李全文

（中兵光電科技股份有限公司 ，北京 100176）

0 引言

隨著產(chǎn)品知識(shí)產(chǎn)權(quán)保護(hù)意識(shí)的不斷加強(qiáng)，用戶對(duì)于網(wǎng)絡(luò)協(xié)同設(shè)計(jì)環(huán)境下的產(chǎn)品模型保護(hù)有了更大的需求。雖然訪問控制經(jīng)過了幾十年的發(fā)展，但是應(yīng)用到CAD環(huán)境中的并不多。近年來隨著很多模型的圖紙被修改或者竊取，使得人們對(duì)模型的保護(hù)越來越重視，近些年來對(duì)CAD模型的研究也越來越多。本文將TRBAC模型的理論應(yīng)用到CAD系統(tǒng)中，提出一個(gè)基于TRBAC的CAD模型加密的訪問控制模型。

1 系統(tǒng)設(shè)計(jì)

1.1 系統(tǒng)安全需求

在CAD的網(wǎng)絡(luò)協(xié)同設(shè)計(jì)環(huán)境中，數(shù)據(jù)處理模式不同于傳統(tǒng)的系統(tǒng)數(shù)據(jù)處理模式---內(nèi)部數(shù)據(jù)控制和管理，而是使用內(nèi)部-外部數(shù)據(jù)信息交流的方式。安全訪問控制方案的設(shè)計(jì)必須適應(yīng)這種數(shù)據(jù)流動(dòng)方式的改變。不同的設(shè)計(jì)單位、用戶對(duì)框架的訪問控制服務(wù)也有不同的要求。例如，在安全級(jí)別要求較高的部門中，往往需要采用嚴(yán)格的設(shè)計(jì)策略，用戶需要利用訪問控制來保護(hù)敏感項(xiàng)目或項(xiàng)目中的敏感設(shè)計(jì)對(duì)象，以及把關(guān)鍵的設(shè)計(jì)工作保留給重要用戶；而在安全級(jí)別要求較低的部門中，訪問控制不需要很嚴(yán)格。因此訪問控制系統(tǒng)必須是有彈性、可定制的，以便滿足不同設(shè)計(jì)環(huán)境的需要。訪問控制系統(tǒng)還要管理記錄訪問控制的信息，并能夠?qū)@些記錄信息進(jìn)行訪問控制。

1.2 訪問控制系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

根據(jù)系統(tǒng)設(shè)計(jì)需求，對(duì)訪問控制系統(tǒng)進(jìn)行了設(shè)計(jì)。服務(wù)器端分兩部分：訪問控制部分和應(yīng)用服務(wù)器部分。訪問控制部分主要由身份驗(yàn)證服務(wù)器、訪問控制服務(wù)器組成。訪問控制服務(wù)器是系統(tǒng)的核心部分，為整個(gè)系統(tǒng)提供訪問控制服務(wù)，也就是控制所有訪問者的訪問請(qǐng)求，根據(jù)已制定的安全規(guī)則，決定訪問是否合法。各部分需要實(shí)現(xiàn)如下功能：

1）用戶訪問應(yīng)用服務(wù)器時(shí)，首先必須向身份驗(yàn)證服務(wù)器出示自己的身份，經(jīng)驗(yàn)證合法后方可進(jìn)入角色服務(wù)器；

2）身份驗(yàn)證通過之后，通過用戶角色服務(wù)器方可獲得該用戶的角色身份，并向角色權(quán)限服務(wù)器獲得其權(quán)限結(jié)果。將角色權(quán)限和訪問請(qǐng)求發(fā)給訪問控制服務(wù)器，由其進(jìn)行決策判斷，根據(jù)決策結(jié)果決定是否向應(yīng)用服務(wù)器提交用戶的訪問請(qǐng)求；

3）角色庫存儲(chǔ)系統(tǒng)定義的角色集合，角色庫由系統(tǒng)管理員管理；

4）角色權(quán)限庫存儲(chǔ)每個(gè)角色可訪問數(shù)據(jù)資源的集合，該庫由系統(tǒng)管理員負(fù)責(zé)管理維護(hù)；

5）審計(jì)信息服務(wù)器負(fù)責(zé)處理用戶訪問使用數(shù)據(jù)的紀(jì)錄，系統(tǒng)管理員可以瀏覽、修改系統(tǒng)訪問紀(jì)錄；

6）審計(jì)信息庫存儲(chǔ)用戶的訪問使用紀(jì)錄，由系統(tǒng)管理員通過審計(jì)信息服務(wù)器管理、維護(hù)和使用。

系統(tǒng)的結(jié)構(gòu)示意圖如圖1所示。

圖1 系統(tǒng)結(jié)構(gòu)示意圖

應(yīng)用服務(wù)器是CAD模型數(shù)據(jù)的核心部分，主要用來存儲(chǔ)產(chǎn)品模型，是訪問控制系統(tǒng)保護(hù)的對(duì)象。任何不通過訪問控制系統(tǒng)許可的對(duì)象不能對(duì)其內(nèi)部數(shù)據(jù)進(jìn)行訪問。應(yīng)用服務(wù)器的對(duì)外接口部分響應(yīng)通過了權(quán)限控制模塊的客戶端的數(shù)據(jù)請(qǐng)求，根據(jù)用戶的角色身份所具有的權(quán)限，為其產(chǎn)生與其權(quán)限對(duì)應(yīng)的產(chǎn)品簡(jiǎn)化模型視圖，模型數(shù)據(jù)經(jīng)過傳輸加密后，發(fā)送到合法的客戶端。

2 訪問控制模型

結(jié)合基于任務(wù)的訪問控制技術(shù)，我們提出了基于任務(wù)角色的多層次動(dòng)態(tài)訪問控制模型。相對(duì)于傳統(tǒng)的基于角色的訪問控制模型和基于任務(wù)的訪問控制模型，我們引入了角色分層和權(quán)限分層管理。角色分層簡(jiǎn)化了權(quán)限表示及角色授權(quán)過程；權(quán)限分層適應(yīng)了CAD產(chǎn)品多層次結(jié)構(gòu)的特點(diǎn)。

模型相關(guān)定義如下：

定義1（對(duì)象，數(shù)據(jù)集）：產(chǎn)品模型的所有數(shù)據(jù)構(gòu)成了協(xié)同設(shè)計(jì)的操作數(shù)據(jù)集，用D表示。對(duì)象是指產(chǎn)品模型數(shù)據(jù)的一個(gè)子集，記為ob，且對(duì)?ob，ob?D。在層次建模中，ob可以是CAD產(chǎn)品模型的拓?fù)涿?、體特征、零件體或裝配體等。

定義2 （操作集，操作子集）：操作集（記為OP）是一個(gè)有限集，其中的每個(gè)元素都表示一種可以對(duì)對(duì)象實(shí)施的操作op。如果o?OP，則稱o為一個(gè)操作子集。

定義3（訪問權(quán)限，訪問權(quán)限集）： 訪問權(quán)限集是集合D×2OP的子集，記為P。P中的每個(gè)元素表示一種權(quán)限，記為p（ob，o）。每一個(gè)權(quán)限以對(duì)象為單位進(jìn)行授權(quán)，其直觀含義是，若o?OP且ob?D，則訪問權(quán)限p（ob，o）?P，表示對(duì)對(duì)象ob可以執(zhí)行操作子集o中的各項(xiàng)操作。

定義4 用戶（User）：是指協(xié)同環(huán)境中被賦予一定角色的集合，具有相應(yīng)角色，并依據(jù)角色的任務(wù)來行使權(quán)限，通常指從事協(xié)同活動(dòng)的人員，記為U。一個(gè)用戶可以有多個(gè)角色。

定義5（角色集，角色）：角色集是由訪問權(quán)限集的一些子集構(gòu)成的集合，記為R，即R?2P。角色集的每一個(gè)元素表示一種角色r，r是一組權(quán)限的集合，即?r?R，有r?P。

定義6（角色繼承）：?r1，r2?R，如果r1?r2，則稱r2繼承r1，即滿足繼承關(guān)系，用r1→r2表示，其中r1稱為父角色，r2為子角色。角色繼承關(guān)系是一種偏序關(guān)系，具有自反性、傳遞性和反對(duì)稱性。

定義7 會(huì)話（Sessions）：是一個(gè)動(dòng)態(tài)概念，用戶激活角色集時(shí)建立會(huì)話。會(huì)話是一個(gè)用戶與多個(gè)角色的映射，會(huì)話和角色是多對(duì)多的關(guān)系，用戶在會(huì)話中所具有的權(quán)限是其所有的角色擁有權(quán)限集合的并集，記為S。

定義8 任務(wù)（Task）：工作流程中的一個(gè)邏輯單元，完成某種特殊功能，即工作流的活動(dòng)，或是若干個(gè)活動(dòng)的組成。任務(wù)有靜止、存在、失敗、運(yùn)行、等待和完成6種基本狀態(tài)。任務(wù)之間存在著狀態(tài)依賴關(guān)系。狀態(tài)依賴包括順序依賴、失敗依賴、同步依賴。模型根據(jù)狀態(tài)依賴這個(gè)動(dòng)態(tài)約束進(jìn)行動(dòng)態(tài)授權(quán)。記為T。

定義9 約束（Constraints）：表示整個(gè)模型各個(gè)元素之間的限制條件，記為C。

定義10 角色分層（Role Hierarch）：角色到角色之間的二元關(guān)系，具體表現(xiàn)為在一個(gè)組織內(nèi)部的角色等級(jí)關(guān)系，即關(guān)于角色的偏序關(guān)系，它包括繼承機(jī)制，記為RH。

定義11 （權(quán)限狀態(tài)，permission state)：這是權(quán)限在執(zhí)行過程中可能經(jīng)歷的狀態(tài)，令p?P，則該權(quán)限的狀態(tài)為p〈state〉。在模型中定義如下5種權(quán)限狀態(tài):睡眠狀態(tài)（dormant），就緒狀態(tài)(ready），掛起狀態(tài)（hold），運(yùn)行狀態(tài)（running），完成狀態(tài)（accomplished）。

定義12 權(quán)限關(guān)系（permission relation）：指不同權(quán)限之間的依賴關(guān)系。根據(jù)權(quán)限執(zhí)行的時(shí)間順序，可以分為如下3類關(guān)系：同步關(guān)系，順序關(guān)系，互斥關(guān)系。

3 模型的實(shí)施

3.1 角色劃分

為更好的提高管理效率，在角色劃分中需要重點(diǎn)考慮角色的層次性。在系統(tǒng)中角色劃分為三個(gè)層次，分別為最高級(jí)別系統(tǒng)管理員層、高級(jí)別角色層以及普通角色層。系統(tǒng)管理員層擁有最高的權(quán)限，主要負(fù)責(zé)系統(tǒng)角色權(quán)限的初始化和系統(tǒng)的管理維護(hù)。系統(tǒng)管理員角色必須由兩個(gè)及兩個(gè)以上的人共同擔(dān)任，同時(shí)系統(tǒng)管理員不能具備行使一般的設(shè)計(jì)工作的能力。高級(jí)別角色在系統(tǒng)中既可以從事設(shè)計(jì)工作，完成產(chǎn)品開發(fā)中的設(shè)計(jì)功能，又可以進(jìn)行權(quán)限授予。普通角色層為一般的設(shè)計(jì)人員，只具備完成產(chǎn)品開發(fā)中的研發(fā)設(shè)計(jì)能力。

角色劃分根據(jù)任務(wù)需求來設(shè)定，角色在系統(tǒng)中必須執(zhí)行一定的任務(wù)。用符號(hào)表示為：

1）R＝{r1，r2，r3，…，rn}表示角色集合。rn表示具體的某個(gè)角色。

2）T＝{t1，t2，t3，…tn}表示任務(wù)集合。tn表示具體的某項(xiàng)任務(wù)。

3）RT×2T表示角色的任務(wù)集合。

3.2 權(quán)限分配

訪問控制是對(duì)系統(tǒng)權(quán)限的控制，也就是用戶對(duì)某一程序是否擁有執(zhí)行權(quán)。權(quán)限必須是具體的可以被控制的。將權(quán)限進(jìn)行合理的劃分，合理的分配給角色是基于角色的權(quán)限控制系統(tǒng)實(shí)施的關(guān)鍵。權(quán)限的分配過程包括權(quán)限分層定義、角色權(quán)限分配、用戶角色分配。

1）權(quán)限分層定義，主要是根據(jù)產(chǎn)品模型的功能特點(diǎn)及設(shè)計(jì)者的協(xié)同目的對(duì)產(chǎn)品模型進(jìn)行劃分，分別定義所需要的部件層權(quán)限、零件層權(quán)限和特征層權(quán)限。此過程可以映射為數(shù)據(jù)集D與操作集OP的關(guān)聯(lián)，一般可以使用二元組〈ob，op〉表示。但是為了實(shí)現(xiàn)動(dòng)態(tài)權(quán)限管理，訪問權(quán)限表示為三元組〈ob，op，state〉。

2）角色權(quán)限分配，主要是根據(jù)不同用戶的設(shè)計(jì)任務(wù)及權(quán)限間的相互關(guān)系來定義角色關(guān)聯(lián)的權(quán)限集合。角色權(quán)限分配可以映射為角色集合R與訪問權(quán)限集合P的關(guān)系，可用二元組〈r，p〉來表示。在權(quán)限的分配過程中還必須考慮權(quán)限的互斥關(guān)系，防止角色權(quán)限的沖突。

3）用戶角色分配，可以表示為用戶集合U與角色集合R的二元關(guān)系，可以使用二元組〈u，r〉來表示。用戶角色分配過程中必須考慮角色的沖突關(guān)系。角色的任務(wù)集合決定了角色具體能夠完成的任務(wù)，系統(tǒng)必須具有具體的功能模塊，對(duì)功能模塊的使用對(duì)應(yīng)了角色的具體權(quán)限集合。

3.3 CAD模型的加密

CAD模型的加密是指在協(xié)同環(huán)境下將自己所做的模型保護(hù)起來，同時(shí)要滿足訪問控制的要求，即角色等級(jí)高的用戶能查看角色等級(jí)低的用戶的模型，同時(shí)CAD模型既要有加密的算法也要有解密的算法。這里我們采用DES算法。

4 結(jié)束語

本文分析了信息系統(tǒng)的安全需求及目標(biāo)，提出了基于任務(wù)角色的多層次動(dòng)態(tài)訪問控制模型，在此基礎(chǔ)上構(gòu)架了系統(tǒng)的總體結(jié)構(gòu)。針對(duì)系統(tǒng)的實(shí)施，詳細(xì)對(duì)系統(tǒng)模型的角色劃分、權(quán)限分配、任務(wù)劃分以及約束管理進(jìn)行了分析，為基于CAD的訪問控制方案的實(shí)施奠定了基礎(chǔ)。

[1] 韓偉力.分布式環(huán)境下的約束訪問控制技術(shù)研究[D]. 浙江大學(xué), 2003.

[2] 雷浩, 黃建, 馮登國.協(xié)同環(huán)境中共有資源的細(xì)粒度協(xié)作訪問控制策略[J].軟件學(xué)報(bào), 2005,16(5): 1000-1011.

[3] 洪帆, 何緒斌, 徐智勇.基于角色的訪問控制[J].小型微型計(jì)算機(jī)系統(tǒng), 2003, 2(2): 198-200.

[4] 方萃浩, 葉修梓, 彭維, 張引.協(xié)同環(huán)境下CAD模型的多層次動(dòng)態(tài)安全訪問控制[J].軟件學(xué)報(bào), 2007, 18(9): 2295-2305.