基于角色的水利行業監理信息系統訪問控制優化模型

張柳軍,豐景春

(1.河海大學商學院,江蘇 南京 211100; 2.河海大學項目管理研究所,江蘇 南京 211100)

信息化是國家“十二五”規劃的重要內容,也是水利行業監理企業提高自身管理效率的重要手段。隨著計算機網絡和信息技術的發展,水利行業監理管理信息系統在滿足企業復雜應用需求的同時面臨系統訪問控制策略滯后的問題,利用基于角色的訪問控制技術雖能在一定程度上優化權限管理,但由于角色與權限的高度耦合,使得已定義主體與角色的內部權限不可再分,導致不能較好地實現主體內部授權與跨角色執行部分權限的問題,難以滿足水利行業監理企業實際管理工作的需要,系統訪問控制已成為水利行業監理信息系統亟待解決的問題。

訪問控制技術出現于20世紀70年代,最初用于解決大型主機數據共享的訪問權限問題[1],經過多年發展,基于角色的訪問控制(RBAC)模型以其獨特的權限與主體分離的優勢得到廣泛應用,它通過建立權限與角色、角色與主體之間的映射,實現對系統的訪問控制,成為現代訪問控制技術研究的基礎。目前,尚未提出針對水利行業監理信息系統訪問控制問題的有效的訪問控制模型。文獻[2- 4]研究并提出了基于任務的訪問控制模型,通過工作流規范業務流程,為每個任務定義相應權限,但由于該控制模型對業務流程的規范性要求較高,難以直接用在水利行業監理信息系統中;文獻[5]提出了在基于角色的訪問控制(RBAC)模型上建立了時間特性的約束條件,但應用較為單一;文獻[6]在時間約束的授權方面進行了深入的研究,并在文獻[7]中通過對無時間特性的角色訪問控制形式化表達的基礎上擴展了時間特性,提出了一種帶時間特性的角色訪問控制模型;其他訪問控制模型大多也是以基于角色的訪問控制(RBAC)模型為核心的擴展與衍生,包括具有環境適應性的角色訪問控制模型[8]、具有委托功能的角色訪問控制模型[9]、具有空間特性的角色訪問控制模型[10]等。

綜上所述,現有訪問控制模型在相關領域內較好地優化了系統訪問控制,但由于現有訪問控制模型中的權限與角色、角色與主體之間表現為硬性關系,訪問控制策略的柔性較差,使其不能較好地適應水利行業監理信息系統的訪問控制,難以滿足水利行業監理企業的實際工作與信息系統對接的需要。本文在總結分析現有研究成果的基礎上,提出主體與角色的內部再分,即“二次定義”的概念,通過對已定義的主體與角色內部的再次定義，即定義二級主體與角色,有效地解決了水利行業監理企業實際工作中信息系統權限分配等問題,并據此建立了基于二次定義的角色訪問控制優化模型。

1 水利行業監理信息系統訪問控制現狀與問題分析

1.1 現狀分析

水利行業監理企業管理一般分為3個層面,分別是領導層、職能層和監理層,如圖1所示。

圖1 水利行業監理企業組織結構

領導層的主要任務是對企業整體的把握,保證企業良好運營,并負責對報審信息進行審核與審批工作;職能層的主要職能是完成企業日常具體業務需求;監理層是被管理的對象,水利行業監理信息系統數據的重要提供者。RBAC模型出現在自主訪問控制(DAC)和強制訪問控制(MAC)之后,能夠較好地解決DAC的安全性和MAC的局限性問題。通過引入角色的概念,實現主體與權限的分離;通過在權限與角色、角色與主體之間建立映射關系,實現主體訪問權限的分配,規范系統的授權管理。

由于水利行業監理企業職能部門具有主體龐大、監理部門管理模式統一等特點,基于角色的訪問控制(RBAC)方法存在系統主體與角色定義比較籠統、職能部門和監理部門主體權限過于集中、不能滿足實際工作的要求等缺陷,但是過度定義主體與角色又會使授權難以控制。水利行業監理信息系統的訪問權限控制大多是根據水利行業監理企業組織結構進行設計的,根據企業所包含的組織機構定義角色,由于監理層定義了監理企業所有的監理部門,且各監理部門自身的管理模式是相同的,因此,一般情況下監理部門所擁有的權限相對固定,在分配角色到主體的過程中通常將監理部門作為一個整體來處理,監理部門內部不允許進行權限與角色、角色與主體的再分配。職能部門雖然可以通過管理員進行授權,但授權方式還是以部門為單位。

1.2 存在的問題

a. 職能部門與監理部門內部權限的不可再分性使得系統的使用權限只屬于職能部門和監理部門負責人,權限的過度集中,增加了部門負責人的工作強度,同時也不利于系統職能層與監理層的授權管理,職能部門和監理部門其他人員無法通過使用系統行使自身的實際工作職能,這是RBAC模型無法有效解決水利行業監理信息系統訪問控制的主要問題。

b. 角色與權限的映射較為硬性。水利行業監理企業的人員調動較為頻繁,包括監理部門人員的相互調動和職能部門與監理部門之間的人員調動等。通過對主體角色的授予與撤銷,RBAC模型雖在一定程度上解決了人員變動所帶來的權限變化問題,但水利行業監理企業的主體經常需要跨角色執行系統所有或者部分權限,由于所有權限的授予可通過賦予主體角色實現,因此跨角色執行部分權限成為需解決的主要問題。目前RBAC模型中的角色與權限之間的映射較為硬性,不能較好地解決上述問題,無法滿足水利行業監理信息系統的實際工作需要。主體跨角色執行權限如圖2所示。

圖2 主體跨角色執行權限示意圖

圖3 RBAC96模型

2 基于角色的訪問控制優化模型

2.1 主體與角色的二次定義

主體與角色的二次定義是在主體與角色第一次定義完成后,每個主體和角色依據需要進行第二次定義,定義所得主體權限的總和等于一級主體的權限集。RBAC模型雖然可以定義多個主體與角色,但在水利行業監理企業,一個主體一般是以一個組織存在,組織的職能是由同一角色下不同的個人行使不同的權限實現的,在系統整體層面為每個個人建立角色顯然是不合理的,而角色二次定義的目的就在于將同一角色下不同權限授予擁有該角色的同一主體二次定義的不同個體。

2.2 優化模型的建立

目前認可度較高的角色訪問控制模型為RBAC96模型,它是在原有RBAC模型的基礎上增加了角色的層次關系和約束條件,由權限、角色、主體、會話、層次和約束6部分組成,如圖3所示。圖中，RH表示角色與角色之間的繼承關系；UA表示一次定義中用戶與角色之間的指派關系；PA表示一次定義中權限與角色之間的指派關系。

本文針對水利行業監理信息系統在訪問控制方面存在的問題,對RBAC96模型進行優化,即在原有模型的基礎上建立了二次定義模型,二次定義模型中的用戶、角色和權限的作用域已經發生變化,它是一次定義所產生的某用戶及該用戶被賦予的某角色和該角色所擁有的權限的集合,如圖4所示。圖4中，ua表示二次定義中用戶與角色之間的指派關系；pa表示二次定義中權限與角色之間的指派關系。

圖4 基于角色的訪問控制優化模型

2.3 優化模型的應用

從圖4中的整體結構上看,該模型分為一級和二級定義,一級定義由系統管理員按照企業管理結構進行設置,二級定義由一級主體按照實際工作需求對主體自身進行再分，對所屬角色通過映射關系進行再分,授權方式與現有模型類似,主要區別在于二級授權的用戶域、角色域和權限域發生了變化,主體與角色的二次定義及其授權方案通過領導審查后即可生效。該模型較好地解決了原有模型中角色與權限高度耦合的問題,系統訪問控制具備一定的柔性,這樣不僅能夠解決主體內部授權問題,還能滿足主體跨角色行使部分權限的要求,從而滿足了水利行業監理企業信息系統的實際工作需要。

在水利行業監理企業信息化的應用中，基于角色的水利行業監理信息系統訪問控制優化模型的特點主要體現在訪問控制的靈活性上,首先由系統開發人員依據企業組織架構建立以組織為單位的角色-權限體系,用戶按角色類型獲取相關訪問權限,該過程是本模型實現訪問控制優化的第一階段,第二階段的實現是在某一主體-角色-權限這一子體系內進行再次定義,子體系的主體一般是二級定義的實施者,根據主體自身的業務需要,可定義多個子用戶與子角色,形成多個子用戶-子角色-子權限的訪問控制體系,經領導審核通過后,子體系權限便可下放到同一主體的不同個體,實現主體內部的訪問控制優化,由于優化的操作是在子體系內進行,對第一階段的訪問控制策略不會產生影響,在增加訪問控制靈活性的同時,安全性也不會因此降低。通過案例分析可以對該模型的優化過程形象地進行說明。

3 案例分析

3.1 案例背景

以江蘇某水利行業監理企業為例,該企業的業務范圍較廣,涉及水利工程、水運工程、公路工程等,其監理業務系統訪問控制方法是依據較為基礎的RBAC模型進行設計的,如圖5所示。

3.2 監理部門授權結構

案例分析中以合同部作為該企業的主體,以職能部作為角色。系統角色是在系統設計階段按照該企業組織結構進行劃分的,并以特定標識存入數據庫角色表中;職能部通過管理員添加得到,并由管理員為所添加主體賦予角色;系統權限是依企業需求在系統開發過程中形成并存入數據庫權限表中,由管理員針對角色進行分配。監理部是由合同部在創建項目基本信息時自動生成主體,同時被賦予監理部這一角色,并獲得該角色下已定義的所有權限,如圖6所示。

該監理企業信息系統的訪問控制方法的優點在于RBAC模型能夠簡化系統訪問權限的控制過程,提高了管理員對授權的控制能力和系統自身的安全性,但也存在一定的缺陷,無論是職能部門還是監理部門主體與角色是不可再分的,主體只有擁有角色的全部權限或者無權限兩種選擇,主體內部其他人員無法被授權訪問系統,造成系統與實際工作的脫節。采用二次定義優化后的RBAC96模型可在一定程度上解決上述問題,主體與角色的二次定義增加了職能部門和監理部門等主體內部的靈活性。該監理企業信息系統采用二次定義優化后的RBAC96模型的授權結構如圖7所示(以監理部門為例)。

圖6 監理部門授權結構

圖7 主體與角色二次定義授權結構

通過圖6與圖7兩種授權模式的對比可知,基于二次定義的角色訪問控制模型在不增加管理復雜度和降低系統安全性的前提下,能夠有效地實現水利行業監理企業的訪問控制,具有更加靈活的特點，符合現代監理企業實際業務的需求。

4 結 語

訪問控制是企業信息化實施過程中不可避免的問題,水利行業監理企業的行業特點使其權限的分配具有一定的復雜性。在現有的研究中,RBAC模型的主體、角色和權限三者之間表現為硬性關系,無法很好適應水利行業監理信息系統訪問控制的需要,水利行業監理企業信息化需要具備一定柔性的訪問控制模型。

基于角色的水利行業監理信息系統訪問控制優化模型體現了“二次定義”的思想,通過對用戶主體與角色的二次定義使主體與角色內部細分,從而便于系統的授權,并且二次定義由主體內部進行,角色二次定義通過映射關系實現,上層授權不會受到干擾。基于角色的訪問控制優化模型能夠較好地滿足水利行業監理企業的實際工作需要,提高了系統的可用性。

參考文獻：

[1] 李鳳華,蘇铓,史國振,等.訪問控制模型研究進展及發展趨勢[J].電子學報,2012, 40(4)：805-813.

[2] COULOURIS G,DOLLIMORE G,ROBERTS M.Role and task-based access control in the PerDiS groupware platform[C]//Proceedings of the 3rd ACM Workshop Role-Based Access Control.Fairfax:ACM Press, George Mason University, 1998:115-121.

[3] THOMAS R,SANDHU R.Task-based authorization controls(TBAC):a family of models for active and enterprise oriented authorization management[C]//.Proceedings of the IFIP WG11.3 Workshop on Database Security.California:IFIP WG11.3Conference on Database Security,1997:166-181.

[4] 鄧集波,洪帆.基于任務的訪問控制模型[J].軟件學報,2003, 14(1)：76-82.

[5] BERTINO E,BONATTI P,FERRARI E.TRBAC：a temporal role-based access control model[J].ACM Transactions on Information and System Security,2001, 4(3)：191-223.

[6] 董光宇,卿斯漢,劉克龍.帶時間特性的角色授權約束[J].軟件學報,2002, 13(8)：1521-1527.

[7] 黃建,卿斯漢,溫紅子.帶時間特性的角色訪問控制[J].軟件學報,2003, 14(11)：1944-1954.

[8] 吳新松,賀也平,周洲儀,等.一個環境適應的基于角色的訪問控制模型[J].計算機研究與發展, 2011, 48(6)：983-990.

[9] 劉正濤,毛宇光,王建東,等.基于角色的層次受限委托模型[J].電子科技大學學報.2010, 39(1)：114-118.

[10] DAMIANI M,BERTINO E,CATANIA B.GEO-RBAC：a spatially aware RBAC[J].ACM Transactions on Information and System Security,2007, 10(1):1-42.