基于改進RBAC模型的電子文件生成流程中的安全控制研究

徐飛+夏敏捷+張慎武

摘 要：現在電子文件安全控制在檔案管理中越來越重要，大多數的電子文件管理研究都是針對歸檔后電子文件如何進行安全控制，而對電子文件生成中的安全控制問題研究較少。本文結合某省電子文件管理系統對系統權限控制的需求，研究通過改進的RBAC模型解決在電子文件生成過程中如何對電子文件進行安全控制。文章最后，給出了相關項目應用中的部分界面截圖和結果。

關鍵詞：電子文件，RBAC模型，電子文件安全，安全控制

電子文件是指在機關、團體、企事業單位和其他組織在處理公務過程中，通過計算機等電子設備形成、辦理、傳輸和存儲的文字、圖表、音頻、視頻等不同形式的信息記錄[1]。隨著時代的發展，現在政府生成的電子文件越來越多，政府部門為了管理的方便也對傳統文檔進行了電子化、數字化處理，由此形成了海量的電子文件。如何在生成電子文件過程中或生成后，對電子文件的閱讀、傳播、打印等進行權限控制，防止非授權的用戶對一些電子文件進行非法的操作，成為電子文件管理中一個十分難以解決的問題，本文采用計算機安全控制中比較著名的RBAC模型，并對RBAC模型進行了改進，來解決電子文件管理中用戶授權復雜，權限難以控制等難題。

1 電子文件安全控制的國內外研究

電子文件的管理通常按照實施時間被分為電子文件形成階段的管理、電子文件歸檔階段的管理和電子文件長期保存階段的管理[1]。目前國內外的論文中，大多數談到的電子文件的安全管理要集中到電子文件長期保存階段或電子文件歸檔階段的安全管理。例如，近兩年來關于電子文件長期保存的論文有：錢毅老師發表的《我國可信電子文件長期保存規范研究》[2]、劉越男等老師發表的《電子文件的長期保存：多維互動的領域》[3]和謝永憲等發表的《澳大利亞電子文件長期保存策略和啟示》[4]等。關于電子文件歸檔方面管理的論文有：黃新榮等老師發表的《網絡時代電子文件歸檔方式研究——兼論邏輯歸檔的可行性》[5]和宋青霞發表的《加強電子文件歸檔管理的措施》[6]等論文。也有一些論文提到電子文件形成階段的管理，例如，趙麗發表的《我國電子文件管理系統研究進展和方向》[7]、孫海燕發表的《淺談美國電子文件管理及開發》[8]、付正剛和秦荊華發表的《電子文件安全技術芻析》[9]、張文元發表的《電子文件全過程管理中的監管研究》[10]等。但這些論文只是從理論方面對電子文件形成階段的安全控制進行了簡單的論述和討論，沒有具體地提出如何對形成階段的電子文件安全進行控制，特別是如何對電子文件形成階段的每個流程進行安全控制。

2 RBAC模型

Ferraiolo和Juhn于1992年提出了基于角色的訪問控制RBAC（Role-Based Access Conrol）模型[11]，該模型克服了自主存取控制DAC（Discretionary Access Control）和強制存取控制MAC（Mandatory Access Control）等控制技術安全控制不嚴、授權復雜、代價高、容易出錯等缺點[12]。RBAC具有以下優點：（1）授權簡單、開銷較小；（2）權限控制靈活等。由于其具有的這些優點，其迅速在政府和企業的資源控制等方面得到廣泛應用。最初所指的RBAC模型主要講的是RBAC96模型[13]，它是一個模型集，它包括：RBAC0、RBAC1、RBAC2和RBAC3[14]，它如圖1所示。

（1）RBAC0模型描述如下：分別用符號U、R、P、S、PA、UA表示用戶集合Users、角色集合Roles、權限控制集合Privileges、會話集合Sessions、P×R表示權限與角色之間的多對多的指派關系、U×R表示用戶與角色之間的多對多的指派關系。

（2）RBAC1模型描述如下：在RBAC0模型基礎上引入了角色等級的概念RH，在分級模型中一個角色可以有上級角色和下級角色。角色在分級模型中是向下繼承的，而權限在分級模型中是向上繼承的。

（3）RBAC2模型描述如下：在RBAC0模型基礎上增加一些約束條件，RBAC2中引入的限制可以施加到RBAC0模型中的所有關系和組件上。

（4）RBAC3模型描述如下： RBAC3是RBAC1和RBAC2相關功能和約束的融合，不但有角色的分級繼承，也有一些相關約束。

RBAC模型中最重要的3個部分是：用戶（User）、角色（Role）、權限（Privilege）。用戶是指可以控制或使用系統資源的主體；角色是指一個或多個用戶可以執行操作權限的集合；權限是指對系統中的資源等的操作能力[15]。RBAC中角色的引入，就是為了隔離用戶和權限的直接關聯。用戶所擁有的權限由用戶所處的角色來決定，角色作為一個用戶與權限的代理層，解耦了權限和用戶的關系，所有的授權應該給予角色而不是直接給用戶，從而實現了用戶與訪問權限的邏輯分離。用戶登錄時，系統根據用戶所屬角色來決定其具有的權限，以此來判定該用戶可以訪問哪些應用模塊以及對這些模塊可以完成怎么樣的操作。用戶與角色之間以及角色與權限之間用雙向箭頭相連表示用戶角色分配（UA）和角色權限分配（PA）關系是多對多的關系，一個用戶可以屬于多個角色，一個角色下也可以有多個用戶。同樣，一個角色可擁有多個權限，一個權限也可被多個用戶所擁有。用戶通過建立會話（Session）從而對資源進行控制，一個會話實際上是把一個用戶與其角色建立映射關系，這個會話子集被稱為激活的角色集。在這次會話中，用戶可以執行的操作就是該被激活的角色集對應的權限所允許控制的功能和資源的集合。

2.1 RBAC模型的不足。RBAC模型有一系列的優點，但其也有相應的缺點：（1）權限粒度較大，有時授權把整個頁面所有功能授予某一個角色。（2）授權調整困難，在RBAC 模型中，用戶屬于某一個角色后，便一直擁有該角色的權限，直到該角色被刪除。而在實際應用中，有些應用部門和用戶較多、角色變換頻繁和業務繁雜，僅僅通過角色定義來授權，雖然減少了授權管理的復雜性，但還是難以適應大的復雜業務需求的變化[16]。本文在核心RBAC模型的基礎上，提出了一種對角色和用戶混合授權，并在授權時考慮優先級和繼承約束等條件的改進模型，并把其應用到電子文件管理系統中。

2.2 RBAC模型的改進。本文針對RBAC模型進行了改進，改進后如圖2所示，其所做的改進如下：

（1）改進了RBAC模型，增加了直接對用戶授權，在對角色授權的基礎上，增加了直接對用戶的授權。既可以對角色進行授權，也可以對用戶進行授權，但整個管理的核心還是角色授權，在此基礎上，當一些角色授權應用難以實現時，或者有些臨時性或特殊性的權限要求時，增加直接對用戶的授權，減少了增加角色并對角色授權等處理的復雜性，增加了系統管理的靈活性。

（2）針對角色加入了優先級約束。當用戶屬于多個角色時，這幾個角色所擁有的權限有時沖突，如，一個角色對某一個資源擁有控制權，而另一個角色不允許其對這個資源擁有控制權。為了解決用戶擁有多個角色，并且角色沖突的這個問題，引入了角色優先級的概念，當角色沖突時，根據權重自動判斷角色的優先級，不選擇優先級時，默認為優先級最高的角色。也可以用戶操作時直接指定所用角色。

（3）針對用戶加入了優先級約束。在增加了直接對用戶授權時，為了減少授權等整個操作的復雜性，對用戶加入了優先級約束。如果是為了臨時性的權限新增加的用戶，直接對用戶授權即可，但如果這個用戶已經存在，并不需要重新增加用戶時，如果這個用戶已經有角色時，當給這個用戶直接授權時，這些權限優先級是最高的，用戶原來的角色自動失效。當對用戶的直接授權撤銷后，用戶原來的角色自動變為有效。

通過增加對用戶的直接授權，減少了調整權限的復雜度，而角色和用戶優先級約束的引入，解決了多角色之間的沖突，并解決了已有用戶直接授權時和角色之間的沖突，降低RBAC模型訪問控制的復雜度，簡化了編程實現權限管理的復雜性。

3 電子文件管理系統結構

分析本電子文件系統主要功能，并對這些功能進行劃分，從圖3可知，其劃分為以下8個大功能模塊。每個功能模塊又可以劃分更小的子系統，部分子系統是通過流程聯系在一起。

3.1 電子文件系統流程。該電子文件管理系統的工作包括3個主要方面。一是與項目電子申報相關，主要內容包括：項目電子申報、項目電子評審、審查審批、項目下達；二是對項目實施過程進行管理，包括電子合同管理、過程管理、項目監理、變更管理等；三是對項目進行結題管理，包括：項目鑒定、成果登記、反饋評估等。整個項目的基本流程和所涉及的用戶角色如圖4所示。

在整個項目的流程中涉及一系列的用戶角色。通過改進的基于角色的訪問控制RBAC（Role Based Access Control）模型來對用戶和角色進行權限功能的控制。本系統中按照項目的實際需要劃分以下幾個主要角色：項目申報人員、項目受理人員、項目評審人員、財政局人員、系統管理員等。不同的角色用戶進入系統后，系統根據角色的不同，調出系統不同的權限和菜單，并把上一級提交過來的任務給下一級用戶特殊標注提示，讓其處理流程中涉及本級的任務。系統數據庫中包括：用戶信息表、角色表、系統模塊表、權限表等。由于角色比較多，角色能夠完成的整個電子文件生成流程也比較復雜，通過把角色和電子文件流程結合在一起，每個角色在流程中完成的功能十分明確。

3.2 系統實現。在本電子文件管理系統中，首先有系統管理員進行申報項目時間和項目類型的設定頁面如圖5所示，管理員還可以根據需要設置不同用戶具有不同角色，改進的RBAC模型，可以解決用戶有多個角色時的沖突，如果兩個角色權限沖突時，不允許授權，而且當用戶有多個角色時根據實際需要可以選擇不同角色，如圖6所示，而且還可以對角色權限控制，如圖7所示。管理員設置后，項目的申報人員只能進行項目的申報，如圖8所示，其他的所有流程中的內容其不可見。申報用戶填寫項目申報書和項目預算書，然后進行項目的提交，在項目提交后，申報用戶可以下載申報項目的電子文檔，下載后所填內容已經自動填入Word文檔，本人下載后即可以打印。然后電子文件流轉到下一個流程單位管理員處，單位管理員進入其頁面即可看到其要處理的項目。接著電子文檔流轉到下一個角色用戶階段，這個階段的用戶就相應地具有所在階段對電子文件的處理權限。

4 結語

本文提出了通過改進的RBAC模型來對系統生成過程中的電子文件進行安全控制，并根據改進的RBAC模型設計并實現了某省電子文件管理系統的開發。初步實現了預期的設計目標。通過這些技術的運用，某省的電子文件管理系統實現后，高效實現了電子文件在申報、評審、監理、實施和驗收等全流程的安全控制，電子文件在處理過程中的安全性有了保證。但本安全控制模型還可以進一步細化，達到更高安全級別的細粒度的控制，這也是下一階段要研究的重點。

*本文系河南省檔案局項目“電子文件管理系統建設相關問題研究”（項目編號：2013-X-26）的研究成果之一及河南省高等學校重點科研項目基礎研究“電子文件移交與接收平臺關鍵技術研究”（項目編號：15A520111）研究基礎之一。

參考文獻：

[1]馮惠玲，劉越男，錢毅等.電子文件管理100問[M].北京：中國人民大學出版社，2014：3～5.

[2]錢毅.我國可信電子文件長期保存規范研究[J].檔案學通訊，2014（3）：75～79.

[3]劉越男，劉語葉，李雪君等.電子文件的長期保存：多維互動的領域[J].檔案學研究，2014（4）：56～60.

[4]謝永憲，劉杭，袁曉雪. 澳大利亞電子文件長期保存策略和啟示[J].北京檔案，2013（5）：36～38.

[5]黃新榮，王曉杰，龐文琪.網絡時代電子文件歸檔方式研究——兼論邏輯歸檔的可行性[J].檔案學通訊，2014（5）：49～53.

[6]宋青霞.加強電子文件歸檔管理的措施[J].山東冶金，2014，36（3）：65～66.

[7]趙麗.我國電子文件管理系統研究進展和方向[J].檔案學研究，2013（3）：50～56.

[8]孫海燕.淺談美國電子文件管理及開發[J].蘭臺世界，2015（S2）：35～36.

[9]付正剛，秦荊華.電子文件安全技術芻析[J].檔案與建設，2014（3）：25～28.

[10]張文元.電子文件全過程管理中的監管研究[J].檔案管理，2014（1）：28～30.

[11]邵奇峰，韓玉民，鄭秋生.一種混合授權的RBAC模型及其UML建模[J].武漢大學學報，2014，60（5）：419～423.

[12]強振平，何麗波，陳旭等.基于RBA的復雜信息系統中訪問控制模型的設計[J].計算機科學，2014，41（6A）：429～432.

[13]Sandhu R，Coyne E，Feinstein H.Role-based Access control Models[J].IEEE Computer，1996，29（6）：38～47.

[14]安沛，王春玲.OA系統中RBAC擴展模型的研究與實現[J].西安工程大學學報，2015，29（1）：78～83.

[15]夏啟壽. RBAC中基于信任的細粒度訪問控制研究[J].計算機工程與應用，2012，（48）：75～78.

[16]Khamis Abdual-latif Khamis，Zhong Luo，H.Z.Song.Modified Query-Roles Based Access Control Model （Q-RBAC） for Interactive Access of Ontology Data[J]. Journal of Information Engineering and Applications，2014，7（4）：82～91.

（作者單位：中原工學院計算機學院 來稿日期：2015-09-14）