基于RBAC的電子政務(wù)權(quán)限訪問(wèn)控制模塊的設(shè)計(jì)與實(shí)現(xiàn)

-680-0引言在電子政務(wù)系統(tǒng)中,權(quán)限管理是設(shè)計(jì)的核心部分,因?yàn)楦髯酉到y(tǒng)不可能對(duì)所有用戶開放,這樣做既不利于數(shù)據(jù)保密,又會(huì)對(duì)系統(tǒng)安全運(yùn)行造成威脅。訪問(wèn)控制正是實(shí)現(xiàn)既定安全策略的系統(tǒng)安全技術(shù),它管理所有資源訪問(wèn)請(qǐng)求,即根據(jù)安全策略的要求,對(duì)每個(gè)資源訪問(wèn)請(qǐng)求做出是否許可的判斷,能有效地防止非法用戶訪問(wèn)系統(tǒng)資源和合法用戶非法使用資源。1訪問(wèn)控制技術(shù)簡(jiǎn)介訪問(wèn)控制技術(shù)最早產(chǎn)生于20世紀(jì)60年代,隨后出現(xiàn)了兩種重要的訪問(wèn)控制技術(shù):自主訪問(wèn)控制(discretionaryaccesscontrol,DAC和強(qiáng)制訪問(wèn)控制(mandatoryaccesscontrol,MAC1.1自主訪問(wèn)控制技術(shù)(DAC目前我國(guó)大多數(shù)信息系統(tǒng)的訪問(wèn)控制模塊基本都是借助于自主型訪問(wèn)控制方法中的訪問(wèn)控制列表(ACLs。自主訪問(wèn)控制有一個(gè)明顯的缺點(diǎn)就是這種控制是自主的,它能夠控制主體對(duì)客體的直接訪問(wèn),但不能控制主體對(duì)客體的間接訪問(wèn)(利用訪問(wèn)的傳遞性,即A可訪問(wèn)B,B可訪問(wèn)C,于是A可訪問(wèn)C。雖然這種自主性為用戶提供了很大的靈活性,但同時(shí)也帶來(lái)了嚴(yán)重的安全問(wèn)題。1.2強(qiáng)制訪問(wèn)控制技術(shù)(MAC安全級(jí)別高的計(jì)算機(jī)采用這種策略,它常用于軍隊(duì)和國(guó)家重要機(jī)構(gòu),例如將數(shù)據(jù)分為絕密、機(jī)密、秘密和一般等幾類。用戶的訪問(wèn)權(quán)限也類似定義,即擁有相應(yīng)權(quán)限的用戶可以訪問(wèn)對(duì)應(yīng)安全級(jí)別的數(shù)據(jù),從而避免了自主訪問(wèn)控制方法中出現(xiàn)的訪問(wèn)傳遞問(wèn)題。這種策略具有層次性的特點(diǎn),高級(jí)別的權(quán)限可以訪問(wèn)低級(jí)別的數(shù)據(jù)。這種策略的缺點(diǎn)在于訪問(wèn)級(jí)別的劃分不夠細(xì)致,在同級(jí)間缺乏控制機(jī)制。1.3基于角色的訪問(wèn)控制技術(shù)(RBAC由于DAC和MAC安全性的缺陷及其基于用戶的機(jī)制造成的添加用戶和功能時(shí)操作的復(fù)雜性,我們選擇了一種新型的訪問(wèn)控制技術(shù)RBAC(role-basedaccesscontrol。在RBAC中,在用戶和訪問(wèn)許可權(quán)之間引入角色的概念,用戶與特定的一個(gè)或多個(gè)角色相聯(lián)系,角色與一個(gè)或多個(gè)訪問(wèn)許可權(quán)相聯(lián)系,角色可以根據(jù)實(shí)際的工作需要生成或取消,而用戶可以根據(jù)自己的需要?jiǎng)討B(tài)地激活自己擁有的角色,避免了用戶無(wú)意中危害系統(tǒng)安全。RBAC模型是目前最為廣泛接受的權(quán)限模型,收稿日期:2006-01-10E-mail:zhangxy@作者簡(jiǎn)介:張曉燕(1979-,女,河北人,碩士研究生,研究方向?yàn)橛?jì)算機(jī)應(yīng)用;張素偉(1959-,男,北京人,碩士生導(dǎo)師,正研級(jí)高級(jí)工程師,研究方向?yàn)榻M件開發(fā)技術(shù)與電子商務(wù)企業(yè)應(yīng)用集成。基于RBAC的電子政務(wù)權(quán)限訪問(wèn)控制模塊的設(shè)計(jì)與實(shí)現(xiàn)張曉燕,張素偉(華北計(jì)算技術(shù)研究所,北京100083摘要:電子政務(wù)系統(tǒng)龐大,涉及到的機(jī)構(gòu)、地域、人員繁多,而且國(guó)家的政策法規(guī)還處于不斷完善中,很可能需要不斷的調(diào)整權(quán)限控制系統(tǒng),所以對(duì)權(quán)限管理模塊的易維護(hù)和易擴(kuò)展性提出很高要求。RBAC訪問(wèn)控制技術(shù),引入角色的概念,使得用戶、權(quán)限管理?xiàng)l理化,減少授權(quán)管理的復(fù)雜性,支持用戶數(shù)量和子系統(tǒng)數(shù)量、功能的無(wú)限增加,滿足系統(tǒng)擴(kuò)展性要求。利用RBAC技術(shù),可以實(shí)現(xiàn)國(guó)家集中控制權(quán)限系統(tǒng),各機(jī)構(gòu)自主分配角色。關(guān)鍵詞:RBAC;級(jí)別;地域;角色;操作;可配置;中圖法分類號(hào):TP311.52文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1000-7024(200703-0680-03DesignandrealizationinE-governmentsystembasedonRBACtheoryZHANGXiao-yan,ZHANGSu-wei(NorthChinaInstituteofComputingTechnology,Beijing100083,China:TheE-governmentsystemisavoluminoussystemwhichconcernsmanydepartments,districtsandpeople.Sincethenationalpoliciesandstatutesstillkeepperfecting,thehighcriterionrequirementfortheeasy-maintenanceandeasy-expansibilityisnecessaryintheauthoritymanagementmodule.TheRBACaccesscontroltechnologymakestheuserandtheauthoritymanagementmethodicbyin-troducingtheconceptionofroll.Meanwhile,thecomplexityfortheauthorizationmanagementisdecreased;thefunctiondevelopmentwithoutlimitationissupportedandquantityofuserandsub-systemislarged;therequirementofsystemexpansibilityissatisfied.ByapplyingtheRBACtechnology,nationcontroltheauthoritysystemwhilethedepartmentsassigntherollsindependent.:RBAC;level;district;role;operation;configure;2007年2月計(jì)算機(jī)工程與設(shè)計(jì)Feb.2007第28卷第3期Vol.28No.3ComputerEngineeringandDesign-681-標(biāo)準(zhǔn)RBAC模型由4個(gè)部件模型組成,這4個(gè)部件模型分別是基本模型RBAC0、角色分級(jí)模型RBAC1、角色限制模型RBAC2和統(tǒng)一模型RBAC3。RBAC0模型如圖1所示。RBAC0定義了能構(gòu)成一個(gè)RBAC控制系統(tǒng)的最小的元素集合。在RBAC之中,包含用戶USERS、角色ROLES、目標(biāo)OBS、操作OPS、許可權(quán)PRMS這5個(gè)基本數(shù)據(jù)元素,權(quán)限被賦予角色,而不是用戶,當(dāng)一個(gè)角色被指定給一個(gè)用戶時(shí),此用戶就擁有了該角色所包含的權(quán)限。會(huì)話sessions是用戶與激活的角色集合之間的映射。RBAC0與傳統(tǒng)訪問(wèn)控制的差別在于增加一層間接性帶來(lái)了靈活性,RBAC1、RBAC2、RBAC3都是先后在RBAC0上的擴(kuò)展。目前大型系統(tǒng)應(yīng)用于社會(huì)的方方面面,尋找一種適合大型可擴(kuò)展系統(tǒng)的安全管理方案就顯得極為重要。而RBAC技術(shù)由于其對(duì)角色和層次化管理的引進(jìn),特別適用于用戶數(shù)量龐大,系統(tǒng)功能不斷擴(kuò)展的大型系統(tǒng)。所以本文選擇了RBAC0作為系統(tǒng)訪問(wèn)控制設(shè)計(jì)方案。2系統(tǒng)分析與設(shè)計(jì)2.1設(shè)計(jì)思想對(duì)于一個(gè)國(guó)家級(jí)的電子政務(wù)系統(tǒng),它的應(yīng)用范圍包括全國(guó)各地的各級(jí)政府機(jī)構(gòu)和服務(wù)于這些機(jī)構(gòu)的大量工作人員,出于信息安全和系統(tǒng)運(yùn)行速度以及操作簡(jiǎn)便性方面的考慮,我們要基于工作人員的職務(wù)和工作性質(zhì)來(lái)確定他在本系統(tǒng)中的操作權(quán)限。特殊的系統(tǒng)需求,尤其考慮到本系統(tǒng)使用人員的數(shù)量之大、類別之多、地域之廣,使得廣泛應(yīng)用于其它行業(yè)絕大多數(shù)權(quán)限控制系統(tǒng)無(wú)法滿足。RBAC理論提出角色的概念,將用戶與操作分開正,使權(quán)限的分配變得簡(jiǎn)單而有效。研究表明,RBAC理論所包含的設(shè)計(jì)思想有以下的優(yōu)點(diǎn):①授權(quán)方式得易用性和高效性:系統(tǒng)在授權(quán)(即分配操作權(quán)限的時(shí)候,只需授權(quán)給角色,然后將角色分配給用戶即可。②授權(quán)模型維護(hù)的簡(jiǎn)便性:系統(tǒng)的維護(hù)只需要維護(hù)基本的授權(quán)模型,而不需要針對(duì)每一個(gè)用戶進(jìn)行具體而繁瑣的維護(hù)。這些特點(diǎn)恰恰能使國(guó)家級(jí)電子政務(wù)系統(tǒng)的人員繁多,不好集中管理的問(wèn)題得到完美的解決,同時(shí)保證了信息的安全性。這也是之所以在設(shè)計(jì)過(guò)程中處處體現(xiàn)RBAC理論的原因。2.2設(shè)計(jì)及實(shí)現(xiàn)RBAC理論包含一些基本概念,這些概念在我們的設(shè)計(jì)過(guò)程中將有選擇的有所體現(xiàn):(1用戶和角色用戶指訪問(wèn)系統(tǒng)中的資源的主體,一般為人,也可為Agent等智能程序。電子政務(wù)系統(tǒng)用戶是各級(jí)政府機(jī)構(gòu)的工作人員及管理人員。角色指應(yīng)用領(lǐng)域內(nèi)一種權(quán)力和責(zé)任的語(yǔ)義綜合體,一般來(lái)說(shuō)是一個(gè)抽象概念,也可以是對(duì)應(yīng)于實(shí)際系統(tǒng)中的特定語(yǔ)義體,系統(tǒng)的設(shè)計(jì)者可以根據(jù)自己的需要設(shè)定角色的定義和名稱。針對(duì)角色屬性的不同,某些模型中將角色進(jìn)一步細(xì)分為普通角色和管理員角色(可理解為全局角色。在本文設(shè)計(jì)的電子政務(wù)模型中,角色就包括普通角色和管理員角色。其中管理員角色又細(xì)分為超級(jí)管理員(全局角色和各機(jī)構(gòu)管理員,其中超級(jí)管理員負(fù)責(zé)定義角色并維護(hù)整個(gè)系統(tǒng)的運(yùn)轉(zhuǎn);各機(jī)構(gòu)管理員負(fù)責(zé)管理本機(jī)構(gòu)的人員,并給人員分配角色;普通角色對(duì)應(yīng)了機(jī)構(gòu)內(nèi)部的職務(wù)。(2許可和權(quán)限被賦予了超級(jí)管理員角色的人,負(fù)責(zé)定義角色。定義角色的同時(shí),我們要對(duì)角色進(jìn)行授權(quán),這里含有另外兩個(gè)具體的概念:許可和權(quán)限。其中許可是授權(quán)的結(jié)果,表示某個(gè)角色獲得了某種權(quán)限,權(quán)限描述的是許可和具體操作間的某種關(guān)聯(lián)關(guān)系。在本文中,授權(quán)的過(guò)程由超級(jí)管理員完成,是定義角色的一部分。如果定義的角色為機(jī)構(gòu)管理員,則系統(tǒng)會(huì)給機(jī)構(gòu)管理員授權(quán),即賦予機(jī)構(gòu)管理員管理本機(jī)構(gòu)人員的權(quán)限。如果定義的角色不是機(jī)構(gòu)管理員,那就是普通角色,普通角色對(duì)應(yīng)了機(jī)構(gòu)內(nèi)部的職務(wù),這樣就需要超級(jí)管理員根據(jù)實(shí)際情況,給這個(gè)角色進(jìn)行授權(quán),即指派某些操作權(quán)限到這個(gè)角色上。(3角色和指派指派是RBAC理論中另一個(gè)重要的概念,其中包括用戶指派和許可指派兩種。用戶指派是指將用戶指派給特定角色,即將用戶跟提前定義好的角色相關(guān)聯(lián),也就意味著將用戶與具體操作權(quán)限相關(guān)聯(lián),本文中的指派就是指的這一種。各機(jī)構(gòu)的管理員就負(fù)責(zé)把建好的角色,分配給本機(jī)構(gòu)的人員,這個(gè)機(jī)構(gòu)的管理員所能看到的角色信息只是他可分配的角色。所以需要根據(jù)超級(jí)管理員為角色加的限制信息,為各個(gè)機(jī)構(gòu)的管理員挑選出他可分配的角色。本模型的角色等級(jí)有地域和級(jí)別,各個(gè)機(jī)構(gòu)的管理員也有本機(jī)構(gòu)的地域和級(jí)別,所以可以取出管理員所在機(jī)構(gòu)的地域和級(jí)別信息,并且根據(jù)這些信息為管理員挑選可分配的角色。不可分配的角色對(duì)于機(jī)構(gòu)管理員是透明的。這個(gè)過(guò)程其實(shí)就是在給機(jī)構(gòu)管理員在分配角色時(shí)加入了限制信息。這就是對(duì)指派角色給用戶時(shí)的約束條件,而所有這些約束條件是由國(guó)家超級(jí)管理員統(tǒng)一控制的,但是具體的角色分配給那個(gè)用戶是由各機(jī)構(gòu)管理員決定的。這樣就實(shí)現(xiàn)了統(tǒng)一控制,靈活分配。至于許可指派,是指為角色指派資源的訪問(wèn)和操作許可,其實(shí)就是上面所提到給角色授權(quán)。(4限制、角色和角色等級(jí)角色本身僅僅只是一個(gè)名詞,其本身并不能代表權(quán)限的大小。系統(tǒng)無(wú)法僅僅根據(jù)角色的名稱來(lái)確定權(quán)限的高低和區(qū)別。因此需要采用分等級(jí)角色,在角色上實(shí)現(xiàn)層次化來(lái)解決這些問(wèn)題。也可以采用復(fù)合角色(其表示的就是一個(gè)角色組的概念,對(duì)角色實(shí)現(xiàn)一定的分組和復(fù)合,以便于權(quán)限指派。國(guó)家級(jí)的電子政務(wù)系統(tǒng)模擬的是一個(gè)國(guó)家級(jí)的系統(tǒng),包括國(guó)家各個(gè)級(jí)別的,各個(gè)地區(qū)的機(jī)構(gòu)。很多情況下,同一級(jí)別機(jī)構(gòu)里的職務(wù)是相同的。所以本模型對(duì)角色進(jìn)行分級(jí)。有了級(jí)別限制,超級(jí)管理員在定義角色時(shí),就沒(méi)有必要為每個(gè)機(jī)構(gòu)都定義角色了,只需要定義同一級(jí)別的角色即可。對(duì)角色引入級(jí)別限制,解決了普遍性問(wèn)題,但是也有很多特殊情況,例如對(duì)于某些特殊的省,比如西藏,或許只有省級(jí)的機(jī)構(gòu),很多應(yīng)該由地級(jí)和縣級(jí)管理的事務(wù)不得不拿到省級(jí)圖1RBAC0模型用戶角色會(huì)話操作控制對(duì)象與用戶相聯(lián)系的會(huì)話集合session激活的角色用戶角色分配(UA角色許可分配(PA許可(PERM-682-來(lái)管理,這樣就需要給這個(gè)省建立一些特殊的角色,區(qū)別于其它省級(jí)角色。為了解決這個(gè)問(wèn)題,本文給角色加了一個(gè)地域的概念,這樣就可以解決由于地域的特殊性帶來(lái)的權(quán)限分配問(wèn)題。這樣就形成一個(gè)地域和級(jí)別的復(fù)合角色,很好的解決地域特殊性的問(wèn)題。根據(jù)以上概念建立的系統(tǒng)模型如圖2所示。(5會(huì)話分配了權(quán)限給角色,又分配了角色給用戶,實(shí)際上就是通過(guò)角色,把權(quán)限賦給了用戶。在用戶登錄時(shí)會(huì)根據(jù)它所擁有的角色信息,把其權(quán)限取出來(lái),當(dāng)這個(gè)用戶請(qǐng)求某個(gè)操作時(shí),要先驗(yàn)證此用戶是否有操作權(quán)限。這樣就實(shí)現(xiàn)了對(duì)具體用戶的訪問(wèn)控制。這一過(guò)程在理論中稱為會(huì)話,會(huì)話表示的是用戶和角色之間的關(guān)系。用戶每次必須通過(guò)建立會(huì)話來(lái)激活角色,得到相應(yīng)的訪問(wèn)權(quán)限。其實(shí)在系統(tǒng)中會(huì)話就是用戶登錄和驗(yàn)證的過(guò)程,用戶只有通過(guò)會(huì)話激活其角色后,才能獲得相應(yīng)的操作權(quán)限,對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行操作。圖3為用戶登錄建立會(huì)話,并進(jìn)行操作的流程圖。2.3數(shù)據(jù)庫(kù)設(shè)計(jì)圖4為數(shù)據(jù)庫(kù)設(shè)計(jì)圖,其中操作表用于存放系統(tǒng)中對(duì)應(yīng)于每一個(gè)程序模塊的操作,角色表用于存放系統(tǒng)中所有的角色,角色_操作表用于把角色和操作關(guān)聯(lián)起來(lái),其中角色和操作是多對(duì)多的關(guān)系。角色_地點(diǎn)表用于給角色加上地域限制,即把角色應(yīng)用到某個(gè)地域.人員表記錄了人員的基本信息,登陸的驗(yàn)證信息,還有人員屬于哪個(gè)機(jī)構(gòu),這個(gè)機(jī)構(gòu)有一個(gè)所屬的地區(qū),通過(guò)機(jī)構(gòu)表可以看到。用戶表把人員和角色關(guān)聯(lián)起來(lái),用于給用戶的角色授權(quán)。3結(jié)束語(yǔ)本文的設(shè)計(jì)方案適用于國(guó)家級(jí)的電子政務(wù)解決方案,這種設(shè)計(jì)方案有利于國(guó)家統(tǒng)一控制權(quán)限,各個(gè)地方機(jī)構(gòu)分別管理人員,并對(duì)人員分配國(guó)家允許的權(quán)限。一旦國(guó)家的政策有改動(dòng)。例如,對(duì)某個(gè)角色而言,將增加或刪除某種權(quán)限,這樣只需在國(guó)家級(jí)的超級(jí)管理員處將此角色的定義修改一下即可,不需要每個(gè)有這個(gè)角色機(jī)構(gòu)都進(jìn)行修改。同樣,在定義人員時(shí),國(guó)家不需要知道哪個(gè)角色分配給了哪個(gè)人,只需要知道對(duì)于哪個(gè)地區(qū)應(yīng)該有那種角色即可,各個(gè)地方機(jī)構(gòu)的管理員,根據(jù)本機(jī)構(gòu)的情況分配角色,當(dāng)然,此角色是應(yīng)用到這個(gè)地區(qū)的。本文對(duì)于大型電子政務(wù)系統(tǒng)中