楊福軍 丁 濤 付 眸 張培紅 周 鑄

(中國(guó)空氣動(dòng)力研究與發(fā)展中心計(jì)算空氣動(dòng)力研究所 四川 綿陽(yáng) 621000)

0 引 言

隨著計(jì)算機(jī)領(lǐng)域不斷延伸到各行各業(yè)，系統(tǒng)權(quán)限的復(fù)雜度不斷增加。在特定的業(yè)務(wù)場(chǎng)景中，業(yè)務(wù)系統(tǒng)權(quán)限通常指用戶具有對(duì)計(jì)算機(jī)軟硬件資源的訪問(wèn)、修改、使用等權(quán)力。例如，在Windows操作系統(tǒng)中，將用戶分為了管理員、一般用戶、游客、網(wǎng)絡(luò)訪問(wèn)用戶等類別，不同類別具有不同的權(quán)限[1]。傳統(tǒng)的DAC權(quán)限管理一定程度上減輕了權(quán)限配置負(fù)擔(dān)，但隨著用戶的增多，權(quán)限管理也會(huì)越來(lái)越復(fù)雜，往往需要專人負(fù)責(zé)權(quán)限的規(guī)劃、分配、管理、監(jiān)控等事務(wù)。文獻(xiàn)[2]提出了一種DAC(Discretionary Access Control)到RBAC的遷移方法，但該方法只是對(duì)DAC進(jìn)行了兼容，面對(duì)大型系統(tǒng)，仍然存在很多問(wèn)題。因此，我們需要更好的權(quán)限管理方法，尤其是隨著各業(yè)務(wù)系統(tǒng)加入網(wǎng)絡(luò)，對(duì)于用戶的隱私泄露的問(wèn)題也亟需解決[3]。

基于角色訪問(wèn)控制的系統(tǒng)權(quán)限管理方法，在一定程度上給系統(tǒng)權(quán)限的管理帶來(lái)方便，但角色管理方法也存在一些潛在問(wèn)題：(1)關(guān)鍵角色可同時(shí)被賦予多個(gè)用戶而導(dǎo)致沖突；(2)角色繼承后缺乏權(quán)限管理的安全性；(3)沒(méi)有考慮各類系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)RBAC模型時(shí)，權(quán)限管理功能的復(fù)雜性問(wèn)題[4]，可能造成人為的數(shù)據(jù)的泄露、丟失和篡改；(4)不當(dāng)?shù)臋?quán)限配置還可能導(dǎo)致系統(tǒng)宕機(jī)。在云計(jì)算領(lǐng)域，權(quán)限管理不僅需要更多靈活性，還要保證數(shù)據(jù)安全性[5]。例如，通常Software-as-a-service云是使用多租戶方式，既要保證數(shù)據(jù)安全，又要防止內(nèi)部攻擊導(dǎo)致服務(wù)崩潰[6]。文獻(xiàn)[7]提出了一種在云環(huán)境中的CRUAC(Role and Usage based Access Control in Cloud Computing)訪問(wèn)控制模型，主要從用戶管理、約束管理、資源管理、授權(quán)管理4個(gè)角度的權(quán)限控制管理。

1 系統(tǒng)權(quán)限分析

1.1 數(shù)據(jù)庫(kù)權(quán)限配置

在現(xiàn)代業(yè)務(wù)系統(tǒng)中，一般會(huì)將權(quán)限信息保存于數(shù)據(jù)庫(kù)中，數(shù)據(jù)庫(kù)相對(duì)于業(yè)務(wù)系統(tǒng)，具有獨(dú)立的權(quán)限管理機(jī)制[8]，比如Oracle數(shù)據(jù)庫(kù)權(quán)限管理非常龐大復(fù)雜。應(yīng)用程序訪問(wèn)后臺(tái)數(shù)據(jù)庫(kù)時(shí)，一般會(huì)讀取配置文件中設(shè)置的數(shù)據(jù)庫(kù)的配置參數(shù)，數(shù)據(jù)庫(kù)的連接方式都有相同范式，Oracle連接參數(shù)如表1所示。

表1 Oracle訪問(wèn)參數(shù)表

數(shù)據(jù)庫(kù)系統(tǒng)往往與業(yè)務(wù)系統(tǒng)分開(kāi)，通常成熟的大型數(shù)據(jù)庫(kù)系統(tǒng)有特殊的權(quán)限管理方法，可將操作權(quán)限細(xì)分到行級(jí)。數(shù)據(jù)庫(kù)系統(tǒng)為業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)存儲(chǔ)服務(wù)，往往使用中間件進(jìn)行連接。成功建立連接后，中間件會(huì)與Oracle建立會(huì)話進(jìn)程，操作系統(tǒng)會(huì)分配一段內(nèi)存作為此次會(huì)話的緩沖區(qū)，直到連接關(guān)閉、會(huì)話結(jié)束。在實(shí)際業(yè)務(wù)場(chǎng)景中，業(yè)務(wù)系統(tǒng)往往會(huì)并發(fā)與數(shù)據(jù)庫(kù)建立多個(gè)連接，生成多個(gè)會(huì)話，連接持有的權(quán)限也各不相同，此時(shí)的權(quán)限概念與業(yè)務(wù)系統(tǒng)的權(quán)限概念不同，在數(shù)據(jù)庫(kù)系統(tǒng)中的權(quán)限使用內(nèi)部權(quán)限管理方式，與業(yè)務(wù)系統(tǒng)分離。

1.2 業(yè)務(wù)系統(tǒng)權(quán)限分析

數(shù)據(jù)庫(kù)系統(tǒng)為業(yè)務(wù)系統(tǒng)提供了數(shù)據(jù)存儲(chǔ)服務(wù)，同時(shí)，業(yè)務(wù)系統(tǒng)中的權(quán)限也以表的形式保存于數(shù)據(jù)庫(kù)系統(tǒng)，通過(guò)DBMS本身的用戶管理模式，如果給每個(gè)用戶建立一個(gè)登錄數(shù)據(jù)庫(kù)的用戶，用戶的授權(quán)工作由數(shù)據(jù)庫(kù)管理員實(shí)施和維護(hù);每增加一個(gè)用戶，都需要在數(shù)據(jù)庫(kù)中也增加相應(yīng)用戶，并賦予相應(yīng)權(quán)限；隨著系統(tǒng)的不斷擴(kuò)展，權(quán)限維護(hù)工作會(huì)愈發(fā)繁重。

在一個(gè)成熟的業(yè)務(wù)系統(tǒng)中，管理員與數(shù)據(jù)庫(kù)的交互一般采用網(wǎng)頁(yè)/客戶端的交互模式，即需要中間應(yīng)用服務(wù)器建立連接并操作數(shù)據(jù)庫(kù)(見(jiàn)圖1)。從數(shù)據(jù)庫(kù)系統(tǒng)的角度來(lái)看，業(yè)務(wù)系統(tǒng)的權(quán)限也是一種數(shù)據(jù)，以表的形式保存在數(shù)據(jù)庫(kù)。這些特定的權(quán)限表保存著業(yè)務(wù)系統(tǒng)中的所有使用人員、權(quán)限分配方式、訪問(wèn)控制等信息，因此權(quán)限表的安全性特別重要。

圖1 數(shù)據(jù)庫(kù)交互模型

權(quán)限管理包含兩部分內(nèi)容:(1)對(duì)數(shù)據(jù)資源進(jìn)行篩選過(guò)濾，只將有限的數(shù)據(jù)開(kāi)放給用戶；(2)用戶對(duì)這些開(kāi)放的資源是否具有增加、刪除、修改、查詢的權(quán)限。在本文中，把數(shù)據(jù)權(quán)限定義為對(duì)表的訪問(wèn)權(quán)控制，又分為行控制和列控制。比如，當(dāng)要求用戶只能操作自己的數(shù)據(jù)時(shí)，需要進(jìn)行行控制；當(dāng)要求用戶不能看到其他數(shù)據(jù)的來(lái)源信息時(shí)，需要進(jìn)行列控制[9]。

同時(shí)，對(duì)每個(gè)權(quán)限賦予有效期限，在有效期內(nèi)，權(quán)限才有效，未做特別時(shí)間約束的權(quán)限會(huì)一直有效。將時(shí)間、身份特征段作為權(quán)限的屬性，設(shè)計(jì)完善從訪問(wèn)控制模型、基于屬性的密文訪問(wèn)控制和外包數(shù)據(jù)的訪問(wèn)控制三個(gè)方面的權(quán)限方法可極大增加系統(tǒng)安全性[10]。一些大型業(yè)務(wù)系統(tǒng)不僅權(quán)限數(shù)量多，而且權(quán)限種類多種多樣，還需要經(jīng)常變化，于是對(duì)權(quán)限進(jìn)行分門(mén)別類，就產(chǎn)生了角色(Role)的概念。角色是某一類權(quán)限的集合。綜上所述，總結(jié)出了用戶、角色、權(quán)限和資源的關(guān)系如圖2所示。

圖2 用戶-角色-權(quán)限-資源關(guān)系

2 RBAC層次模型

通常RBAC模型由4個(gè)子權(quán)限模型組成，分別是基本權(quán)限模型RBAC0、角色分級(jí)權(quán)限模型RBAC1、角色限制權(quán)限模型RBAC2和統(tǒng)一權(quán)限模型RBAC3[11]。

2.1 RBAC0層分類

在系統(tǒng)中的所有最小粒度權(quán)限，可分為五個(gè)類別：用戶類(U)、角色類(R)、對(duì)象類(O)、操作類(J)、許可類(P)。這些最小粒度權(quán)限用RBAC0表示。五個(gè)類別權(quán)限相互之間可定義1 ∶N，M∶N關(guān)系，如下：

(1)U∶R=M∶N

(2)O∶J=1 ∶N

(3)R∶P=1 ∶N

(4)O∶P=1 ∶N

(5)J∶P=M∶N

權(quán)限被賦予角色,而不是用戶，當(dāng)一個(gè)角色被指定給一個(gè)用戶時(shí)，此用戶就擁有了該角色所包含的權(quán)限。會(huì)話是用戶與激活的角色集合之間的映射。RBAC0與傳統(tǒng)訪問(wèn)控制的差別在于增加一層間接性帶來(lái)了靈活性，RBAC1、RBAC2、RBAC3都是先后在RBAC0上的擴(kuò)展[12]。

2.2 RBAC1繼承關(guān)系

RBAC1定義角色的繼承關(guān)系，繼承關(guān)系使得權(quán)限管理靈活性得到提升，從管理角度出發(fā)，管理者擁有普通員工的權(quán)限，也擴(kuò)展相應(yīng)職能特權(quán)，則管理者繼承了普通員工權(quán)限[13]。RBAC1也可實(shí)現(xiàn)多繼承關(guān)系，進(jìn)一步提升角色間權(quán)限賦予的靈活性。

2.3 RBAC2約束關(guān)系

RBAC2定義了權(quán)限約束關(guān)系，包括權(quán)限間繼承的約束、用戶指派角色的約束、活動(dòng)用戶行使的權(quán)限范圍約束。在RBAC2中，具體訪問(wèn)許可由用戶、角色、權(quán)限三者關(guān)系決定。RBAC2約束關(guān)系使得權(quán)限管理安全性提升，但過(guò)多的約束關(guān)系會(huì)使得RBAC1的繼承關(guān)系管理變得更加繁瑣。因此，RBAC2約束關(guān)系的定義應(yīng)從總體需求出發(fā)進(jìn)行規(guī)劃。

2.4 RBAC3復(fù)合關(guān)系模型

RBAC3是包含一系列復(fù)合關(guān)系的模型，是對(duì)角色-用戶關(guān)系的定義，關(guān)系模型為M∶N；稱為用戶角色分配和角色許可分配[14]。

2.5 RBAC-權(quán)限集模型分析

傳統(tǒng)的RBAC只針對(duì)用戶作為權(quán)限擁有者，用戶具有對(duì)資源、數(shù)據(jù)、網(wǎng)絡(luò)等操作的許可，RBAC1、RBAC2、RBAC3是用戶權(quán)限關(guān)系的集合。隨著業(yè)務(wù)系統(tǒng)的復(fù)雜性增加，本文將系統(tǒng)中一些用戶分組，提取分組用戶所有權(quán)限，稱為權(quán)限集，按照繼承關(guān)系-約束關(guān)系-復(fù)合關(guān)系分析組內(nèi)權(quán)限，計(jì)算復(fù)雜度，按復(fù)雜度進(jìn)行權(quán)限修正。RBAC子權(quán)限集要滿足安全性、靈活性、便捷性三個(gè)特點(diǎn)，進(jìn)一步分析梳理，確定參與權(quán)限集復(fù)雜運(yùn)算的主要包含對(duì)象有：用戶數(shù)、角色、分組權(quán)限類別、RBAC層次權(quán)值、權(quán)限關(guān)系權(quán)重。主要的關(guān)系有：分配用戶(組)角色、分配角色權(quán)限;將用戶與權(quán)限通過(guò)角色隔離開(kāi),減少了用戶權(quán)限賦值關(guān)系太多時(shí)帶來(lái)的管理難度。用戶-角色-組關(guān)系如圖3所示。

圖3 用戶-角色-組關(guān)系

角色：一定數(shù)量的權(quán)限的集合。角色權(quán)限分配的原則是：不與其他角色所擁有的權(quán)限產(chǎn)生交集。在本模型中，角色權(quán)限來(lái)源于RBAC0層。

用戶組：用戶組與角色是M∶N的關(guān)系，即用戶組可以有多個(gè)角色，角色可以有多個(gè)用戶組。按照角色權(quán)限分配原則，在遇到1 ∶N關(guān)系時(shí)，用戶組需要進(jìn)行并集運(yùn)算，提取權(quán)限元素，避免角色之間產(chǎn)生權(quán)限交集。

2.6 RBAC分層模型分析

2.6.1便于授權(quán)管理

在傳統(tǒng)的訪問(wèn)控制中，用戶或其職能發(fā)生變化時(shí)，需要進(jìn)行大量的授權(quán)更改工作。在RBAC中，用戶的職能改變時(shí)，重新指定相關(guān)角色即可，而角色的權(quán)限一旦定義好,就很少去更改。要對(duì)角色的權(quán)限進(jìn)行更改，只需要修改角色的功能或定義新角色，而不必更新每一個(gè)用戶的權(quán)限設(shè)置。

2.6.2角色劃分

RBAC將角色組織起來(lái)，能夠很自然地反映組織內(nèi)部人員之間的職權(quán)、責(zé)任、賦予關(guān)系，也可以使用類似PowerDesigner的工具，導(dǎo)出權(quán)限關(guān)系，為系統(tǒng)權(quán)限設(shè)置優(yōu)化提供參考。

2.6.3賦予最小權(quán)限原則

權(quán)限的分配應(yīng)以實(shí)際業(yè)務(wù)需求為標(biāo)準(zhǔn)，即用戶盡可能分配職責(zé)規(guī)則的權(quán)限，避免用戶擁有冗余權(quán)限而帶來(lái)安全問(wèn)題。本文分析了RBAC權(quán)限繼承、約束、復(fù)合關(guān)系，定義了關(guān)系間的分配原則，從不同維度解釋權(quán)限關(guān)系。

2.6.4職責(zé)分離

在一些業(yè)務(wù)場(chǎng)景，往往需要多個(gè)不同角色的用戶完成一項(xiàng)業(yè)務(wù)，例如企業(yè)流程審批，需要多個(gè)用戶參與。如果讓某一個(gè)用戶完成該業(yè)務(wù)處理，則該用戶需要賦予較大權(quán)限，這在一些金融、政府、軍隊(duì)等行業(yè)容易造成人為的安全事故。因此，對(duì)于某些特定的操作，需要進(jìn)行職責(zé)分離，RBAC較為靈活地提供了該支持。

3 權(quán)限治理策略

權(quán)限治理策略主要是建立在系統(tǒng)穩(wěn)定的基礎(chǔ)上，將權(quán)限劃分為三個(gè)治理方向：可靠性策略、復(fù)雜性策略、權(quán)限修正。

3.1 可靠性計(jì)算

在軟件系統(tǒng)工程領(lǐng)域，廣泛使用可靠性增長(zhǎng)模型(Software Reliability Growth Model，SRGM)進(jìn)行建模分析故障數(shù)量、累積檢測(cè)率、排除故障數(shù)等數(shù)據(jù)[15]。SRGM研究的機(jī)理是對(duì)系統(tǒng)運(yùn)行和測(cè)試過(guò)程中各隨機(jī)變量間建立適當(dāng)?shù)臄?shù)學(xué)模型，通常SRGM有兩類：隨機(jī)過(guò)程與非隨機(jī)過(guò)程，如表2所示。

表2 SRGM特點(diǎn)

非隨機(jī)過(guò)程需要人為提前設(shè)計(jì)相關(guān)參數(shù)和用例，基于貝葉斯的SRGM需要收集系統(tǒng)研發(fā)過(guò)程中的測(cè)試用例和結(jié)果。本文中的權(quán)限配置模型不對(duì)具體的軟件開(kāi)發(fā)過(guò)程進(jìn)行研究，即面向系統(tǒng)成品中的權(quán)限配置。隨機(jī)過(guò)程中的執(zhí)行時(shí)間過(guò)程模型假定了故障間隔與時(shí)間服從某種概率關(guān)系[16]，其應(yīng)用場(chǎng)景限制在了特定的環(huán)境中，比如在線購(gòu)物商城、電力調(diào)度系統(tǒng)、電子支付等，但不適用于本文提出的權(quán)限控制模型。馬爾可夫與NHPP建立的模型都可根據(jù)已檢測(cè)故障計(jì)算出系統(tǒng)可靠性，NHPP在針對(duì)RBAC的權(quán)限配置過(guò)程中的計(jì)算，需要構(gòu)建有效的均值函數(shù)，設(shè)[N(t),t≥0]為隨機(jī)計(jì)數(shù)過(guò)程，N(t)為[0,t]內(nèi)累積檢測(cè)錯(cuò)誤，NHPP如下：

(1)

式中：m(t)為均值函數(shù)。本文將RBAC進(jìn)行了分層處理，定義了權(quán)限類關(guān)系；構(gòu)建均值函數(shù)需要對(duì)不同的關(guān)系類型，如1 ∶N、N∶M、1 ∶1等進(jìn)行加權(quán)處理，將進(jìn)一步引入加權(quán)函數(shù)，使得NHPP的計(jì)算更加復(fù)雜。文獻(xiàn)[15]對(duì)SRGM的研究現(xiàn)狀進(jìn)行了分析比較，馬爾可夫模型滿足在不完美排錯(cuò)環(huán)境下且符合新故障引入機(jī)制。本節(jié)主要參考文獻(xiàn)[17-18]基于馬爾可夫的JM方法進(jìn)行數(shù)學(xué)建模。

設(shè)N0為權(quán)限集合中可造成安全事故的權(quán)限分配數(shù)，進(jìn)一步定義為不合理權(quán)限分配、系統(tǒng)錯(cuò)誤生、角色權(quán)限沖突(相同)。

排除安全事故后且沒(méi)有新的錯(cuò)誤產(chǎn)生，則每次迭代運(yùn)算時(shí):

N0=N0-1

(2)

在一個(gè)時(shí)間間隔內(nèi)，產(chǎn)生錯(cuò)誤數(shù)與系統(tǒng)中剩余錯(cuò)誤個(gè)數(shù)成正比，設(shè)Ne為產(chǎn)生錯(cuò)誤數(shù)，Nr為剩余錯(cuò)誤數(shù)，存在一個(gè)常數(shù)φ使Ne與Nr線性相關(guān)。設(shè)該比例為:

(3)

設(shè)ti為0時(shí)刻到i時(shí)刻之間的錯(cuò)誤時(shí)間間隔。發(fā)生第i-1個(gè)錯(cuò)誤至第i個(gè)錯(cuò)誤之間，失效(故障)函數(shù)可表示為：

μ(ti)=φ(N0-i+1)

(4)

造成權(quán)限配置出錯(cuò)的原因大多在初始配置時(shí)刻，即這與初始安全人員的專業(yè)技能水平等因素相關(guān)，則存在強(qiáng)度函數(shù)，用以表示錯(cuò)誤率發(fā)生強(qiáng)度，該函數(shù)為:

F(ti)=φ(N0-i+1)e-φ(N0-i+1)ti

(5)

可靠性度量函數(shù)為：

R(ti)=e-φ(N0-i+1)ti

(6)

在不同業(yè)務(wù)系統(tǒng)中，發(fā)生錯(cuò)誤的概率有所不同，比如，一般權(quán)限集與管理權(quán)限集產(chǎn)生的錯(cuò)誤不同，概率分布函數(shù)用式(7)表示。

Ι(ti)=1-e-φ(N0-i+1)ti

(7)

式(7)中φ與N0未知，使用最大似然法對(duì)φ與N0進(jìn)行估算。

由可靠性度量函數(shù)得似然函數(shù):

(8)

式(8)進(jìn)行對(duì)數(shù)運(yùn)算，得：

(9)

對(duì)式(9)中的φ和N0求偏導(dǎo)：

(10)

(11)

(12)

式(12)進(jìn)一步化簡(jiǎn)(省略中間計(jì)算)得:

(13)

式中：T表示總時(shí)間。

(14)

3.2 復(fù)雜度計(jì)算

本文將對(duì)系統(tǒng)中所有權(quán)限進(jìn)行復(fù)雜性分析，目的是在不同規(guī)模的系統(tǒng)中，提供相應(yīng)的權(quán)限設(shè)置。如果系統(tǒng)規(guī)模太小，又設(shè)置了太復(fù)雜的權(quán)限，對(duì)系統(tǒng)的管理提出了挑戰(zhàn)；如果系統(tǒng)規(guī)模太大，權(quán)限設(shè)置太簡(jiǎn)單，系統(tǒng)的安全性又得不到保障。在2.1節(jié)中，梳理了權(quán)限關(guān)系，這為復(fù)雜性計(jì)算提供了重要參考。

文獻(xiàn)[15]提出了一種基于數(shù)據(jù)的復(fù)雜性計(jì)算方法，該方法中，提出的數(shù)據(jù)結(jié)構(gòu)復(fù)雜性表征方法對(duì)本文有重要借鑒意義，對(duì)其進(jìn)行修改后，可用于計(jì)算權(quán)限復(fù)雜性。

3.2.1類權(quán)限復(fù)雜性

類權(quán)限有五種：用戶類、角色類、操作類、對(duì)象類、許可類。每類有權(quán)限集合域{x1,x2,…,xn}，每個(gè)單位權(quán)限對(duì)系統(tǒng)總權(quán)限復(fù)雜度的平均信息量貢獻(xiàn)為:

(15)

則類權(quán)限復(fù)雜性計(jì)算式：

(16)

(17)

式中：Shannon對(duì)信息熵的定義，b通常取2；I(xi)為隨機(jī)變數(shù)；L為類權(quán)限復(fù)雜度。

3.2.2系統(tǒng)總權(quán)限復(fù)雜度

設(shè)每類權(quán)限集合域中有單位權(quán)限元素ni，則該類權(quán)限的復(fù)雜信息量為L(zhǎng)i。如圖4所示，每類權(quán)限有三種關(guān)系：M∶N、1 ∶N(N∶1)、二元關(guān)系(1 ∶1)。分別對(duì)每種關(guān)系進(jìn)行復(fù)雜度計(jì)算:

圖4 RBAC0層元素關(guān)系

(1)在權(quán)限集合域中有單位權(quán)限元素ni，則二元關(guān)系可表示為nib，Lib為二元關(guān)系復(fù)雜度。

(2)在權(quán)限集合域中有單位權(quán)限元素ni，二元關(guān)系可表示為nib，則M∶N關(guān)系復(fù)雜度為L(zhǎng)ibs。

(3)在權(quán)限集合域中有單位權(quán)限元素ni，二元關(guān)系可表示為nib，則1 ∶N關(guān)系復(fù)雜度為L(zhǎng)ibt[19]。

系統(tǒng)權(quán)限總復(fù)雜度為：

L=Libt+Libs

(18)

系統(tǒng)權(quán)限復(fù)雜度由初始化階段計(jì)算得到，此后當(dāng)權(quán)限發(fā)生更改，則重新計(jì)算一次。

3.3 權(quán)限修正

(19)

式中：α為初始復(fù)雜度，該復(fù)雜度并不隨著權(quán)限更改而觸發(fā)計(jì)算，而是當(dāng)有因?yàn)闄?quán)限導(dǎo)致的安全事故時(shí)，重新觸發(fā)計(jì)算；β為業(yè)務(wù)系統(tǒng)未出現(xiàn)因權(quán)限導(dǎo)致安全事故的正常運(yùn)行天數(shù)，系統(tǒng)無(wú)故障運(yùn)行越久，則穩(wěn)定值越高。β初始值為0，當(dāng)出現(xiàn)安全事故，則β=β-1，即前一天的穩(wěn)定態(tài)。如果P≥J，則系統(tǒng)處于穩(wěn)定態(tài)；如果P

圖5中，權(quán)限的修正與修復(fù)需要人工介入，該處可引入三員管理。即將超級(jí)管理員的權(quán)限進(jìn)一步劃分為三部分，相互制約，避免了單一管理員權(quán)限過(guò)大，缺乏監(jiān)督和評(píng)審，造成人為的錯(cuò)誤[20]。本文不對(duì)三員管理方式進(jìn)行具體規(guī)約，但強(qiáng)調(diào)若按本文方法進(jìn)行權(quán)限控制，三員管理中需要有一員權(quán)限為“管理權(quán)限的管理員”。

圖5 系統(tǒng)權(quán)限修正流程

4 實(shí)驗(yàn)分析

(1)按照第2節(jié)的RBAC層次進(jìn)行建模。建模主要使用PowerDesigner工具完成，并生成圖。

(2)計(jì)算出符合要求的權(quán)限可靠性值；因?yàn)榭煽啃灾狄肓藭r(shí)間因素，所以對(duì)參與的時(shí)間(單位:天)手工填寫(xiě)，發(fā)生的系統(tǒng)錯(cuò)誤也通過(guò)手工觸發(fā)。

(3)計(jì)算出總權(quán)限系統(tǒng)復(fù)雜度，并且隨著權(quán)限單元的增加，總復(fù)雜度也增加。

(4)進(jìn)行系統(tǒng)修正修復(fù)后，P≥J，否則迭代權(quán)限修正。

4.1 實(shí)驗(yàn)一：建立權(quán)限模型

本實(shí)驗(yàn)實(shí)現(xiàn)了一個(gè)內(nèi)網(wǎng)管理系統(tǒng)，主要功能是實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)成員上網(wǎng)權(quán)限管理，采用drupal內(nèi)核二次開(kāi)發(fā)，權(quán)限表保存在Oracle數(shù)據(jù)庫(kù)中，權(quán)限表結(jié)構(gòu)如下。

系統(tǒng)權(quán)限表清單存儲(chǔ)系統(tǒng)中權(quán)限類，為了進(jìn)一步細(xì)分，新增了三個(gè)視圖：操作權(quán)限表、用戶權(quán)限表、角色權(quán)限表。系統(tǒng)權(quán)限表、對(duì)象表、操作權(quán)限表、操作類權(quán)限表、用戶權(quán)限表如表3-表7所示。

表3 系統(tǒng)權(quán)限表清單

表4 對(duì)象表

表5 操作權(quán)限表

表6 操作類權(quán)限表

表7 用戶權(quán)限表

用戶權(quán)限與其他類別權(quán)限存在繼承關(guān)系，為了更加方便觀察用戶所有權(quán)限，建立了視圖如表8所示。

表8 用戶權(quán)限視圖表

為了更加方便觀察系統(tǒng)中所有權(quán)限，建立了單位權(quán)限視圖，該視圖中的權(quán)限為五類權(quán)限并集，單位權(quán)限表、角色權(quán)限表、許可類權(quán)限表如表9-表11所示。

表9 單位權(quán)限視圖表

表10 角色權(quán)限視圖表

表11 許可類權(quán)限表

以上表保存了系統(tǒng)所有權(quán)限，并且按照RBAC進(jìn)行了規(guī)范處理。生成權(quán)限表以及相關(guān)權(quán)限關(guān)系，使用SQL語(yǔ)句；限于篇幅，這里只展示對(duì)象權(quán)限表SQL代碼:

CREATE TABLE "T_SAFE_RES" (

"SEQNUM_RES" INT NOT NULL,

"SEQNUM_TASK" INT,

"SEQNUM_TYPEDATA" INT,

"SEQNUM_DEPARTMENT" INT,CONSTRAINT

PK_T_SAFE_RES PRIMARY KEY("SEQNUM_RES"));

ALTER TABLE "T_SAFE_RES"

ADD CONSTRAINT

FK_T_SAFE_R_REFERENCE_T_LIST_T FOREIGN KEY

("SEQNUM_TASK")

REFERENCES "T_LIST_TASK"("SEQNUM_TASK");

ALTER TABLE "T_SAFE_RES"

ADD CONSTRAINT

FK_T_SAFE_R_REFERENCE_T_LIST_T FOREIGN KEY

("SEQNUM_TYPEDATA")

REFERENCES "T_LIST_TYPEDATA"

("SEQNUM_TYPEDATA");

ALTER TABLE "T_SAFE_RES"

ADD CONSTRAINT

FK_T_SAFE_R_REFERENCE_T_LIST_D FOREIGN KEY

("SEQNUM_DEPARTMENT")

REFERENCES "T_LIST_DEPARTMENT"

("SEQNUM_DEPARTMENT");

所有權(quán)限及權(quán)限關(guān)系建立后，使用PowerDesigner工具對(duì)以上各表進(jìn)行分析，得到的權(quán)限關(guān)系圖如圖6所示。

圖6 權(quán)限關(guān)系圖

4.2 實(shí)驗(yàn)二：可靠性實(shí)驗(yàn)

本實(shí)驗(yàn)的軟硬件環(huán)境如表12所示。

表12 運(yùn)行環(huán)境參數(shù)

權(quán)限復(fù)合關(guān)系分析、權(quán)限的依賴關(guān)系分析、權(quán)限的繼承關(guān)系分析將消耗大量?jī)?nèi)存，因此本實(shí)驗(yàn)初始配置32 GB內(nèi)存，視實(shí)驗(yàn)情況酌情增加。本實(shí)驗(yàn)主要驗(yàn)證RBAG在每一次權(quán)限修復(fù)后，可靠性值是否符合SRGM增長(zhǎng)規(guī)律。

表13 樣本參數(shù)

續(xù)表13

圖7 可靠性計(jì)算實(shí)驗(yàn)結(jié)果

計(jì)算結(jié)果表明，在不引入新的錯(cuò)誤前提下，系統(tǒng)錯(cuò)誤被不斷檢出、修正，可靠性得到不斷提升，并且計(jì)算出提升幅度。

4.3 實(shí)驗(yàn)三：復(fù)雜性實(shí)驗(yàn)

4.3.1關(guān)系復(fù)雜度實(shí)驗(yàn)

在3.2節(jié)中，將權(quán)限關(guān)系復(fù)雜度列入總復(fù)雜度計(jì)算。本實(shí)驗(yàn)在總權(quán)限單元不變的情況下，增加權(quán)限單元之間的關(guān)系，如圖6權(quán)限關(guān)系圖，取M∶N、1 ∶N、二元三種關(guān)系進(jìn)行實(shí)驗(yàn)，且每次實(shí)驗(yàn)一種關(guān)系時(shí)，其他兩種關(guān)系取值為1。計(jì)算結(jié)果如圖8所示。

圖8 關(guān)系復(fù)雜度計(jì)算結(jié)果

隨著權(quán)限之間的聯(lián)系不斷增加，總復(fù)雜度也不斷提升，且復(fù)雜度M∶N>N∶1>二元，符合前文理論分析。通過(guò)實(shí)驗(yàn)可知，隨著系統(tǒng)復(fù)雜度的增加，M∶N關(guān)系是增加權(quán)限復(fù)雜度的主要因素。

4.3.2權(quán)限元素量復(fù)雜度實(shí)驗(yàn)

RBAC層次中定義了繼承關(guān)系，比如權(quán)限集a可以從權(quán)限集b中繼承n個(gè)權(quán)限元素。本實(shí)驗(yàn)中，對(duì)于繼承關(guān)系a、b，取二者并集。同時(shí)，五個(gè)類別的權(quán)限每次實(shí)驗(yàn)時(shí)，只取一種權(quán)限進(jìn)行計(jì)算，其他四類權(quán)限數(shù)量限定為10，對(duì)于權(quán)限關(guān)系，只建立必要的連接，至少為1。實(shí)驗(yàn)結(jié)果如圖9所示。

圖9 權(quán)限元素量復(fù)雜度實(shí)驗(yàn)結(jié)果

以上實(shí)驗(yàn)結(jié)果中，五個(gè)權(quán)限類復(fù)雜度呈上升趨勢(shì)，增量各有不同，這是因?yàn)闄?quán)限類別中還存在依賴、繼承關(guān)系，導(dǎo)致對(duì)復(fù)雜度的貢獻(xiàn)值不同。

5 結(jié) 語(yǔ)

本文選用了RBAC模型，從不同維度對(duì)權(quán)限關(guān)系進(jìn)行了論述，重新定義了權(quán)限之間的連接關(guān)系并建模。采用了JM數(shù)學(xué)模型對(duì)可靠性進(jìn)行度量，改進(jìn)了文獻(xiàn)[15]的復(fù)雜度算法，實(shí)驗(yàn)結(jié)果表明，各項(xiàng)結(jié)果符合預(yù)期。

治理策略從三個(gè)方向?qū)ο到y(tǒng)權(quán)限進(jìn)行了梳理：

(1)可靠性策略。主要是可靠性計(jì)算，這依賴系統(tǒng)運(yùn)行中，因權(quán)限問(wèn)題帶來(lái)的系統(tǒng)損壞、宕機(jī)、不同級(jí)別報(bào)警等錯(cuò)誤的處理。

(2)復(fù)雜性策略。主要是通過(guò)對(duì)系統(tǒng)進(jìn)行復(fù)雜性計(jì)算后，給出對(duì)于管理人員具有參考意義的值，同時(shí)也參與穩(wěn)定性計(jì)算。

(3)權(quán)限修正。這是在問(wèn)題發(fā)生后，對(duì)錯(cuò)誤原因進(jìn)行排查，此時(shí)需要人工介入，非權(quán)限原因?qū)е碌南到y(tǒng)問(wèn)題不列入修正內(nèi)容。修正后重新對(duì)可靠性與復(fù)雜性進(jìn)行計(jì)算，得出系統(tǒng)穩(wěn)態(tài)值，如果穩(wěn)態(tài)值低于宕機(jī)前，則迭代修復(fù)過(guò)程。

本文對(duì)某些方面未做進(jìn)一步研究，比如：權(quán)限修正過(guò)程可以劃分為更多維度進(jìn)行計(jì)算；系統(tǒng)穩(wěn)定態(tài)算法也可以考慮更多變量，使得結(jié)果更精確。在本文中沒(méi)有改善的問(wèn)題，可作為下一步研究方向，或?yàn)橄嚓P(guān)領(lǐng)域研究者提供些許思路。