協作環境下支持委托的訪問控制技術

向華萍，王英華，付智輝

(華東交通大學1.軟件學院;2.電氣與電子工程學院，江西南昌330013)

協作系統是多部門、多用戶、多任務環境下的集成體系，用戶為了完成共同目標互相溝通協同工作。協作系統的交互特性既要求協作用戶能及時得到其所需要的資源信息，又要保證信息的安全性。因此，協作系統需要制定有效的訪問控制策略，保證合法用戶對授權信息進行及時訪問，同時防止非法用戶的侵入和合法用戶對未授權資源的非法使用。

國內外很多學者都從不同角度、不同層次對訪問控制進行了深入研究。Sandhu等[1]提出的基于角色的訪問控制(RBAC)是一個行之有效的安全技術，可以減少訪問控制的復雜性，降低系統管理的開銷。文獻2針對協同系統中共享資源訪問控制策略的權限復雜問題，將角色訪問控制策略應用到協同系統中，并設計了基于角色的系統功能權限的位映射算法來降低授權管理的復雜性。文獻3提出一個專門針對協同環境下CAD模型的多層次動態的安全訪問控制(MLDAC)模型，實現了權限的動態授權管理，增強了對協同設計操作的有效控制。但這些模型的訪問控制策略都是由安全管理員制定，在協作系統中，為了完成共同的任務，經常需要為某些用戶授予一些臨時的權限，任務完成后撤銷權限。如果這些臨時權限的授予都要由安全管理員來實施，顯然是不可行的，因此也需要讓其他用戶具有授權的權限。文獻4支持委托授權解決了分布式系統中權限集中管理的問題，允許普通用戶將一部分權限委托給他人，由其執行某些任務，任務結束后系統或委托者撤銷委托的權限，但忽略了訪問控制的時效問題，使得模型的描述能力受到限制。為此，本文針對上述問題對協作環境下的訪問控制技術進行深入研究，提出一個支持委托的動態訪問控制模型(DS-RBAC)。

1 RBAC模型

RBAC的核心思想就是將訪問權限與角色相聯系，通過為用戶分配適合的角色，讓用戶與訪問權限相聯系。R.Sandhu等人于1996年提出了一個基于角色的訪問控制參考模型，對角色訪問控制產生了重要影響，被稱為RBAC96模型。該模型由于系統全面地描述了RBAC多方面、多層次的意義而得到了廣泛認可。RBAC96模型包括4個不同層次，分別為RBAC0，RBAC1，RBAC2和RBAC3。下面將對這個模型進行簡單介紹。

RBAC0包含RBAC模型的核心部分，是最基本的模型。RBAC0形式化的定義如下。

定義1 RBAC0模型定義了支持RBAC的最小需求，如用戶、角色、權限、會話等概念。

●U，R，P，S分別表示所有的用戶、角色、權限以及會話的集合;

●UA?U×R是多對多的用戶角色指派關系;

●PA?P×R是多對多的權限角色指派關系;

●user:S→U表示映射每個會話到一個用戶;

●roles:S→2R表示映射每個會話s到一組角色roles(s)?{r|(user(s)，r)∈UA}，并且會話s擁有權限Ur∈roles(s){p|(p，r)∈PA}。

定義2 RBAC1模型包含RBAC0，并且定義了角色繼承關系。RBAC1增加了如下元素:

●RH?R×R是R上的偏序關系，記為≥，稱作角色繼承;

●roles:S→2R修改為roles(s)?{r|(?r′≥r)[(user(s)，r′)∈UA]}，同時會話s擁有權限Ur∈roles(s){p|(?r″≤r)[(p，r″)∈PA]}。

RBAC1體現了RBAC模型中角色繼承關系的語義。一個會話擁有的角色包含UA關系里面指定的角色以及它們的父角色，會話擁有的權限包含其擁有的所有角色在PA關系里面的權限以及它們的子角色對應的權限。

RBAC2模型同樣包含RBAC0，并且從語義上給出了一些約束形式的簡短說明，主要包括兩種約束機制:角色互斥和角色基數約束，這也是實際系統中最通常考慮的兩種限制形式。

RBAC3包含RBAC1和RBAC2，自然也包含RBAC0，是一個完整的RBAC模型，包含一切模型元素，也是最復雜的一種模型。角色層次和約束機制同時存在，約束也可以作用在角色層次之上。

圖1和圖2分別給出了RBAC96模型層次圖和基本原理圖。

圖1 RBAC96模型層次圖

圖2 RBAC96模型的基本原理圖

2 協作環境下訪問控制的特性

協作環境面向的主要對象是各部門、各企業間的協作項目，協作項目在邏輯上可分解為若干相關聯的子任務，這些子任務在執行過程中需要不同的用戶參與。為了更高效地執行協作項目，縮短工作時間，降低協作費用和風險，以完成協作項目中的任務為目標，安全協調各類信息資源為準則來設置虛擬組織，實現臨時性動態聯盟。

協作環境下虛擬組織的協同工作涉及到協作任務、協作成員、協作資源等多種因素。協作成員是協作任務的執行者;協作任務是協作成員所要共同完成的目標;協作資源是協作任務執行過程中涉及到的信息、工具、設備等信息。通常情況下，協作系統需要根據涉及的部門、任務的性質的特點將協作項目分解成各子任務委托給協作成員。分解規則如下:(1)若虛擬組織中的協作成員可以獨立完成某個任務，則不需要委托和分解;(2)若虛擬組織內成員無法獨立完成協作任務，可以將任務分解成更細的子任務并委托給相關協作成員共同完成;(3)不需要再分解的任務或子任務稱為基本任務，基本任務是具有最小單位的任務。協作系統中各因素的相互關系如圖3所示。

企業在執行協同項目的過程中，協作資源處于相對開放的網絡環境，非常需要有效地訪問控制技術保證協作資源的安全。協作系統的訪問控制應具備以下幾種特性:(1)上下文相關性。在協作任務執行過程中，協作資源的訪問權限控制并不是靜止不變的，而是隨著執行任務的上下文環境的變化而變化，每一步對信息的處理都與以前的處理相關，相應的訪問控制也一樣。(2)時效性。在協作系統中用戶通過網絡共享資源，為了提高資源的使用效率，需要從時間、空間上合理安排用戶的請求。另外用戶擁有的權限也具有時效性。(3)授權靈活性。協作系統的大多數任務都需要分解后再由多個成員共同完成。因此協作成員需要靈活的自主授權和撤銷授權的權限。

RBAC模型由于缺乏對時間約束、授權委托等方面的描述，不具備上述幾種特性，因此本文從協作任務、時間約束、授權委托等方面對傳統的RBAC模型進行擴展，設計并實現了支持委托的動態訪問控制模型(DS-RBAC)，能夠很好地滿足協作環境中的訪問控制需求。DS-RBAC的基本原理如圖4所示。

圖3 協作系統虛擬組織結構

圖4 DS-RBAC模型的基本原理

3 DS-RBAC模型的擴充定義

3.1 動態的訪問控制

虛擬組織中基本任務的訪問權限不是靜態的，而是依照任務執行情況以及各基本任務間的關系的變化而改變，各基本任務的執行有一定的順序依賴關系。因此需要在協作系統中建立上下文相關信息以及基本任務、角色、權限之間的映射關系，同時引入時間約束保證協作任務的時效性。

定義3 BT={bt1，bt2，…，btn1}表示協作任務分解后的基本任務的集合。

定義4 BTS?2BT表示基本任務的順序依賴關系。

定義5 BTR?BT×R表示基本任務與角色多對一的映射關系。基本任務是不需要再分解的任務，由一個角色獨立完成，一個角色可以執行多個基本任務。

定義6 BTP?BT×P表示基本任務與權限多對多的映射關系。一個基本任務可以包含多個權限，一個權限也可以指派給多個基本任務。

定義7 T={t1，t2，…，tn2}表示時間的集合。用戶的權限是具有時間性的，本模型通過增加時間約束，來保證用戶操作的時效性。

定義8 UAT?U×R×T，表示多對多的具有時間約束的用戶角色指派。

定義9 PAT?P×R×T，表示多對多的具有時間約束的角色權限指派。

3.2 授權委托

授權委托機制能夠為協作成員提供靈活的自主授權。協作任務完成后，系統將撤銷委托者委托的權限，以滿足安全訪問控制中“最小特權原則”。

定義10 URDT?U×U×R×T是多對多的具有時間約束的角色委托。角色委托(u1，u2，r，t)∈URDT，是一個四元組，表示委托者u1在時間t內將角色r委托給受托者u2。

定義11 UPDT?U×U×P×T是多對多的具有時間約束的權限委托。權限委托(u1，u2，p，t)∈UPDT，是一個四元組，表示委托者u1在時間t內將權限p委托給受托者u2。

用戶可以通過用戶角色指派關系UAT和角色權限指派關系PAT由安全管理員為用戶分配角色，從而獲得相應權限;也可以通過委托機制URDT和UPDT由協作項目負責人臨時委派角色或權限來完成指定任務。

4 DS-RBAC的實現

DS-RBAC模型能夠較好地解決協作環境下用戶訪問控制問題，提高系統的靈活性和權限管理效率。DS-RBAC的實現是由多種機制協作完成，包括時間約束機制、安全策略管理機制、授權委托機制、上下文約束機制、授權驗證機制等。

4.1 時間約束機制

時間約束包括周期時間約束CT和區間時間約束RT。CT可以由一個四元組(m，dM，dW，h)實現，m表示月份約束，是一個具有12位有效字節的二進制數，可以轉換成整數，例如5的二進制101，表示有效月份是1月和3月;dM和dW都是日約束，dM用來指定每月的哪幾天，dW表示每個星期的哪幾天，dM和dW是互斥的，只需要設置其中一個，不需設置的元素用“”表示;h是小時約束，指定每天可以執行操作的時間。dM，dW和h都是用二進制表示，也可以轉換成整型。(m，dM，dW，h)的四個元素的值也可以是通配符“*”，表示所有的意思。

RT是一個二元組(t start，t end)用來指定整個有效時間的起始和結束時間，t start和t end是三元(y，m，d)指明年月日。一個時間約束同時需要指明周期時間約束和區間時間約束。

例如，rt1=((2008，3，1)，(2010，12，31))，ct1=(60，，31，*)(即ct1=(111100，，11111，*))，則時間t1=rt1∩ct1表示從2008年3月1號到2010年12月31號的3至6月的(工作日)。

4.2 安全策略管理機制

安全策略管理機制是訪問控制模型的基礎部分，為安全管理員提供一個定義和維護系統安全策略的接口，主要包括對角色和權限的管理與維護，設置用戶角色指派和角色權限指派。在實際中，用戶的操作都具有時效性，因此管理員在設置的用戶角色指派和角色權限指派是受時間約束的。例如，如果Mike要在上述的t1時間擔任財務處的出納職務，則安全管理員需要將出納的角色r1指派給用戶Mike，即有:(Mike，r1，t1)∈UAT。

4.3 上下文約束機制

上下文約束機制主要是解決協作環境下多個用戶共同完成協作項目的問題。上下文約束機制主要的工作包括將協作項目分解成若干基本任務，設置基本任務角色映射關系和基本任務權限映射關系，以及設置基本任務的順序依賴關系。上下文約束機制的實施是由項目管理員負責。例如，根據需要將協作項目分解為5個基本任務BT={bt1，bt2，…，bt5}，角色r2可以執行bt1和bt2兩個任務，則有(r2，bt1)∈BTR，(r2，bt2)∈BTR。若設置{bt1，bt3，bt4}∈BTS，表示這三個任務的執行順序是:bt1→bt3→bt4。

4.4 授權委托機制

項目管理員通過上下文約束機制分解協作項目并作相應的設置后，系統將會增加一些新的臨時的角色和權限，如果這些角色和權限的指派都由安全管理員執行，必將加重安全管理員的負擔，而且安全管理員對具體項目的了解程度是不及項目管理員。授權委托機制就是為項目管理員或其他用戶提供一個委托角色或權限的機制。如果具有委托權的用戶Jim設置(Jim，A lice，r2，t2)∈URDT(其中t2滿足上述時間約束的設置)，表示用戶Jim將角色r2委托給用戶Alice，則Alice在時間t2內就擁有r2包含的權限。

4.5 授權驗證機制

用戶登錄后與系統建立會話，系統先獲取該用戶所有的權限，組成一個權限時間約束集，此權限時間約束集給出該用戶被授權的所有權限及相應的約束時間，權限時間約束集中的權限并非都是有效權限，有效與否取決于當前時間是否在權限對應的有效時間內，以及權限所屬的基本任務的順序依賴關系。

授權驗證機制包括兩個過程:用戶權限獲取過程和權限有效性驗證過程。(1)用戶權限獲取過程:遞歸遍歷用戶的所有角色及其子角色，以及角色包含的基本任務，遍歷到權限時，計算權限的有效時間，然后把權限及有效時間加入到權限時間約束集中。(2)權限有效性驗證過程:遞歸遍歷用戶下的權限時間約束集，找到相應權限，并判斷其有效時間是否包含當前時間，滿足要求返回權限有效，否則返回權限無效。

5 實例分析

結合某高校綜合信息系統中對該模型的應用進行簡要說明。高校綜合信息系統是一個對高校所有資源信息進行統籌管理，為學校各部門之間信息交流和協同工作提供數據支持，由若干個子系統集成的綜合信息系統。系統中很多任務不能由一個部門獨立完成，必須由多個部門協同合作。例如，教務處根據市場調查，結合軟件專業與應用背景專業接軌的思想，擬新增加一個“軟件+橋梁”專業，其相關工作必須由教務處、軟件學院和土木學院共同完成，因此三個單位相關人員需要臨時組成一個相互協作的虛擬組織。首先由教務處(即項目管理員)分解任務，并完成各種指派和映射關系，虛擬組織的其他人員得到授權后在規定時間內完成自己的子任務。高校綜合信息系統運行結果表明，DS-RBAC模型能夠有效解決多部門、多用戶的集成系統中跨部門的協作項目的訪問控制問題，實現協作環境下的臨時性動態聯盟和安全資源共享。

6 結束語

隨著計算機網絡的飛速發展，多領域大范圍的協同合作成為一種趨勢，不同組織為了共同的利益建立協作關系，研究多領域協作環境下的訪問控制模型成為必要。本文設計的支持委托的角色訪問控制模型能夠滿足多領域協作環境下訪問控制的上下文相關性、時效性以及授權靈活性等特殊需求，具有豐富的訪問控制的描述能力，有效地解決了協作環境中不同部門、不同企業間的相互協作以及資源互訪問題。

[1] SANDHU R S，COYNEK E J，FEINSTEINKH L，etal.Role-based access controlModels[J].IEEE Computer，1996，29(2):38-47.

[2] 付喜梅.協同環境中基于RBAC模型的訪問控制策略[J].計算機工程，2009，35(11):140-142.

[3] 方萃浩，葉修梓，彭維，張引.協同環境下CAD模型的多層次動態安全訪問控制[J].軟件學報，2007，18(9):2 295-2 305.

[4] 魏永合，王成恩，馬明旭.工作流系統中的委托授權機制研究[J]，計算機集成制造系統，2009，15(1):160-165.

[5] 李黎青.財政收費系統中的信息安全策略研究[J].華東交通大學學報，2005，22(5):121-123.