基于雙層角色和組織的可擴展訪問控制模型

熊厚仁 陳性元 張 斌 杜學繪

1 引言

通過引入角色的概念，基于角色的訪問控制模型（Role-Based Access Control, RBAC）[1]中用戶不是直接與權限相關聯，而是將權限賦予角色，通過為用戶分配合適的角色從而獲得指定權限，極大地降低了授權管理復雜度，并具有策略中立、強擴展性、易于管理等特點，更適用于現代信息系統。自提出以來，RBAC得到了廣泛的研究和應用，包括RBAC管理模型ARBAC研究[2]、基于時間和空間的RBAC研究[3,4]、RBAC中的職責分離約束研究[5]及結合其它約束研究[6]、基于工作流的 RBAC研究[7]、基于 RBAC的委托研究[8]、RBAC與信任管理結合的研究[9]，跨域訪問控制研究[10]，角色工程研究[11]及圍繞RBAC展開安全性分析研究[12,13]等。以上研究根據實際應用需要對經典RBAC進行改進或擴展，從而滿足不同應用環境的特定需求。

現有針對 RBAC模型的應用及研究繼承了RBAC的諸多優點，但仍存在一些適應性、安全性及復雜度等方面的問題，具體表現為：

（1）傳統角色概念不能同時滿足組織層面和應用層面的訪問控制需求。RBAC模型中的授權管理包括用戶授權（user-role assignment）和角色授權（role-permission assignment）。在實際系統中，人員信息和資源信息往往交給不同人員管理，分別由人事部門和信息管理部門負責。在較大規模的組織或企業中，很難找到既熟知人員的職責分工，又熟悉應用系統業務流程的管理人員。現有研究中，RBAC模型單一的角色設置不符合現實世界的真實情況，其適用性較低。文獻[14]提出將角色劃分為職能角色和任務角色的思想以解決以上問題，但該方案用于具有多個相似組織的大型分布式系統時易帶來角色和權限數量過多等問題。

（2）在由多個相似組織組成的大型分布式網絡中，現有研究存在角色、權限數量過大和冗余等不足，易導致權限分配繁瑣、管理復雜等問題。分布式網絡呈現多域、動態等特點，由多個具有組織結構特點的域構成，且每個域都采用RBAC模型時，需要為每個域定義相應的角色及權限，不僅容易造成角色和權限冗余，也帶來了較大的管理復雜度，特別是增加了跨域訪問控制的難度和復雜性。文獻[15]在 RBAC的基礎上引入組織的概念以解決該問題，但存在單一角色設置及私有權限得不到有效保護的問題。

（3）現有研究大多將權限視為一個整體，主要集中于用戶權限分配、權限約束的管理，忽視了資源的重要性，或者未對面向RBAC的授權管理中的資源、資源操作及權限分配的管理進行深入具體的描述，或者其資源管理不具有通用性和可擴展性。

針對以上問題，本文對文獻[14]提出的雙層角色進行延伸，在文獻[15]引入的基于組織和角色的訪問控制的基礎上，將雙層角色與組織相結合，提出支持資源管理的基于雙層角色和組織的可擴展訪問控制模型（Scalable Access Control Model Based on Double-Tier Role and Organization, SDTROBAC），解決現有研究中存在的角色設置單一使得適應性差、存在角色或權限冗余、資源管理得不到足夠重視等問題。

2 基于角色區分的雙層角色架構

RBAC中用戶授權和角色授權部分的管理由不同管理員完成。若角色與組織架構中的職能分工對應，用戶授權工作比較直觀方便，但角色授權工作就非常復雜；若角色按照應用系統內的業務劃分制定，則角色授權工作可以由應用系統管理員完成，但用戶授權則會變得比較繁瑣。將授權管理工作按照組織層面和應用層面進行區分，可以極大地降低管理負擔和復雜度。通過將角色概念進行拆分，提出基于角色區分的雙層角色架構：在組織層面，按照組織架構中用戶的職責分工情況，設置職能角色；在應用層面，按照應用系統內的業務劃分和資源屬性，設置任務角色，如圖1所示。

圖1 基于職能角色和任務角色的雙層角色架構

與RBAC中的角色層次類似，兩種角色均具有角色層次結構及與之對應的角色樹。其中任務角色直接與權限相關聯，是權限的集合，其層次結構能夠體現權限的繼承關系；職能角色樹中上下級節點之間是部門間的層次關系和崗位對部門的隸屬關系，沒有權限繼承關系。

3 基于雙層角色和組織的可擴展訪問控制模型SDTR-OBAC

3.1 模型主要思想

通過引入組織的概念，將雙層角色和組織相結合，并對權限概念加以擴展，改進經典RBAC模型，提出支持資源管理的基于雙層角色和組織的可擴展訪問控制模型SDTR-OBAC，如圖2所示。

SDTR-OBAC模型的主要思想是：將傳統的角色概念劃分為職能角色和任務角色，解決傳統角色概念不能同時滿足組織層面和應用層面需求及適應性差的問題；引入組織的概念，代表進行協作的各個域，并將分配給用戶的角色擴展為組織-職能角色二元組，將與權限關聯的角色擴展為組織-任務角色二元組，通過組織-職能角色和組織-任務角色間的映射關系建立用戶與權限之間的關聯，解決由大量相似組織或域構成的分布式環境下角色、權限過多或冗余問題；經典RBAC模型中由操作和資源構成的權限擴展為由操作和資源類型構成的二元組，提高角色授權管理效率；對職能角色、任務角色分別定義不同的繼承關系，解決下層角色的敏感權限得不到有效保護的問題；分析描述了針對資源、操作和權限等的管理，解決現有研究缺乏面向授權管理的資源管理的問題；引入職責分離約束、勢約束等授權管理安全約束，對權限繼承、用戶角色分配、角色權限分配和角色映射關系等問題進行限制，提高授權管理的安全性。

圖2 基于雙層角色和組織的可擴展訪問控制模型SDTR-OBAC

3.2 形式化描述

本文采用集合論和一階邏輯分別對模型的元素、關系、函數和約束進行形式化定義。

3.2.1 模型元素與關系

定義1 模型元素

（1）U, S, Op, Res：與經典RBAC定義相同，分別表示用戶、會話、操作和資源的集合。

（2）O：組織集合，代表構成分布式系統的各個域；R：角色集合，包含職能角色FR和任務角色TR，即R = F R ∪ T R ; ResT：資源類型集合。

（3）OFR, OTR：分別表示組織-職能角色集合和組織-任務角色集合，ofr∈OFR和otr∈OTR是由組織分別與職能角色和任務角色構成的二元組，即ofr=（o,fr）,otr=（o,tr），其中fr∈FR, tr∈TR。

（4）P：權限，對經典RBAC中權限的概念進行擴展，權限 p ∈ P 是由操作和資源類型構成的二元組，即 p =（op,rt），其中op∈Op, rt∈ResT。

（5）C：約束，對用戶與組織-職能角色分配、組織-職能角色與組織-任務角色映射、組織-任務角色的權限分配、組織層次關系、角色層次關系等進行限制，主要包括職責分離約束SoD，勢約束Cardinality等。

定義2 模型關系

（1）UOFR ? U × O × F R ：多對多的用戶與組織-職能角色分配關系，類似于經典RBAC中的UA；US?U×S：用戶與會話關系，用戶可激活多個會話，但一個會話只能屬于一個用戶；SOFR?S×O×F R：會話與組織-職能角色對之間的多對多映射關系；OTRP ? O × T R× P ：組織-任務角色與權限映射關系，類似于經典RBAC中的PA。

（2）OFR ? O× F R,OTR?O×TR,ORes?O×R es：分別表示多對多的組織與職能角色、組織與任務角色、組織與資源之間的關聯關系。

（3）FRTR ? FR× T R,OFROTR? OFR× O TR：分別表示多對多的職能角色與任務角色映射關系和多對多的組織-職能角色與組織-任務角色映射關系。OFROTR主要由組織之間的信任關系和FRTR決定，若兩個組織 o1,o2間的信任關系表示為 o1?o2，則 OFROTR＝{ （（o1,fr）, （o2,tr））|（o1,fr）∈ O FR ∧（o2,tr）∈ O TR ∧ o1?o2∧（fr, tr）∈FRTR }。

（4）OpResT ? Op× R esT , PResT? P × R esT,POp?P× O p, ResTRes? R esT× R es：分別表示操作與資源類型關聯關系、權限和資源類型的關聯關系、權限和操作的關聯關系和資源與資源類型的隸屬關系。

（5）OH?O×O：組織層次關系，指組織之間的上下級隸屬關系和管理關系，具有自反性、反對稱性和可傳遞性，是偏序關系，兩個組織 o1∈ O ,o2∈ O 間的層次關系定義為 （ o1, o2）∈ O H ，表示o1≤o2。

（6）RH?R×R：角色層次關系，與經典RBAC相同，包含職能角色層次關系FRH ? F R × F R和任務角色層次關系TRH ? T R × T R，即RH = FRH∪ T RH。與組織層次關系OH類似，角色層次關系RH也具有自反性、反對稱性和傳遞性，是偏序關系。為了保護下層角色的敏感權限，兩類角色采取不同的繼承策略，即職能角色層次中不存在權限繼承和用戶繼承關系，上下級角色間只存在管理關系，即 （ fr1, fr2）∈FRH表示為fr1≤fr2；而任務角色層次中存在權限繼承但不存在職能角色繼承，即（tr1, tr2）∈TRH表示為tr1≤tr2。

（7）OFRH ? O FR× O FR：組織-職能角色層次關系，依賴于組織層次關系和職能角色層次關系，是偏序關系，即 （o fr1, ofr2）∈ O FRH或 o fr1≤ofr2當且僅當 o1≤o2∧fr1≤fr2，其中ofr1=（o1, fr1）, ofr2=（o2, fr2） 。

（8）OTRH ? O TR× O TR：組織-任務角色層次關系，依賴于組織層次關系和任務角色層次關系，是偏序關系，即 （o tr1, otr2）∈ O TRH或 o tr1≤otr2當且 僅 當 o1≤o2∧tr1≤tr2， 其 中otr1=（o1,tr1）,ofr2= （ o2, tr2） 。

（9）ResH ? R es× R es：資源層次關系，主要指資源間的包含關系，是偏序關系， （r e1, re2）∈ResH表示 r e1≤re2；ResTH? R esT× R esT：資源類型層次關系，是資源類型間的包含關系，是偏序關系，（rt1, rt2）∈ R esTH 表示 r t1≤rt2; OpH?Op×Op：操作層次關系，主要指操作間的蘊含關系，如讀寫操作蘊含只讀操作，是偏序關系， （o p1, op2）∈OpH表示 o p1≤op2。

（10）PH?P×P：權限層次關系，由操作蘊含關系和資源類型包含關系決定，是偏序關系，即（p1, p2）∈ P H 或p1≤p2當且僅 當op1≤op2∧rt1≤ r t2，其中 p1= （ op1,rt1）, p2= （ op2,rt2）。

其中，“≤”和“≤”的區別為前者不存在權限繼承和用戶繼承關系，而后者存在權限繼承關系。

3.2.2 模型函數

定義 3 模型函數 模型包含與以上關系對應的相關函數，限于篇幅，主要給出以下關鍵函數。

（1）user: S→U：會話到用戶的映射，通過該函數查找與會話s關聯的用戶u。

（2）re s types: Res→2ResT：資源到其所屬資源類型集合的映射，某具體資源可屬于多種資源類型。

（3）re s orgs: Res→2O：資源到其所隸屬的組織集合的映射，資源可隸屬于多個組織。

（4）assigned_orgs-trole: OFR→2OTR：組織-職能角色到組織-任務角色集合的映射，可為某組織-職能角色對映射多個組織-任務角色對。

（5）a ss igned_orgs-frole:U→2OFR：用戶到為其分配的組織-職能角色集合的映射，形式化表示為

（6）a ss igned_users: OFR→2U：組織-職能角色到用戶集合的映射，形式化表示為：assigned_users（o,fr））= {u |（u,（ o, fr））∈ U OFR}。

（7）a ct ive_orgs-frole: S→2OFR：會話到其可用的組織-職能角色集合的映射，形式化表示為：active_orgs-role（s）? assigned_orgs-frole（user（s））。

（8）a ss igned_privilege: OTR→2P：組織-任務角色到權限集合的映射，包含直接分配的權限和繼承而來的權限，形式化描述為：assigned_privilege（o, tr）={p ∈ P |?t r' ≤ tr ∧ ?o' ≤ o ∧ （（o', t r' ）,p）∈ O TRP}。

（9）can_access（U,S,Op,Res）：用于判斷某用戶是否可通過激活會話對資源執行特定的操作。can_access（u, s, op,re）= t rue表示用戶u可通過激活會話s對資源re執行op操作。can_access（u,s,op,re）=true成立當且僅當下式成立：u=user（s） ∧ （ o, fr）∈ a ctive_orgs-frole（s） ∧ （? o ' ≤ o , o'∈resorgs（re））∧ （?（ o ' ', t r）≤ assigned_orgs-trole（o',fr） ∧（?op', o p ≤op '） ∧ （? r t,restype（re）≤ rt）∧ （ op',rt） ∈assigned_privilege（o'',tr）） 。

3.2.3 安全約束

定義 4 模型約束 約束是模型中用于限制UOFR,OFROTR, OTRP和RH等關系的重要內容，本文主要給出UOFR和OFROTR的約束，其他如OTRP,RH等的約束可類似定義，主要考慮職責分離約束SoD和勢約束Cardinality。

為了職責分離約束和勢約束進行定義，引入通配符“?”和“*”表示組織O中任意一個組織o和O中不同的兩個或多個組織，則可對職責分離約束和勢約束進行如下形式化定義。

職責分離約束SoD：S o D? （ 2RO+× N）。其中，RO+?R×O+; O+=O∪{?,*},N是一個自然數集且滿足 ?（ro,n）∈ SoD, |ro|≥n≥2, n∈N。

職責分離約束（ro,n）∈ S oD表示不能將n個或更多存在互斥關系的組織-角色對ro指派給某用戶。

通配符“?”和“*”的區別是：“?”指組織 O中的相同組織，而“*”則指組織 O中的任意不同取值。當只有一種取值時，“?”和“*”具有相同的含義。

勢約束Cardinality：cardinality:RO+→ N ，其中RO+?R× O+, O+=O∪ { ?, *},N是一個自然數 集 合 ， ?（ r, o ） ∈ R O+,|assigned_users（（r, o ））|≤cardinality（（r, o））。

勢約束 n =cardinality（（r, o ）） 表示能被指派組織o中角色r的用戶數量是 n =cardinality（（r, o））。

當（o, r）∈ OTR時，assigned_users（（r, o））指經組織-職能角色映射獲得組織-任務角色的用戶。通配符“?”和“*”與職責分離約束SoD中定義相同。因為勢約束中只有一種取值，因此在勢約束中，“?”和“*”沒有區別。例如，cardinality（（r, ?））= 1 0與cardinality（（r, *））= 1 0的含義是相同的，表示能夠獲得任意組織o中角色r的最大用戶數量是10。

3.2.4 授權管理操作

定義5 授權管理操作 模型包含3類32種授權管理操作，分別為添加、刪除用戶，添加、刪除職能角色，添加、刪除任務角色，添加、刪除組織，添加、刪除操作，添加、刪除資源類型，添加、刪除資源，創建、刪除靜態互斥組織-職能角色集，創建動態互斥組織-職能角色集，創建靜態互斥組織-任務角色集，創建動態互斥組織-任務角色集，添加、刪除約束等24種系統要素管理操作；為用戶分配、撤銷組織-職能角色，創建、撤銷組織-職能角色與組織-任務角色的映射關系，為組織-任務角色分配、撤銷權限等6種權限授予與撤銷操作；創建、結束會話2種用戶訪問行為管理操作。

限于篇幅，本文不對授權管理操作展開詳細描述。

4 模型分析

本節主要對 SDTR-OBAC模型的表達能力和復雜度進行分析。

4.1 表達能力分析

表達能力是評價訪問控制模型優劣的一個重要指標，通過采用構造模型系統的方法及以下定理分析模型的表達能力，證明模型具有與經典RBAC相同的表達能力。

引理1 任何基于經典RBAC的系統均可采用基于SDTR-OBAC的系統實現。

證明 給定任一經典RBAC （U,S,R,RH,Op,=Res,P,UA,PA,user），構造一個SDTR - O BAC =（U',S', R ', R H',FR,FRH,TR,TRH,O,OH,OFR,OFRH,OTR,OTRH,OFROTF,Op',OpH,ResT,ResTH,Res',ResH,P',PH,UOFR,OTRP,user',restypes,resorgs），其中：

（1）U',S',R',RH',Op',Res'和user'與 RBAC中的U,S,R,RH,Op,Res和user相同。

（2）對于組織 O ，定義O = { o| o =resorgs（rsi）,i = 1 ,2,… , n }，即RBAC中的所有資源屬于同一個組織。

（3）對于FR和TR，定義R = F R = T R且RH=FRH = T RH，與 RBAC相同；對于OFR,OTR，定義OFR = O TR = O R = { （o, r） |o ∈ O ,r∈R}；對于 ?（ o, r ）∈ O R，定義（（o, r） ,（o, r） ）∈ O RH且ORH = OFRH=OTRH；對于OFROTF及 ?（o, r）∈ O R ，由于OFR = O TR = O R，定義（（o, r ） ,（o, r ））∈OFROTF。

（4）對于資源類型ResT，定義ResT = {rti|rti=restypes（rei）,i = 1 ,2,… , n }；對于 ?rei∈ R es 和?r ti∈ R esT ，分別定義 （rei, rei）∈ R esH和 （rti, rti）∈ R esTH 。

（5）對 于 ? o pi∈ O p， 定 義 （opi, opi）∈ O pH ;P' ? O p× R esT，對于 RBAC 中的任一（op,rei）∈ P ，定義（op,rti）∈ P'，其中rti=restypes（rei）；對于 ?（ op,rti） ∈ P '，定義 （（op,rti）,（op,rti） ）∈ P H 。

（6）UOFR?U'×OFR，對于RBAC中的?（u,r）∈ U A， 定 義 （u,（ o, r））∈ UOFR;OTRP?OTR×P '，對于RBAC中的 ?（r, p） = （ r ,（op,rei））∈ PA，定義（（o, r ） ,（op,rti））∈ O TRP。

由此可見，基于經典RBAC的系統可通過構造基于SDTR-OABC的系統實現。 證畢

引理2 基于SDTR-OBAC的系統可通過基于經典RBAC的系統實現。

證明 對于任一SDTR - O BAC = （U,S,R,RH,FR,FRH,TR,TRH,O,OH,OFR,OFRH,OTR,OTRH,OFROTF,Op,OpH,ResT,ResTH,Res,ResH, P, PH,UOFR,OTRP,user,restypes,resorgs）， 構 造 經 典RBAC = （U',S', R ', R H', O p', R es', P ', U A', P A', u ser'），其中：

（1）U',S',Op',Res'和user'與 SDTR-OBAC 中的U,S,Op,Res和user相同。

（2）對于 SDTR-OBAC 中的 ? oi∈O, ? oj∈O ,? f rk∈F R,? t rl∈T R和 ? （（oi, frk） ,（oj, trl））∈OFROTF，定義角色rik∈R'，即SDTR-OBAC模型中的每個組織-角色對映射關系根據組織-職能角色對（oi, frk）定義成RBAC模型中單獨的角色。

（3）對于OH?O×O,RH?R×R和OFRH?OFR×OFR， 定 義RH' = {（rik,rjl）|（rk, rl）∈ R H ∧（oi, oj）∈ O H∧（（oi, frk） ,（oj, frl））∈ O FRH}。

（4）對于 P ? O p× R esT 及 ? （ opi, rtj）∈ P ，定義P' = P ' ∪ { （opi, rej） |restypes（rej） = r tj}。

（5）對 于 UOFR ? U × O FR 及 ?（u,（ oi, frk）） ∈UOFR, ? （（oi, frk） ,（oj, trl））∈ OFROTF，定義 （u, rik）∈ U A。

（6）對 于 OTRP ? O TR× P 及 ? （（oj, trl） ,（opm,rtn））∈ O TRP ,? （（oi, frk） ,（oj, trl））∈ OFROTF ，定義PA' = P A' ∪ { （rik,（opm, ren） |restypes（ren） =rtn）}。

可見，基于經典SDTR-OBAC的系統可通過構造基于RBAC的系統實現。 證畢

定理1 SDTR-OBAC模型具有與RBAC相同的表達能力。

證明 引理1說明SDTR-OBAC模型的表達能力比RBAC強；引理2說明RBAC的表達能力比SDTR-OBAC強。因此，根據引理1和引理2可知，SDTR-OBAC模型與 RBAC模型具有相同的表達能力。 證畢

4.2 復雜度分析

RBAC通過在用戶和權限之間引入角色極大地降低了授權管理的負擔和操作復雜度，但在由多個組織或域構成的大型分布式網絡環境下，其優勢就不再明顯。SDTR-OBAC通過引入組織的概念并將其與角色相結合，可在RBAC的基礎上進一步降低復雜度，特別適合用于具有多個相似組織或域的分布式環境。

在分析SDTR-OBAC模型的操作復雜度之前，先定義以下同構度的概念。

定義 6 同構度 給定一個 SDTR-OBAC 模型，定義以下概念。

（1）對于 oi,oj∈ O ,r ∈ R ,R = F R ∪ T R ，當且僅當 （oi, r） ∈ O R ∧ （ oj, r ）∈ O R時，oi與 oj對于r是同構的，記為： oi≡roj；對于oi,oj∈O ,Rc?R,R = FR∪TR，當且僅當 ?r∈Rc,（oi, r）∈OR∧（ oj, r ）∈ O R時， oi與 oj對于集合Rc是同構的，即對于任意 r ∈ R c,oi與 oj是同構的，記為：oi≡Rcoj。

（2）c o mpatible_O*:2Rc→2O該函數將某個角色集Rc映射到對于該角色集同構的所有組織的集合，形式化表示為：對于Rc?R,R= F R∪TR且 Rc≠ ? ,compatible_O*（Rc）={o | ? r ∈Rc,（o, r ）∈OR}，特別地，定義compatible_O*（?）=?；若 1＜|compatible_O*（Rc）|＜ | O|， 則 稱SDTROBAC模型對于Rc是部分同構的，記為Rc-部分同構；若compatible_O*（Rc）= O ，則稱SDTR-OBAC模型對于Rc是完全同構的，記為Rc-完全同構；若|compatible_O*（Rc）|= 1 ，則稱 SDTR-OBAC 模型對于Rc是異構的，記為Rc-異構。

（3）同構度 h index: 2Rc→[0,1]將角色集映射到區間[0,1]中某個實數的函數，形式化表示為：hindex（Rc）= |compatible_O*（Rc）|/|O|。

同構度函數hindex（Rc）用于衡量SDTR-OBAC模型系統中多個組織對于某特定角色集的同構程度，即該角色集在這些組織中的相似程度。若SDTR-OBAC模型是Rc-完全同構的，則hindex（Rc）= 1；若 SDTR-OBAC 模型是Rc-異構的，則hindex（Rc）= 1 /|O|；若SDTR-OBAC模型是Rc-部分同構的，則1/|O|＜ hindex（Rc）＜ 1 。

根據以上同構度的定義，可得出hindex（R）的以下兩個性質。

定理 2 對于角色集R中任意兩個非空子集Rc1, R c2，若 R c1?Rc2，則hindex（Rc1）≥ hindex（Rc2）。

證明 給定條件 R c1≠?, R c1?Rc2, ?r∈Rc1?r∈Rc2。

對 于 ?o ∈ c ompatible_O*（Rc2） ? ?r∈ R c2,（o, r） ∈ O R ? ?r ∈ R c1,（o, r） ∈ O R ? o ∈compatible_O*（Rc1）。即 c ompatible_O*（Rc2）中的任一組織o也 是 c ompatible_O*（Rc1）中 的 元 素 ， 因 此|compatible_O*（Rc2）|≤ | compatible_O*（Rc1）|，從 而 hindex（Rc1）= |compatible_O*（Rc1）|/|O|≥|compatible_O*（Rc2）|/|O|=index（Rc2）。 證畢

定理3 若SDTR-OBAC模型是Rc-完全同構的，則對于Rc中的所有非空子集，SDTR-OBAC模型也是完全同構的。

證明 根據同構度的定義，模型是Rc-完全同構的，則compatible_O*（Rc）= O ，從而hindex（Rc）=|compatible_O*（Rc）|/|O|= 1 。

從 定 理 2可 知 ， ? R c' ? R c ∧ R c'≠ ? ， 則hindex（Rc' ）≥ h index（Rc）= 1 成 立 ， 根 據 定 義 ，hindex（Rc'）≤ 1 。

從而可得hindex（Rc'）= 1 ，則compatible_O*（Rc'）= O ，即模型是Rc-完全同構的。 證畢

基于以上定義，將SDTR-OBAC與經典RBAC進行對比分析。SDTR-OBAC與RBAC中角色數量的關系可描述為 | Rc|RBAC=O |×[1 + （|Rc|SDTR-OBAC- 1 ）× h index（Rc）]，則對于完全同構的系統，由于hindex（R）= 1 ， 從 而 |R|RBAC= | O|×[1+（|R|SDTR-OBAC-1 ）× 1 ]=| O|× | R|SDTR-OBAC，即經典RBAC中所需的角色數量是完全同構的 SDTROBAC模型中角色數量的|O|倍；對于異構系統，由于 hindex（R）= 1 /|O|,|O|= 1 ，從而 | R|RBAC=|O|×[ 1 + （ |R|SDTR-OBAC- 1 ）× 1 ]= | R|SDTR-OBAC，即異構系統中RBAC和SDTR-OBAC所需角色數量相同。

因此，應用于同構系統中，與RBAC相比，在保持其靈活、易于管理等優點的同時，SDTR-OBAC模型所需角色數量將明顯減少，特別是在由多個具有相似業務功能的組織構成的大型分布式系統中，SDTR-OBAC模型的優勢是顯而易見的。但當系統中所有組織均沒有相似的業務功能時，由于引入了組織的概念且角色被劃分成職能角色和任務角色，使用SDTR-OBAC將增加額外的管理負擔。

5 實例分析

下面通過實例說明本文模型的合理性和有效性。假設有一公司com，其包含 3個子公司 c om1,com2, c om3; 6類職能角色：總經理 fr1，業務經理fr2，主管 fr3，會計 fr4，出納 fr5及其他普通職員 fr6；4個任務角色：系統管理員 t r1，普通管理員 t r2，高級用戶 t r3，普通用戶 t r4；公司向所有人員提供了一個公司業務處理系統，包含3種類型資源：數據庫類資源DB, Web服務類資源WS，網站類資源WB，相應類型的資源分別包括 d b11, d b12, d b13, w s21,ws22, w s23, w b31, w b32, w b33, w b34; 5類操作：更新u，下載d，瀏覽b，查詢q，調用i。討論該公司用戶li, wang, liu, zhang, zhao進行授權和訪問控制的過程。

該實例中，部分關鍵的元素，關系和函數定義

如下：資源 R es={db11, db12, db13, ws21, ws22, ws23, wb31,wb32,wb33,wb34}；權限 P ={ p1, p2, p3, p4, p5, p6, p7, p8,p9,p10} ={（u, D B）,（u, WS）,（u, W B）,（d , WB）,（b,WS）,（b, W B）,（q, DB）,（q, WS）,（q, WB）,（i, W S）}；用戶-角色關 系 UOFR={（li,com,fr1）,（wang,com,fr2） ,（liu,com1,fr3）,（zhang,com3, fr6）,（zhao, c om2,fr5）}；角色-權限關系OTRP={（com1, tr1, p1） ,（com3, tr1, p3） ,（com2, tr1, p2）,（com1, tr2, p7） ,（com3, t r2, p8） ,（com2, tr2, p9） ,（com2, tr3,

p4）,（com3, tr3, p5） ,（com3, tr3, p10） ,（com2, tr4, p6）}；職能角色-任務角色關系： F RTR={（fr1, tr1） ,（fr2, tr2） ,（fr3,tr3） ,（fr4, tr4） ,（fr5, tr4） ,（fr6, tr4）； 組 織 層 次 關 系 OH={（com,com1）,（com,com2）,（com,com3）}；職能角色層次 關 系 FRH={（fr1,fr2） ,（fr2,fr3） ,（fr3,fr4） ,（fr3,fr5） ,（fr3,fr6）}；任務角色層次關系 T RH={（tr1, tr2） ,（tr2, tr3）,（tr3, tr4）} ；資源層次關系 R esH={（db11, db12） （db12,db13） ,（ws21, ws22） ,（ws22, ws23） ,（wb31, wb32） ,（wb32, wb33）,（wb33, wb34）}；權限層次關系 P H = {（p1, p7） ,（p2, p8）,（p8, p10） ,（p10, p5） ,（p3, p4） ,（p4, p9） ,（p9, p6）}；資源類型與 組 織 關 系 r esorgs（DB）={com1},resorgs（WS）={com3}, resorgs（WB）={com2} ； 職 責 分 離 約 束SoD = {（{（fr4, *）,（fr5,*）},2）}；勢約束：cardinality（（fr1,*））= 1 ,c ardinality（tr1,*））= 1 。

該 5個用戶分別提出以下訪問請求： q1=can_access（li,s1, u, db13）,q2=can_access（wang,s2, d,wb33）,q3= can_access（liu,s3, i, w s23）,q4=can_access（zhang,s4, i, w s21） , q5=can_access（zhao,s5, b,wb32） ，對這些訪問請求進行判決。根據模型定義可分析得出 q1= t rue,q2= t rue , q3= f alse , q4= f alse,q5= t rue，即li, wang, zhao的訪問合法，允許訪問；liu和zhang的請求非法，拒絕訪問。

以上實例可以看出，本文提出的SDTR-OBAC模型是合理的，可行的，可有效應用于多個組織中用戶請求訪問特定資源的授權管理和訪問控制。以上實例涉及4個具有相似業務需求的組織，每個組織包含6個職能角色，4個任務角色和3類資源。為滿足訪問控制需求，應用本文所提模型時，以上實例僅需10個角色，10個權限即可實現。然而，若采用經典RBAC，所需的角色數為24，權限總數為34。可見，經典RBAC所需的角色數和權限數比SDTR-OBAC模型多。

6 結束語

授權與訪問控制是繼身份認證后興起的又一重要信息安全技術。RBAC以其靈活、便于管理和策略中立等優點成為解決授權與訪問控制問題的研究熱點并取得了很多研究成果，但仍存在傳統角色設置單一使得適應性較差、下級角色的私有權限難以得到有效保護、易帶來角色或權限冗余及對資源管理關注不夠等問題。針對這些問題，本文提出支持資源管理的基于雙層角色和組織的訪問控制模型并進行形式化定義。將傳統角色劃分為職能角色和任務角色，提出基于角色區分的雙層角色架構，提高模型的適應性，并對兩種角色分別定義不同的繼承策略，解決下級角色的私有權限難以得到有效保護問題；引入具有域思想的組織的概念并與雙層角色相結合，解決由大型分布式系統中易存在的角色、權限冗余問題；對資源、資源操作和權限等進行分析，將授權管理和資源管理相結合，解決現有研究缺乏面向授權管理的資源管理的問題；將經典RBAC中權限的概念擴展為操作和資源類型構成的二元組，提高授權管理效率。從表達能力、復雜度兩個方面分析了模型的特點，表明該模型不僅保留了RBAC的特點與優勢，且比RBAC具有較低的復雜度和較高的效率和適應性。下一步的工作是對模型的安全性進行分析證明。

[1] ANSI. 2004. American national standard for information technology-role based access control[S]. ANSI INCITS 359,2004.

[2] Gofman M I and Yang Ping. Effecient policy analysis for evolving administrative role based access control[J].International Journal of Software Informatics, 2014, 8（1）:95-131.

[3] Liu Meng and Wang Xuan. Alternative representation of periodic constraint on role enabling in TRBAC and GTRBAC[J]. Journal of Computational Information Systems,2013, 9（24）: 9909-9918.

[4] Abdunabi R, Al-Lail M, Ray I, et al.. Specification, validation,and enforcement of a generalized spatio-temporal role-based access control model[J]. IEEE Systems Journal, 2013, 7（3）:501-515.

[5] Muhammad Asif-habib. Mutually exclusive permissions in RBAC[J]. International Journal of Internet Technology and Secured Transactions, 2012, 4: 207-220.

[6] Ma Li, Zhou Yan-jie, and Duan Wei. Extended RBAC model with task-constraint rules[C]. Proceedings of 8th Future Information Technology: Lecture Notes in Electrical Engineering, Gwangju, Korea, 2014, 276: 245-250.

[7] Zu Xiang-rong, Liu Lian-zhong, and Bai Yan. A role and task-based workflow dynamic authorization modeling and enforcement mechanism[C]. The 1st International Conference on Information Science and Engineering （ICISE2009）,Nanjing, China, 2009: 1593-1596.

[8] Sohr K, Kuhlmann M, and Gogolla M. Comprehensive two-level analysis of role-based delegation and revocation policies with UML and OCL[J]. Information and Software Technology, 2012, 54（12）: 1396-1417.

[9] Liu Xin-xin and Tang Shao-hua. Analysis of role-based trust management policy using description logics[J]. Journal of Computational Information Systems, 2012, 8（13）: 5445-5452.

[10] Unal D and Caglayan M U. A formal role-based access control model for security policies in multi-domain mobile networks[J]. Computer Networks, 2013, 57（1）: 330-350.

[11] Zhang Da-na, Ramamohanarao K, Zhang Rui, et al.. Efficient graph based approach to large scale role engineering[J].Transactions on Data Privacy, 2014, 7（1）: 1-26.

[12] Ranise S, Truong A, and Armando A. Scalable and precise automated analysis of administrative temporal role-based access control[C]. SACMAT’14, London, Ontario, Canada,2014: 103-114.

[13] 崔鴻飛. ARBAC 權限泄漏分析及改進[D]. [碩士論文], 天津大學, 2012.Cui Hong-fei. Analysis of permission leakage in ARBAC and improvement[D]. [Master dissertation], Tianjin University,2012.

[14] 任志宇, 陳性元, 單棣斌. 基于雙層角色映射的跨域授權管理模型[J]. 計算機應用, 2013, 33（9）: 2511-2515.Ren Zhi-yu, Chen Xing-yuan, and Shan Di-bin. Cross-domain authorization management model based on two-tier role mapping[J]. Joumal of Computer Applications, 2013, 33（9）:2511-2515.

[15] Zhang Zhi-xiong. Scalable role & organization based control and its administration[D]. [Ph.D. dissertation], George Mason University, 2008.