郭翠娟，苗 苗，朱亞林

（天津工業(yè)大學(xué)電子與信息工程學(xué)院，天津 300387）

網(wǎng)絡(luò)電話管理系統(tǒng)中的信任度權(quán)限分配方法TD-RBAC

郭翠娟，苗 苗，朱亞林

（天津工業(yè)大學(xué)電子與信息工程學(xué)院，天津 300387）

針對(duì)分布式架構(gòu)的網(wǎng)絡(luò)電話管理系統(tǒng)的權(quán)限分配需求，結(jié)合傳統(tǒng)基于角色的訪問(wèn)控制模型RBAC（rolebased access control）提出了信任度權(quán)限分配方法TD-RBAC（trust degree RBAC）.將用戶-角色-權(quán)限的模型拓展到用戶-角色-信任度-權(quán)限值的模型，將傳統(tǒng)RBAC模型權(quán)限分配問(wèn)題通過(guò)信任度和權(quán)限值的引入轉(zhuǎn)化為可以定量分析的數(shù)學(xué)模型問(wèn)題，從而解決了傳統(tǒng)RBAC模型在角色和權(quán)限對(duì)應(yīng)復(fù)雜的問(wèn)題，使網(wǎng)絡(luò)電話管理系統(tǒng)在權(quán)限分配的問(wèn)題上更加簡(jiǎn)單靈活.

網(wǎng)絡(luò)電話管理系統(tǒng)；信任度；權(quán)限值；權(quán)限閾值；權(quán)限分配

為適應(yīng)數(shù)量較多的網(wǎng)絡(luò)電話話站管理和維護(hù)需求，網(wǎng)絡(luò)電話管理系統(tǒng)被設(shè)計(jì)成為分布式一體化架構(gòu).由于管理用戶數(shù)量較多，為簡(jiǎn)化設(shè)計(jì)，降低開(kāi)發(fā)難度，縮短開(kāi)發(fā)周期，通常將網(wǎng)絡(luò)電話管理系統(tǒng)設(shè)計(jì)成所有功能集成型，但針對(duì)用戶接入身份不同、操作功能不同等問(wèn)題，需要將其操作權(quán)限化，合理、安全、高效、靈活的權(quán)限分配方法在訪問(wèn)控制中尤為重要.訪問(wèn)控制是通過(guò)某種途徑顯式地準(zhǔn)許或限制用戶、組或角色對(duì)信息資源的訪問(wèn)能力及范圍的一種方法[1].通常計(jì)算機(jī)系統(tǒng)中采用3種不同的訪問(wèn)控制策略：自主訪問(wèn)控制（discretionary access control，DAC）、強(qiáng)制訪問(wèn)控制（mandatory access control，MAC）和基于角色的訪問(wèn)控制（role based access control，RBAC）[2].DAC和MAC這2種訪問(wèn)控制方式都是用戶和權(quán)限直接構(gòu)成關(guān)聯(lián)，用戶經(jīng)過(guò)身份認(rèn)證之后獲得相應(yīng)的權(quán)限范圍[3].但隨著系統(tǒng)接入用戶數(shù)量的增加、用戶對(duì)功能需求的不同及系統(tǒng)安全性的提高等需求，用戶和權(quán)限直接構(gòu)成關(guān)聯(lián)的訪問(wèn)控制方式暴露出其管理和維護(hù)復(fù)雜、安全性低、靈活性差等缺點(diǎn).基于角色的訪問(wèn)控制概念（RBAC）于1992年由Ferraiolo等[4]提出.該模型的提出引入了角色的概念，將原來(lái)用戶和權(quán)限的直接關(guān)聯(lián)通過(guò)角色分離開(kāi)來(lái)，形成用戶-角色、角色-權(quán)限的關(guān)聯(lián).這樣有效地降低了權(quán)限分配的復(fù)雜性，提高了授權(quán)管理的靈活度，這種訪問(wèn)控制方式也成為該領(lǐng)域的研究熱點(diǎn).關(guān)于這個(gè)問(wèn)題有許多擴(kuò)展研究，王曉琳[5]等提出了基于時(shí)間分區(qū)的改進(jìn)RBAC授權(quán)模型，通過(guò)將進(jìn)程劃分時(shí)間分區(qū)的方式實(shí)現(xiàn)以控制階段進(jìn)度來(lái)控制權(quán)限分配的目的.嚴(yán)峻等[6]提出了一種基于部門和角色的細(xì)粒度訪問(wèn)控制模型.陳琛等[7]提出了一種改進(jìn)的RBAC模型，將功能權(quán)限和數(shù)據(jù)權(quán)限加以區(qū)分給出了一個(gè)細(xì)粒度企業(yè)信息系統(tǒng)（EIS）權(quán)限框架.李雙[8]提出了一種具有條件約束的擴(kuò)展的基于角色的訪問(wèn)控制模型.吳新松等[9]在基于角色的訪問(wèn)控制模型和管理模型[10]的基礎(chǔ)上提出了一個(gè)環(huán)境適應(yīng)的基于角色的訪問(wèn)控制模型.以上這些研究都是在傳統(tǒng)的RBAC模型基礎(chǔ)上的擴(kuò)展，主要從角色集的劃分，權(quán)限集的劃分，約束條件和環(huán)境因素等角度對(duì)傳統(tǒng)模型進(jìn)行拓展.這些方法都針對(duì)傳統(tǒng)RBAC模型的缺點(diǎn)和不足進(jìn)行了改進(jìn)，并成功應(yīng)用于各自系統(tǒng).但是，以上研究在角色和權(quán)限這對(duì)關(guān)系上都只是做了定性的探討，由于角色和權(quán)限多對(duì)多的對(duì)應(yīng)關(guān)系，每個(gè)角色的權(quán)限分配是一個(gè)復(fù)雜的問(wèn)題，特別當(dāng)角色或權(quán)限變動(dòng)時(shí)，角色和權(quán)限將會(huì)產(chǎn)生一個(gè)新的對(duì)應(yīng)關(guān)系，這將會(huì)影響整個(gè)權(quán)限分配問(wèn)題.所以本文提出一種信任度權(quán)限分配方法，通過(guò)引入信任度和權(quán)限值2個(gè)概念，將權(quán)限分配問(wèn)題轉(zhuǎn)化成數(shù)學(xué)模型來(lái)定量分析，增加了系統(tǒng)的靈活性，有效降低了管理的復(fù)雜程度.

1 RBAC模型

傳統(tǒng)的RBAC模型結(jié)構(gòu)[11-12]如圖1所示，由用戶、角色、權(quán)限、會(huì)話、約束幾部分構(gòu)成.用戶是操作人員或自動(dòng)代理；角色是有一定職權(quán)的組織中的相關(guān)工作或職位；權(quán)限是系統(tǒng)中對(duì)一個(gè)或多個(gè)對(duì)象特定的訪問(wèn)模式或者執(zhí)行某些特定操作的特權(quán)；角色是以特定的層次組織起來(lái)的，這種層次關(guān)系用符號(hào)“≥”表示，如果Role1≥Role2，那么Role1繼承了Role2的所有權(quán)限.Role1也是Role2的隱式成員，這種層次關(guān)系在是數(shù)學(xué)上的一種偏序關(guān)系.每個(gè)會(huì)話關(guān)聯(lián)一個(gè)用戶到多個(gè)角色，用戶建立會(huì)話會(huì)并激活相應(yīng)角色集或角色子集（直接或間接的層次關(guān)系）.

圖1中，U表示用戶集；R表示角色集；P表示權(quán)限集；S表示會(huì)話集.

UA?U×R：用戶和角色多對(duì)多的對(duì)應(yīng)關(guān)系.

PA?P×R：權(quán)限和角色多對(duì)多的對(duì)應(yīng)關(guān)系.

RH?R×R：角色繼承上的偏序關(guān)系（用≥符號(hào)表示）.

user：S→U每個(gè)會(huì)話si與單個(gè)用戶user（si）的函數(shù)映射關(guān)系，并且持續(xù)到整個(gè)會(huì)話生命周期結(jié)束.

roles：S→2R每個(gè)會(huì)話si與角色集的映射關(guān)系，roles（si）?{r｜（?r′≥r）[user（si），r′]∈UA}.

RBAC模型是一個(gè)基本模型，能夠滿足一些基本需求，又針對(duì)1節(jié)中存在的不足特別針對(duì)網(wǎng)絡(luò)電話管理系統(tǒng)在此基礎(chǔ)上進(jìn)行了改進(jìn).

圖1 RBAC模型Fig.1 RBAC model

2 信任度權(quán)限分配方法TD-RBAC

2.1 信任度與權(quán)限值

在信任度權(quán)限分配方法（TD-RBAC）中在傳統(tǒng)的RBAC模型的基礎(chǔ)上引入了信任度和權(quán)限值的概念.

定義1：將角色集R按照一定類別劃分成各角色子集，用符號(hào)Rc表示，為第i個(gè)角色子集Rci（假設(shè)共有n個(gè)角色子集，i=1，2，…，n）中的角色rolej（假設(shè)第i個(gè)角色子集中共有NRci個(gè)角色）分配一個(gè)整數(shù)標(biāo)識(shí)TDj用來(lái)衡量不同角色在系統(tǒng)中的被信任程度，稱為信任度.{TDj｜TDj∈S1}（S1表示一個(gè)數(shù)集，j=0，1，2，…，NRci）.

定義2：角色子集Rci根據(jù)其重要程度不同，擁有一個(gè)標(biāo)識(shí)其權(quán)重的變量λRci，稱為角色集權(quán)值.

定義3：用來(lái)標(biāo)識(shí)用戶（假設(shè)用戶有m個(gè)）所有角色加權(quán)平均信任度對(duì)應(yīng)的在某閾值范圍內(nèi)具體權(quán)限的數(shù)值稱為權(quán)限值，用符號(hào)Pv表示，第r個(gè)權(quán)限值{Pvr｜Pvr∈S2}（S2表示一個(gè)數(shù)集，r=0，1，2，…，m）.

定義4：對(duì)網(wǎng)絡(luò)電話系統(tǒng)中的操作對(duì)象按照重要程度劃分成幾部分，用具體數(shù)值作為分類的界限，這個(gè)界限數(shù)值稱為權(quán)限閾值（假設(shè)共有l(wèi)個(gè)權(quán)限閾值），用Pth表示，第k個(gè)權(quán)限閾值{Pthk｜Pthk∈S2}（S3表示一個(gè)數(shù)集，k=0，1，2，…，l）.

通過(guò)信任度的引入，將每個(gè)具體的角色賦予不同的數(shù)值，用來(lái)標(biāo)識(shí)不同角色的信任程度.用戶集中的用戶具有不同角色子集中的角色，即用戶會(huì)具有多重信任度，由于每個(gè)角色子集又有一個(gè)屬于該角色子集的角色集權(quán)值，所以經(jīng)過(guò)數(shù)學(xué)計(jì)算后，每個(gè)用戶最終會(huì)擁有一個(gè)加權(quán)平均后的信任度TDav，因此用戶首先和信任度關(guān)聯(lián)到一起.信任度和權(quán)限值存在一種函數(shù)映射關(guān)系，在這種映射關(guān)系中信任度和權(quán)限值分別以自變量和因變量形式存在.建立數(shù)學(xué)模型時(shí)，在符合既定規(guī)則的前提下找到最符合條件的映射，構(gòu)建信任度和權(quán)限值的函數(shù)關(guān)系.權(quán)限又被各個(gè)閾值Pthk劃分開(kāi)來(lái)，每個(gè)權(quán)限值對(duì)應(yīng)到某權(quán)限閾值范圍內(nèi)后都會(huì)有具體權(quán)限與之相對(duì)應(yīng).這樣權(quán)限值和具體操作權(quán)限關(guān)聯(lián)到一起.因此，從用戶與信任度的關(guān)聯(lián)，到信任度與權(quán)限值的映射，再到權(quán)限值與具體操作權(quán)限的關(guān)聯(lián)就把具體操作權(quán)限分配到每個(gè)用戶的身上，完成了權(quán)限的分配.所以，建立信任度和權(quán)限值的函數(shù)模型成了關(guān)鍵問(wèn)題.這種TD-RBAC模型如圖2所示.圖中P表示具體操作權(quán)限，Pth表示權(quán)限閾值，有權(quán)限閾值將將具體操作權(quán)限劃分成不同的范圍，圖中虛線表示間接對(duì)應(yīng)關(guān)系，直線表示直接對(duì)應(yīng)關(guān)系，從圖中可以看出，得到權(quán)限值就可以根據(jù)權(quán)限閾值劃分范圍得到具體操作權(quán)限.

圖2 TD-RBAC模型Fig.2TD-RBAC model

2.2 建立數(shù)學(xué)模型

在TD-RBAC模型中，用戶和角色是多對(duì)多的關(guān)系，用戶有屬于不同角色子集的角色，每個(gè)角色被賦予一個(gè)信任度，各角色子集又被按照重要程度賦予一個(gè)角色集權(quán)值.所以可以通過(guò)數(shù)學(xué)計(jì)算得出每一個(gè)用戶的加權(quán)平均信任度TDav，具體計(jì)算公式為：

式（1）表示用戶的平均信任度等于各角色子集中角色信任度的加權(quán)和.式中：n表示角色子集的個(gè)數(shù)；NRci表示第i個(gè)角色子集中角色的個(gè)數(shù)；λRCi表示第i個(gè)角色子集的角色集權(quán)值.

在得到用戶的加權(quán)平均信任度TDav后構(gòu)建加權(quán)平均信任度TDav與權(quán)限值Pv的函數(shù)關(guān)系.根據(jù)網(wǎng)絡(luò)電話管理系統(tǒng)的用戶接入特點(diǎn)和權(quán)限分配需求，要求符合以下幾點(diǎn)規(guī)則：

規(guī)則1：一個(gè)信任度只能對(duì)應(yīng)一個(gè)權(quán)限值.

規(guī)則2：信任度越高權(quán)限值越大，也就是信任度與權(quán)限值構(gòu)成的函數(shù)是一個(gè)單調(diào)遞增函數(shù).

規(guī)則3： 信任度的取值在0到9的范圍內(nèi)，即{TDj｜TDj∈[0，9]}（j=0，1，2，…，NRci）.

規(guī)則4：權(quán)限值取值在0到1的范圍內(nèi)，即

規(guī)則5：權(quán)限閾值的取值在0到1的范圍內(nèi)，即{Pthk｜Pthk∈[0，1]}（k=0，1，2，…，l）.

規(guī)則6：根據(jù)權(quán)限閾值的劃分，在某些信任度上的權(quán)限閾值確定，如表1所示.

表1 信任度權(quán)限閾值對(duì)應(yīng)表Tab.1 Trust degree permission value corresponding table

表1中的數(shù)據(jù)內(nèi)容根據(jù)具體的權(quán)限劃分和閾值設(shè)計(jì)相關(guān).

根據(jù)以上規(guī)則以及表1中的數(shù)據(jù)，即可利用數(shù)值分析中的最小二乘數(shù)據(jù)擬合方法找到信任度和權(quán)限值的逼近函數(shù).由于信任度是和權(quán)限值存在函數(shù)映射，并不存在信任度和具體操作權(quán)限的一對(duì)一關(guān)系，所以數(shù)據(jù)擬合的方法求得的逼近函數(shù)就已經(jīng)可以滿足需求，即確定信任度和權(quán)限值的關(guān)系，最后只需衡量得出的權(quán)限值在哪個(gè)由權(quán)限閾值確定的范圍內(nèi)就可明確得出具體操作權(quán)限.因此，這種數(shù)學(xué)分析方法是合理可行的.

采用最小二乘多項(xiàng)式擬合的方法對(duì)給定的數(shù)據(jù)組（TDavi，Pthi）（i=1，2，…，s），求一個(gè)t次多項(xiàng)式（t＜s）

使得

為最小，即選取參數(shù)（i=0，1，…，t），使得

數(shù)據(jù)組的最小二乘t次擬合多項(xiàng)式.求解滿足：

正則方程組最小二乘擬合多項(xiàng)式系數(shù)ak（k=0，1，…，t）即可得出逼近函數(shù).

2.3 數(shù)據(jù)表設(shè)計(jì)

用戶在接入系統(tǒng)時(shí)首先經(jīng)過(guò)身份認(rèn)證，然后查詢數(shù)據(jù)庫(kù)得出該用戶具有的角色、該角色所屬角色子集、角色子集權(quán)值以及角色信任度，進(jìn)而可以通過(guò)2.2節(jié)中數(shù)學(xué)模型得出權(quán)限值，再根據(jù)權(quán)限值所屬范圍分配給該用戶具體操作權(quán)限.所需數(shù)據(jù)表描述如表2、表3、表4所示.

表2 用戶表Tab.2 User table

2.4 網(wǎng)絡(luò)電話管理系統(tǒng)中的權(quán)限閾值設(shè)計(jì)

網(wǎng)絡(luò)電話管理系統(tǒng)按照TD-RBAC模型進(jìn)行權(quán)限分配時(shí)，改變傳統(tǒng)RBAC模型中角色和具體操作權(quán)限直接對(duì)應(yīng)的關(guān)系，將具體操作權(quán)限按照權(quán)限閾值劃分成不同范圍，即每個(gè)數(shù)值范圍都對(duì)應(yīng)某些具體操作.這種方式的優(yōu)勢(shì)在于當(dāng)給網(wǎng)絡(luò)電話管理系統(tǒng)新增操作時(shí)，并不需要全部審核哪些角色擁有執(zhí)行該新增操作的權(quán)限并賦予之，只需要按照其重要程度添加到相應(yīng)的權(quán)限范圍內(nèi)即可，降低了系統(tǒng)更新的復(fù)雜度.網(wǎng)絡(luò)電話管理系統(tǒng)操作眾多，設(shè)計(jì)合理的權(quán)限閾值也是TD-RBAC模型的關(guān)鍵，圖3所示為按照當(dāng)前系統(tǒng)所能實(shí)現(xiàn)功能劃分各權(quán)限閾值.

表3 角色表Tab.3 Role table

表4 用戶-角色表Tab.4 User-role table

圖3 網(wǎng)絡(luò)電話管理系統(tǒng)權(quán)限閾值劃分Fig.3 Permission thresholds in VOIP management system

由圖3可見(jiàn)，網(wǎng)絡(luò)電話管理系統(tǒng)主要由6種操作組成，即增加、刪除、修改、復(fù)位、更新及查詢.每種操作下面有多重具體操作，并有具體權(quán)限閾值與之相對(duì)應(yīng)，表示只有當(dāng)權(quán)限值等于或超過(guò)該權(quán)限閾值時(shí)才能擁有該項(xiàng)操作的使用權(quán)限.

3 TD-RBAC權(quán)限分配過(guò)程

根據(jù)2.2節(jié)的要求和方法，給出一條擬合曲線，按照不同的權(quán)限閾值劃分方式可以得出不同的擬合曲線，如圖4所示.具體接入流程如圖5所示.用戶首先要經(jīng)過(guò)身份認(rèn)證，若認(rèn)證不通過(guò)則直接退出系統(tǒng)，若認(rèn)證通過(guò)則首先查詢數(shù)據(jù)庫(kù)得出該用戶所擁有角色以及該角色的信任度和所在角色子集是角色集權(quán)值，按照式（1）算得該用戶的加權(quán)平均信任度TDav.得到該值后，根據(jù)圖4所示函數(shù)關(guān)系算得權(quán)限值Pv.對(duì)照?qǐng)D3所劃分的范圍找到Pv所對(duì)應(yīng)的權(quán)限集合，完成用戶權(quán)限分配.

圖4 加權(quán)平均信任度與權(quán)限值擬合曲線Fig.4 Weighted average trust degree and permission value fitting curve

圖5 權(quán)限分配流程圖Fig.5 Permission assignment flow chart

4 結(jié)束語(yǔ)

針對(duì)分布架構(gòu)的網(wǎng)絡(luò)電話管理系統(tǒng)的權(quán)限分配問(wèn)題，探討了傳統(tǒng)的RBAC模型存在的角色和權(quán)限之間對(duì)應(yīng)關(guān)系復(fù)雜，權(quán)限分配不夠靈活的問(wèn)題，提出了信任度權(quán)限分配方法TD-RBAC模型，通過(guò)信任度和權(quán)限值概念的引入將權(quán)限分配問(wèn)題轉(zhuǎn)化成可以定量分析的數(shù)學(xué)問(wèn)題.又進(jìn)一步探討了如何建立數(shù)學(xué)模型，設(shè)計(jì)數(shù)據(jù)庫(kù)表以及具體的權(quán)限劃分.TD-RBAC模型提高了系統(tǒng)在分配權(quán)限的問(wèn)題上的靈活性，特別是在系統(tǒng)刪除、修改或新增某些權(quán)限時(shí)無(wú)需改變整個(gè)角色和權(quán)限對(duì)應(yīng)關(guān)系，簡(jiǎn)化了權(quán)限分配問(wèn)題.同時(shí)，TDRBAC模型在網(wǎng)絡(luò)電話管理系統(tǒng)中應(yīng)用時(shí)，權(quán)限閾值的設(shè)計(jì)和角色信任度的賦予是關(guān)鍵問(wèn)題，需要專業(yè)人員根據(jù)具體情況設(shè)計(jì)制定.如何利用數(shù)學(xué)分析的方法構(gòu)建更加合理的信任度和權(quán)限值之間的函數(shù)關(guān)系是接下來(lái)的研究工作需要進(jìn)一步探討的問(wèn)題.

[1]SANDHU R，COYNE E，F(xiàn)EINSTEIN H，et al.Role-based access control models[J].IEEE Computer，1996，29（2）：38-47.

[2]SNYDER L.Formal models of capability-based protection systems[J].IEEE Transactions on Computers，1981，30（3）：172-181.

[3]鐘華，馮玉琳，姜洪安.擴(kuò)充角色層次關(guān)系模型及其應(yīng)用[J].軟件學(xué)報(bào)，2000，11（6）：779-784.

[4]FERRAIOLO D F，KUHN R.Role-based access controls[C]// Proc of the 15th NIST-NCSC National Computer Security Conference.1992：554-563.

[5]王曉琳，史有群，唐成，等.基于時(shí)間分區(qū)的改進(jìn)RBAC授權(quán)模型[J].計(jì)算機(jī)科學(xué)，2013，4（10）：155-158.

[6]嚴(yán)峻，蘇正煉，凌海風(fēng)，等.MIS中基于部門和角色的細(xì)粒度訪問(wèn)控制模型[J].計(jì)算機(jī)應(yīng)用，2011，31（2）：523-526.

[7] 陳琛，陳學(xué)廣，王煜，等.一種基于改進(jìn)的RBAC模型的EIS權(quán)限管理框架的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究，2010，27（10）：3855-3858.

[8] 李雙.一種擴(kuò)展的基于角色的訪問(wèn)控制模型 [J].計(jì)算機(jī)工程與應(yīng)用，2012，48（19）：54-60.

[9]吳新松，賀也平，周洲儀，等.一個(gè)環(huán)境適應(yīng)的基于角色的訪問(wèn)控制模型[J].計(jì)算機(jī)研究與發(fā)展，2011，48（6）：983-990.

[10]SANDHU R，MUNAWER Q.The ARBAC99 model for the administration of roles[C]//Proc of the 15th Annual Computer Security Applications Conference，Los Alamitos.CA：IEEE Computer Society，1999：229-314.

[11]LE X H，TERRY Doll，MONICA Barbosu，et al.An enhancement of the role-based acess control model to facilitate information access management in context of team collaboration and workflow[J].Journal of Biomedical Informatics，2012，45（6）：1084-1107.

[12]AHN Gail-Joon.Role-based access control in DCOM[J].Journal of Systems Architecture，2000，56（1）：1175-1184.

TD-RBAC permissions assignment method in VOIP management system

GUO Cui-juan，MIAO Miao，ZHU Ya-lin
（School of Electronics and Information Engineering，Tianjin Polytechnic University，Tianjin 300387，China）

According to the demand of permissions assignment in distributed architecture VOIP management system，combined with traditional role-based control model，a method of permissions assignment based on trust degree TD-RBAC（Trust Degree RBAC）was provided.The user-role-permission model was extended to user-role-trust degree-permission value model and the problem of permission assignment in traditional RBAC model was converted into mathematical quantitative analysis problem by introducing concept of trust degree and permission value.This method has solved the complex problem of complicated correspondence between roles and permissions，made permission assignment of VOIP management system more simple and flexible.

VOIP management system；trust degree；permission value；permission threshold；permission assignment

TP309

A

1671－024X（2015）01－0068－05

2014-09-29

國(guó)家自然科學(xué)基金青年基金項(xiàng)目（61302062）

郭翠娟（1975—），女，博士，副教授，主要研究方向?yàn)楝F(xiàn)代通信網(wǎng).E-mail：guocuijuan@typu.edu.cn