一種新的復雜信息系統訪問控制模型

摘要：對現有基于任務—角色的訪問控制模型(TRBAC)進行了擴展，提出了面向用戶的任務分配(UTA)和面向角色的權限分配(PRA)策略，有效地解決了企業信息系統中連帶責任、面向用戶的事務任務、面向用戶的職責分離以及權限分配等問題。

關鍵詞：信息系統； 訪問控制； 連帶責任； 事務任務； 職責分離

中圖分類號：TP309文獻標志碼：A

文章編號：1001－3695(2007)08－0042－03

0引言

隨著信息技術在現代企業中的廣泛應用，許多工作已越來越多地依賴計算機完成，大量敏感的信息和技術都是通過計算機來控制和管理的。如何確保它們不被人竊取和破壞，是當今計算機技術的研究熱點。保護信息的途徑通常是認證、授權、訪問控制、審計及加密等。訪問控制是其中的一個重要組成部分。所謂訪問控制，就是通過某種途徑準許或限制用戶的訪問能力及范圍，從而限制對關鍵資源的訪問，以防止非法用戶的侵入或因合法用戶的不慎操作而造成破壞[1]。

目前訪問控制技術的研究有自主訪問控制(DAC)[2]、強制訪問控制(MAC)[2]、基于角色的訪問控制(RBAC)[3]、基于任務的訪問控制(TBAC)[4，5]和基于任務角色的訪問控制模型(TRBAC)[6]。MAC 是基于安全標簽的一種訪問方式，它主要用于多層次安全級別的軍事系統中，其缺陷主要是實現工作量較大、管理不夠靈活，并且它過于強調保密性，對系統連續工作能力、授權的可管理性方面考慮不足。DAC并不能提供高的安全保證，很難保證企業信息系統中要求的最小權限與職責分離等完整性規則，并且在企業信息系統中，信息客體的所有者并不是單個主體。在RBAC模型中，引進了角色和角色等級概念，易于授權管理，比較適合企業信息系統的需求。但RBAC模型也存在一些缺陷，它是基于主體—客體的被動安全模型，在執行任務之前，主體就擁有權限，沒有考慮到操作的上下文，不適合企業動態變化的環境需求；并且主體一旦擁有某種權限，在任務執行過程中或任務執行完后，會繼續擁有這種權限，這顯然使系統面臨極大的安全威脅。TBAC模型是一種基于任務、采用動態授權的主動安全模型。在企業信息系統中，角色是一個非常重要的概念，但TBAC中并沒有將角色與任務清楚地分離開來，也不支持角色的層次等級。另外，在企業信息系統中，訪問控制并非都是主動的，也有屬于被動形式的，但TBAC并不支持被動訪問控制，因此需要與RBAC 結合使用。

TRBAC模型基于TBAC和RBAC模型。它將角色的概念引入到TBAC 模型中，每個角色具有一定的權限，用戶通過扮演某個角色而獲得相應的權限。但TRBAC與RBAC 模型中的角色的語義不同。在TRBAC模型中，用戶通過扮演某個角色而擁有某個任務的執行權限，當任務執行結束或掛起時，角色所擁有的權限將被收回或凍結；而在RBAC模型中，用戶扮演某個角色后就能夠隨時使用該角色所擁有的權限。由于在TRBAC模型中對用戶的權限是通過角色和任務來進行分配與管理的，通過角色實現了用戶與訪問權限的邏輯分離。基于角色的策略極大地方便了權限管理，消除了用戶變化(包括添加新用戶、刪除已有用戶等) 對工作流程的影響，有利于工作流程的標準化并增強了可重用性；同時通過任務實現了對訪問權限的動態控制，實現了對用戶訪問行為的時間關聯約束，保證了控制權安全一致的傳遞[7，8]。

但是，在企業信息系統中的訪問控制應該既支持安全又支持共享。企業組織的特征包括：a)企業信息系統中，信息共享是企業信息的一個特征，是多個執行相關任務的人共同訪問同一信息客體的方法；b)企業的環境變化非常快，相應業務環境也在變化；c)在企業信息系統中，多個業務活動之間是相互聯系的。在TRBAC模型中，企業信息系統中連帶任務、事務任務、互斥任務均分配給角色進行處理，并且權限都通過任務的執行被激活，并不能完全滿足企業信息系統訪問控制的特點。為了解決上述問題，本文結合企業信息系統中訪問控制的特點，對現有的TRBAC模型進行改進，提出了擴展的TRBAC模型(ETRBAC)。

1ETRBAC模型 

ETRBAC模型的基本元素如圖1所示。

2ETRBAC模型任務分配策略

ETRBAC模型通過UTA和TRA對任務分配執行進行分流處理。UTA將企業信息系統中連帶任務、事務任務以及互斥任務分配給相應的用戶執行。工作流任務和管理任務通過TRA被分配給相應的角色執行。

2．1連帶責任

連帶責任會造成企業信息系統中非法操作，使企業蒙受不必要的損失。例如用戶杰克想申請一套住房，史密斯具有房子的審批權，而他又需要一筆資金，需要向瑪麗申請貸款，而瑪麗又需要向杰克申請車牌。假如他們的申請都是不合理的，但為了達到自己的目的，他們三人達成違反法律的協議。這樣申請住房與批準住房、申請貸款與批準貸款、申請車牌與批準車牌的三組互斥任務就是一組連帶任務，杰克、史密斯和瑪麗他們之間就具有連帶責任關系(圖2)。

為了解決任務執行中的連帶責任，需要添加一個用戶且與其他三人不屬于利益相關用戶，使新增用戶執行某一組互斥任務中的申請任務或批準任務，破壞具有連帶責任的有向環圖，使其成為有向無環圖。如果杰克批準車牌的任務由約翰執行，使約翰擁有批準車牌的權限，破壞了連帶任務的相互依賴， 解決了連帶責任的問題(圖3)。由此可以得出三組互斥任務需要四個利益無關的用戶執行，可以防止任務執行中連帶責任關系。 

定理1對于n組具有連帶責任的互斥任務，至少需要分配給n+1組利益無關的用戶執行。

證明：當n＝1時，即只有一組互斥任務，根據職責分離原則容易得出需要e=n＋1＝2組利益無關的用戶u1和u2，解決任務執行中連帶責任關系。

3ETRBAC模型權限分配策略

ETRBAC模型對企業信息系統中的操作權限通過PRA和PTA進行分流處理，實現了靜態與動態相結合的權限分配(圖4)。通過PRA將企業系統中執行任務的基本權限分配到相應的角色，管理權限和工作流任務權限通過PTA在任務執行時被激活。

定義6在企業信息系統中，用戶執行所有任務都必須激活的權限，稱為基本權限，記為PBP。

在TRBAC模型中，通過將任務分成：工作流任務W、管理任務S、批準任務A、私有任務P四類，實現了基于任務特點的訪問控制，以區別于RBAC 和TBAC 中將所有的任務看成是相同的。在企業信息系統中，訪問控制基于任務的特點是非常重要的，因為訪問權限是根據分配的任務賦予用戶。任務具有權限，即根據具體的執行任務要求和權限約束，任務具有相應的權限；不同的任務擁有不同的權限，權限隨著任務的執行而變動。這真正實現了權限的按需和動態分配。角色只有在執行任務時才具有權限，當角色不執行任務時不具有權限；權限的分配和回收是動態進行的，任務根據流程動態到達角色，權限隨之賦予角色，當任務完成時，角色的權限也隨之收回。

在企業信息系統中，用戶的基本權限是不隨任務的不同而發生變化的，即所有任務的執行均需要該權限，任何用戶只要承擔了該角色就應該具有這些基本權限。按照TRBAC模型中權限的動態分配，使得每次該角色在執行任務時，都需要激活這些基本權限。如此頻繁地通過任務激活這些基本權限，雖然滿足了權限的動態分配原則，但降低了系統效率。在ETRBA模型中，系統可以將這些基本權限直接通過PRA分配給相應的角色，它們不需要在執行過程中，頻繁地通過任務分配權限到角色；并且系統通過PRA將基本權限直接分配給角色，不違背TRBAC模型的最小權限原則。

4應用舉例

5結束語

ETRBAC模型通過任務分配和權限分配策略分別對任務和權限的分配進行了分流處理，有效地防止了企業信息系統中的違規操作；提高了企業信息系統的管理效率，實現了權限的靜態和動態分配，能夠更好地滿足企業信息系統中訪問控制的要求。

參考文獻：

［1］宋善偉，劉偉.基于任務—角色的訪問控制模型[J].計算機工程與科學，2005，27(6):4－9.

[2］SNYDER L. Formal models of capabilitybased protection systems[J]. IEEE Trans on Computers， 1981，30(3):172－181.

[3］SANDHU R， COYNE E， FEINSTEIN H. Rolebased access control models[J]. IEEE Computer，1996，29(6):38－47 .

[4］THOMAS R K， SANDHU R. Taskbased authentication controls (TBAC):a family of models for active and enterpriseoriented authentication management[C]//Proc of the IFIP WG11.3 Workshop on Database Security. London : Chapman Hall ， 1997:166－181.

[5］鄧集波，洪帆. 基于任務的訪問控制模型[J].軟件學報， 2003， 14(1):76－81.

[6］OH S， PARK S. Taskrolebased access control model [J]. Information Systems， 2003， 28(6):533－562.

[7］陳偉鶴，殷新春，茅兵，等. 基于任務和角色的雙重Web訪問控制模型[J].計算機研究與發展，2004，41(9):1465－1473.

[8］MILLER J A， FAN Mei，SHETH A P，et al. Security in Webbased workflow management systems [EB/OL]. http://citeseer.ist.psu.edu/172884.html.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”