徐飛+夏敏捷+張慎武

摘 要：現(xiàn)在電子文件安全控制在檔案管理中越來越重要，大多數(shù)的電子文件管理研究都是針對歸檔后電子文件如何進(jìn)行安全控制，而對電子文件生成中的安全控制問題研究較少。本文結(jié)合某省電子文件管理系統(tǒng)對系統(tǒng)權(quán)限控制的需求，研究通過改進(jìn)的RBAC模型解決在電子文件生成過程中如何對電子文件進(jìn)行安全控制。文章最后，給出了相關(guān)項目應(yīng)用中的部分界面截圖和結(jié)果。

關(guān)鍵詞：電子文件，RBAC模型，電子文件安全，安全控制

電子文件是指在機(jī)關(guān)、團(tuán)體、企事業(yè)單位和其他組織在處理公務(wù)過程中，通過計算機(jī)等電子設(shè)備形成、辦理、傳輸和存儲的文字、圖表、音頻、視頻等不同形式的信息記錄[1]。隨著時代的發(fā)展，現(xiàn)在政府生成的電子文件越來越多，政府部門為了管理的方便也對傳統(tǒng)文檔進(jìn)行了電子化、數(shù)字化處理，由此形成了海量的電子文件。如何在生成電子文件過程中或生成后，對電子文件的閱讀、傳播、打印等進(jìn)行權(quán)限控制，防止非授權(quán)的用戶對一些電子文件進(jìn)行非法的操作，成為電子文件管理中一個十分難以解決的問題，本文采用計算機(jī)安全控制中比較著名的RBAC模型，并對RBAC模型進(jìn)行了改進(jìn)，來解決電子文件管理中用戶授權(quán)復(fù)雜，權(quán)限難以控制等難題。

1 電子文件安全控制的國內(nèi)外研究

電子文件的管理通常按照實施時間被分為電子文件形成階段的管理、電子文件歸檔階段的管理和電子文件長期保存階段的管理[1]。目前國內(nèi)外的論文中，大多數(shù)談到的電子文件的安全管理要集中到電子文件長期保存階段或電子文件歸檔階段的安全管理。例如，近兩年來關(guān)于電子文件長期保存的論文有：錢毅老師發(fā)表的《我國可信電子文件長期保存規(guī)范研究》[2]、劉越男等老師發(fā)表的《電子文件的長期保存：多維互動的領(lǐng)域》[3]和謝永憲等發(fā)表的《澳大利亞電子文件長期保存策略和啟示》[4]等。關(guān)于電子文件歸檔方面管理的論文有：黃新榮等老師發(fā)表的《網(wǎng)絡(luò)時代電子文件歸檔方式研究——兼論邏輯歸檔的可行性》[5]和宋青霞發(fā)表的《加強(qiáng)電子文件歸檔管理的措施》[6]等論文。也有一些論文提到電子文件形成階段的管理，例如，趙麗發(fā)表的《我國電子文件管理系統(tǒng)研究進(jìn)展和方向》[7]、孫海燕發(fā)表的《淺談美國電子文件管理及開發(fā)》[8]、付正剛和秦荊華發(fā)表的《電子文件安全技術(shù)芻析》[9]、張文元發(fā)表的《電子文件全過程管理中的監(jiān)管研究》[10]等。但這些論文只是從理論方面對電子文件形成階段的安全控制進(jìn)行了簡單的論述和討論，沒有具體地提出如何對形成階段的電子文件安全進(jìn)行控制，特別是如何對電子文件形成階段的每個流程進(jìn)行安全控制。

2 RBAC模型

Ferraiolo和Juhn于1992年提出了基于角色的訪問控制RBAC（Role-Based Access Conrol）模型[11]，該模型克服了自主存取控制DAC（Discretionary Access Control）和強(qiáng)制存取控制MAC（Mandatory Access Control）等控制技術(shù)安全控制不嚴(yán)、授權(quán)復(fù)雜、代價高、容易出錯等缺點(diǎn)[12]。RBAC具有以下優(yōu)點(diǎn)：（1）授權(quán)簡單、開銷較??；（2）權(quán)限控制靈活等。由于其具有的這些優(yōu)點(diǎn)，其迅速在政府和企業(yè)的資源控制等方面得到廣泛應(yīng)用。最初所指的RBAC模型主要講的是RBAC96模型[13]，它是一個模型集，它包括：RBAC0、RBAC1、RBAC2和RBAC3[14]，它如圖1所示。

（1）RBAC0模型描述如下：分別用符號U、R、P、S、PA、UA表示用戶集合Users、角色集合Roles、權(quán)限控制集合Privileges、會話集合Sessions、P×R表示權(quán)限與角色之間的多對多的指派關(guān)系、U×R表示用戶與角色之間的多對多的指派關(guān)系。

（2）RBAC1模型描述如下：在RBAC0模型基礎(chǔ)上引入了角色等級的概念RH，在分級模型中一個角色可以有上級角色和下級角色。角色在分級模型中是向下繼承的，而權(quán)限在分級模型中是向上繼承的。

（3）RBAC2模型描述如下：在RBAC0模型基礎(chǔ)上增加一些約束條件，RBAC2中引入的限制可以施加到RBAC0模型中的所有關(guān)系和組件上。

（4）RBAC3模型描述如下： RBAC3是RBAC1和RBAC2相關(guān)功能和約束的融合，不但有角色的分級繼承，也有一些相關(guān)約束。

RBAC模型中最重要的3個部分是：用戶（User）、角色（Role）、權(quán)限（Privilege）。用戶是指可以控制或使用系統(tǒng)資源的主體；角色是指一個或多個用戶可以執(zhí)行操作權(quán)限的集合；權(quán)限是指對系統(tǒng)中的資源等的操作能力[15]。RBAC中角色的引入，就是為了隔離用戶和權(quán)限的直接關(guān)聯(lián)。用戶所擁有的權(quán)限由用戶所處的角色來決定，角色作為一個用戶與權(quán)限的代理層，解耦了權(quán)限和用戶的關(guān)系，所有的授權(quán)應(yīng)該給予角色而不是直接給用戶，從而實現(xiàn)了用戶與訪問權(quán)限的邏輯分離。用戶登錄時，系統(tǒng)根據(jù)用戶所屬角色來決定其具有的權(quán)限，以此來判定該用戶可以訪問哪些應(yīng)用模塊以及對這些模塊可以完成怎么樣的操作。用戶與角色之間以及角色與權(quán)限之間用雙向箭頭相連表示用戶角色分配（UA）和角色權(quán)限分配（PA）關(guān)系是多對多的關(guān)系，一個用戶可以屬于多個角色，一個角色下也可以有多個用戶。同樣，一個角色可擁有多個權(quán)限，一個權(quán)限也可被多個用戶所擁有。用戶通過建立會話（Session）從而對資源進(jìn)行控制，一個會話實際上是把一個用戶與其角色建立映射關(guān)系，這個會話子集被稱為激活的角色集。在這次會話中，用戶可以執(zhí)行的操作就是該被激活的角色集對應(yīng)的權(quán)限所允許控制的功能和資源的集合。

2.1 RBAC模型的不足。RBAC模型有一系列的優(yōu)點(diǎn)，但其也有相應(yīng)的缺點(diǎn)：（1）權(quán)限粒度較大，有時授權(quán)把整個頁面所有功能授予某一個角色。（2）授權(quán)調(diào)整困難，在RBAC 模型中，用戶屬于某一個角色后，便一直擁有該角色的權(quán)限，直到該角色被刪除。而在實際應(yīng)用中，有些應(yīng)用部門和用戶較多、角色變換頻繁和業(yè)務(wù)繁雜，僅僅通過角色定義來授權(quán)，雖然減少了授權(quán)管理的復(fù)雜性，但還是難以適應(yīng)大的復(fù)雜業(yè)務(wù)需求的變化[16]。本文在核心RBAC模型的基礎(chǔ)上，提出了一種對角色和用戶混合授權(quán)，并在授權(quán)時考慮優(yōu)先級和繼承約束等條件的改進(jìn)模型，并把其應(yīng)用到電子文件管理系統(tǒng)中。

2.2 RBAC模型的改進(jìn)。本文針對RBAC模型進(jìn)行了改進(jìn)，改進(jìn)后如圖2所示，其所做的改進(jìn)如下：

（1）改進(jìn)了RBAC模型，增加了直接對用戶授權(quán)，在對角色授權(quán)的基礎(chǔ)上，增加了直接對用戶的授權(quán)。既可以對角色進(jìn)行授權(quán)，也可以對用戶進(jìn)行授權(quán)，但整個管理的核心還是角色授權(quán)，在此基礎(chǔ)上，當(dāng)一些角色授權(quán)應(yīng)用難以實現(xiàn)時，或者有些臨時性或特殊性的權(quán)限要求時，增加直接對用戶的授權(quán)，減少了增加角色并對角色授權(quán)等處理的復(fù)雜性，增加了系統(tǒng)管理的靈活性。

（2）針對角色加入了優(yōu)先級約束。當(dāng)用戶屬于多個角色時，這幾個角色所擁有的權(quán)限有時沖突，如，一個角色對某一個資源擁有控制權(quán)，而另一個角色不允許其對這個資源擁有控制權(quán)。為了解決用戶擁有多個角色，并且角色沖突的這個問題，引入了角色優(yōu)先級的概念，當(dāng)角色沖突時，根據(jù)權(quán)重自動判斷角色的優(yōu)先級，不選擇優(yōu)先級時，默認(rèn)為優(yōu)先級最高的角色。也可以用戶操作時直接指定所用角色。

（3）針對用戶加入了優(yōu)先級約束。在增加了直接對用戶授權(quán)時，為了減少授權(quán)等整個操作的復(fù)雜性，對用戶加入了優(yōu)先級約束。如果是為了臨時性的權(quán)限新增加的用戶，直接對用戶授權(quán)即可，但如果這個用戶已經(jīng)存在，并不需要重新增加用戶時，如果這個用戶已經(jīng)有角色時，當(dāng)給這個用戶直接授權(quán)時，這些權(quán)限優(yōu)先級是最高的，用戶原來的角色自動失效。當(dāng)對用戶的直接授權(quán)撤銷后，用戶原來的角色自動變?yōu)橛行А?/p>

通過增加對用戶的直接授權(quán)，減少了調(diào)整權(quán)限的復(fù)雜度，而角色和用戶優(yōu)先級約束的引入，解決了多角色之間的沖突，并解決了已有用戶直接授權(quán)時和角色之間的沖突，降低RBAC模型訪問控制的復(fù)雜度，簡化了編程實現(xiàn)權(quán)限管理的復(fù)雜性。

3 電子文件管理系統(tǒng)結(jié)構(gòu)

分析本電子文件系統(tǒng)主要功能，并對這些功能進(jìn)行劃分，從圖3可知，其劃分為以下8個大功能模塊。每個功能模塊又可以劃分更小的子系統(tǒng)，部分子系統(tǒng)是通過流程聯(lián)系在一起。

3.1 電子文件系統(tǒng)流程。該電子文件管理系統(tǒng)的工作包括3個主要方面。一是與項目電子申報相關(guān)，主要內(nèi)容包括：項目電子申報、項目電子評審、審查審批、項目下達(dá)；二是對項目實施過程進(jìn)行管理，包括電子合同管理、過程管理、項目監(jiān)理、變更管理等；三是對項目進(jìn)行結(jié)題管理，包括：項目鑒定、成果登記、反饋評估等。整個項目的基本流程和所涉及的用戶角色如圖4所示。

在整個項目的流程中涉及一系列的用戶角色。通過改進(jìn)的基于角色的訪問控制RBAC（Role Based Access Control）模型來對用戶和角色進(jìn)行權(quán)限功能的控制。本系統(tǒng)中按照項目的實際需要劃分以下幾個主要角色：項目申報人員、項目受理人員、項目評審人員、財政局人員、系統(tǒng)管理員等。不同的角色用戶進(jìn)入系統(tǒng)后，系統(tǒng)根據(jù)角色的不同，調(diào)出系統(tǒng)不同的權(quán)限和菜單，并把上一級提交過來的任務(wù)給下一級用戶特殊標(biāo)注提示，讓其處理流程中涉及本級的任務(wù)。系統(tǒng)數(shù)據(jù)庫中包括：用戶信息表、角色表、系統(tǒng)模塊表、權(quán)限表等。由于角色比較多，角色能夠完成的整個電子文件生成流程也比較復(fù)雜，通過把角色和電子文件流程結(jié)合在一起，每個角色在流程中完成的功能十分明確。

3.2 系統(tǒng)實現(xiàn)。在本電子文件管理系統(tǒng)中，首先有系統(tǒng)管理員進(jìn)行申報項目時間和項目類型的設(shè)定頁面如圖5所示，管理員還可以根據(jù)需要設(shè)置不同用戶具有不同角色，改進(jìn)的RBAC模型，可以解決用戶有多個角色時的沖突，如果兩個角色權(quán)限沖突時，不允許授權(quán)，而且當(dāng)用戶有多個角色時根據(jù)實際需要可以選擇不同角色，如圖6所示，而且還可以對角色權(quán)限控制，如圖7所示。管理員設(shè)置后，項目的申報人員只能進(jìn)行項目的申報，如圖8所示，其他的所有流程中的內(nèi)容其不可見。申報用戶填寫項目申報書和項目預(yù)算書，然后進(jìn)行項目的提交，在項目提交后，申報用戶可以下載申報項目的電子文檔，下載后所填內(nèi)容已經(jīng)自動填入Word文檔，本人下載后即可以打印。然后電子文件流轉(zhuǎn)到下一個流程單位管理員處，單位管理員進(jìn)入其頁面即可看到其要處理的項目。接著電子文檔流轉(zhuǎn)到下一個角色用戶階段，這個階段的用戶就相應(yīng)地具有所在階段對電子文件的處理權(quán)限。

4 結(jié)語

本文提出了通過改進(jìn)的RBAC模型來對系統(tǒng)生成過程中的電子文件進(jìn)行安全控制，并根據(jù)改進(jìn)的RBAC模型設(shè)計并實現(xiàn)了某省電子文件管理系統(tǒng)的開發(fā)。初步實現(xiàn)了預(yù)期的設(shè)計目標(biāo)。通過這些技術(shù)的運(yùn)用，某省的電子文件管理系統(tǒng)實現(xiàn)后，高效實現(xiàn)了電子文件在申報、評審、監(jiān)理、實施和驗收等全流程的安全控制，電子文件在處理過程中的安全性有了保證。但本安全控制模型還可以進(jìn)一步細(xì)化，達(dá)到更高安全級別的細(xì)粒度的控制，這也是下一階段要研究的重點(diǎn)。

*本文系河南省檔案局項目“電子文件管理系統(tǒng)建設(shè)相關(guān)問題研究”（項目編號：2013-X-26）的研究成果之一及河南省高等學(xué)校重點(diǎn)科研項目基礎(chǔ)研究“電子文件移交與接收平臺關(guān)鍵技術(shù)研究”（項目編號：15A520111）研究基礎(chǔ)之一。

參考文獻(xiàn)：

[1]馮惠玲，劉越男，錢毅等.電子文件管理100問[M].北京：中國人民大學(xué)出版社，2014：3～5.

[2]錢毅.我國可信電子文件長期保存規(guī)范研究[J].檔案學(xué)通訊，2014（3）：75～79.

[3]劉越男，劉語葉，李雪君等.電子文件的長期保存：多維互動的領(lǐng)域[J].檔案學(xué)研究，2014（4）：56～60.

[4]謝永憲，劉杭，袁曉雪. 澳大利亞電子文件長期保存策略和啟示[J].北京檔案，2013（5）：36～38.

[5]黃新榮，王曉杰，龐文琪.網(wǎng)絡(luò)時代電子文件歸檔方式研究——兼論邏輯歸檔的可行性[J].檔案學(xué)通訊，2014（5）：49～53.

[6]宋青霞.加強(qiáng)電子文件歸檔管理的措施[J].山東冶金，2014，36（3）：65～66.

[7]趙麗.我國電子文件管理系統(tǒng)研究進(jìn)展和方向[J].檔案學(xué)研究，2013（3）：50～56.

[8]孫海燕.淺談美國電子文件管理及開發(fā)[J].蘭臺世界，2015（S2）：35～36.

[9]付正剛，秦荊華.電子文件安全技術(shù)芻析[J].檔案與建設(shè)，2014（3）：25～28.

[10]張文元.電子文件全過程管理中的監(jiān)管研究[J].檔案管理，2014（1）：28～30.

[11]邵奇峰，韓玉民，鄭秋生.一種混合授權(quán)的RBAC模型及其UML建模[J].武漢大學(xué)學(xué)報，2014，60（5）：419～423.

[12]強(qiáng)振平，何麗波，陳旭等.基于RBA的復(fù)雜信息系統(tǒng)中訪問控制模型的設(shè)計[J].計算機(jī)科學(xué)，2014，41（6A）：429～432.

[13]Sandhu R，Coyne E，F(xiàn)einstein H.Role-based Access control Models[J].IEEE Computer，1996，29（6）：38～47.

[14]安沛，王春玲.OA系統(tǒng)中RBAC擴(kuò)展模型的研究與實現(xiàn)[J].西安工程大學(xué)學(xué)報，2015，29（1）：78～83.

[15]夏啟壽. RBAC中基于信任的細(xì)粒度訪問控制研究[J].計算機(jī)工程與應(yīng)用，2012，（48）：75～78.

[16]Khamis Abdual-latif Khamis，Zhong Luo，H.Z.Song.Modified Query-Roles Based Access Control Model （Q-RBAC） for Interactive Access of Ontology Data[J]. Journal of Information Engineering and Applications，2014，7（4）：82～91.

（作者單位：中原工學(xué)院計算機(jī)學(xué)院 來稿日期：2015-09-14）