仲華惟

摘要：基于角色的訪問控制在信息管理系統(tǒng)應用時缺少對分級授權的支持。多級訪問控制模型在基于角色的訪問控制模型基礎上，使用角色樹表現角色的層次關系，將用戶域、角色域和許可域組合為管理域來限定分級授權的操作范圍，實現了權限在角色樹上的逐級分發(fā)，支持信息管理系統(tǒng)的分級授權要求。

關鍵詞：訪問控制；多級模型；角色樹；管理域；許可

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2014）22-5167-03

1 概述

訪問控制的目的在于防止非法用戶進入系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用[1] 。為達到這個目的，訪問控制常以用戶身份認證為前提，在此基礎上實施各種訪問控制策略來控制和規(guī)范合法用戶在系統(tǒng)中的行為[2]。基于角色的訪問控制（RBAC）模型及其擴展模型是現在應用最廣泛的訪問控制模型[3]，簡化了各種環(huán)境下的授權管理，將訪問權限分配給角色（Role），用戶擔任一定角色，角色是相對穩(wěn)定的，角色實際上是與特定工作崗位相關的一個權限集。當用戶改變時只需要進行角色的撤銷和分配。RBAC模型分離了權限與用戶的耦合關系，將權限關聯在角色上。用戶通過扮演適當的角色獲得合適的權限。這樣可以有效簡化權限管理的內容和步驟。

基于RBAC模型作為一種訪問控制方法，在信息系統(tǒng)中得到廣泛應用。但是在大型系統(tǒng)中RBAC的管理過程非常復雜，單純RBAC不能滿足系統(tǒng)的訪問控制分級管理的要求。尤其在信息系統(tǒng)中存儲和管理大量企業(yè)單位的敏感數據，一旦這些數據被泄露或竊取，會給帶來難以彌補的損失[4]。傳統(tǒng)的委任全局的、單一的、完全可信的系統(tǒng)管理員來管理整個系統(tǒng)的訪問控制，會致使系統(tǒng)安全存在隱患。同時在企業(yè)運營中常需要對組織部門和人員工作調整，相應地需要修改系統(tǒng)中訪問控制主體和權限的關系。而系統(tǒng)管理員不可能了解調整內容，相應的授權工作就要滯后，而且修改后也不一定能準確反映調整狀態(tài)，常需要多次補充修改，這導致授權效率較低，影響正常的業(yè)務工作進程。該文在RBAC模型基礎上進行擴展，建立有效地分級授權管理機制，從技術和效率兩方面加以考慮，滿足信息訪問控制管理要求。

2 訪問控制管理

隨著企業(yè)信息化水平的提高，大量數據納入信息系統(tǒng)管理的范疇，訪問控制是保證數據的一致性和安全性的基礎。如何對訪問控制的主體、客體和授權進行管理，尤其是進行分級授權，即由上級領導對下級員工進行訪問控制的管理成為必須的功能。

ARBA在RBAC模型基礎上定義獨立的“管理角色”實施RBAC的管理操作。SARBAC[5]在角色層級基礎上定義了“管理范圍”來界定管理角色的控制范圍。但是由于引入新的管理角色，除了維護原有系統(tǒng)角色，還要在對管理角色進行控制，這實際將權限管理問題變得更為復雜。Li[6]建立UARBAC模型提出“RBAC管理RBAC”的方式，將用戶和角色看作客體，使用統(tǒng)一的方式描述訪問權限和管理權限，明確操作的管理域，有利于通過委托實現分散授權。劉偉[7]指出由于隱式授權導致UARBAC管理操作存在缺陷，角色層次是隱式授權產生的一個因素。

上述的訪問控制模型和方法滿足了信息系統(tǒng)對訪問控制中主客體多樣性的管理要求，但是由于增加了授權主體和客體的種類，相對增加了管理的復雜性，實際應用中雖然方法可行，但管理效率較低。對于信息統(tǒng)訪問控制模型的分級管理方面，還缺少有效的模型和方法。

3 多級訪問控制管理模型

為了解決信息系統(tǒng)中訪問控制管理的問題，適當簡化授權工作量，提高權限管理效率，該文提出了基于角色的多級授權管理模型（Multi-Hierarchies Role-Based Access Control，MH- RBAC）。MH-RBAC在盡量減少引入新的建模元素、簡化應用的前提下，完善了訪問主體的層次結構，支持多級權限管理關系，增強了信息系統(tǒng)訪問控制的適應性。

3.1 MH-RBAC定義

MH-RBAC模型結構如圖1所示。各部分定義如下：

· 用戶（[U]），角色（[R]），操作（[OPS]），許可（[P]）和關系[UA]，[PA]的定義與NIST RBAC標準模型一致。

· [TR?R×R]：角色樹（Role Tree）表示角色集合上的一個樹形關系。

· [ASr=]：管理域（Administrate Scope），定義了一個能夠被角色[r]的用戶管理的角色、用戶和權限許可的集合。其中[US]、[RS]、[PS]分別稱為用戶域、角色域和許可域。

· [AOPS]：管理操作（Administrate Operation）授權管理操作的集合，包括[TR]和[AS]的維護等操作。

· [PA]：管理許可（Administrate Permission），進行管理操作所需要的權限許可集合，[PA∈P]。

3.2 MH-RBAC層次模型

3.2.1 角色樹

在RBAC模型中訪問主體包括角色和用戶兩種粒度，授權只針對角色進行。角色層次定義了角色之間的繼承關系。[RH?R×R]是角色[R]上的偏序關系，如[r1?r2]表示角色[r1]繼承角色[r2]，即角色[r1]具有[r2]的所有權限，所有[r1]的用戶同時是[r2]的用戶。角色層次是表示角色關系的一種方法，反映組織的權利和職責。在角色層次中高級角色位于頂部，低級角色位于底部。 圖2（a）是一個典型的角色層次圖。

角色層次的定義指出高級角色通過繼承的形式獲得低級角色的權限，這就意味著基于角色層次的授權是自下而上的過程。角色[r]的權限集合可以表示為：

在角色層次中低級別的角色首先獲得權限許可，高級別的角色通過繼承間接獲得。可以看到當刪除角色[r]時，等級高于[r]的所有角色（記為[↑r]）會自動失去繼承自角色[r]的所有權限。所以在角色層次中高級角色依賴低級角色的授權，這與信息系統(tǒng)中高級角色管理低級角色進行分級授權的要求相矛盾。角色層次中存在多繼承關系，這樣雖然可以簡化角色的數量，但在分級授權中意味著一個角色會同時被多個父角色管理，在應用中必然引發(fā)權限授予回收等操作沖突。

為了解決這個問題，該文建立了角色樹。角色樹是一個樹形的角色層次。在角色樹中除了根角色沒有父角色外，其他角色有且只有一個父角色。角色樹中角色之間不再是繼承關系，而是自上而下的包含關系，如圖3所示，為了實現樹形約束，將角色APE分為兩個獨立角色APE1和APE2。在角色樹中若角色[r1]等級高于[r2]，記為[r1>r2]。

在角色樹中沒有角色重用的概念，取消間接繼承的許可，賦予角色的權限許可都直接與角色關聯，許可之間根據角色樹自上而下約束。若[r1>r2]，則[θ（r1）>θ（r2）]，其中[θ（r）]表示賦予角色[r]的所有許可集合。角色樹的層次約束會增加權限回收的操作步驟，但是從根本上支持了主體分級授權模式。由于角色繼承需要在運行時遞歸計算繼承權限的合集，而角色樹沒有遞歸計算的步驟，因此訪問執(zhí)行效率較高。而權限訪問操作頻率要遠遠高于控制操作，因此角色樹將整體上提高系統(tǒng)的執(zhí)行效率。

3.2.2 管理域

管理域[AS]定義了一個可以被用戶管理的角色、用戶和權限許可的集合?？梢员硎緸槿M[]

[RS]：角色域表示可以被角色[r]管理的角色子集，這個子集由角色樹[RT]約束，是[RT]的以[r]根的子樹。[RSr={s∈R：s

[US]：用戶域表示可以被角色[r]授權的用戶集合，由[↑r]指定并受[↑r]的用戶域約束。[r1

[PS]：表示可以被角色[r]分發(fā)的所有許可的集合，為了提高MH-RBAC的應用效率，避免過于復雜的管理域再管理操作，規(guī)定[PSr=PDA（r）]。[r]的用戶都具有將本角色具備的所有許可分發(fā)給低級角色[↓r]的權利。

可以看到，若角色[r]是管理角色，則其[RS]和[PS]根據角色[r]在[TR]中的上下文信息自動生成，[US]需要由上級角色用戶手工指定。

定理1 管理域是一個偏序集合，若管理域[AS（r1）]等級低于[AS（r2）]，記為[ASr1≤AS（r2）]，

[ASr1≤ AS（r2）?RSr1? RS（r2）∧USr1? US（r2）∧PSr1?PS（r2）]。

顯然，管理域的偏序關系實際依賴角色樹中角色的偏序關系，[r1≤r2? ASr1≤ AS（r2）]，即低級角色的管理域等級低于高級角色的管理域。

基于管理域的角色分級授權管理過程，遵循以下兩個約束規(guī)則：

1） [r∈R，u∈U∧u，r∈UA→u?US（r）∧US（↓r）]，表示用戶[u]不能管理自身，也不能被子級角色的用戶管理。

2） [r，r'∈R∧r≥r'∧u，r∈UA→u，r'?UA]，表示用戶[u]不能被授予比自身角色等級低的其他角色。這個約束保證最少授權原則，同時保證同一用戶的管理域不會嵌套也不會相交，一個管理域內發(fā)生的權限管理操作不會影響其他域。

3.2.3 管理許可

在MH-RBAC模型中，具有管理許可[PA]的角色稱為管理角色。管理角色[rA]的用戶可以在[rA]管理域范圍內進行管理操作。一個用戶可以授予多個管理角色并在一次會話中同時被激活，但一次只能在一個管理域內進行管理操。用戶[u]可以在角色[r]執(zhí)行操作的許可條件為：

[adminpermsu，r=p∈PA|?r'∈R，r'≥r∧u，r'∈UA∧r'，p∈PA]

管理許可與其他一般許可一樣可以被授予給管理域中的任意角色，也可基于角色樹傳遞，即[PA∈PDA（r）→PA∈PS（r）]。通過這種管理許可的傳遞實現權限的分級下發(fā)，從而實現分級授權的需求。

4 結論

基于RBAC模型作為一種訪問控制方法，在信息系統(tǒng)中得到廣泛應用。但是在大型信息管理系統(tǒng)中對于角色和權限管理過程非常復雜，傳統(tǒng)的RBAC不能滿足分級授權的管理要求。多級訪問控制模型在基于角色的訪問控制模型基礎上，使用角色樹表現角色的層次關系，定義了管理域來限定分級授權的操作范圍，實現了權限在角色樹上的逐級分發(fā)，從而支持信息管理系統(tǒng)的分級授權需求。

參考文獻：

[1] 劉宏月，范九倫，馬建峰.訪問控制技術研究進展[J].小型微型計算機系統(tǒng)，2004，25（1）：56-60.

[2] 盧亞輝，張力，劉英博.基于域的綜合訪問控制模型[J].計算機集成制造系統(tǒng)，2006，12（12）：1978-1986.

[3] Ferraiolo David.Proposed NIST Standard for Role-Based Access Control[C].ACM Transactions on Information and System Security，2001：224-274.

[4] 蔡紅霞，俞濤，方明倫.產品數據管理系統(tǒng)中訪問控制模型的研究[J].中國機械工程，2006，17（8）： 262-266.

[5] Crampton J，Loizou G.Administrative Scope： A Foundation for Role-Based Administrative Models[C].ACM Transactions on Information and System Security，2003，6（1）：201-231.

[6] Li N，Mao Z.Administration in Role Based Access Control[C].ASIACCS 2007. United States： ACM，2007：127-138.

[7] 劉偉，蔡嘉勇，賀也平.基于角色的管理模型隱式授權分析[J].軟件學報，2009，20（4）：1048-1057.