基于安全域的信息系統訪問控制模型研究

孔 震 畢 嵐

（1、國網電力科學研究院信息技術研究所，江蘇 南京 210003 2、南京郵電大學理學院，江蘇 南京 21003）

1 引言

隨著企業信息化程度的不斷提高，越來越多的關鍵性數據和業務被納入企業信息系統進行管理。為能有效控制不同用戶對不同數據和業務的處理權限，從而界定用戶職責、劃分工作范圍，增強信息系統的安全性及協同工作效率，信息系統必須具有完備、靈活的權限控制方法。本文主要論述了一種基于安全域的、高復用性的信息系統訪問權限控制策略，以及其在企業信息系統中的典型應用方案。

2 基于角色的訪問控制模型

基于RBAC 模型進行信息系統安全訪問控制是目前業界信息系統的常見實現方法。RBAC 模型中的核心概念包括訪問權限（Privilige）、角色（Role）和用戶（User）。訪問權限是對信息系統中某種業務數據或操作的執行權限的概括性描述，其本身并不直接體現哪些用戶可以擁有該權限。訪問權限的常見命名方式有兩種：一、名詞結構，以“權”作為名稱結尾，如“請假單審批權”；二、動賓結構，如“審批請假單”。上述兩種方式均表示一種具有審批請假單的業務權限。角色是對信息系統中一組訪問權限集合的抽象描述，一個角色可以包含一個或多個訪問權限。角色均以名詞命名，并通常與崗位名稱相同，如“部門經理”。用戶是對信息系統操作人員的一種表述形式，即通常所說的系統帳號，其命名只需遵循唯一性原則即可。

在基于RBAC 模型構建的信息系統中，用戶、角色和訪問權限間的關系如圖表1 所示。角色與用戶間存在多對多關系，即一個角色可以包含多個用戶，且一個用戶可以擁有多個角色；訪問權限不直接與用戶綁定，而是與角色進行綁定，即用戶是通過角色間接與訪問權限建立關聯。當用戶登錄信息系統時，用戶擁有的角色集合已被事先定義，在其訪問指定數據或業務前，信息系統會判定該用戶擁有的角色集合中是否有角色具備當前數據或業務所需要的訪問權限，若具備則允許用戶訪問，否則則禁止。比如，用戶張三擁有部門經理角色，而部門經理角色關聯了請假單審批權，因此，張三有權進行請假單審批。

圖表1 RBAC 模型中用戶、角色和訪問權限間的UML 對象關系圖

3 基于安全域的訪問控制模型

3.1 基于RBAC 的訪問控制模型的優缺點分析

基于RBAC 模型的訪問權限控制模型實現了用戶與訪問權限的邏輯分離，極大的方便了權限管理。例如，一個用戶的崗位發生變化，其處理數據和業務的訪問權限也隨之發生變化，此時，只要將該用戶原先崗位關聯的角色去除，并關聯新崗位所對應的角色，即可實現訪問權限的變更。若某崗位的訪問權限發生變化，需要該崗位的用戶不僅有權處理表單A，還增加了對表單B 和表單C 的訪問權限。在用戶直接關聯訪問權限的方式下，該崗位所有有權處理表單A 的用戶（假設為N 個）均需增加對表單B和表單C 的處理權限，修改權限策略數量為2*N；而在角色關聯訪問權限的方式下，通常只需將崗位中有權處理表單A 的唯一角色與表單B 和表單C 的訪問權限關聯即可，修改權限策略數量為2。綜上所述，基于RBAC 模型進行權限管理，比直接基于用戶進行權限管理要便捷很多。深入分析RBAC 模型可以發現，RBAC 中的訪問控制（Privilige）包含了操作對象和操作方式兩種元素，如前文所述的“請假單審批權”是由“請假單”和“審批”組成，“請假單”即操作對象，“審批”即操作方式。一種操作對象可對應多種操作方式，如“請假單”除“審批”外，還可能有“申請”、“歸檔”等操作方式；而一種操作方式又可對應多種操作對象，如“審批”除針對“請假單”外，還可能針對“報銷單”、“采購單”等操作對象。針對上述情況，基于RBAC 模型進行角色授權時，勢必要將角色與各種可能的操作對象和操作方式組合而成的訪問權限進行關聯。假設操作對象的數量是M，操作方式的數量是N，則針對角色進行訪問控制授權的策略數量為M*N，當M、N 較大時，基于角色的訪問權限管理工作的復雜度將顯著增加。

3.2 基于安全域的訪問控制模型

上述問題的根本原因在于RBAC 模型未能細分訪問權限中的操作對象和操作方式。從易變性角度分析，信息系統中的操作對象會隨著業務規模的變化而頻繁變化，且數量較大，從100 至10000 不等，甚至更多；而操作方式較為穩定，常見的有增、刪、改、查、歸檔等，數量有限，且能在不同操作對象間復用。針對此分析結果，本文提出一種新的基于安全域的訪問控制模型。基于安全域的訪問控制模型是RBAC 模型的衍生，其核心是將操作對象和操作方式分離，并通過操作對象和安全域之間的關聯關系表達權限控制策略。其間關系如圖表2 所示。

圖表2 基于安全域的訪問控制模型的UML 對象關系圖

安全域由一系列角色和操作方式組成，例如，“部門級表單管理”安全域的內容如下表所示：

圖表3“部門級表單管理”安全域內容

由上表可見，安全域并非完整的訪問控制策略的定義結果，只有當其與具體操作對象建立關聯后方能生效。如將“請假單”與上述“部門級表單管理”安全域進行關聯，則表示“部門經理”和“部門副經理”角色對“請假單”有“增加、刪除、編輯、讀取”權限。當操作對象范圍發生變化時，如需要部門擴充管理“采購單”、“報銷單”，則只需將“采購單”、“報銷單”和“部門級表單管理”安全域進行關聯，而按常規的RBAC 模型進行管理時，需要分別針對“部門經理”、“部門副經理”與“采購單”、“報銷單”及“增加、刪除、編輯、讀取”增加2*2*4=16 條權限控制策略；當某角色的操作方式發生變化時，如取消“部門副經理”的“增加、刪除、編輯”操作方式，則只需單點更改“部門級表單管理”安全域中的3 條記錄，與之關聯的“請假單”、“采購單”、“報銷單”均能自動生效，而基于RBAC 模型進行管理時，則需刪除“部門副經理”與“請假單”、“采購單”、“報銷單”及“增加、刪除、編輯”相關的3*3=9 條權限控制策略。

4 結論

綜上所述，基于安全域的訪問控制模型在繼承了RBAC 模型通過角色簡化權限訪問控制過程的方法基礎上，進一步細分操作對象和操作方式，將角色和操作方式封裝為安全域，增強了不同操作對象間的權限控制策略的復用性，進而大大簡化權限控制策略的維護過程。

[1]李孟珂，基于角色的訪問控制技術及應用，計算機應用研究，2000年第17 卷第10 期

[2]喬穎，一種基于角色訪問控制(RBAC)的新模型及其實現機制，計算機研究與發展 ，2000，1.

[3]李細雨，基于粒邏輯的擴展RBAC 模型，浙江師范大學學報：自然科學版，2009年第32 卷第3 期

[4]李金雙，HARBAC：基于分級管理思想的RBAC 層級管理模型，小型微型計算機系統.