一種基于崗位和角色的訪問控制模型研究

(大連理工大學 管理學院 信息與決策技術研究所， 遼寧 大連 116024)



摘要：

在RBAC模型的基礎上，提出一種基于崗位和角色的兩級訪問控制模型——PRBAC。該模型將崗位從角色的一個屬性中獨立抽象出來，使角色和崗位共同決定主體對客體的訪問權限。實踐證明，該模型可以降低授權操作難度和工作量，保證整個授權管理體制的條理性和一致性，使得整個授權過程流程清晰，易于實現。

關鍵詞：角色； 訪問控制； 崗位； 權限

中圖分類號：TP309文獻標志碼：A

文章編號：10013695(2009)03108402



Research on access control model based on post and role



WANG Tao， WANG Yanzhang



（Institute of Information Decision Technology， School of Management， Dalian University of Technology， Dalian Liaoning 116024， China）



Abstract:

On the basis of RBAC model， this paper put forward a new model PRBAC， which was a twolevel model based on the post and role. It made the post independent from an attribute of the role. Post and role could jointly determine the access authority of subject to the object. In practically， it can reduce the workload and the difficulty of authorization operation， and insuring security and consistency of the authority system. Contemporarily， it makes the authority process clear and easy to reality.

Key words：role; access control; post; authority



隨著網絡技術的發展和網上應用的日益增加，信息安全問題研究日益受到關注，而訪問控制則是其中的焦點。訪問控制技術起源于20世紀70年代，當時是為了滿足管理大型主機系統上共享數據授權訪問的需要。但隨著計算機技術和應用的發展，特別是網絡應用的發展，這一技術的思想和方法迅速應用于信息系統的各個領域。在近30年的發展過程中，先后出現了多種重要的訪問控制技術，主要包括自主訪問控制(DAC)[1]、強制訪問控制（MAC）[1]、基于角色的訪問控制(RBAC)[2，3 ]以及一些基于任務的訪問控制[4~6]等。

在基于角色的訪問控制模型中，通常將崗位和角色混為一體，使崗位成為角色的一個屬性，這樣就不能夠很好地滿足現實世界中等級式權限管理的需要。雖然在RBAC96模型的RBAC1中，依靠的是角色之間的繼承關系來構筑現實世界中的等級式權限機制，這樣實施會帶來多余授權，不符合最小特權分配的權限分配準則[7]，并且在進行權限管理時也會帶來很多不便。為此，本文在RBAC模型的基礎上提出一種基于角色和崗位的兩級訪問控制模型PRBAC，將崗位從角色的一個屬性中獨立抽象出來，使角色和崗位共同決定主體對客體的訪問權限，并在此思想的基礎上實施授權管理和權限驗證。

1基本定義

定義1用戶集User(Su)。用戶是可以對系統資源進行訪問的獨立主體。用Su表示用戶集合，則有u∈Su。

定義2權限集Perm(Se)。權限是用戶對系統資源（客體）進行訪問的許可。用Se表示權限集合，則有e∈Se。

定義3崗位集Post(Sp)。崗位是在組織或部門中具有一定職務、責任和權力的集合，用于控制角色的實施范圍。用Sp表示崗位集合，則有p∈Sp。

定義4角色集Role(Sr)。角色是一個業務系統的一個職能對應的操作功能集，用于控制操作功能的范圍。用Sr表示角色集合，則有r∈Sr。

定義5數據操作集(Sm)。操作是對數據庫內數據或客體資源數據可執行的各種操作，如增加、修改、刪除、查詢等。用Sm表示數據操作集，則有m∈Sm。

定義6客體資源集(So)。客體資源主要包括業務系統中的數據、文件、目錄、數據庫中的數據等。用So表示客體資源集合，則有o∈So。

2授權管理

定義7用戶崗位指派。u與p之間的一個二元關系，假定Ap是一個崗位指派關系集合，那么（u，p）∈Ap，表示用戶u被指派了一個崗位p。

定義8崗位角色指派。崗位角色指派元組是ap=(u，p)∈Ap與r之間的一個二元關系。假定Ar是一個角色指派關系集合，那么（ap，r）∈Ar表示崗位指派Ap的一個元組ap=(u，p)中的用戶u被委派了一個角色r。

由定義7和8可知：

推論1要進行用戶崗位角色指派，需要先進行用戶崗位指派。可以表示為（u：Su，p：Sp，r：Sr）ap=（u，p）∧（ap，r）∈Arap∈Ap。

定義9權限配置。p、r與e之間的一個三元關系，假定Ae是一個權限配置關系集合，那么（p，r，e）∈Ae表示角色r及其崗位p所對應的一個權限e。

由上述定義推論可以得到以下推論：

推論2如果用戶u只擁有崗位p，沒有分配與之相關的角色r，則u不能配置權限e。可以表示為（u:Su，p:Sp，r:Sr）ap=(u，p)∧（ap，r）=Φ（e:Se）（p，r，e）∈Ae。

推論3用戶u擁有權限e，那么其必然同時擁有角色r和對應的崗位p，則有（u:Su，p:Sp，r:Sr，e:Se）ap=(u，p)∧(p，r，e)∈Aep≠Φ∧r≠Φ ap∈Ap∧(ap，r)∈Sr。

由推論3可知，只有崗位而沒有分配角色的用戶不能為其分配權限。崗位和角色的指派關系如圖1所示。

3權限驗證

該模型在權限驗證時也提供了兩級權限控制，只有同時滿足崗位和角色這兩級的授權驗證的權限，才能有權對數據對象執行操作控制，如圖2所示。

定義10客體訪問。通過崗位和角色的兩級控制得到權限e對客體o的操作m，表示為（e，o，m）∈Aom。

推論4權限e的作用性質和作用范圍是由崗位p和角色r決定的，表示為（u:Su，p:Sp，r:Sr，e:Se，o:O）r≠Φ∧p≠Φ∧（p，r，e）∈Ae（e，o，m）∈Aom。

4用戶對客體的訪問控制

定義11訪問。用戶對特定的數據對象執行特定的數據操作，它是由用戶u、數據操作m和客體o組成的三元組，用access表示訪問，則有access：U×M×O→boolean，有

access(u，m，o)=true用戶u有權對客體o執行操作m1用戶u無權對客體o執行操作m

推論5在PRBAC中，訪問access等價于授權訪問的全過程。對由u，p，r，e，m，o六元組組成的函數執行合成運算

（u:Su，o:O，m:Sm，）access（u，m，o）（p：Sp，r:Sr，e：Se）（ap=（u，p）∧（ap，r）∧（p，r，e）∧（e，o，m））

將授權與權限管理結合起來，就形成了PRBAC的二級訪問控制機制，如圖3所示。

首先按照物理世界的組織機構體制將人員與機構崗位進行邏輯分離，增加機構崗位層；同時，將角色相對細化，將操作功能集抽象為面向各資源進行操作的業務對象集合。由于組織內崗位與人員相比是相對穩定的，將崗位從角色的一個屬性中抽象出來，對組織內的所有行為主體進行統一抽象，通過用戶與崗位的映射以及相對穩定的崗位與各應用系統中角色的映射，取代原來相對多變的用戶與各應用系統中角色的映射，從而構造出人員—崗位—角色—操作權限的授權管理模式。

崗位的權利、職責和義務由其所對應的所有應用系統的角色所體現，崗位的分離和引入不僅與組織的管理體制相一致，而且降低了組織成員由于工作性質變化所引發的系統集成后維護的復雜度。現實中各應用系統的維護人員可能不同，系統中角色的定義也可能存在差異。當組織成員的工作性質發生變化時，組織的人事管理部門只需配置一次組織成員與崗位的映射關系即可，無須配置此組織成員與所有應用系統中角色的映射關系。通過該理論以及相應模型的確立， 本文建立了相應的電子政務管理系統，并在很多的實際電子政務應用系統中取得了較好的應用效果。

5結束語

PRBAC模型最大的特點是將崗位作為一個單獨要素，與角色共同授權，不同崗位的同一角色人員的操作范圍不同。在人員變動時，系統管理人員在無須對業務十分熟悉的前提下，只需要很小的操作就可以完成對組織人員的授權管理，從而保證了整個授權管理體制的條理性和一致性。同時，崗位在現實系統中是一種自然屬性，無須抽象定義，從而大大簡化了定義操作，使得整個授權過程流程清晰，易于實現。

參考文獻：

[1]SANDHU R S. Access control: the neglected frontier[C]//Proc of the 1st Australiasian Conference on Security and Privacy. London: SpringerVerlag， 1996:219227.

[2]SANDHU R S， COYNE E J， FEINSTEIN H L. Rolebased access control model [J]. IEEE Computer， 1996，29(2):3847.

[3]SANDHU R S， FERRAIOLO D， KUHN R. The NIST model for rolebased access control: towards a unified standard[C]//Proc of the 5th ACM Workshop on Rolebased Access Control. New York: ACM Press，2000:4763.

[4]THOMAS R K， SANDHU R S. Towards a taskbased paradigm for flexible and adaptable access control in distributed applications[C]//Proc of the 19921993 ACM SIGSAC New Security Paradigms Workshops. New York: ACM Press， 1993:138142.

[5]THOMAS R K， SANDHU R S. Taskbased authorization: a research project in nextgeneration active security models for workflows[C]//Proc of NSF Workshop on Workflow and Process Automation in Information Systems: StateoftheArt and Future Directions. 1996.

[6]THOMAS R K， SANDHU R S.Taskbased authentication controls (TABC): a family of models for active and enterpriseoriented authentication management[C]//Proc of IFIP WG11.3 Working Conference on Database Security. 1997:1113.

[7]鐘華，馮玉琳，姜洪安. 擴充角色層次關系模型及其應用[J]. 軟件學報， 2000，11(6):779784.