基于RBAC的電子政務(wù)權(quán)限訪問控制模塊的設(shè)計與實現(xiàn)

-680-0引言在電子政務(wù)系統(tǒng)中,權(quán)限管理是設(shè)計的核心部分,因為各子系統(tǒng)不可能對所有用戶開放,這樣做既不利于數(shù)據(jù)保密,又會對系統(tǒng)安全運行造成威脅。訪問控制正是實現(xiàn)既定安全策略的系統(tǒng)安全技術(shù),它管理所有資源訪問請求,即根據(jù)安全策略的要求,對每個資源訪問請求做出是否許可的判斷,能有效地防止非法用戶訪問系統(tǒng)資源和合法用戶非法使用資源。1訪問控制技術(shù)簡介訪問控制技術(shù)最早產(chǎn)生于20世紀60年代,隨后出現(xiàn)了兩種重要的訪問控制技術(shù):自主訪問控制(discretionaryaccesscontrol,DAC和強制訪問控制(mandatoryaccesscontrol,MAC1.1自主訪問控制技術(shù)(DAC目前我國大多數(shù)信息系統(tǒng)的訪問控制模塊基本都是借助于自主型訪問控制方法中的訪問控制列表(ACLs。自主訪問控制有一個明顯的缺點就是這種控制是自主的,它能夠控制主體對客體的直接訪問,但不能控制主體對客體的間接訪問(利用訪問的傳遞性,即A可訪問B,B可訪問C,于是A可訪問C。雖然這種自主性為用戶提供了很大的靈活性,但同時也帶來了嚴重的安全問題。1.2強制訪問控制技術(shù)(MAC安全級別高的計算機采用這種策略,它常用于軍隊和國家重要機構(gòu),例如將數(shù)據(jù)分為絕密、機密、秘密和一般等幾類。用戶的訪問權(quán)限也類似定義,即擁有相應(yīng)權(quán)限的用戶可以訪問對應(yīng)安全級別的數(shù)據(jù),從而避免了自主訪問控制方法中出現(xiàn)的訪問傳遞問題。這種策略具有層次性的特點,高級別的權(quán)限可以訪問低級別的數(shù)據(jù)。這種策略的缺點在于訪問級別的劃分不夠細致,在同級間缺乏控制機制。1.3基于角色的訪問控制技術(shù)(RBAC由于DAC和MAC安全性的缺陷及其基于用戶的機制造成的添加用戶和功能時操作的復(fù)雜性,我們選擇了一種新型的訪問控制技術(shù)RBAC(role-basedaccesscontrol。在RBAC中,在用戶和訪問許可權(quán)之間引入角色的概念,用戶與特定的一個或多個角色相聯(lián)系,角色與一個或多個訪問許可權(quán)相聯(lián)系,角色可以根據(jù)實際的工作需要生成或取消,而用戶可以根據(jù)自己的需要動態(tài)地激活自己擁有的角色,避免了用戶無意中危害系統(tǒng)安全。RBAC模型是目前最為廣泛接受的權(quán)限模型,收稿日期:2006-01-10E-mail:zhangxy@作者簡介:張曉燕(1979-,女,河北人,碩士研究生,研究方向為計算機應(yīng)用;張素偉(1959-,男,北京人,碩士生導(dǎo)師,正研級高級工程師,研究方向為組件開發(fā)技術(shù)與電子商務(wù)企業(yè)應(yīng)用集成?；赗BAC的電子政務(wù)權(quán)限訪問控制模塊的設(shè)計與實現(xiàn)張曉燕,張素偉(華北計算技術(shù)研究所,北京100083摘要:電子政務(wù)系統(tǒng)龐大,涉及到的機構(gòu)、地域、人員繁多,而且國家的政策法規(guī)還處于不斷完善中,很可能需要不斷的調(diào)整權(quán)限控制系統(tǒng),所以對權(quán)限管理模塊的易維護和易擴展性提出很高要求。RBAC訪問控制技術(shù),引入角色的概念,使得用戶、權(quán)限管理條理化,減少授權(quán)管理的復(fù)雜性,支持用戶數(shù)量和子系統(tǒng)數(shù)量、功能的無限增加,滿足系統(tǒng)擴展性要求。利用RBAC技術(shù),可以實現(xiàn)國家集中控制權(quán)限系統(tǒng),各機構(gòu)自主分配角色。關(guān)鍵詞:RBAC;級別;地域;角色;操作;可配置;中圖法分類號:TP311.52文獻標識碼:A文章編號:1000-7024(200703-0680-03DesignandrealizationinE-governmentsystembasedonRBACtheoryZHANGXiao-yan,ZHANGSu-wei(NorthChinaInstituteofComputingTechnology,Beijing100083,China:TheE-governmentsystemisavoluminoussystemwhichconcernsmanydepartments,districtsandpeople.Sincethenationalpoliciesandstatutesstillkeepperfecting,thehighcriterionrequirementfortheeasy-maintenanceandeasy-expansibilityisnecessaryintheauthoritymanagementmodule.TheRBACaccesscontroltechnologymakestheuserandtheauthoritymanagementmethodicbyin-troducingtheconceptionofroll.Meanwhile,thecomplexityfortheauthorizationmanagementisdecreased;thefunctiondevelopmentwithoutlimitationissupportedandquantityofuserandsub-systemislarged;therequirementofsystemexpansibilityissatisfied.ByapplyingtheRBACtechnology,nationcontroltheauthoritysystemwhilethedepartmentsassigntherollsindependent.:RBAC;level;district;role;operation;configure;2007年2月計算機工程與設(shè)計Feb.2007第28卷第3期Vol.28No.3ComputerEngineeringandDesign-681-標準RBAC模型由4個部件模型組成,這4個部件模型分別是基本模型RBAC0、角色分級模型RBAC1、角色限制模型RBAC2和統(tǒng)一模型RBAC3。RBAC0模型如圖1所示。RBAC0定義了能構(gòu)成一個RBAC控制系統(tǒng)的最小的元素集合。在RBAC之中,包含用戶USERS、角色ROLES、目標OBS、操作OPS、許可權(quán)PRMS這5個基本數(shù)據(jù)元素,權(quán)限被賦予角色,而不是用戶,當一個角色被指定給一個用戶時,此用戶就擁有了該角色所包含的權(quán)限。會話sessions是用戶與激活的角色集合之間的映射。RBAC0與傳統(tǒng)訪問控制的差別在于增加一層間接性帶來了靈活性,RBAC1、RBAC2、RBAC3都是先后在RBAC0上的擴展。目前大型系統(tǒng)應(yīng)用于社會的方方面面,尋找一種適合大型可擴展系統(tǒng)的安全管理方案就顯得極為重要。而RBAC技術(shù)由于其對角色和層次化管理的引進,特別適用于用戶數(shù)量龐大,系統(tǒng)功能不斷擴展的大型系統(tǒng)。所以本文選擇了RBAC0作為系統(tǒng)訪問控制設(shè)計方案。2系統(tǒng)分析與設(shè)計2.1設(shè)計思想對于一個國家級的電子政務(wù)系統(tǒng),它的應(yīng)用范圍包括全國各地的各級政府機構(gòu)和服務(wù)于這些機構(gòu)的大量工作人員,出于信息安全和系統(tǒng)運行速度以及操作簡便性方面的考慮,我們要基于工作人員的職務(wù)和工作性質(zhì)來確定他在本系統(tǒng)中的操作權(quán)限。特殊的系統(tǒng)需求,尤其考慮到本系統(tǒng)使用人員的數(shù)量之大、類別之多、地域之廣,使得廣泛應(yīng)用于其它行業(yè)絕大多數(shù)權(quán)限控制系統(tǒng)無法滿足。RBAC理論提出角色的概念,將用戶與操作分開正,使權(quán)限的分配變得簡單而有效。研究表明,RBAC理論所包含的設(shè)計思想有以下的優(yōu)點:①授權(quán)方式得易用性和高效性:系統(tǒng)在授權(quán)(即分配操作權(quán)限的時候,只需授權(quán)給角色,然后將角色分配給用戶即可。②授權(quán)模型維護的簡便性:系統(tǒng)的維護只需要維護基本的授權(quán)模型,而不需要針對每一個用戶進行具體而繁瑣的維護。這些特點恰恰能使國家級電子政務(wù)系統(tǒng)的人員繁多,不好集中管理的問題得到完美的解決,同時保證了信息的安全性。這也是之所以在設(shè)計過程中處處體現(xiàn)RBAC理論的原因。2.2設(shè)計及實現(xiàn)RBAC理論包含一些基本概念,這些概念在我們的設(shè)計過程中將有選擇的有所體現(xiàn):(1用戶和角色用戶指訪問系統(tǒng)中的資源的主體,一般為人,也可為Agent等智能程序。電子政務(wù)系統(tǒng)用戶是各級政府機構(gòu)的工作人員及管理人員。角色指應(yīng)用領(lǐng)域內(nèi)一種權(quán)力和責(zé)任的語義綜合體,一般來說是一個抽象概念,也可以是對應(yīng)于實際系統(tǒng)中的特定語義體,系統(tǒng)的設(shè)計者可以根據(jù)自己的需要設(shè)定角色的定義和名稱。針對角色屬性的不同,某些模型中將角色進一步細分為普通角色和管理員角色(可理解為全局角色。在本文設(shè)計的電子政務(wù)模型中,角色就包括普通角色和管理員角色。其中管理員角色又細分為超級管理員(全局角色和各機構(gòu)管理員,其中超級管理員負責(zé)定義角色并維護整個系統(tǒng)的運轉(zhuǎn);各機構(gòu)管理員負責(zé)管理本機構(gòu)的人員,并給人員分配角色;普通角色對應(yīng)了機構(gòu)內(nèi)部的職務(wù)。(2許可和權(quán)限被賦予了超級管理員角色的人,負責(zé)定義角色。定義角色的同時,我們要對角色進行授權(quán),這里含有另外兩個具體的概念:許可和權(quán)限。其中許可是授權(quán)的結(jié)果,表示某個角色獲得了某種權(quán)限,權(quán)限描述的是許可和具體操作間的某種關(guān)聯(lián)關(guān)系。在本文中,授權(quán)的過程由超級管理員完成,是定義角色的一部分。如果定義的角色為機構(gòu)管理員,則系統(tǒng)會給機構(gòu)管理員授權(quán),即賦予機構(gòu)管理員管理本機構(gòu)人員的權(quán)限。如果定義的角色不是機構(gòu)管理員,那就是普通角色,普通角色對應(yīng)了機構(gòu)內(nèi)部的職務(wù),這樣就需要超級管理員根據(jù)實際情況,給這個角色進行授權(quán),即指派某些操作權(quán)限到這個角色上。(3角色和指派指派是RBAC理論中另一個重要的概念,其中包括用戶指派和許可指派兩種。用戶指派是指將用戶指派給特定角色,即將用戶跟提前定義好的角色相關(guān)聯(lián),也就意味著將用戶與具體操作權(quán)限相關(guān)聯(lián),本文中的指派就是指的這一種。各機構(gòu)的管理員就負責(zé)把建好的角色,分配給本機構(gòu)的人員,這個機構(gòu)的管理員所能看到的角色信息只是他可分配的角色。所以需要根據(jù)超級管理員為角色加的限制信息,為各個機構(gòu)的管理員挑選出他可分配的角色。本模型的角色等級有地域和級別,各個機構(gòu)的管理員也有本機構(gòu)的地域和級別,所以可以取出管理員所在機構(gòu)的地域和級別信息,并且根據(jù)這些信息為管理員挑選可分配的角色。不可分配的角色對于機構(gòu)管理員是透明的。這個過程其實就是在給機構(gòu)管理員在分配角色時加入了限制信息。這就是對指派角色給用戶時的約束條件,而所有這些約束條件是由國家超級管理員統(tǒng)一控制的,但是具體的角色分配給那個用戶是由各機構(gòu)管理員決定的。這樣就實現(xiàn)了統(tǒng)一控制,靈活分配。至于許可指派,是指為角色指派資源的訪問和操作許可,其實就是上面所提到給角色授權(quán)。(4限制、角色和角色等級角色本身僅僅只是一個名詞,其本身并不能代表權(quán)限的大小。系統(tǒng)無法僅僅根據(jù)角色的名稱來確定權(quán)限的高低和區(qū)別。因此需要采用分等級角色,在角色上實現(xiàn)層次化來解決這些問題。也可以采用復(fù)合角色(其表示的就是一個角色組的概念,對角色實現(xiàn)一定的分組和復(fù)合,以便于權(quán)限指派。國家級的電子政務(wù)系統(tǒng)模擬的是一個國家級的系統(tǒng),包括國家各個級別的,各個地區(qū)的機構(gòu)。很多情況下,同一級別機構(gòu)里的職務(wù)是相同的。所以本模型對角色進行分級。有了級別限制,超級管理員在定義角色時,就沒有必要為每個機構(gòu)都定義角色了,只需要定義同一級別的角色即可。對角色引入級別限制,解決了普遍性問題,但是也有很多特殊情況,例如對于某些特殊的省,比如西藏,或許只有省級的機構(gòu),很多應(yīng)該由地級和縣級管理的事務(wù)不得不拿到省級圖1RBAC0模型用戶角色會話操作控制對象與用戶相聯(lián)系的會話集合session激活的角色用戶角色分配(UA角色許可分配(PA許可(PERM-682-來管理,這樣就需要給這個省建立一些特殊的角色,區(qū)別于其它省級角色。為了解決這個問題,本文給角色加了一個地域的概念,這樣就可以解決由于地域的特殊性帶來的權(quán)限分配問題。這樣就形成一個地域和級別的復(fù)合角色,很好的解決地域特殊性的問題。根據(jù)以上概念建立的系統(tǒng)模型如圖2所示。(5會話分配了權(quán)限給角色,又分配了角色給用戶,實際上就是通過角色,把權(quán)限賦給了用戶。在用戶登錄時會根據(jù)它所擁有的角色信息,把其權(quán)限取出來,當這個用戶請求某個操作時,要先驗證此用戶是否有操作權(quán)限。這樣就實現(xiàn)了對具體用戶的訪問控制。這一過程在理論中稱為會話,會話表示的是用戶和角色之間的關(guān)系。用戶每次必須通過建立會話來激活角色,得到相應(yīng)的訪問權(quán)限。其實在系統(tǒng)中會話就是用戶登錄和驗證的過程,用戶只有通過會話激活其角色后,才能獲得相應(yīng)的操作權(quán)限,對系統(tǒng)數(shù)據(jù)進行操作。圖3為用戶登錄建立會話,并進行操作的流程圖。2.3數(shù)據(jù)庫設(shè)計圖4為數(shù)據(jù)庫設(shè)計圖,其中操作表用于存放系統(tǒng)中對應(yīng)于每一個程序模塊的操作,角色表用于存放系統(tǒng)中所有的角色,角色_操作表用于把角色和操作關(guān)聯(lián)起來,其中角色和操作是多對多的關(guān)系。角色_地點表用于給角色加上地域限制,即把角色應(yīng)用到某個地域.人員表記錄了人員的基本信息,登陸的驗證信息,還有人員屬于哪個機構(gòu),這個機構(gòu)有一個所屬的地區(qū),通過機構(gòu)表可以看到。用戶表把人員和角色關(guān)聯(lián)起來,用于給用戶的角色授權(quán)。3結(jié)束語本文的設(shè)計方案適用于國家級的電子政務(wù)解決方案,這種設(shè)計方案有利于國家統(tǒng)一控制權(quán)限,各個地方機構(gòu)分別管理人員,并對人員分配國家允許的權(quán)限。一旦國家的政策有改動。例如,對某個角色而言,將增加或刪除某種權(quán)限,這樣只需在國家級的超級管理員處將此角色的定義修改一下即可,不需要每個有這個角色機構(gòu)都進行修改。同樣,在定義人員時,國家不需要知道哪個角色分配給了哪個人,只需要知道對于哪個地區(qū)應(yīng)該有那種角色即可,各個地方機構(gòu)的管理員,根據(jù)本機構(gòu)的情況分配角色,當然,此角色是應(yīng)用到這個地區(qū)的。本文對于大型電子政務(wù)系統(tǒng)中