基于角色管理的系統(tǒng)訪問控制

1、1. 引言（Introduction） 1.1. 關(guān)鍵詞定義（Definitions）  有關(guān)定義說明如下：  安全管理：計算機技術(shù)安全管理的范圍很廣，可以包括網(wǎng)絡(luò)安全性、數(shù)據(jù)安全性、操作系統(tǒng)安全性以及應(yīng)用程序安全性等。很多方面的安全性管理大都已經(jīng)有成熟的產(chǎn)品了，我們只需根據(jù)自己需要有選擇性的使用就可達到自己的目的了。本文中有關(guān)關(guān)涉及"安全管理"一詞均只針對本公司推出的應(yīng)用中有關(guān)對象與數(shù)據(jù)而言范圍有限。  主體：即可以象應(yīng)用系統(tǒng)發(fā)出應(yīng)用請求任何實體，包括各種用戶、其它與本系統(tǒng)有接口的應(yīng)用程序、非法入侵者。系統(tǒng)必須具有識別主體的能力，接

2、口實際上也是由用戶登記的，故主要問題是校驗用戶身份的合法性，系統(tǒng)應(yīng)建立用戶鑒別機構(gòu)以驗證用戶身份。  用戶：用戶就是一個可以獨立訪問計算機系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其它資源的主體，我們用USERS表示一個用戶集合。用戶在一般情況下是指人。  權(quán)限：權(quán)限是對計算機系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其它資源進行訪問的許可。我們用PERMISSION表示一個權(quán)限集合?？煞譃閷ο笤L問控制和數(shù)據(jù)訪問控制兩種。  對象訪問控制：用一個二元組來表示：（控制對象，訪問類型）。其中的控制對象表示系統(tǒng)中一切需要進行訪問控制的資源。我們將引入一套完整的資源表示方法來對系統(tǒng)中出現(xiàn)的各類資源進

3、行定義和引用（詳見后述）。訪問類型是指對于相應(yīng)的受控對象的訪問控制，如：讀取、修改、刪除等等。  數(shù)據(jù)訪問控制：如果不對數(shù)據(jù)訪問加以控制，系統(tǒng)的安全性是得不到保證的，容易發(fā)生數(shù)據(jù)泄密事件。所以在權(quán)限中必須對對象可訪問的數(shù)據(jù)進行按不同的等級給予加密保護。我們同樣用一個二元組來表示：（控制對象，謂詞）。  權(quán)限最終可以組合成如下形式：（控制對象，訪問類型，謂詞）。  角色：角色是指一個組織或任務(wù)中的工作或位置，它代表了一種資格、權(quán)利和責(zé)任。我們用ROLES表示一個角色集合。  用戶委派：用戶委派是USERS與ROLES之間的一個二元關(guān)系，我們用（u,r）來表

4、示用戶u被委派了一個角色r。  權(quán)限配置：權(quán)限配置是ROLES與PERMISSION之間的一個二元關(guān)系，我們用（r,p）來表示角色r擁有一個權(quán)限p。2. 需求分析  根據(jù)我們在本行業(yè)多年積累下來的經(jīng)驗，參考了其它同行的成功經(jīng)驗整合了先進的思想，我們有能力為我們自己的應(yīng)用系統(tǒng)開發(fā)一套功能完善而且又靈活方便的安全管理系統(tǒng)。使開發(fā)人員從權(quán)限管理重復(fù)勞動的負擔(dān)中解放出來,專心致力于應(yīng)用程序的功能上的開發(fā)。通過收集公司從事MIS項目開發(fā)經(jīng)驗豐富的軟件工程師對在各種情況下的對應(yīng)系統(tǒng)的安性提出的需求做出了如下的總結(jié)。  本系統(tǒng)在安全管理方面要考慮如下幾個方面問題。 2

5、.1. 角色與用戶  需求：  角色由用戶(這個用戶與下一行的"用戶"應(yīng)該不是同一個定義,"客戶"好像合適一些?不錯，此處的用戶確是有些偏于指向我們合同意義的客戶,但是我認為與下面定義的"用戶"不存在什么本質(zhì)上的區(qū)別,因為客戶最終也是以在系統(tǒng)中登記的用戶身份來使用本系統(tǒng)，用戶所能完成的功能也就是客戶的需求。兩者之間的細微區(qū)別讀者可自己通過上下文加區(qū)分)自行定義，根據(jù)業(yè)務(wù)崗位不同可以定義多個角色。  登錄系統(tǒng)，首先需要向系統(tǒng)申請注冊，同一個用戶只能在系統(tǒng)中登記一次。  用戶是登錄系統(tǒng)的楔子，角色是

6、用戶權(quán)限的基礎(chǔ)。用戶可以扮演多個角色。  將某一角色授予某一用戶時，權(quán)限不能超越該角色權(quán)限，但可以小于該角色權(quán)限。  用戶口令與數(shù)據(jù)庫訪問口令加密  分析說明  每個用戶在系統(tǒng)中由一個唯的USERID標(biāo)識。   用戶通過系統(tǒng)登錄界面登錄系統(tǒng),系統(tǒng)通過加密算法驗證用戶身份和判斷用戶是否已經(jīng)登錄系統(tǒng)。如果登錄成功通知Application    preference service和安全管理系統(tǒng)保存用戶登錄信息。   角色由用戶根據(jù)自己的設(shè)想的組織機構(gòu)進行添加設(shè)置，提供一個專門的模塊用來設(shè)

7、置組織機構(gòu)，用戶通過組織機構(gòu)(定義?部門機構(gòu)還是后面提到的"機構(gòu)是實現(xiàn)和執(zhí)行各種策略的功能的集合")方便地進行角色管理。例如：用戶可以通過部門機構(gòu)來進行角色的管理，部門采用編號分層的方式,編號的每兩位為一個層次。例如一級部門編號為兩位，二級部門編號為四位依此類推下去直到將全廠部門機構(gòu)建立樹狀結(jié)構(gòu)圖。這類數(shù)據(jù)僅為方便用戶管理角色而存在，在系統(tǒng)的其他方面不存在任何意義。   每個角色在系統(tǒng)中也是由一個唯一角色編號來標(biāo)識，同時必須保存用戶所設(shè)置的機構(gòu)信息，一般來說每個角色只需要保存自己所在機構(gòu)的代碼即可。  2.2. 菜單控制 

8、需求此菜單乃系統(tǒng)業(yè)務(wù)功能菜單。由業(yè)務(wù)功能模塊列表和用戶菜單定制共同組成。每個用戶可以擁有自己的菜單，也可以直接采用角色缺省菜單（當(dāng)用戶同時充當(dāng)多個角色并且權(quán)限重復(fù)時，重復(fù)的權(quán)限僅一次有效）  分析說明  為了方便用戶進行權(quán)限組織管理，需要在系統(tǒng)中建立一張業(yè)務(wù)功能模塊列表，在用戶界面上表示為樹狀分層結(jié)構(gòu)。   業(yè)務(wù)功能模塊以用戶定制菜單來體現(xiàn)，仍然采用編號分層方式，編號的每兩位為一個層次。并標(biāo)明一個層次是子菜單還是業(yè)務(wù)模塊，子菜單只有一種可否被訪問的權(quán)限設(shè)置，業(yè)務(wù)模塊權(quán)限由系統(tǒng)管理員或授權(quán)用戶進行設(shè)置。對每個業(yè)務(wù)模塊設(shè)置它的對象控制、記錄增刪改控制和記錄集

9、控制。當(dāng)用戶擁有對業(yè)務(wù)模塊的某一權(quán)限時，必需對處于它上級的子菜單有可被訪問的權(quán)限。刪除某一個級子菜單時將提示用戶他的下級菜單與功能模塊都將被刪除掉。   當(dāng)用戶同時充當(dāng)多個角色并且權(quán)限重復(fù)時，重復(fù)的權(quán)限僅一次有效，用戶擁有他充當(dāng)?shù)乃薪巧臋?quán)限的并集。   用戶與角色擁有的系統(tǒng)權(quán)限查詢時以業(yè)務(wù)功能模塊列表的樹狀結(jié)構(gòu)顯示出來。  2.3. 對象控制  需求  對象是指應(yīng)用系統(tǒng)窗口中的可視對象，如菜單項、按鈕、下拉列表框、數(shù)據(jù)編輯控件及數(shù)據(jù)編輯控件的字段等。對象控制通過角色與用戶授權(quán)來實現(xiàn)。  對象控制包括對

10、對象屬性的控制可對數(shù)據(jù)編輯控件中的數(shù)據(jù)記錄的維護權(quán)限：  對象屬性：使能/禁止、可視/屏蔽   記錄維護：增加、刪除、修改的組合   分析說明  每個業(yè)務(wù)模塊可進行屬性設(shè)置的對象由程序員事先設(shè)定或由售后技術(shù)支持工程師指導(dǎo)用戶加入。   在系統(tǒng)管理員或授權(quán)用戶進行設(shè)置業(yè)務(wù)模塊的每種權(quán)限時，設(shè)置用戶在擁有該業(yè)務(wù)模塊這種權(quán)限時的對象屬性。沒有設(shè)置屬性的對象在保存對象信息的時候，用戶權(quán)限信息中不被保存。  2.4. 記錄集控制  需求  記錄集的控制是通過條件設(shè)置來實現(xiàn)，因此，需要控

11、制記錄集的數(shù)據(jù)庫表需要設(shè)置專門的記錄集篩選字段，而篩選條件由用戶根據(jù)崗位自進定義，建立過濾表，統(tǒng)一管理。  分析說明  在對用戶設(shè)置業(yè)務(wù)模塊權(quán)限時，同時在過濾表中設(shè)置本模塊的數(shù)據(jù)編輯控件的數(shù)據(jù)篩選條件，篩選條件是組成SQL語句的WHERE條件子句迫使當(dāng)前訪問的模塊根據(jù)篩選條件對數(shù)據(jù)編輯控件的SQL語句進行重組，并檢索數(shù)據(jù)。   當(dāng)存在需要從數(shù)據(jù)庫中多個表取數(shù)據(jù)的情況時，過濾表中存在多條記錄，每一條記錄記錄一個數(shù)據(jù)編輯控件取數(shù)的篩選條件。   SQL語句的WHERE子句的生成與校驗可以通過的SQL語法分析服務(wù)，利用對象所提供的函數(shù)分析S

12、QL語句，截取WHERE條件子句，校驗新組合的SQL語句的合法性。  2.5. 權(quán)限分布管理  需求  上述提到的權(quán)限管理內(nèi)容應(yīng)該滿足既可集中管理，也可分散管理的目標(biāo)。  分析說明  權(quán)限管理由系統(tǒng)管理員集中管理，系統(tǒng)管理員工作負擔(dān)過大，難對所有崗位的分工有全面和具體的了解，對權(quán)限作出標(biāo)準細致的劃分，對于大型的管理系統(tǒng)適合于把一部分設(shè)置權(quán)限的交由一些比較高級的用戶來進行，有利于各崗位細致協(xié)調(diào)的工作。這就是權(quán)限的分散管理。   要實現(xiàn)權(quán)限的分散管理，就須對授權(quán)模塊進行一些授權(quán)管理，這要求整個系統(tǒng)的授權(quán)安全管理工作要做

13、到細致，不要出現(xiàn)權(quán)限的漏洞使一些高級用戶擁有過大的權(quán)限。 3. 方案設(shè)計 3.1. 安全保護策略  從上面各方面的需求分析來看，我們需要一套既行之有效，又方便靈活的安全管理方案。要采用各種控制機構(gòu)和密碼保護技術(shù)。安全保護策略是設(shè)計安全可靠系統(tǒng)的準則，通常涉及下列幾個方面：  區(qū)分安全策略與安全機構(gòu)。   策略是信息安全性的高級指導(dǎo)，策略出自對用戶要求，設(shè)備環(huán)境、機構(gòu)規(guī)則、法律約束等方面的詳細研究。策略重要性在于指導(dǎo)作用。而機構(gòu)是實現(xiàn)和執(zhí)行各種策略的功能的集合。完善的機構(gòu)是實施正確安全策略的物質(zhì)基礎(chǔ)。故一般要求機構(gòu)能實現(xiàn)不同的策略，以便

14、策略變動時無需要更換安全機構(gòu)。  安全策略：企業(yè)信息管理系統(tǒng)是一個大型的分布式數(shù)據(jù)資源管理系統(tǒng)，它包括信息量巨大以及不同程度的信息敏感度，各種有訪問需求的用戶，使得其安全管理非常復(fù)雜?；诮巧南到y(tǒng)安全控制模型是目前國際上流行的先進的安全管理控制方法。我們的安全管理系統(tǒng)也根據(jù)自身的需要有選擇性的吸收其部分思想。其特點是通過分配和取消角色來完成用戶權(quán)限的授予和取消，并且提供了角色分配規(guī)則和操作檢查規(guī)則。安全管理人員根據(jù)需要定義各種角色，并設(shè)置合適的訪問權(quán)限，而用戶根據(jù)其責(zé)任和資歷再被指派為不同的角色。這樣，整個訪問控制過程就分成兩個部分，即訪問權(quán)限與角色相關(guān)聯(lián)，角色再與用戶關(guān)聯(lián)，從而實

15、現(xiàn)了用戶與訪問權(quán)限的邏輯分離，如下圖所示，角色可以看成是一個表達訪問控控制策略的語義結(jié)構(gòu)，它可以表示承擔(dān)特定工作的資格。                                         

16、;                由于實現(xiàn)了用戶與訪問權(quán)限的邏輯分離，基于角色的策略極大的方便了權(quán)限管理。例如，如果一個用戶的職位發(fā)生變化，只要將用戶當(dāng)前的角色去掉，加入代表新職務(wù)或新任務(wù)的角色即可。研究表明，角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對要慢得多，并且委派用戶到角色不需要很多技術(shù)，可以由行政管理人員來執(zhí)行，而配置權(quán)限到角色的工作比較復(fù)雜，需要一定的技術(shù)，可以由專門的技術(shù)人員來承擔(dān)，但是不給他們委派用戶的權(quán)限，這與現(xiàn)實中情況正

17、好一致。除了方便權(quán)限管理之外，基于角色的訪問控制方法還可以很好的地描述角色層次關(guān)系，實現(xiàn)最少權(quán)限原則和職責(zé)分離的原則。  安全保護機構(gòu)：本系統(tǒng)的安全保護機構(gòu)基本上是于上面的安全策略相互適應(yīng)的，系統(tǒng)保護的總體結(jié)構(gòu)示意如下：                  保護機構(gòu)應(yīng)負責(zé)阻止一切物理破壞和用戶可能的操作破壞，后者歸結(jié)為主體可用何種方式訪問哪些對象。主體、訪問類型、對象是我們  要討論的保護機構(gòu)主要成分 

18、60; 安全管理的職責(zé)：安全管理有集中管理與分散管理兩種。前者意指一切權(quán)利都由負責(zé)系統(tǒng)安全工作的專職人員或小組組掌握，他(們)決定用戶的訪問權(quán)利，控制系統(tǒng)安全一切方面。后者是指不同的管理員控制著系統(tǒng)安全的不同方面，管理系統(tǒng)的不同部分，決定不同用戶的訪問權(quán)利，甚至允許對象所有者轉(zhuǎn)讓訪問對象的權(quán)利，集中管理，安全可靠但不靈活；分散管理則應(yīng)考慮避免漏洞和協(xié)調(diào)一致的問題。本系統(tǒng)因是針對大的集團企業(yè)管理的產(chǎn)品權(quán)限分配比較復(fù)雜，故采用了集中管理與分散管理相結(jié)合的形式。   訪問控制策略。它提供決定用戶訪問權(quán)利的依據(jù)。其中最重要的一個普遍的原則是"需者方知策略"(th

19、e need-to-know)。也就是說，只有一個工作需要的，才是他應(yīng)該知道的。它從原則上限制了用戶不必要的訪問權(quán)利，從而堵截了許多破壞與泄露數(shù)據(jù)信息的途經(jīng)。按照這一原則授予用戶的權(quán)利，是用戶能完成工作的最小權(quán)利集合，故也稱之為"最少特權(quán)策略"。   信息流動控制。只限制用戶的訪問權(quán)利而不考慮數(shù)據(jù)流動是極其危險的。例如，在考勤時各部門的主管只能為自己部門的職員考勤，人事部可以提取全部數(shù)據(jù)，因此在提取數(shù)據(jù)時一定要加以限制。控制數(shù)據(jù)流動以防止無權(quán)用戶在數(shù)據(jù)流動后獲得訪問權(quán)利。 密碼變換。對于非常機密數(shù)據(jù)可變換為密碼存貯，使得不知道密碼的入侵者無法破

20、譯所得到的數(shù)據(jù)密碼。密碼變換能防止泄密，但不能保護數(shù)據(jù)信息不被破壞。   軟硬結(jié)合保護。這是安全保護的基本策略，許多硬保護功能是軟件難以實現(xiàn)的，有些即使能實現(xiàn)，效率也不高。   對安全遭到破壞的響應(yīng)。各種保護機構(gòu)都有可能遭到破壞，因此系統(tǒng)必須制訂檢測破壞手段與處置措施。  3.2. 安全管理機構(gòu)分析  3.2.1. 功能框架示意圖  內(nèi)部總體功能框架圖              

21、;       外調(diào)用的功能框架示意圖                         3.2.2. 主要功能組件的職責(zé)   3.2.2.1. 對象定義工具與權(quán)限定義工具  對象定義工具。  對象是指系統(tǒng)中各種功能模塊、數(shù)據(jù)、界面元素（包括菜單、按鈕等各種界面上能控制的控件）等，

22、它們是主體能訪問的各種對象。由于對象的機密程度不等，受到的保護程度亦有差別。系統(tǒng)中的對象均由程序員通過系統(tǒng)提供的對象定義工具事先定義好系統(tǒng)要控制的對象。系統(tǒng)也只能控制這些事先已定義好的對象，因此，對象定義是整個系統(tǒng)的核心步驟直接影響后面的各個安全控制環(huán)節(jié)。建議由開發(fā)程序員進行初始化配置。對象定義的包括如下幾步：   功能模塊定義：系統(tǒng)中除部分公用的界面、公用功能模塊外，其它均為業(yè)務(wù)功能模塊是用戶完成各自不同的業(yè)務(wù)功能的主要算途徑，也是我們安全管理要保護的重點對象，所以我們必須對業(yè)務(wù)功能模塊定義。有定義的功能模塊對象我們就有可能組織權(quán)限根據(jù)用戶需要完成的工作配置用戶業(yè)務(wù)功能菜

23、單，這也符合"最少特權(quán)策略"。   界面元素控制：除了功能菜單要受到控制外，如要控制功能模塊的界面元素其功能模塊界面元素也需定義，大部分界面元素均包含有相關(guān)的業(yè)務(wù)功能操作，所以對相應(yīng)操作的界面元素是進行定義是有必要的。   數(shù)據(jù)信息控制：業(yè)務(wù)功能模塊的大部分界面元素是顯示和操作數(shù)據(jù)內(nèi)容的基礎(chǔ)，也是用戶對讀取數(shù)據(jù)和操作數(shù)據(jù)的主要途徑，為了數(shù)據(jù)信息的安全有必要對這界面元素的操作數(shù)據(jù)予以采取安全保密措施。這就需要對這些界面元素定義相關(guān)的數(shù)據(jù)約束條件。   對象定義(流程) 流程圖如下   &

24、#160;                      權(quán)限定義工具。  在定義好系統(tǒng)對象的前提下，定義對象的在不同情況的的訪問類型，希望對象在不同情況下具有不同的訪問類型，這就需要定義對象的權(quán)限。定義權(quán)限就是是定義對象訪問控制和數(shù)據(jù)訪問控制。為了表述方便我們對權(quán)限用一個三元組符號來表示P（o,t,p）,其中o 表示訪問對象；t 表示訪問類型；p 表示謂詞。表示在謂詞p為真時對于對象o可進

25、行t類型的訪問。權(quán)限定義系統(tǒng)安全管理基礎(chǔ)步驟之一，只有給各種對象定義好訪問的權(quán)限，才能給角色配置權(quán)限，基于角色管理才能成為可能。系統(tǒng)提供定義權(quán)限工具，請程序員根據(jù)實際需求定義對象的權(quán)限。定義權(quán)限的流程圖如下：                                

26、0;  3.2.2.2. 角色定義與權(quán)限配置  角色定義。  基于角色的訪問控制方法的思想就是把對用戶的授權(quán)分成兩部份，用角色來充當(dāng)用戶行駛權(quán)限的中介。這樣，用戶與角色之間以及角色與權(quán)限之間就形成了兩個多對多的關(guān)系。系統(tǒng)提供角色定義工具允許用戶根據(jù)自己的需要（職權(quán)、職位以及分擔(dān)的權(quán)利和責(zé)任）定義相應(yīng)的角色。角色之間有相應(yīng)繼承的關(guān)系，當(dāng)一個角色r1繼承另一個角色r2時，r1就自動擁有了r2的訪問權(quán)限(表示r1->r2)。角色繼承關(guān)系自然的反映了一個組織內(nèi)部權(quán)利和責(zé)任的關(guān)系，為方便權(quán)限管理提供了幫助。角色繼承關(guān)系提供了對已有角色的擴充和分類的手段，使定義新的角色可以在已有角色的基礎(chǔ)上進行，擴充就是通過增加父角色的權(quán)限去定義子角色，分類通過不同子角色繼承同一父角色來體現(xiàn)。另外還允許多繼承，即一個角色繼承多個父角色，多繼承體現(xiàn)對角色的綜合能力。角色定義示流程圖如下：                            權(quán)限配置。  角色是一組訪問權(quán)限的集合，一個用戶可以