)對(duì)WE-RBAC 模型的基本元素及其關(guān)系的分析可知，該模型是RBAC模型的一種擴(kuò)展模型，其支持基本的用戶(hù)、角色和權(quán)限及其相互間的關(guān)系管理，而層次權(quán)限的應(yīng)用也能更好地滿(mǎn)足Web系統(tǒng)對(duì)訪問(wèn)控制的需求。

如表2 所述，WE-RBAC 模型明確了訪問(wèn)Web的頁(yè)面和頁(yè)間界定，它與UR-PAO 模型的不同之處在于：前者以為數(shù)據(jù)區(qū)域和其他權(quán)限都是權(quán)限的一種，進(jìn)行集中管理，而后者把區(qū)域和權(quán)限分別獨(dú)立對(duì)待；前者用層次化的方法管理權(quán)限及其關(guān)系，而后者是分散化管理權(quán)限。同時(shí)WE-RBAC 模型也遵循RBAC 模型的基本原則" 不允許為用戶(hù)直接分派權(quán)限。

表2 RBAC、UR-PAO和WE-RBAC的比較

5 系統(tǒng)實(shí)現(xiàn)及應(yīng)用

WE-RBAC 模型在某高職院校教務(wù)管理系統(tǒng)、學(xué)生服務(wù)系統(tǒng)等多個(gè)Web系統(tǒng)中得到了實(shí)際運(yùn)用。圖4是一個(gè)運(yùn)行在某教務(wù)管理系統(tǒng)中的權(quán)限分配截圖。

圖4 教務(wù)管理系統(tǒng)權(quán)限分配

在該管理系統(tǒng)中，有計(jì)劃管理、考務(wù)管理和系統(tǒng)管理等7個(gè)模塊，分別建立了7個(gè)權(quán)限樹(shù)，共計(jì)要管理300多項(xiàng)權(quán)限.系統(tǒng)運(yùn)用WE-RBAC模型，建立了7 個(gè)層次權(quán)限樹(shù)來(lái)管理這300 多項(xiàng)層次權(quán)限，為80 余個(gè)用戶(hù)分配了10 多個(gè)角色，并根據(jù)為用戶(hù)分配的區(qū)域角色和功能角色實(shí)現(xiàn)權(quán)限控制。控制模塊相對(duì)獨(dú)立于整個(gè)管理系統(tǒng)，并被運(yùn)用在每個(gè)模塊的底層，為用戶(hù)訪問(wèn)提供安全控制，具有很好的擴(kuò)展性和重用性。

6 結(jié)束語(yǔ)

擴(kuò)展的RBAC模型繼承了當(dāng)前主流基于角色的訪問(wèn)控制模型的優(yōu)點(diǎn)[8]。WE-RBAC 模型通過(guò)對(duì)權(quán)限進(jìn)行功能和區(qū)域的劃分，建立了層次權(quán)限和相關(guān)的算法，解決了Web頁(yè)面資源和數(shù)據(jù)資源的權(quán)限管理，減輕了系統(tǒng)的驗(yàn)證管理過(guò)程，便于維護(hù)。但在實(shí)際系統(tǒng)的應(yīng)用中，權(quán)限之間和角色之間存在著一定的約束關(guān)系，模型還應(yīng)定義得更加完善；同時(shí)，考慮到驗(yàn)證的效率，還應(yīng)在模型中加入對(duì)權(quán)限驗(yàn)證的CACHE計(jì)算，以提高權(quán)限訪問(wèn)效率。