彭思喜，彭 鵬

（1.華南農(nóng)業(yè)大學(xué)經(jīng)濟(jì)管理學(xué)院，廣東 廣州 510642；2.深圳職業(yè)技術(shù)學(xué)院汽車與交通學(xué)院，廣東 深圳 518055）

0 引言

B/S結(jié)構(gòu)管理信息系統(tǒng)能夠有效地克服C/S結(jié)構(gòu)“信息封閉、效率低下和難以協(xié)同”的缺點(diǎn)[1].B/S結(jié)構(gòu)管理信息系統(tǒng)具有如下優(yōu)點(diǎn)[2]：（1）共享性，能夠在多部門之間實(shí)現(xiàn)有效信息共享和傳遞；（2）多向性，能夠提供各項(xiàng)業(yè)務(wù)、各個(gè)部門、各個(gè)環(huán)節(jié)、各項(xiàng)工作、各類人員、以及各種要素之間信息共享和傳遞通道；（3）高效性，隨著通信技術(shù)發(fā)展，國家信息高速公路建設(shè)，網(wǎng)絡(luò)帶寬越來越高，能夠?qū)崿F(xiàn)全面快速準(zhǔn)確可靠的處理；（4）及時(shí)性，因特網(wǎng)能夠克服時(shí)間和空間的限制，能夠以最快的速遞共享和傳遞相關(guān)信息.因此B/S結(jié)構(gòu)管理信息系統(tǒng)比C/S結(jié)構(gòu)更適應(yīng)多部門信息化協(xié)同管理的需要.

然而由于B/S結(jié)構(gòu)軟件體系的開放性，B/S結(jié)構(gòu)管理信息系統(tǒng)存在嚴(yán)重安全隱患，包括病毒入侵、黑客攻擊和業(yè)務(wù)數(shù)據(jù)的安全訪問控制等[3].病毒入侵和黑客攻擊可以通過日益成熟的殺毒軟件、防火墻技術(shù)和入侵檢測技術(shù)進(jìn)行防范.而如何在業(yè)務(wù)流程有序控制的條件下，實(shí)現(xiàn)開放網(wǎng)絡(luò)中業(yè)務(wù)數(shù)據(jù)的安全訪問控制和靈活授權(quán)管理，則成為B/S結(jié)構(gòu)管理信息系統(tǒng)亟需解決的關(guān)鍵問題[4].針對此問題，本文設(shè)計(jì)了一種基于雙角色控制的安全機(jī)制來實(shí)現(xiàn)的.

1 B/S結(jié)構(gòu)管理信息系統(tǒng)模式及網(wǎng)絡(luò)安全分析

在B/S結(jié)構(gòu)中，用戶界面由www瀏覽器實(shí)現(xiàn)，部分無關(guān)緊要業(yè)務(wù)處理也在瀏覽器前端實(shí)現(xiàn)，主要邏輯業(yè)務(wù)則由Web服務(wù)器處理實(shí)現(xiàn)，形成了瀏覽器、web服務(wù)器和數(shù)據(jù)庫三層結(jié)構(gòu)的體系（見圖1）.第一層：客戶層，主要由客戶端瀏覽器組成，客戶端電腦需連入網(wǎng)絡(luò).第二層：服務(wù)層，提供系統(tǒng)管理平臺、接口系統(tǒng)、查詢統(tǒng)計(jì)等功能服務(wù).第三層：數(shù)據(jù)層，包含系統(tǒng)所需的各種數(shù)據(jù)庫.

圖1 B/S結(jié)構(gòu)管理信息系統(tǒng)模式

B/S結(jié)構(gòu)管理信息系統(tǒng)，優(yōu)點(diǎn)在于它的開放性，客戶端無需專門軟件，可通過瀏覽器隨時(shí)隨地方便訪問系統(tǒng)，同時(shí)也給系統(tǒng)帶來嚴(yán)重安全隱患：一者，讓病毒入侵和黑客攻擊變得容易；二者，讓業(yè)務(wù)數(shù)據(jù)安全性訪問控制變得困難；三者，由于B/S結(jié)構(gòu)的Web服務(wù)器一般情況需要24 h不停運(yùn)轉(zhuǎn)，容易使軟硬件設(shè)施損壞，甚至造成數(shù)據(jù)庫文件丟失.因此，B/S結(jié)構(gòu)管理信息系統(tǒng)面臨不同層次的安全需求，包括物理安全、網(wǎng)絡(luò)接入安全、網(wǎng)絡(luò)數(shù)據(jù)傳輸安全和業(yè)務(wù)數(shù)據(jù)處理安全等.

隨著殺毒軟件、防火墻技術(shù)和入侵檢測技術(shù)的日益成熟，病毒入侵和黑客攻擊能夠得到較好的防范.而如何實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的安全訪問控制和授權(quán)管理，目前主流的技術(shù)是基于角色的訪問控制RBAC模型.

2 基于角色的訪問控制RBAC模型

如何實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的訪問控制和授權(quán)管理，傳統(tǒng)方式有自主訪問控制（DAC）和強(qiáng)訪問控制（MAC）兩種技術(shù)[5].自主訪問控制（DAC）是指用戶有權(quán)訪問自身創(chuàng)建的訪問對象（文件、數(shù)據(jù)表等），并可自主地將該對象的訪問權(quán)限授予其他用戶或者收回其授予的權(quán)限.強(qiáng)訪問控制（MAC）是指由系統(tǒng)對用戶創(chuàng)建的對象統(tǒng)一進(jìn)行強(qiáng)制性控制，按照系統(tǒng)設(shè)定的規(guī)則決定用戶可訪問對象及操作權(quán)限，因此存在哪怕對象創(chuàng)建者也無權(quán)訪問該對象的情況.

自主訪問控制（DAC）雖然授權(quán)靈活但因“授權(quán)”自由傳遞易引發(fā)“授權(quán)泄漏”導(dǎo)致非信任用戶取得合法權(quán)限[6].強(qiáng)訪問控制（MAC）能有效地防止“授權(quán)泄漏”，但“授權(quán)僵化”不能滿足業(yè)務(wù)流程需要[7].因此DAC和MAC在授權(quán)管理方面都存在較大缺陷，逐漸被基于角色的訪問控制RBAC技術(shù)有效替代[8].RBAC在授權(quán)管理方面具有靈活、便于管理和策略中立等優(yōu)點(diǎn)，降低了授權(quán)的復(fù)雜度和管理成本，因而得到普遍應(yīng)用，成為當(dāng)前研究熱點(diǎn)[9，10].

RBAC模型（見圖2）通過引入“角色”中介實(shí)現(xiàn)了權(quán)限與用戶的邏輯關(guān)聯(lián).用戶根據(jù)自身責(zé)任和資格被委派角色，并通過角色獲得相應(yīng)的授權(quán)信息，既克服了自主訪問控制“權(quán)限泄漏”問題，也不像MAC那樣會限制信息流向[11-12].RBAC模式優(yōu)點(diǎn)在于不再將用戶和權(quán)限直接綁定，而是將權(quán)限賦予角色，再將角色委派給用戶，從而實(shí)現(xiàn)靈活的授權(quán)管理，在簡化授權(quán)管理復(fù)雜度同時(shí)，能夠靈活支持企業(yè)安全策略，具有高度的擴(kuò)展性和伸縮性[13].系統(tǒng)管理員根據(jù)不同的角色進(jìn)行權(quán)限設(shè)置，從而使角色獲得相應(yīng)的權(quán)限.角色的產(chǎn)生或取消，由系統(tǒng)管理員根據(jù)系統(tǒng)的實(shí)際需要決定.登錄到系統(tǒng)的用戶也可以根據(jù)需要動態(tài)激活自己所扮演的角色.

圖2 基于角色權(quán)限訪問控制RBAC模型

RBAC模型通過“用戶-角色-權(quán)限”授權(quán)機(jī)制實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的安全訪問控制和靈活授權(quán)管理，但在模型中可以看到，其沒有提供業(yè)務(wù)流程控制機(jī)制[14-15]，因而難以應(yīng)用到有嚴(yán)格業(yè)務(wù)流程次序操作要求的實(shí)體信息系統(tǒng)中.在實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的安全訪問控制和靈活授權(quán)管理?xiàng)l件下，如何滿足業(yè)務(wù)流程的嚴(yán)格次序操作要求，成為B/S結(jié)構(gòu)管理信息系統(tǒng)亟需解決的難題.為了嘗試解決此難題，下文對RBAC模式進(jìn)行改進(jìn)，提出了一種基于雙角色的權(quán)限控制DRBAC模型.

3 基于雙角色的權(quán)限控制DRBAC模型

在DRBAC模型（見圖3）中，雙角色分別為業(yè)務(wù)角色和權(quán)限角色.一方面，所有的用戶，都扮演了某一個(gè)業(yè)務(wù)角色；根據(jù)用戶所扮演的業(yè)務(wù)角色，控制用戶能夠訪問的功能模塊，從而確保業(yè)務(wù)流程的控制與運(yùn)行.另一方面，所有業(yè)務(wù)角色，同時(shí)扮演了某一個(gè)權(quán)限角色，每一個(gè)權(quán)限角色，對各功能模塊都有相應(yīng)的訪問控制權(quán)限.不同的用戶通過身份認(rèn)證后，就登錄到該用戶所扮演的業(yè)務(wù)角色能夠訪問的功能模塊，同時(shí)按照該用戶的業(yè)務(wù)角色所扮演的權(quán)限角色對該用戶訪問的功能模塊所具有的權(quán)限進(jìn)行相關(guān)的數(shù)據(jù)操作.相比RBAC模型，DRBAC模型通過“用戶-業(yè)務(wù)角色-功能模塊”實(shí)現(xiàn)業(yè)務(wù)流程的控制，同時(shí)通過“用戶-業(yè)務(wù)角色-權(quán)限角色-功能模塊”實(shí)現(xiàn)用戶權(quán)限的授權(quán)與管理，在簡化授權(quán)管理的同時(shí)，實(shí)現(xiàn)操作順序的控制.

圖3 基于雙角色權(quán)限控制DRBAC模型

3.1 業(yè)務(wù)流程控制機(jī)制

DRBAC模型通過“用戶-業(yè)務(wù)角色-功能模塊”實(shí)現(xiàn)業(yè)務(wù)流程的控制（見圖4）.首先，所有的用戶都扮演了某種特定的業(yè)務(wù)角色，根據(jù)用戶扮演的業(yè)務(wù)角色，控制用戶能夠訪問的功能模塊.而所有的功能模塊都是根據(jù)業(yè)務(wù)流程進(jìn)行設(shè)計(jì)的，各功能模塊的邏輯關(guān)系也是根據(jù)業(yè)務(wù)流程次序進(jìn)行設(shè)計(jì).系統(tǒng)在讀取特定業(yè)務(wù)角色的功能模塊時(shí)，會自動依據(jù)各功能模塊的邏輯關(guān)系進(jìn)行業(yè)務(wù)流程的控制.

圖4 DRBAC模型的業(yè)務(wù)流程控制

3.2 安全訪問控制機(jī)制

在實(shí)現(xiàn)業(yè)務(wù)流程控制的基礎(chǔ)上，DRBAC模型通過“用戶-業(yè)務(wù)角色-權(quán)限角色-功能模塊”實(shí)現(xiàn)開放網(wǎng)絡(luò)條件下業(yè)務(wù)數(shù)據(jù)的安全訪問控制和靈活授權(quán)管理（見圖5）.首先，用戶根據(jù)自己扮演的業(yè)務(wù)角色，按照業(yè)務(wù)流程運(yùn)行相應(yīng)的功能模塊.其次，系統(tǒng)預(yù)先規(guī)定了各權(quán)限角色對各功能模塊的訪問控制權(quán)限.再次，每一個(gè)業(yè)務(wù)角色都扮演了某一個(gè)權(quán)限角色，該權(quán)限角色規(guī)定業(yè)務(wù)角色對應(yīng)的功能模塊的訪問控制權(quán)限.因而，業(yè)務(wù)角色根據(jù)自己扮演的權(quán)限角色實(shí)現(xiàn)了對自己運(yùn)行的功能模塊的權(quán)限控制.

圖5 DRBAC模型的訪問權(quán)限控制

4 基于雙角色權(quán)限控制的安全機(jī)制優(yōu)勢分析

（1）授權(quán)管理復(fù)雜度.DRBAC跟RBAC一樣，將訪問權(quán)限與角色相關(guān)聯(lián)，用戶通過自己扮演的角色獲得自己的授權(quán)信息，擺脫了用戶與權(quán)限的直接綁定，使得用戶和權(quán)限相分離，用戶職能的變動，不會產(chǎn)生授權(quán)操作，只需要重新設(shè)置用戶角色就可以實(shí)現(xiàn)用戶權(quán)限變更，從而使得授權(quán)管理變得簡單高效，降低了授權(quán)管理的復(fù)雜度和管理成本.

（2）業(yè)務(wù)流程適應(yīng)性.DRBAC通過“用戶-業(yè)務(wù)角色-功能模塊”實(shí)現(xiàn)業(yè)務(wù)流程的控制，根據(jù)用戶扮演業(yè)務(wù)角色，用戶登錄到業(yè)務(wù)角色對應(yīng)的功能模塊特定界面，并按照業(yè)務(wù)流程需要進(jìn)行特定操作，實(shí)現(xiàn)了業(yè)務(wù)流程的適應(yīng)性和多部門多用戶間的業(yè)務(wù)協(xié)同.

（3）訪問控制安全性.DRBAC通過業(yè)務(wù)角色對應(yīng)的權(quán)限角色獲得用戶授權(quán)信息，根據(jù)授權(quán)信息實(shí)現(xiàn)用戶對業(yè)務(wù)角色對應(yīng)的功能模塊的訪問控制，從而保證了業(yè)務(wù)數(shù)據(jù)的安全性，同時(shí)避免“授權(quán)泄漏”問題的產(chǎn)生.

表1 DRBAC與主流訪問控制技術(shù)比較

5 結(jié)束語

B/S結(jié)構(gòu)管理信息系統(tǒng)能夠有效地克服C/S結(jié)構(gòu)“信息封閉、效率低下和難以協(xié)同”的缺點(diǎn)，比C/S結(jié)構(gòu)更適應(yīng)多部門信息化協(xié)同的需要，但因?yàn)锽/S結(jié)構(gòu)的開放性，導(dǎo)致存在嚴(yán)重安全隱患.如何在開放網(wǎng)絡(luò)和業(yè)務(wù)流程優(yōu)化有序的限制下，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的安全訪問控制和靈活授權(quán)管理，是B/S結(jié)構(gòu)管理信息系統(tǒng)安全機(jī)制的關(guān)鍵所在.傳統(tǒng)的DAC和MAC技術(shù)因?yàn)槭跈?quán)管理方面的缺陷逐漸被RBAC技術(shù)替代.RBAC通過“用戶-角色-權(quán)限”授權(quán)機(jī)制實(shí)現(xiàn)了業(yè)務(wù)數(shù)據(jù)的安全訪問控制和靈活授權(quán)管理，但RBAC沒有提供業(yè)務(wù)流程控制機(jī)制，因而難以應(yīng)用到有嚴(yán)格的業(yè)務(wù)流程次序操序要求的實(shí)體信息系統(tǒng).基于對RBAC模型的改進(jìn)，本文設(shè)計(jì)了一種“基于雙角色”的權(quán)限授權(quán)機(jī)制，在實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的安全訪問控制和靈活授權(quán)管理的同時(shí)，提供了一種操作順序控制機(jī)制，能夠較好地適應(yīng)具有嚴(yán)格操作次序要求的B/S結(jié)構(gòu)實(shí)體信息系統(tǒng).