基于RBAC的軟件倉庫安全管理模型研究

岑鵬瑞，吳玲達，楊 超，于榮歡

（裝備學院 復雜電子系統仿真實驗室，北京　101416）

基于RBAC的軟件倉庫安全管理模型研究

岑鵬瑞，吳玲達，楊 超，于榮歡

（裝備學院 復雜電子系統仿真實驗室，北京101416）

通過深入分析當前典型軟件倉庫應用框架及其安全性的不足，并結合基于角色的訪問控制（Role-Based Access Control，RBAC）模型的特點，提出了一種基于RBAC的軟件倉庫安全管理模型，并對該模型控制下的軟件倉庫數據庫實現進行設計。實踐證明，將訪問控制模型結合實際應用于軟件倉庫管理過程中，能夠較好的實現對不同級別用戶軟件下載安裝進行有效的權限控制，進一步提高軟件管理平臺的安全性。

RBAC；軟件倉庫；框架；模型

隨著計算機技術的發展和普及，軟件管理形式由復雜繁瑣的手動管理方式向自動化、規范化的平臺管理模式過渡，特別是當需要管理的軟件數量眾多時，采用平臺管理模式能夠極大地提高軟件管理的靈活性和可靠性，在降低對工作人員專業知識要求的同時能提高軟件安裝/升級的可靠性，降低故障率，在實際應用中發揮著不可替代的作用［1］。軟件倉庫作為最常見的軟件管理平臺，是操作系統上各類應用軟件中的重要組成部分，在軟件管理過程中其安全性能的好壞直接影響應用軟件的安全性。當軟件倉庫存在潛在安全風險時，惡意人員會趁機利用其來達到目的，如對倉庫中的應用軟件植入木馬病毒、修改軟件執行流程、軟件濫用等，這會給軟件使用者帶來重大損失，同時也會給軟件公司造成負面影響。要想保證軟件倉庫中應用軟件的安全性，軟件倉庫在設計上就應充分考慮到安全性問題。

1　軟件倉庫安全性分析

1.1任務框架分析

當前，典型的軟件倉庫包括由桌面系統發行商自身開發維護的如微軟的Windows應用商店、蘋果的Mac App Store、優麒麟的Ubuntu Kylin軟件中心等與操作系統結合比較緊密的軟件倉庫，以及由一些第三方應用軟件公司開發的如360軟件管家、騰訊軟件管家和百度軟件管理等管家類軟件倉庫。他們都能為桌面操作系統獲取應用軟件提供便利，使分散的軟件開發者、使用者和管理者得到有效整合，進一步方便了開發者發布軟件、使用者下載、安裝、升級軟件與管理者維護軟件。其中，開發者根據自己的知識背景、實際應用需求，設計開發出各種方便人們使用的應用軟件，管理者則負責將開發者開發出的各種應用軟件進行審核后發布到軟件倉庫中，這樣當用戶有應用軟件需求時，就可以直接到可信任的軟件倉庫下載，極大方便了計算機用戶，也為應用軟件的統籌發展提供了便利平臺，軟件管理平臺任務的直觀描述如圖1所示。

C/S和B/S作為應用程序的兩大主流開發模式技術架構，各有優缺點［2］。軟件倉庫通常采用的是C/S架構，該架構的突出優點就是可以將任務合理分配到Client端和Server端來實現，可以充分利用兩端的硬件環境資源。基于C/S架構的軟件倉庫通常由軟件包管理和軟件包分發系統組成，軟件包分發系統部署在服務器端，由專門的管理人員進行管理維護，并通過網絡向用戶提供軟件包信息獲取和下載服務；軟件包管理部分部署在客戶端，負責幫助用戶對獲取來的軟件包格式和內容進行解析從而完成相應操作。軟件管理系統通過這兩部分的協調配合，更好地解決了軟件的獲取、安裝等問題。圖2給出了開源操作系統下軟件倉庫的基本框架。

圖2　開源軟件倉庫基本框架Fig.2　The basic framework of open source software repository

1.2安全分析

通過以上對軟件倉庫任務與框架的分析，軟件倉庫的安全隱患來源可以歸納為四類實體、兩條途徑和兩處存儲。四類實體分別為分散在各處的開發者、管理員、用戶、惡意人員；兩條途徑分別為途經開放網絡的開發者上傳與用戶下載過程；兩處存儲涉及服務器端軟件包、索引的存儲與客戶端已下載安裝軟件包、索引的存儲。影響軟件倉庫安全的主要因素包括軟件包的保密性、完整性、自身安全性與不可抵賴性。軟件包內容需經過加密處理，無權限人員無法獲取軟件包，即使通過非法手段獲取也無法破譯出軟件包源代碼；應用軟件包的內容應該確保管理員最終認定原則，之后的其它任何改動都將被視為破壞原有軟件包的完整性；防止惡意開發人員在開發軟件包中植入后門等；開發者、管理員依次對軟件包進行簽名，保證軟件包來源的可靠性與不可抵賴性。為了盡可能地消除安全隱患，針對應用軟件本身可以采取的保護措施有水印、加密狗、代碼混淆、簽名認證及軟件加殼等，針對軟件倉庫采取的保護措施有設計合理的倉庫架構、構建安全性能高的數據傳輸通道等。

在保證軟件倉庫安全的保護措施中，角色管控是非常重要的一環，如果能夠阻止未經授權人員獲取軟件，可以有效防止軟件濫用，同時，在某些特定機構以及大型企業內部，由于其維護軟件包的使用權限不同，有效的角色管控也能夠為企業軟件管理提供便利。

2　RBAC軟件倉庫權限控制模型構建

2.1RBAC模型

訪問控制技術產生于20世紀60年代，是能夠實現既定安全策略的系統安全技術［3］，它通過驗證訪問者是否對被訪問資源擁有權限，能夠有效管理使用者對系統資源進行訪問，從而確保對非法用戶訪問資源和合法用戶非法訪問資源的有效控制。

訪問控制策略有3種，分別是自主訪問控制策略（Discretionary Access Control，DAC）、強制訪問控制策略（Mandatory Access Control，MAC）和基于角色的訪問控制策略（Role-Based Access Control，RBAC）。目前最受大家認同的是基于角色的訪問控制策略［4］，角色權限管理模型最初是由美國國家標準局（National Institute of Standards and Technology，NIST）在1992年提出的［5］，RBAC的核心思想是將系統資源的訪問權限進行分類或者建立層次關系，抽象為角色的概念，在用戶和權限之間引入角色，然后根據安全策略將用戶和角色關聯，實現用戶和權限之間的對應，避免直接給用戶分配權限的復雜性，簡化了權限管理。R.Sandhu等人于1996年提出的RBAC96模型［5］是一個模型族，包括4個子模型，分別為RBAC0、RBAC1、RBAC2和RBAC3，綜合如圖3所示。R.Sandhu等人在RBAC96模型的基礎上又先后提出了ARBAC97管理模型［7］和ARBAC99管理模型［8］。

圖3　NIST RBAC模型Fig.3　The model of NIST RBAC

權限控制通俗的講是解決who，what，how 3者之間的關系，即who（用戶、角色）對what（對象）能進行how（何種）操作，在軟件倉庫這一應用領域解決的就是用戶對軟件包的下載、安裝和升級等操作的控制。在RBAC管理模型中角色和權限的定義、分配默認是由一組管理人員集中管理的，而且管理權限和規則是預先制定好的、靜態的，具有以下特點：

1）授權管理簡單：只需將角色賦予用戶；

2）賦予最小特權：可以將角色配置成完成任務所需要的最小權限集；

3）責任分離：可以調用相互獨立互斥的角色來共同完成敏感任務；

4）數據抽象：通過對權限的抽象體現數據抽象；

5）文件分級、靈活、系統管理模式明確、管理開銷小。

綜合以上特點，RBAC策略將用戶和許可進行分離，使彼此相互獨立，權限的授權認證更加靈活，適合用在軟件倉庫的權限控制模型中，文中以開源軟件管理平臺為對象，構建了RBAC軟件倉庫權限控制模型。

2.2RBAC軟件倉庫權限控制模型

對于軟件倉庫，通常當用戶安裝好客戶端并進入圖形化界面后能夠看到分類存放的可以從軟件源獲取并安裝的應用軟件列表，以及已安裝的可升級軟件列表和已安裝的可卸載軟件列表，用戶可以根據需求進行簡單便捷的操作。對于某些對安全性要求較高的特殊軟件倉庫應用環境，需要根據應用軟件安全情況建立安全分級的應用軟件管理平臺，不同權限人員對軟件倉庫中維護的不同級別的應用軟件具有不同的權限（指對軟件倉庫中的索引、軟件包進行下載的許可及可操作的權利），要求軟件倉庫具有權限控制功能。將RBAC策略引入軟件倉庫能夠較好的解決這類問題，可根據不同級別用戶權限來創建不同角色，同時把用戶指定給相應的角色，這樣就利用角色這個橋梁將用戶與權限更好的結合在一起，避免直接把權限分配給用戶帶來的復雜性與繁瑣性。實際應用中，首先需要根據開源平臺下眾多軟件包的特點對軟件包的安全等級及其在服務器端的存放進行合理規劃。開源平臺下軟件包的特點有：

1）數量多：不論是rpm包還是deb包，數量多體現在軟件包的個數和種類上；

2）包沖突：不同倉庫里存在相同的軟件、不同的軟件包中包含相同的文件列表；

3）依賴性強：只有在被依賴軟件包安裝的基礎上依賴軟件包才能正常安裝運行。

針對以上特點，制定軟件倉庫中軟件包的存放規則：

規則一：將所有軟件包按照來源性質分為系統包、應用基礎包和自主開發包分類存放；

規則二：同一個軟件包存在且只能存在于一個目錄下，軟件包命名要規范化，盡量避免軟件包中的文件沖突；

規則三：被依賴軟件包的安全等級永遠低于等于依賴軟件包。

按照上述規則構建軟件包存放分支，其中屬于系統包、應用基礎包的軟件包權限設定為公開，合法注冊用戶都可以通過獲取軟件包索引獲取軟件包，自主開發包需按安全等級建立分支分別存儲，不同級別用戶具有不同獲取權限。

圖4對自主開發包以四級權限劃分為例，給出了基于RBAC的軟件倉庫安全管理模型，該模型中將服務器端軟件倉庫中自主開發包分為密級1、密級2、密級3和公開四類，通過調用索引生成程序分別生成相應索引并存儲。對應軟件倉庫中軟件級別的劃分，需要創建四類角色，分別為角色1、角色2、角色3和角色4，角色與權限的對應關系由圖4可以清晰地反映出來，這樣就能更好地實現軟件管理平臺對用戶的權限控制。由于軟件包密級的制定遵循規則三，所以在安裝依賴關系復雜的軟件包用戶獲取被依賴軟件包過程中不存在密級過高無法獲取的情況。

圖4　采用RBAC的軟件倉庫權限控制模型Fig.4　The access control model of software repository based on RBAC

基于RBAC的倉庫權限控制模型通過在用戶與軟件包索引之間引入角色，避免了無角色時直接將軟件包索引下載、更新權限授予用戶的復雜性，不管用戶級別作出何種改變，只需根據數據庫中用戶等級信息將相應的角色授予用戶，不同角色具有的權限一旦被初始化分配好后，無需調整，權限管理機制相對穩定。

2.3工作流程

引入RBAC權限控制策略后，軟件管理平臺的工作流程如圖5所示。用戶首先需要進行注冊，管理員根據注冊用戶的情況對用戶進行分級并存儲。當用戶登陸軟件管理平臺時，系統需要進行身份驗證，以保證有效用戶的登錄，然后給驗證身份通過的用戶賦予相應的角色從而獲取倉庫中索引生成特定軟件列表界面。

圖5　軟件管理平臺使用流程圖Fig.5　The flow chart of software management platform

3　RBAC模型控制下的數據庫設計與使用

3.1RBAC數據庫模型設計

結合RBAC模型與軟件倉庫應用實際，在軟件倉庫數據庫設計中必須包含用戶表、角色表、資源表、操作表、權限表、用戶角色表（角色分配表）、角色權限表（授權表）。其基本數據庫模型設計如圖6所示。

其中，通過權限表（RBAC_Prililege）將操作與資源相關聯，通過授權表（RBAC_Impower）向角色分配資源，通過角色分配表（RBAC_Allot）將角色分配給用戶，這樣就實現了基于RBAC模型的軟件倉庫的權限控制。

圖6　軟件管理平臺RBAC數據庫模型圖Fig.6　The diagram of database model of software management platform based on RBAC

3.2RBAC數據庫表結構設計

結合3.1節中給出的RBAC數據庫模型圖，RBAC數據庫中表結構的設計如表1到表7。

表1　RBAC用戶表Tab.1　RBAC-user table

表2　RBAC角色表Tab.2　RBAC-role table

表3　RBAC資源表Tab.3　RBAC-resource table

表4　RBAC操作表Tab.4　RBAC-operate table

在表5中，權限編號1表示下載密級2自主開發包索引的權限，表6授權表中授權編號1將權限編號1授予角色編號為1的角色，即將下載密級2自主開發包索引的權限授予角色1，完成了角色授權。當用戶登錄軟件管理平臺時，系統會根據用戶注冊時管理員給分配的用戶表中的用戶名、用戶密碼和用戶等級對用戶進行身份驗證，驗證通過后，系統通過判斷將相應用戶等級的的角色賦予用戶，即填寫角色分配表，這樣用戶就有了相應角色的權限，完成了用戶的角色分配，同時將用戶狀態填為1，表示用戶處于登錄狀態。

表5　RBAC資源表Tab.5　RBAC-privilege table

表6　RBAC授權表Tab.6　RBAC-impower table

表7　RBAC角色分配表Tab.7　RBAC-role-allot table

4　結　論

在分析軟件倉庫基礎框架及其安全性的基礎上，針對現有軟件倉庫特定應用需求中權限控制方面存在的不足和軟件包的特點，結合 RBAC訪問控制模型，提出了一種基于RBAC的軟件倉庫安全管理模型，并在此模型基礎上進行RBAC數據庫的設計。該模型通過引入角色的概念，降低了用戶操作權限授權的復雜性，增加了軟件倉庫的安全性和可控性，簡單實用。

［1］DUAN Ji-Gang.The Development of Software Management Platform on Linux［M］.Beijing：China Machine Press，2013.

［2］WANG Fei，LI Ning，HOU Ping-Lu，etal.The Educational Administration Mmanagement Security Architecture Model of B/S and C/S Mode Combination Based on RBAC［J］.Journal of Liaoning Normal University（Natural Science Edition），2012，（4）：488-492.

［3］WANG Ya-Min.Access Control Model of Information System Based on RBAC［J］.Journal of Information，2005，（10）：43-45.

［4］LEI Hao，FENG Deng-Guo，ZHOU Yong-Bin，etal.Threshold Access Control Scheme Based on Quantifying Permission［J］. Journal of Software，2004，15（11）：1680-1688.

［5］SHAN Zhi-Yong，SUN Yu-Fang.An Operating System Oriented RBAC Model and Its Implementation［J］.Journal of Computer Research and Development，2004，41（2）：287-298.

［6］Sandhu R，Coyne E，Feinstein H，etal.Role-based access control models［J］.IEEE Computer，1996，29（2）：38-47.

［7］Sandhu R，Bhamidipati V，Coyne E，et al.The ARBAC97 model for role-based administration of roles：Preliminary Description and Outline［C］//In：Proceedings of the 2nd ACM Workshop on Role-Based Access Control，New York，NY：ACM Press，1997：41-50.

［8］Sandhu R，Munawer Q.The ARBAC99 Model for Administration of Roles［C］//In：Proceedings of the 15th Annual Computer Security Applications Conference，Washington，DC：IEEE Computer Society，1999：229-238.

Research on the security model of software management based on RBAC

CEN Peng-rui，WU Ling-da，YANG Chao，YU Rong-huan
（ScienceandTechnologyonComplexElectronicSystemSimulationLaboratory，AcademyofEquipment，Beijing101416，China）

Through the deep analysis of the shortages about the framework and security of the typical software repository，a security management model of software repository based on RBAC is proposed combined with the characteristics of RBAC （Role-Based Access Control），and designs the database of the software repository based on RBAC.Practice has proved that the access control model can be used to control download and install according to the different levels of users effectively in the process of software management，and further improve the security of the software management platform.

RBAC；software repository；framework；model

TN99

A

1674－6236（2016）03-0004-04

2015-09-30稿件編號：201509198

核高基國家重大科技專項（2013ZX01045-004）

岑鵬瑞（1990—），男，內蒙古呼和浩特人，碩士研究生。研究方向：信息系統技術與應用。