角色訪問控制中的職責分離約束

摘 要 基于角色訪問控制系統具有傳統訪問控制系統所不具備的一系列優點，從而成為保證系統安全的首選訪問控制模型，而要保證基于角色訪問控制系統的安全性，則離不開職責分離約束。本文從基于角色訪問控制系統的優點出發，簡要介紹了基于角色訪問控制系統中約束的重要性，并對職責分離約束的研究現狀和發展方向進行了探討。

【關鍵詞】基于角色訪問控制 系統約束 職責分離

隨著信息技術和網絡通信技術的發展，信息共享程度逐漸增加，與此同時對共享信息及信息系統中信息的安全性提出了更高的要求。而要保證信息系統中信息的安全，業界提出了不同的訪問控制方式，如傳統的自主訪問控制方式和強制訪問控制方式等。與上述傳統訪問控制方式相比，基于角色訪問控制RBAC（Role-based Access Control）方式具有如下一系列優點。

（1）在用戶和權限之間引入角色，用戶不直接擁有權限，而是通過扮演角色間接擁有角色所擁有的權限，從而簡化了系統管理；

（2）通過分析企業現有業務流程，構建符合企業業務流程的角色，并給角色分配必要的權限，能夠更好地反映企業業務邏輯，從而有利于提高企業生產力和減少新員工的試用期；

（3）基于角色的訪問控制系統通過引入一系列的訪問控制約束，從而提高了系統的安全性和完整性，并能在一定程度上簡化系統規則的調整。

基于此本文在介紹基于角色訪問控制系統中約束的重要性基礎上，對基于角色訪問控制系統中的職責分離約束進行了綜述，并對其未來的研究方向進行了展望。

1 訪問控制系統中的約束

基于角色訪問控制系統，通過在用戶和權限之間引入角色的概念，從而使得用戶和一系列的角色相關，角色和一系列的權限相關，進而使得用戶通過所擁有的角色集獲得在系統執行任務所需要的權限結合。由于基于角色訪問控制系統所具備的一系列優點，從而得到越來越多的關注和研究，也逐漸成為企業安全應用的首選模型。

基于角色訪問控制系統模型包含核心角色訪問控制模型RBAC0（Core RBAC），其定義了基于角色訪問控制系統所包含的必要元素及元素之間的相互關系，層次角色訪問控制模型RBAC1（Hierarchal RBAC），其定義角色之間的相互繼承關系，使得用戶通過角色間的繼承進而獲得低級角色，角色限制模型RBAC2（Constraint RBAC），其定義了基于角色訪問控制模型下的一系列約束規則，統一模型RBAC3（Combines RBAC），該模型是RBAC1和RBAC2模型的融合，其結構圖如圖1所示。

基于角色訪問控制模型中的約束是訪問控制機制得以保障的一個重要因素，如果基于角色訪問控制系統離開或者缺乏系統所規定的一系列約束條件，那么其系統本身的安全性和完整性將不能保證，從而也無法體現其相對于傳統訪問控制機制的優點；其次，基于角色的訪問控制系統可以支持最小權限原則、職責分離原則和數據抽象原則。如在某個基于角色訪問控制系統中，用戶需要獲取的權限組合為RQ={p1，p2，p3，p4，p5}，假定該系統中角色r1所擁有的權限集合為{p1，p2，p3}，角色r2所擁有的權限集合為{p3，p4，p5}，則要確保該用戶能夠完成系統所需要的任務則必將同時擁有角色r1和角色r2，然而如果角色r1和角色r2為互斥角色的話，而將他們同時分配給用戶的話，則系統的安全性需求不能保證，由此可見基于角色訪問控制系統中的約束對保證系統的安全性具有舉足輕重的作用；再者，針對現有企業中擁有眾多的用戶和權限及角色，從而造成用戶角色分配關于復雜的問題，基于角色的訪問控制系統通過引入約束實現了系統角色分配權限的下方，從而確保了系統高效地進行角色分配。

2 職責分離約束

在基于角色訪問控制系統中約束的研究中，由于職責分離約束在基于角色訪問控制系統中保證信息安全所處的重要地位，從而使得其逐漸成為基于角色訪問控制系統中所有約束中研究的重點。基于角色訪問控制系統中職責分離約束的研究主要分為三大類：一類為單自治域中的職責分離約束研究；二類為多自治域中的職責分離約束研究；三類為職責分離約束的生成研究。

2.1 單自治域職責分離約束研究

單自治域職責分離約束主要包括靜態職責分離約束和動態職責分離約束兩大類，其中靜態職責分離約束由Ferraiolo于1995年提出，該約束指用戶在擁有某個角色的同時必須確保其擁有的該角色不能與用戶所擁有的其他角色之間是互斥的，其目的是保證在完成一個安全任務或者相關工作時，至少需要兩個或者更多的人才能夠擁有完成該項任務所擁有的全部權限，從而來保證關鍵任務的安全性需求。例如角色r1代表企業某一部門會計所對應的角色，而角色r2代表該部門出納所對應的角色，則角色r1和角色r2不能分配給同一個用戶。而動態職責分離約束則允許用戶同時擁有互斥的角色，但是同時強調用戶在執行任務的同一個會話過程中不能同時以兩種互斥的角色身份出現。例如角色r1代表某次運動會中運動員所對應的角色，而角色r2代表該次運動會中裁判所對應的角色，則初始化時運動員角色r1和裁判員角色r2可以同時分配給同一個用戶，而該用戶在具體比賽的過程中只能夠以運動員身份或者裁判員的身份出現。

2.2 多自治域職責分離約束研究

隨著信息技術和網絡通信技術的快速發展，使得不同部門、不同機構乃至不同自治域間信息的共享成為可能，進而推動多自治域間信息共享及應用系統的不斷發展，從而對跨自治域間信息共享過程中的安全問題提出了更高地要求。基于此，2000年Kapadia等人提出了多自治域間實現角色動態映射和轉化的模型IRBAC2000，該模型通過傳遞關聯和非傳遞關聯實現不同域角色間的轉化，從而使得外域的用戶通過域間角色的映射在本域中扮演對應角色，進而執行相應權限，完成相應任務。而在具體的多自治域系統中，可能存在某項任務的完成需要多個域中的不同角色配合來完成，因此常規的職責分離約束已經不能滿足多域間的需要，例如進行項目評審時，就需要評定委員會成員的構成不能全部來自同一個自治域，以避免不科學的評審結果發生。基于此，常規的職責分離約束規則已經不能滿足該具體要求，因此可定義滿足多自治域環境下的一般職責分離約束規則為：

定義一：在具有n個權限的權限集合{p1，p2，…，pn}和m個域{D1，D2，…，Dm}中，不允許少于k個來自不同域中的用戶共擁有權限集合中的全部權限，這樣的原則被稱為一般意義上的多域靜態職責分離約束，該一般意義上的多域靜態職責分離約束可表示為：

GSSOD<{p1，p2，…，pn}，{D1，D2，…，Dm}，k>

其中{p1，p2，…，pn}表示基于多自治域角色訪問控制系統中的一組權限集合，{D1，D2，…，Dm}表示多自治域系統中的不同自治域，m和k是正整數，且滿足2≤k，2≤m，該一般意義上的多域靜態職責分離約束禁止少于k個域的用戶共同擁有權限組{p1，p2，…，pn}中的所有權限。

更嚴格的可以定義滿足多自治域環境下的嚴格職責分離約束規則為：

定義二：在具有n個權限的權限集合{p1，p2，…，pn}和m個域{D1，D2，…，Dm}中，不允許少于ki個來自域Di中的用戶共擁有權限集合中的全部權限，這樣的原則被稱為嚴格意義上的多域靜態職責分離約束，該嚴格意義上的多域靜態職責分離約束可表示為：

SGSSOD<{p1，p2，…，pn}，{D1，D2，…，Dm}，{k1，k2，…，km}>

其中{p1，p2，…，pn}表示基于多自治域角色訪問控制系統中的一組權限集合，{D1，D2，…，Dm}表示多自治域系統中的不同自治域，m和{k1，k2，…，km}是正整數，該多域靜態職責分離約束禁止少于ki個來自域Di中的用戶共同擁有權限組{p1，p2，…，pn}中的所有權限。

2.3 職責分離約束的生成研究

職責分離約束生成研究文獻較少，其中文章討論了互斥權限和互斥角色的定義，并根據權限和角色之間互斥的原理，指出要獲取用戶和權限分配表中隱含的權限組之間的互斥關系，就是發現那些在分配關系中用戶不能同時擁有的權限組，并基于此通過關聯規則算法Apriori生成滿足最小加權支持度的互斥角色約束。然后上述的互斥角色和權限約束并沒有考慮權限的權重，從而造成生成的互斥約束不夠完備，基于此文章定義了權限的權重并在權限的權重基礎之上重新定義了基于權限權重的職責分離約束規則的生成算法。

定義三權限pi的權重定義為

ωpi=α×f1（ua）+β×f2（opa）+γ×f3（oba）+δ×ω0

其中，ω0表示依據先驗知識所確定的權限pi的初始權重，f1（ua）代表用戶屬性對權限pi的權重的影響程度，f2（opa）代表操作屬性對權限pi的權重的影響程度，f3（oba）代表操作對象的屬性對權限pi的權重的影響程度；α，β，γ和δ分別用來代表上述影響對權限權重的影響程度。

3 結語

基于角色的訪問控制技術由于其自身的優點從而成為眾多安全應用的首選模型，而要確保安全系統的安全性和完整性得以實施，則離不開系統所制定的一系列約束規則，尤其是職責分離約束規則。與此同時，隨著對等計算、網格計算、云計算以及物聯網等大型網絡應用的快速發展，職責分離約束規則在新興網絡環境下將面臨更復雜的新問題，這些都值得我們進一步深入研究和更廣泛的討論。

參考文獻

[1]National Computer Security Center.A guide to understanding discretionary access control in trusted system. NCSC-TG-003，September 1987，1-29.

[2]David F.Ferraiolo，Janet A.Cugini and D.Richard Kuhn.Role-based access control（RBAC）：Features and motivations，in： proceedings of 11th annual computer security APPlications conference，1995，241-248.

[3]R.S.Sandhu，E.J.Coyne，H.L.Feinstein and C.E.Youman.Role-based access control models.IEEE Computer，1996，29（02）：38-47.

[4]Ansi，American national standard for information technology–role based access control.ANSI INCITS 359，2004，1-5.

[5]Li Ruixuan，Lu Jianfeng，Li Tianyi， et al.An APProach for Resolving Inconsistency Conflicts in Access Control Policies.Chinese Journal of Computers，2013，36（06）：1210-1223.

[6]Li，N.，Bizri，Z.，Tripunttara，M.V.On Mutually-exclusive Roles and Separation of Duty [C]. In：Proceedings of the 11th ACM Conference on Computer and Communications Security，ACM Press， New York，2004：42-51.

[7]K.Apu，J.Al-Muhtadi，R.Campbell， et al.IRBAC2000：Secure Interoperability Using Dynamic Role Translation.Technical Report： UIUCDCS-R-2000-2162，2000：1-8.

[8]Xiaopu Ma，Ruixuan Li，Zhengding Lu， et al.Global Static Separation of Duty in Multi-domains [C].In：Proceeding of the 2009 International Conference on Multimedia Information Networking and Security，Wuhan，China，2009：18-20.

[9]Xiaopu Ma，Ruixuan Li，Zhengding Lu， et al.Mining Constraints in Role-Based Access Control.Mathematical and Computer Modelling，2012，55（1-2）：87-96.

[10]Xiaopu Ma，Jianfang Wang，Li Zhao， Ruixuan Li.Mutual Exclusion Role Constraint Mining Based on Weight in Role-Based Access Control System， International Journal of Innovative Computing， Information and Control， 2016，12（01）：91-101.

作者簡介

趙莉（1977-），女，河南省南陽市人。大學本科學歷。現南陽師范學院計算機與信息技術學院工程師。主要研究方向為訪問控制機網絡安全。

作者單位

南陽師范學院計算機與信息技術學院 河南省南陽市 473061