基于CAD的訪問控制方案設(shè)計

李全文

（中兵光電科技股份有限公司 ，北京 100176）

0 引言

隨著產(chǎn)品知識產(chǎn)權(quán)保護意識的不斷加強，用戶對于網(wǎng)絡(luò)協(xié)同設(shè)計環(huán)境下的產(chǎn)品模型保護有了更大的需求。雖然訪問控制經(jīng)過了幾十年的發(fā)展，但是應(yīng)用到CAD環(huán)境中的并不多。近年來隨著很多模型的圖紙被修改或者竊取，使得人們對模型的保護越來越重視，近些年來對CAD模型的研究也越來越多。本文將TRBAC模型的理論應(yīng)用到CAD系統(tǒng)中，提出一個基于TRBAC的CAD模型加密的訪問控制模型。

1 系統(tǒng)設(shè)計

1.1 系統(tǒng)安全需求

在CAD的網(wǎng)絡(luò)協(xié)同設(shè)計環(huán)境中，數(shù)據(jù)處理模式不同于傳統(tǒng)的系統(tǒng)數(shù)據(jù)處理模式---內(nèi)部數(shù)據(jù)控制和管理，而是使用內(nèi)部-外部數(shù)據(jù)信息交流的方式。安全訪問控制方案的設(shè)計必須適應(yīng)這種數(shù)據(jù)流動方式的改變。不同的設(shè)計單位、用戶對框架的訪問控制服務(wù)也有不同的要求。例如，在安全級別要求較高的部門中，往往需要采用嚴格的設(shè)計策略，用戶需要利用訪問控制來保護敏感項目或項目中的敏感設(shè)計對象，以及把關(guān)鍵的設(shè)計工作保留給重要用戶；而在安全級別要求較低的部門中，訪問控制不需要很嚴格。因此訪問控制系統(tǒng)必須是有彈性、可定制的，以便滿足不同設(shè)計環(huán)境的需要。訪問控制系統(tǒng)還要管理記錄訪問控制的信息，并能夠?qū)@些記錄信息進行訪問控制。

1.2 訪問控制系統(tǒng)結(jié)構(gòu)設(shè)計

根據(jù)系統(tǒng)設(shè)計需求，對訪問控制系統(tǒng)進行了設(shè)計。服務(wù)器端分兩部分：訪問控制部分和應(yīng)用服務(wù)器部分。訪問控制部分主要由身份驗證服務(wù)器、訪問控制服務(wù)器組成。訪問控制服務(wù)器是系統(tǒng)的核心部分，為整個系統(tǒng)提供訪問控制服務(wù)，也就是控制所有訪問者的訪問請求，根據(jù)已制定的安全規(guī)則，決定訪問是否合法。各部分需要實現(xiàn)如下功能：

1）用戶訪問應(yīng)用服務(wù)器時，首先必須向身份驗證服務(wù)器出示自己的身份，經(jīng)驗證合法后方可進入角色服務(wù)器；

2）身份驗證通過之后，通過用戶角色服務(wù)器方可獲得該用戶的角色身份，并向角色權(quán)限服務(wù)器獲得其權(quán)限結(jié)果。將角色權(quán)限和訪問請求發(fā)給訪問控制服務(wù)器，由其進行決策判斷，根據(jù)決策結(jié)果決定是否向應(yīng)用服務(wù)器提交用戶的訪問請求；

3）角色庫存儲系統(tǒng)定義的角色集合，角色庫由系統(tǒng)管理員管理；

4）角色權(quán)限庫存儲每個角色可訪問數(shù)據(jù)資源的集合，該庫由系統(tǒng)管理員負責管理維護；

5）審計信息服務(wù)器負責處理用戶訪問使用數(shù)據(jù)的紀錄，系統(tǒng)管理員可以瀏覽、修改系統(tǒng)訪問紀錄；

6）審計信息庫存儲用戶的訪問使用紀錄，由系統(tǒng)管理員通過審計信息服務(wù)器管理、維護和使用。

系統(tǒng)的結(jié)構(gòu)示意圖如圖1所示。

圖1 系統(tǒng)結(jié)構(gòu)示意圖

應(yīng)用服務(wù)器是CAD模型數(shù)據(jù)的核心部分，主要用來存儲產(chǎn)品模型，是訪問控制系統(tǒng)保護的對象。任何不通過訪問控制系統(tǒng)許可的對象不能對其內(nèi)部數(shù)據(jù)進行訪問。應(yīng)用服務(wù)器的對外接口部分響應(yīng)通過了權(quán)限控制模塊的客戶端的數(shù)據(jù)請求，根據(jù)用戶的角色身份所具有的權(quán)限，為其產(chǎn)生與其權(quán)限對應(yīng)的產(chǎn)品簡化模型視圖，模型數(shù)據(jù)經(jīng)過傳輸加密后，發(fā)送到合法的客戶端。

2 訪問控制模型

結(jié)合基于任務(wù)的訪問控制技術(shù)，我們提出了基于任務(wù)角色的多層次動態(tài)訪問控制模型。相對于傳統(tǒng)的基于角色的訪問控制模型和基于任務(wù)的訪問控制模型，我們引入了角色分層和權(quán)限分層管理。角色分層簡化了權(quán)限表示及角色授權(quán)過程；權(quán)限分層適應(yīng)了CAD產(chǎn)品多層次結(jié)構(gòu)的特點。

模型相關(guān)定義如下：

定義1（對象，數(shù)據(jù)集）：產(chǎn)品模型的所有數(shù)據(jù)構(gòu)成了協(xié)同設(shè)計的操作數(shù)據(jù)集，用D表示。對象是指產(chǎn)品模型數(shù)據(jù)的一個子集，記為ob，且對?ob，ob?D。在層次建模中，ob可以是CAD產(chǎn)品模型的拓撲面、體特征、零件體或裝配體等。

定義2 （操作集，操作子集）：操作集（記為OP）是一個有限集，其中的每個元素都表示一種可以對對象實施的操作op。如果o?OP，則稱o為一個操作子集。

定義3（訪問權(quán)限，訪問權(quán)限集）： 訪問權(quán)限集是集合D×2OP的子集，記為P。P中的每個元素表示一種權(quán)限，記為p（ob，o）。每一個權(quán)限以對象為單位進行授權(quán)，其直觀含義是，若o?OP且ob?D，則訪問權(quán)限p（ob，o）?P，表示對對象ob可以執(zhí)行操作子集o中的各項操作。

定義4 用戶（User）：是指協(xié)同環(huán)境中被賦予一定角色的集合，具有相應(yīng)角色，并依據(jù)角色的任務(wù)來行使權(quán)限，通常指從事協(xié)同活動的人員，記為U。一個用戶可以有多個角色。

定義5（角色集，角色）：角色集是由訪問權(quán)限集的一些子集構(gòu)成的集合，記為R，即R?2P。角色集的每一個元素表示一種角色r，r是一組權(quán)限的集合，即?r?R，有r?P。

定義6（角色繼承）：?r1，r2?R，如果r1?r2，則稱r2繼承r1，即滿足繼承關(guān)系，用r1→r2表示，其中r1稱為父角色，r2為子角色。角色繼承關(guān)系是一種偏序關(guān)系，具有自反性、傳遞性和反對稱性。

定義7 會話（Sessions）：是一個動態(tài)概念，用戶激活角色集時建立會話。會話是一個用戶與多個角色的映射，會話和角色是多對多的關(guān)系，用戶在會話中所具有的權(quán)限是其所有的角色擁有權(quán)限集合的并集，記為S。

定義8 任務(wù)（Task）：工作流程中的一個邏輯單元，完成某種特殊功能，即工作流的活動，或是若干個活動的組成。任務(wù)有靜止、存在、失敗、運行、等待和完成6種基本狀態(tài)。任務(wù)之間存在著狀態(tài)依賴關(guān)系。狀態(tài)依賴包括順序依賴、失敗依賴、同步依賴。模型根據(jù)狀態(tài)依賴這個動態(tài)約束進行動態(tài)授權(quán)。記為T。

定義9 約束（Constraints）：表示整個模型各個元素之間的限制條件，記為C。

定義10 角色分層（Role Hierarch）：角色到角色之間的二元關(guān)系，具體表現(xiàn)為在一個組織內(nèi)部的角色等級關(guān)系，即關(guān)于角色的偏序關(guān)系，它包括繼承機制，記為RH。

定義11 （權(quán)限狀態(tài)，permission state)：這是權(quán)限在執(zhí)行過程中可能經(jīng)歷的狀態(tài)，令p?P，則該權(quán)限的狀態(tài)為p〈state〉。在模型中定義如下5種權(quán)限狀態(tài):睡眠狀態(tài)（dormant），就緒狀態(tài)(ready），掛起狀態(tài)（hold），運行狀態(tài)（running），完成狀態(tài)（accomplished）。

定義12 權(quán)限關(guān)系（permission relation）：指不同權(quán)限之間的依賴關(guān)系。根據(jù)權(quán)限執(zhí)行的時間順序，可以分為如下3類關(guān)系：同步關(guān)系，順序關(guān)系，互斥關(guān)系。

3 模型的實施

3.1 角色劃分

為更好的提高管理效率，在角色劃分中需要重點考慮角色的層次性。在系統(tǒng)中角色劃分為三個層次，分別為最高級別系統(tǒng)管理員層、高級別角色層以及普通角色層。系統(tǒng)管理員層擁有最高的權(quán)限，主要負責系統(tǒng)角色權(quán)限的初始化和系統(tǒng)的管理維護。系統(tǒng)管理員角色必須由兩個及兩個以上的人共同擔任，同時系統(tǒng)管理員不能具備行使一般的設(shè)計工作的能力。高級別角色在系統(tǒng)中既可以從事設(shè)計工作，完成產(chǎn)品開發(fā)中的設(shè)計功能，又可以進行權(quán)限授予。普通角色層為一般的設(shè)計人員，只具備完成產(chǎn)品開發(fā)中的研發(fā)設(shè)計能力。

角色劃分根據(jù)任務(wù)需求來設(shè)定，角色在系統(tǒng)中必須執(zhí)行一定的任務(wù)。用符號表示為：

1）R＝{r1，r2，r3，…，rn}表示角色集合。rn表示具體的某個角色。

2）T＝{t1，t2，t3，…tn}表示任務(wù)集合。tn表示具體的某項任務(wù)。

3）RT×2T表示角色的任務(wù)集合。

3.2 權(quán)限分配

訪問控制是對系統(tǒng)權(quán)限的控制，也就是用戶對某一程序是否擁有執(zhí)行權(quán)。權(quán)限必須是具體的可以被控制的。將權(quán)限進行合理的劃分，合理的分配給角色是基于角色的權(quán)限控制系統(tǒng)實施的關(guān)鍵。權(quán)限的分配過程包括權(quán)限分層定義、角色權(quán)限分配、用戶角色分配。

1）權(quán)限分層定義，主要是根據(jù)產(chǎn)品模型的功能特點及設(shè)計者的協(xié)同目的對產(chǎn)品模型進行劃分，分別定義所需要的部件層權(quán)限、零件層權(quán)限和特征層權(quán)限。此過程可以映射為數(shù)據(jù)集D與操作集OP的關(guān)聯(lián)，一般可以使用二元組〈ob，op〉表示。但是為了實現(xiàn)動態(tài)權(quán)限管理，訪問權(quán)限表示為三元組〈ob，op，state〉。

2）角色權(quán)限分配，主要是根據(jù)不同用戶的設(shè)計任務(wù)及權(quán)限間的相互關(guān)系來定義角色關(guān)聯(lián)的權(quán)限集合。角色權(quán)限分配可以映射為角色集合R與訪問權(quán)限集合P的關(guān)系，可用二元組〈r，p〉來表示。在權(quán)限的分配過程中還必須考慮權(quán)限的互斥關(guān)系，防止角色權(quán)限的沖突。

3）用戶角色分配，可以表示為用戶集合U與角色集合R的二元關(guān)系，可以使用二元組〈u，r〉來表示。用戶角色分配過程中必須考慮角色的沖突關(guān)系。角色的任務(wù)集合決定了角色具體能夠完成的任務(wù)，系統(tǒng)必須具有具體的功能模塊，對功能模塊的使用對應(yīng)了角色的具體權(quán)限集合。

3.3 CAD模型的加密

CAD模型的加密是指在協(xié)同環(huán)境下將自己所做的模型保護起來，同時要滿足訪問控制的要求，即角色等級高的用戶能查看角色等級低的用戶的模型，同時CAD模型既要有加密的算法也要有解密的算法。這里我們采用DES算法。

4 結(jié)束語

本文分析了信息系統(tǒng)的安全需求及目標，提出了基于任務(wù)角色的多層次動態(tài)訪問控制模型，在此基礎(chǔ)上構(gòu)架了系統(tǒng)的總體結(jié)構(gòu)。針對系統(tǒng)的實施，詳細對系統(tǒng)模型的角色劃分、權(quán)限分配、任務(wù)劃分以及約束管理進行了分析，為基于CAD的訪問控制方案的實施奠定了基礎(chǔ)。

[1] 韓偉力.分布式環(huán)境下的約束訪問控制技術(shù)研究[D]. 浙江大學(xué), 2003.

[2] 雷浩, 黃建, 馮登國.協(xié)同環(huán)境中共有資源的細粒度協(xié)作訪問控制策略[J].軟件學(xué)報, 2005,16(5): 1000-1011.

[3] 洪帆, 何緒斌, 徐智勇.基于角色的訪問控制[J].小型微型計算機系統(tǒng), 2003, 2(2): 198-200.

[4] 方萃浩, 葉修梓, 彭維, 張引.協(xié)同環(huán)境下CAD模型的多層次動態(tài)安全訪問控制[J].軟件學(xué)報, 2007, 18(9): 2295-2305.