傅豐,洪源

（1.黃淮學(xué)院計(jì)算機(jī)科學(xué)系,河南駐馬店463000；2.河南科技學(xué)院,河南新鄉(xiāng)453003）

網(wǎng)絡(luò)的互聯(lián)帶來(lái)了政務(wù)信息資源的共享,同時(shí)也帶來(lái)了更多的信息安全隱患.電子政務(wù)的支撐數(shù)據(jù)庫(kù)中存儲(chǔ)著大量的政府信息、企業(yè)信息和個(gè)人信息,經(jīng)常會(huì)涉及國(guó)家機(jī)密或國(guó)家安全,如何提高電子政務(wù)內(nèi)網(wǎng)的安全性和保護(hù)政務(wù)信息資源顯得尤為重要.但目前電子政務(wù)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)管理本身不是很?chē)?yán)謹(jǐn),核心的機(jī)密數(shù)據(jù)一般只采用簡(jiǎn)單的授權(quán)口令保護(hù),不能適應(yīng)電子政務(wù)進(jìn)一步發(fā)展的需要.“2008年據(jù)美國(guó)FBI統(tǒng)計(jì),83%的信息安全事故為內(nèi)部人員和內(nèi)外勾結(jié)所為,而且呈上升的趨勢(shì).另?yè)?jù)公安部最新統(tǒng)計(jì),70%的泄密犯罪來(lái)自于內(nèi)部,電腦應(yīng)用單位80%未設(shè)立相應(yīng)的安全管理,58%無(wú)嚴(yán)格的調(diào)存管理制度”[1].訪問(wèn)控制（Access Control）是通過(guò)某種途徑顯式地準(zhǔn)許或限制訪問(wèn)能力及范圍的一種方法,其基本目標(biāo)是防止對(duì)任何資源進(jìn)行未授權(quán)的訪問(wèn),從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用.因此,運(yùn)用訪問(wèn)控制技術(shù)對(duì)內(nèi)部人員進(jìn)行安全管理,對(duì)其行為進(jìn)行監(jiān)控,防止其有意無(wú)意地對(duì)保密信息的瀏覽、竊取、串改和非法傳播,將對(duì)保障電子政務(wù)內(nèi)網(wǎng)數(shù)據(jù)存儲(chǔ)安全起到非常重要的作用.

1 訪問(wèn)控制技術(shù)的比較

1.1 自主訪問(wèn)控制DAC（Discretionary Access Contror）

在自主存取控制中,可以在每項(xiàng)資源對(duì)象上直接設(shè)置用戶的各種權(quán)限,也可以針對(duì)每個(gè)用戶組設(shè)定權(quán)限,每一個(gè)組對(duì)應(yīng)一定的崗位、職位、職責(zé),而把用戶置于一個(gè)或多個(gè)組中,實(shí)現(xiàn)權(quán)限管理.其缺點(diǎn)是一旦組織內(nèi)的人員發(fā)生離職、升職、換崗等人事變動(dòng)或者職能發(fā)生變化,都要對(duì)每項(xiàng)資源重新設(shè)置用戶許可的諸多細(xì)節(jié).當(dāng)資源對(duì)象數(shù)目龐大、組織機(jī)構(gòu)復(fù)雜、變動(dòng)頻繁時(shí),授權(quán)管理需要花費(fèi)很大的人力,且容易出錯(cuò)；DAC將賦予或取消訪問(wèn)權(quán)限的一部分權(quán)力留給用戶個(gè)人,不利于實(shí)現(xiàn)統(tǒng)一的全局訪問(wèn)控制,也無(wú)法實(shí)現(xiàn)動(dòng)態(tài)的和復(fù)雜的安全政策.另外,DAC能夠控制主體對(duì)客體的直接訪問(wèn),但不能控制主體對(duì)客體的間接訪問(wèn)（利用訪問(wèn)的傳遞性,即A可訪問(wèn)B,B可訪問(wèn)C,于是A可訪問(wèn)C）,這也帶來(lái)了嚴(yán)重的安全問(wèn)題[2].

1.2 強(qiáng)制訪問(wèn)控制MAC（Mandatory Access Control）

在強(qiáng)制訪問(wèn)控制中,對(duì)系統(tǒng)中的用戶和文件分成密級(jí)進(jìn)行標(biāo)識(shí),對(duì)于任意一個(gè)對(duì)象,只有具有合法許可證的用戶才可以存取,用戶只能讀取比其密級(jí)低的文件,從而達(dá)到防止非授權(quán)用戶越權(quán)讀和修改文件的目的.強(qiáng)制訪問(wèn)控制相對(duì)比較嚴(yán)格,避免了自主訪問(wèn)控制中出現(xiàn)的訪問(wèn)傳遞問(wèn)題.其缺點(diǎn)在于主體訪問(wèn)級(jí)別和客體安全級(jí)別的劃分不夠細(xì)致且與現(xiàn)實(shí)要求無(wú)法一致,在同級(jí)別間缺乏控制機(jī)制.另外MAC由于過(guò)于偏重保密性,對(duì)其他方面如系統(tǒng)連續(xù)工作能力、授權(quán)的可管理性等考慮不足[2].

1.3 RABC（Role-based Access Control）的優(yōu)勢(shì)

由于DAC和MAC安全性的缺陷及其基于用戶的機(jī)制造成的添加用戶和功能時(shí)操作的復(fù)雜性,在安全訪問(wèn)控制中,可選擇RBAC訪問(wèn)控制技術(shù).RBAC在用戶和訪問(wèn)許可權(quán)之間引入角色的概念,用戶與特定的一個(gè)或多個(gè)角色相聯(lián)系,角色與一個(gè)或多個(gè)訪問(wèn)許可權(quán)相聯(lián)系,角色可以根據(jù)實(shí)際的需要生成或取消,用戶可根據(jù)自己的需要?jiǎng)討B(tài)地激活自己擁有的角色,避免無(wú)意中危害系統(tǒng)安全.通過(guò)應(yīng)用RBAC將安全性放在一個(gè)接近組織結(jié)構(gòu)的自然層面上進(jìn)行管理,可有效地克服傳統(tǒng)訪問(wèn)控制技術(shù)中存在的不足之處,靈活地解決權(quán)限管理、資源管理及權(quán)限審查問(wèn)題,減少授權(quán)管理的復(fù)雜性,降低管理開(kāi)銷(xiāo),滿足政務(wù)協(xié)同管理的需要,提高政務(wù)系統(tǒng)靈活應(yīng)變的能力.

2 RBAC部件模型分析

標(biāo)準(zhǔn)RBAC由4個(gè)部件模型組成,分別是角色基本模型RBAC0、角色層次模型RBAC1、角色約束模型RBAC2和角色層次約束模型RBAC3[3-4].

2.1 角色基本模型RBAC0

定義：RBAC0模型主要由四個(gè)基本要素構(gòu)成,即用戶（U）,角色（R）、會(huì)話（S）和權(quán)限（P）.

UA=U×R,UA是用戶到角色的多對(duì)多關(guān)系；

PA=P×R,PA是權(quán)限到角色的多對(duì)多關(guān)系；

Users：R→2U是來(lái)源于UA的函數(shù),它將每一個(gè)角色映射到用戶集中.這里Users（r）=｛U,（U,r）,UA}；

Permissions：R→2P是來(lái)源于PA的函數(shù),它將每一個(gè)角色映射到權(quán)限集中,這里Permissions（r）=｛P,（P,r）,PA}；

roles（Si）：｛r,（user（Si）,r）,UA}；

試驗(yàn)表明，當(dāng)樣本數(shù)500較低時(shí)，CNN-2C算法相對(duì)于CNN-3C和CNN-4C算法準(zhǔn)確率較高，但是樣本數(shù)達(dá)到750之后，CNN-3C算法準(zhǔn)確率逐步提高，試驗(yàn)結(jié)果顯示CNN-3C算法的確能夠提供比CNN-2C、CNN-4C網(wǎng)絡(luò)更好的性能。

其中,user：S→U,是將各個(gè)會(huì)話Si映射到一個(gè)用戶去的函數(shù)user（Si）；

roles：S→2R,是將各個(gè)會(huì)話Si與一個(gè)角色集合連接起來(lái)的映射,可隨時(shí)間變化而變化,且會(huì)話Si的授權(quán)Ur：roles（Si）=｛P,（P,r）,PA}.RBAC0模型見(jiàn)圖1所示.

圖1 RBAC0模型

在RBAC0中每個(gè)角色至少具備一個(gè)授權(quán),而每個(gè)用戶至少扮演一個(gè)角色.“用戶—角色”和“角色—權(quán)限”都是“多對(duì)多”的關(guān)系.每個(gè)用戶可以擁有多個(gè)角色且一個(gè)角色可以分配給多個(gè)用戶；每個(gè)角色可以被賦予若千個(gè)權(quán)限,某個(gè)權(quán)限也可以賦予給多個(gè)角色.

2.2 角色層次模型RBAC1

在一般的單位或組織中,特權(quán)或職權(quán)通常具有線性關(guān)系,因此在RBAC0中引進(jìn)一定的層次結(jié)構(gòu)用于反映這一實(shí)際是自然的.如在多級(jí)安全控制系統(tǒng)內(nèi),存取類(lèi)的保密級(jí)別呈線性遞增,公開(kāi)＜秘密＜機(jī)密＜絕密.

其中安全策略的一個(gè)要求就是：要想合法地獲得信息,提出存取請(qǐng)求用戶的存取類(lèi)級(jí)別要大于信息的存取類(lèi)級(jí)別.RBAC1模型見(jiàn)圖2所示,RBAC1中支持的層次關(guān)系可以容易地實(shí)現(xiàn)多級(jí)安全系統(tǒng)所要求的保密級(jí)別的線性排列要求.RBAC1在RBAC0基礎(chǔ)上引入的角色層次結(jié)構(gòu),從數(shù)學(xué)的角度來(lái)講,其實(shí)是一種偏序關(guān)系,直觀上則體現(xiàn)為一種角色間的權(quán)限繼承關(guān)系,即高級(jí)角色繼承低級(jí)角色的權(quán)限.不過(guò)有時(shí)低級(jí)角色的某些權(quán)限拒絕被高級(jí)角色繼承,這時(shí)就需要把低級(jí)角色的這些不能被繼承的權(quán)限分離出去,而后形成一新的角色.此時(shí)高級(jí)角色繼承新角色的權(quán)限,同時(shí)還被賦予新的權(quán)限.

圖2 RBAC1模型

定義：RBAC1模型的組成同樣包括以下幾個(gè)部分：

U（用戶）、R（角色）、P（權(quán)限）以及 S（會(huì)話）；

UA=U×R,UA是用戶到角色的多對(duì)多關(guān)系；

RH=R×R,RH是角色上的一個(gè)偏序關(guān)系,稱(chēng)之為角色層次關(guān)系或等級(jí)關(guān)系,一般記作“≥”.

Users：R→2U是來(lái)源于UA的函數(shù),它將每一個(gè)角色映射到用戶集中.這里

Users（r）=｛U,（U,r）,UA}；

Permissions：R→2P是來(lái)源于PA的函數(shù),它將每一個(gè)角色映射到權(quán)限集中.這里：Permissions（r）=｛P,（P,r）,PA}；

roles（Si）={r,（r1≥r）[（user（Si）,r）,UA]}其中,user：S→U,將各個(gè)會(huì)話Si映射到一個(gè)用戶集的函數(shù)user（Si）；

roles：S→2R,將各個(gè)會(huì)話Si與一個(gè)角色集合連接起來(lái)的映射,可隨時(shí)間變化而變化,且會(huì)話Si的授權(quán)U r=roles（Si）｛p,（rl≥r）[（p,r）,PA]}.

2.3 角色約束模型RBAC2

在絕大多數(shù)組織中,除了角色的層次結(jié)構(gòu)外,經(jīng)常要考慮的問(wèn)題就是角色的約束機(jī)制.如一個(gè)公司的采購(gòu)員和出納員雖然都不算是高層人員,但任何一個(gè)公司都決不會(huì)允許同時(shí)將這兩個(gè)角色分配給一個(gè)職員.原因很顯然,因?yàn)檫@種工作安排很可能導(dǎo)致欺詐行為的發(fā)生.所以RBAC0的另一個(gè)增強(qiáng)方向就是RBAC2,即角色約束模型.在RBAC2中,最常用的約束關(guān)系就是互斥角色關(guān)系.如果兩個(gè)不同的角色分配給同一用戶會(huì)造成非法的用戶操作,則稱(chēng)這兩個(gè)角色靜態(tài)互斥；如果同時(shí)激活某用戶的兩個(gè)不同的角色時(shí)會(huì)造成非法的用戶操作,則稱(chēng)這兩個(gè)角色動(dòng)態(tài)互斥.在一個(gè)具體的系統(tǒng)中,不論是否具備層次角色的機(jī)制,約束機(jī)制都是很重要的.特別是對(duì)于一些大的系統(tǒng)來(lái)說(shuō),更是如此.因?yàn)橄到y(tǒng)管理人員通過(guò)規(guī)定約束條件就可以指導(dǎo)和控制下級(jí)的系統(tǒng)管理員的操作,不致發(fā)生失誤或越軌.實(shí)際上,通過(guò)約束機(jī)制,RBAC就可實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制MAC,而且包括了對(duì)RBAC自身的管理和控制.在RBAC中,除互斥角色關(guān)系外,還有基數(shù)約束關(guān)系和必備角色約束關(guān)系等.角色約束模型RBAC2的定義如下：

RBAC2包含了RBAC0所有基本特性,除此而外還增加了對(duì)RBAC0的所有元素的核查過(guò)程,只有擁有有效值的元素才可以被接受.

RBAC2中的約束條件（Constraints）指向UA,PA和會(huì)話中的user,role等函數(shù).一般說(shuō)來(lái),最好是根據(jù)其實(shí)際的類(lèi)型和屬性加以描述.這樣就要考慮語(yǔ)言等環(huán)境,所以較難從給約束模型下一個(gè)嚴(yán)格的形式定義.在實(shí)際的系統(tǒng)應(yīng)用中,約束條件和實(shí)現(xiàn)的方式各有不同,應(yīng)采取盡可能簡(jiǎn)單和盡可能高效的約束條件,作為RBAC系統(tǒng)的約束機(jī)制.

2.4 角色層次約束模型RBAC3

RBAC3模型實(shí)際上是對(duì)RBAC1和RBAC2的一個(gè)綜合.在該模型中主要包括以下幾部分：各實(shí)體對(duì)象、兩種分配關(guān)系、角色層次結(jié)構(gòu)以及作用于各部分之上的約束關(guān)系.其模型見(jiàn)圖3.

圖3 RBAC3模型

3 RBAC在電子政務(wù)內(nèi)網(wǎng)安全管理中的應(yīng)用

RBAC在電子政務(wù)內(nèi)網(wǎng)安全管理應(yīng)用中,主要通過(guò)訪問(wèn)權(quán)限身份驗(yàn)證、權(quán)限管理控制模塊設(shè)計(jì)與權(quán)限校驗(yàn)等實(shí)現(xiàn)的,該方法在實(shí)際安全管理中得到了驗(yàn)證,降低了系統(tǒng)訪問(wèn)控制的復(fù)雜度,提高了系統(tǒng)的可維護(hù)性[5-6].

3.1 基于RBAC的訪問(wèn)權(quán)限身份驗(yàn)證

RBAC訪問(wèn)權(quán)限身份驗(yàn)證流程如圖4所示.用戶訪問(wèn)系統(tǒng)時(shí),首先進(jìn)行身份驗(yàn)證,然后對(duì)通過(guò)驗(yàn)證的用戶進(jìn)行訪問(wèn)權(quán)限的驗(yàn)證,對(duì)于驗(yàn)證成功的顯示正確結(jié)果.用戶登錄時(shí)調(diào)用權(quán)限管理系統(tǒng)的用戶鑒別服務(wù),如果驗(yàn)證成功,調(diào)用權(quán)限計(jì)算服務(wù),并返回權(quán)限關(guān)系表.如以J2EE為例,當(dāng)用戶通過(guò)瀏覽器向服務(wù)器發(fā)出URL資源請(qǐng)求時(shí),Web容器收集用戶相關(guān)的鑒權(quán)信息（如用戶名和口令）,并通過(guò)系統(tǒng)相關(guān)的信息安全服務(wù)進(jìn)行識(shí)別和判定.在實(shí)現(xiàn)時(shí),設(shè)計(jì)了一個(gè)基類(lèi)Action,取名為BaseAction,在該Action中封裝權(quán)限審查邏輯,系統(tǒng)中所有需要進(jìn)行權(quán)限審查的Action,都可以從該類(lèi)繼承.這樣,就可以實(shí)現(xiàn)權(quán)限審查邏輯的集中管理,便于系統(tǒng)的維護(hù).

圖4 RBAC訪問(wèn)權(quán)限驗(yàn)證流程

3.2 RBAC權(quán)限管理控制模塊的設(shè)計(jì)

權(quán)限控制模塊的設(shè)計(jì)包括權(quán)限列表結(jié)構(gòu)設(shè)計(jì)、權(quán)限管理機(jī)制設(shè)計(jì)兩部分.RBAC中,權(quán)限表示的是對(duì)某種客體資源的某種操作許可,由操作和操作所針對(duì)的資源或資源集構(gòu)成.當(dāng)用戶要對(duì)一個(gè)需安全訪問(wèn)控制的對(duì)象操作時(shí),首先需要結(jié)合管理的實(shí)際情況和政務(wù)信息系統(tǒng)的特點(diǎn),按照一定的編碼規(guī)則對(duì)資源和資源集操作進(jìn)行定義,確定不同角色對(duì)這些資源對(duì)象訪問(wèn)的操作模式,并體現(xiàn)在權(quán)限列表設(shè)計(jì)中.權(quán)限列表主要是為用戶擁有角色、角色擁有權(quán)限驗(yàn)證提供相關(guān)信息.權(quán)限列表存儲(chǔ)了權(quán)限驗(yàn)證基礎(chǔ)信息（具體的表結(jié)構(gòu)略）,如用戶信息、角色信息以及用戶/角色的相應(yīng)授權(quán)信息等,包含的數(shù)據(jù)實(shí)體有用戶、用戶組、權(quán)限組（角色）、權(quán)限和系統(tǒng)頁(yè)面組；數(shù)據(jù)實(shí)體間的關(guān)聯(lián)包含用戶—用戶組關(guān)聯(lián)、權(quán)限—權(quán)限組（角色）關(guān)聯(lián)、權(quán)限—頁(yè)面關(guān)聯(lián)和用戶組—權(quán)限組（角色）關(guān)聯(lián)等.在實(shí)際應(yīng)用中,采用不將URL資源及對(duì)應(yīng)權(quán)限關(guān)系存放于權(quán)限列表的方式,減少了權(quán)限審查時(shí)對(duì)權(quán)限列表的訪問(wèn)次數(shù).

權(quán)限管理機(jī)制設(shè)計(jì)主要包括角色管理模塊和部門(mén)、用戶管理模塊,角色管理模塊主要實(shí)現(xiàn)角色的配置和管理.用戶管理模塊除了實(shí)現(xiàn)基本的用戶增加、刪除、修改功能外,還實(shí)現(xiàn)了向用戶分配角色的功能.

3.3 權(quán)限校驗(yàn)

權(quán)限校驗(yàn)是實(shí)現(xiàn)信息資源訪問(wèn)控制模式的主要部分,其基本過(guò)程是對(duì)于某一具體資源,查找用戶權(quán)限分配表,判別當(dāng)前用戶是否具有相應(yīng)的操作權(quán)限.權(quán)限校驗(yàn)主要包括三個(gè)方面的內(nèi)容：一是Web服務(wù)器上的頁(yè)面資源訪問(wèn)控制；二是系統(tǒng)菜單、按鈕顯示的訪問(wèn)控制；三是政務(wù)信息資源數(shù)據(jù)庫(kù)中記錄級(jí)的授權(quán)訪問(wèn)控制.對(duì)于頁(yè)面資源、系統(tǒng)菜單、按鈕顯示、編輯框等對(duì)象的控制,采用的技術(shù)是在Web服務(wù)器提出頁(yè)面資源請(qǐng)求時(shí)或在生成菜單、按鈕的網(wǎng)頁(yè)時(shí)做權(quán)限級(jí)的判斷,當(dāng)用戶不具備權(quán)限時(shí),則要求進(jìn)行身份驗(yàn)證.對(duì)于數(shù)據(jù)庫(kù)中記錄級(jí)的授權(quán)訪問(wèn)控制,如一個(gè)部門(mén)只能被另一個(gè)部門(mén)查詢(xún)而無(wú)法修改、部門(mén)內(nèi)不同角色數(shù)據(jù)操作不同等,則需要根據(jù)業(yè)務(wù)邏輯規(guī)則進(jìn)行確定.

4 小結(jié)

內(nèi)網(wǎng)安全是電子政務(wù)網(wǎng)絡(luò)安全建設(shè)中容易忽略但卻又十分重要的課題,當(dāng)前我國(guó)已經(jīng)進(jìn)入了電子政務(wù)發(fā)展的關(guān)鍵期,面對(duì)規(guī)模日益擴(kuò)大的電子政務(wù)信息管理系統(tǒng),授權(quán)訪問(wèn)控制信息等安全策略的重要性引起了更多的重視.運(yùn)用RBAC技術(shù)對(duì)內(nèi)網(wǎng)進(jìn)行訪問(wèn)控制能夠減少授權(quán)管理的復(fù)雜性,促進(jìn)政務(wù)信息資源安全管理機(jī)制的建設(shè),保障政務(wù)信息安全合理的利用.基于RBAC訪問(wèn)控制模型及相關(guān)擴(kuò)展模型必將在政務(wù)信息資源安全建設(shè)方面起到越來(lái)越重要的作用.

[1]王文文.從國(guó)內(nèi)兩大通信巨頭“間諜戰(zhàn)”來(lái)看企業(yè)內(nèi)網(wǎng)安全管理需求[EB/OL].(2010-01-07)[2011-02-12].http：//netsecurity.51cto.com/art/201001/176293.htm.

[2]向陽(yáng),魏玉鵬,王改梅.數(shù)據(jù)庫(kù)訪問(wèn)控制技術(shù)研究[J].河南科技學(xué)院學(xué)報(bào)：自然科學(xué)版,2006,34（2）：101-104.

[3]Sandhu R,Munawer Q.“HowTo Do Discretionary Access Control Using Roles,”P(pán)roc.of the 3rd ACMWorkshop on Role-Based Access Control（RBAC-98）[M].Fairfax,VA：ACMPress,1998.

[4]Nyanchama M,Osbon SL.Information FlowAnalysis in Role-Based Systems[C].Journal ofComputingand Information,1994,l（1）,Special Issue：Proc.ofthe 6th International Conference on Computingand Information（ICCI）,Peterborough,Ontario,Canada.

[5]葉春曉,符云清,吳中福.RBAC中權(quán)限擴(kuò)展的實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2005,31（5）：141-172.

[6]林琳,詹永照,年軼.基于組織機(jī)構(gòu)圖的改進(jìn)RBAC模型[J].江蘇大學(xué)學(xué)報(bào)：自然科學(xué)版,2006（2）：147-150.