RBAC在ATP車載設備管理信息系統中的應用

康仁偉，田 青，程劍鋒，趙顯瓊

（中國鐵道科學研究院 通信信號研究所，北京 100081）

RBAC在ATP車載設備管理信息系統中的應用

康仁偉，田 青，程劍鋒，趙顯瓊

（中國鐵道科學研究院 通信信號研究所，北京 100081）

基于角色的訪問控制（RBAC）是保證信息系統資源安全的一種策略。本文詳細介紹了RBAC模型，并給出了其形式化定義。將RBAC模型應用于ATP車載設備管理信息系統，設計了該系統訪問控制的數據物理模型，實現了該信息系統對關鍵資源的限制訪問。該系統成功地投入使用，表明RBAC模型可有效實現信息系統的權限控制。

ATP；信息系統；訪問控制

訪問控制技術作為國際化標準組織定義的5項標準安全服務之一，是實現管理信息系統安全的一項重要機制[1]。基于角色的訪問控制（RBAC， Role Based Access Control）模型是一種較新的訪問控制模型，其基本思想是：對系統的各種權限不是直接授予具體的用戶，而是在用戶集合與權限集合之間建立一個角色集合。每一種角色對應一組相應的權限。用戶通過被授予一定的角色而獲得相應的權限。RBAC解決了具有大量用戶、數據客體和各種訪問權限的系統中的授權管理問題。

本文介紹RBAC模型的定義，將RBAC模型運用于ATP車載設備管理信息系統（ATPMIS，ATP Management Information System）中，設計該系統訪問控制模塊的數據模型。防止對信息越權訪問、篡改數據和信息的濫用，從而保證該系統安全有序地運行。

1 基于角色的訪問控制

1.1 RBAC的基本思想

RBAC的核心是引入了角色的概念，它使得操作權限不是直接授予用戶而是授予角色，用戶通過角色身份獲得相應的操作權限[2]。

簡單地說，角色授權機制是系統通過特定的操作將用戶和資源聯接。通過該機制，角色具有一定的權限，同時角色又分配給用戶，這樣，用戶由賦予的角色而獲得該角色具有的相應權限。用戶與角色、角色與權限之間構成多對多的關系。用戶進行系統操作的訪問控制流程如圖1所示。

圖1中，用戶通過用戶名、密碼經過身份驗證后進入系統。通過角色服務，獲取其角色身份；依據角色身份，獲取具體的操作權限。當用戶操作某些內置了權限的功能時，需要進行用戶訪問權限判定，以確認用戶是否具有這些操作權限。

圖1 訪問控制流程

1.2 RBAC模型

美國國家標準和技術研究所（NIST）定義的RBAC96模型[3～4]包括RBAC0、RBAC1、RBAC2、RBAC3。RBAC0定義了RBAC模型的基本概念，滿足RBAC訪問控制的最低需求。RBAC1和RBAC2在RBAC0基礎上，分別引入了角色繼承和約束的概念。RBAC3包括RBAC1和RBAC2模型。

RBAC0是基礎，它由4個基本要素構成：用戶（U）、角色（R）、會話（S）和授權（P）。

（1） U表示用戶集，R表示角色集， S表示會話集，P表示權限集。

（2）UA?U?R，是從用戶集到角色集的多對多映射，表示用戶被賦予的角色。

（3）PA?P?R，是從權限集到角色集的多對多映射，表示角色被賦予的權限。

其中，roles： S→2R，是會話S到角色集R的映射。User： S→U，是會話S到用戶U的映射。

ATP車載設備管理信息系統中，角色之間具有明顯的層次性。RBAC模型用偏序（≥）描述這一層次關系。形式化表示為：

實際上，角色間的偏序關系體現為角色間的繼承關系。r1≥r2表示r1繼承自r2，其中r1為高級角色，r2為低級角色。通過繼承，r2的所有權限同時也被r1所擁有，r1的所有用戶同時也是r2的用戶。這種偏序關系滿足如下性質：

傳遞性：

約束規定了角色被賦予用戶，或操作權限被賦予角色時，以及用戶在某一時刻激活一個角色時所應遵循的強制性規則。其中，職責分離是其中的一種約束。

職責分離約束是指不允許一個用戶同時擁有沖突角色集合中的兩個或多個角色，又分為動態職責分離和靜態職責分離。

本文重點介紹靜態職責分離（SSD，Static Separation of Duty）[1]。其定義為：SSD?(2R? N)，表示若干二元對(rs,n)的集合。其中rs?R，n∈N且n＞1。SSD關系中，每一個(rs,n)表示為：用戶不能同時被賦予rs中的n個或n個以上的角色。

由此，在RBAC0模型的基礎上，添加角色分層和約束的概念，得到RBAC3的模型如圖2所示。

圖2 RBAC模型

2 RBAC在ATP車載設備管理信息系統中的應用

ATP車載設備管理信息系統是對列車車載設備的運用和維護進行管理的信息系統。訪問控制是用戶通過賬號、密碼進行身份認證之后保護該系統資源安全的又一道屏障。將RBAC模型運用至該系統，可以限制對關鍵資源的訪問，防止非法用戶的侵入或者因合法用戶的不慎操作所造成的破壞。

2.1 系統需求

ATP車載設備管理信息系統通過權限管理模塊實現資源的訪問控制。具體包括鐵路總公司、鐵路局級數據分發權限、終端數據查詢權限、基礎數據維護權限和系統操作權限。

其中鐵路總公司、鐵路局級數據分發權限主要包括委托維修數據分發、跨局運行故障上報和動車組轉配屬數據分發；終端數據查詢權限根據動車組配屬信息控制各個終端數據訪問權限；基礎數據維護權限包括基礎數據導入、修訂和刪除等維護工作；系統操作權限包括應用服務器、數據庫服務器和系統軟件的操作權限。

系統分配給每個用戶的權限應該是該用戶完成其職能所具有的最小權限的集合。系統不應該給予用戶超過其執行任務所需權限之外的任何權限。

2.2 訪問控制的實現

ATP車載設備管理信息系統訪問控制的設計流程如下：（1）設計用戶、角色和權限之間的基本關聯；（2）實現角色分層和職責分離的需求；（3）設計訪問控制的數據物理模型。

2.2.1 基本設計

（1）設角色集合R={管理員，技術專職，工長，…}。

（3）設定函數assigned_permissions(r:R)：返回被直接指派到一個角色的權限的集合。形式化表示為：

（5）設定函數avail_session_perm(s:S)：返回在一個會話活動中當前用戶可用權限的集合形式化表示為：

2.2.2 角色分層

ATP車載設備管理信息系統分B/S（Browser Server）架構和C/S（Client Server）架構，前者供鐵路總公司、鐵路局管理層使用，后者由電務段、車間工區的作業人員使用。兩者的用戶相互獨立，互不通用。用戶與權限之間通過角色間接關聯，角色通常和“崗位”對應，因而，角色表現出明顯的層次性。

角色之間的層次關系形式化表示為：

設定函數authorized_ permissions (r:R)：表示層次性RBAC中角色到權限的映射，形式化表示為：

通過以上函數，可以實現ATP管理信息系統中分層角色之間的繼承關系，滿足該系統角色分層的實際需要。

2.2.3 職責分離

ATP管理信息系統中，涉及行車安全和故障責任的內容，比如運行故障等信息，其填報與刪除應該嚴格分離，同一個用戶不允許同時擁有填報和刪除兩個權限。ATPMIS采用SSD策略限制用戶獲得相互沖突的權限。SSD定義了一個角色集，它們在用戶指派關系上互斥，即如果一個用戶獲得了一個角色，那么該用戶就不能獲得與這個角色相排斥的其它角色。

前文已經提到，ATPMIS權限管理采用角色分層。在角色分層的前提下再使用SSD約束時，應保證用戶繼承不會破壞SSD策略。因而，角色分層定義在包括SSD約束的繼承關系上，SSD的用戶是基于角色的擁有授權的用戶（authorized users），而不是直接指派的用戶（assigned users）。形式化表示為：

非繼承環境下靜態職責分離的形式化定義如下：

2.2.4 數據物理模型

通過以上分析，建立圖3所示ATP車載設備管理信息系統權限控制數據物理模型。明確用戶、角色、權限之間復雜而又明晰的關系。按照該數據模型，從數據層刻畫訪問控制間的關聯關系。

圖3 ATPMIS權限控制數據物理模型

3 數據應用

ATP車載設備管理信息系統的權限表現為ATP的數量和用戶所具有的角色權限。以該系統中列車運行故障管理模塊為例，表1列出了故障模塊的功能以及哪些角色可以操作這些功能。

表1 ATPMIS運行故障管理模塊的操作權限

此外，根據鐵路現場實際，表2列出了ATP的數量以及用戶可以操作的權限。表明任何一個用戶都有非常嚴格的操作權限，同時，說明圖3所示物理模型成功地解決了ATPMIS的訪問控制問題。

表2 ATP數量和權限個數統計

4 結束語

本文介紹了RBAC模型，并將該模型運用于ATP車載設備管理信息系統中，詳細設計了該系統訪問用戶、角色和權限之間的相互關聯關系、角色繼承關系以及職責分離關系，最后得出該系統訪問控制的數據模型。表明RBAC模型可有效實現信息系統的權限管理。

[1] 馬水平．基于角色的安全訪問控制機制的研究[D]．青島：中國海洋大學，2005.

[2] 洪 帆. 訪問控制概論[M]．武漢：華中科技大學出版社，2010.

[3] 劉 強. 基于角色的訪問控制技術[M]．廣州：華南理工大學出版社，2010.

[4] 朱亞寧．分布式環境下的權限控制系統的研究與實現[D]．大連：大連理工大學，2007.

責任編輯 方 圓

Application of RBAC in Management Information System of ATP on board equipment

KANG Renwei, TIAN Qing, CHENG Jianfeng, ZHAO Xianqiong
( Signal & Communication Research Institute, China Academy of Railway Sciences, Beijing 100081, China )

Role-Based Access Control (RBAC) was a means to ensure the security of information system resources. This paper described the RBAC model and given its formal def i nition. RBAC model was applied to ATP Management Information System, and physical data model of access control was designed. Finally it was implemented restrict access to the critical resources of the System. The System was used successfully, and indicated that RBAC model could effectively control access of Information System.

ATP; Information System; RBAC

U284∶TP39

A

1005-8451（2015）04-0019-04

2014-09-18

中國鐵路總公司科技研究開發計劃課題（2014X008-H）；中國鐵道科學研究院基金課題（2013YJ046)。

康仁偉，研究實習員；田 青，工程師。