岑鵬瑞，吳玲達，楊 超，于榮歡

（裝備學(xué)院 復(fù)雜電子系統(tǒng)仿真實驗室，北京　101416）

基于RBAC的軟件倉庫安全管理模型研究

岑鵬瑞，吳玲達，楊 超，于榮歡

（裝備學(xué)院 復(fù)雜電子系統(tǒng)仿真實驗室，北京101416）

通過深入分析當(dāng)前典型軟件倉庫應(yīng)用框架及其安全性的不足，并結(jié)合基于角色的訪問控制（Role-Based Access Control，RBAC）模型的特點，提出了一種基于RBAC的軟件倉庫安全管理模型，并對該模型控制下的軟件倉庫數(shù)據(jù)庫實現(xiàn)進行設(shè)計。實踐證明，將訪問控制模型結(jié)合實際應(yīng)用于軟件倉庫管理過程中，能夠較好的實現(xiàn)對不同級別用戶軟件下載安裝進行有效的權(quán)限控制，進一步提高軟件管理平臺的安全性。

RBAC；軟件倉庫；框架；模型

隨著計算機技術(shù)的發(fā)展和普及，軟件管理形式由復(fù)雜繁瑣的手動管理方式向自動化、規(guī)范化的平臺管理模式過渡，特別是當(dāng)需要管理的軟件數(shù)量眾多時，采用平臺管理模式能夠極大地提高軟件管理的靈活性和可靠性，在降低對工作人員專業(yè)知識要求的同時能提高軟件安裝/升級的可靠性，降低故障率，在實際應(yīng)用中發(fā)揮著不可替代的作用［1］。軟件倉庫作為最常見的軟件管理平臺，是操作系統(tǒng)上各類應(yīng)用軟件中的重要組成部分，在軟件管理過程中其安全性能的好壞直接影響應(yīng)用軟件的安全性。當(dāng)軟件倉庫存在潛在安全風(fēng)險時，惡意人員會趁機利用其來達到目的，如對倉庫中的應(yīng)用軟件植入木馬病毒、修改軟件執(zhí)行流程、軟件濫用等，這會給軟件使用者帶來重大損失，同時也會給軟件公司造成負(fù)面影響。要想保證軟件倉庫中應(yīng)用軟件的安全性，軟件倉庫在設(shè)計上就應(yīng)充分考慮到安全性問題。

1　軟件倉庫安全性分析

1.1任務(wù)框架分析

當(dāng)前，典型的軟件倉庫包括由桌面系統(tǒng)發(fā)行商自身開發(fā)維護的如微軟的Windows應(yīng)用商店、蘋果的Mac App Store、優(yōu)麒麟的Ubuntu Kylin軟件中心等與操作系統(tǒng)結(jié)合比較緊密的軟件倉庫，以及由一些第三方應(yīng)用軟件公司開發(fā)的如360軟件管家、騰訊軟件管家和百度軟件管理等管家類軟件倉庫。他們都能為桌面操作系統(tǒng)獲取應(yīng)用軟件提供便利，使分散的軟件開發(fā)者、使用者和管理者得到有效整合，進一步方便了開發(fā)者發(fā)布軟件、使用者下載、安裝、升級軟件與管理者維護軟件。其中，開發(fā)者根據(jù)自己的知識背景、實際應(yīng)用需求，設(shè)計開發(fā)出各種方便人們使用的應(yīng)用軟件，管理者則負(fù)責(zé)將開發(fā)者開發(fā)出的各種應(yīng)用軟件進行審核后發(fā)布到軟件倉庫中，這樣當(dāng)用戶有應(yīng)用軟件需求時，就可以直接到可信任的軟件倉庫下載，極大方便了計算機用戶，也為應(yīng)用軟件的統(tǒng)籌發(fā)展提供了便利平臺，軟件管理平臺任務(wù)的直觀描述如圖1所示。

C/S和B/S作為應(yīng)用程序的兩大主流開發(fā)模式技術(shù)架構(gòu)，各有優(yōu)缺點［2］。軟件倉庫通常采用的是C/S架構(gòu)，該架構(gòu)的突出優(yōu)點就是可以將任務(wù)合理分配到Client端和Server端來實現(xiàn)，可以充分利用兩端的硬件環(huán)境資源?；贑/S架構(gòu)的軟件倉庫通常由軟件包管理和軟件包分發(fā)系統(tǒng)組成，軟件包分發(fā)系統(tǒng)部署在服務(wù)器端，由專門的管理人員進行管理維護，并通過網(wǎng)絡(luò)向用戶提供軟件包信息獲取和下載服務(wù)；軟件包管理部分部署在客戶端，負(fù)責(zé)幫助用戶對獲取來的軟件包格式和內(nèi)容進行解析從而完成相應(yīng)操作。軟件管理系統(tǒng)通過這兩部分的協(xié)調(diào)配合，更好地解決了軟件的獲取、安裝等問題。圖2給出了開源操作系統(tǒng)下軟件倉庫的基本框架。

圖2　開源軟件倉庫基本框架Fig.2　The basic framework of open source software repository

1.2安全分析

通過以上對軟件倉庫任務(wù)與框架的分析，軟件倉庫的安全隱患來源可以歸納為四類實體、兩條途徑和兩處存儲。四類實體分別為分散在各處的開發(fā)者、管理員、用戶、惡意人員；兩條途徑分別為途經(jīng)開放網(wǎng)絡(luò)的開發(fā)者上傳與用戶下載過程；兩處存儲涉及服務(wù)器端軟件包、索引的存儲與客戶端已下載安裝軟件包、索引的存儲。影響軟件倉庫安全的主要因素包括軟件包的保密性、完整性、自身安全性與不可抵賴性。軟件包內(nèi)容需經(jīng)過加密處理，無權(quán)限人員無法獲取軟件包，即使通過非法手段獲取也無法破譯出軟件包源代碼；應(yīng)用軟件包的內(nèi)容應(yīng)該確保管理員最終認(rèn)定原則，之后的其它任何改動都將被視為破壞原有軟件包的完整性；防止惡意開發(fā)人員在開發(fā)軟件包中植入后門等；開發(fā)者、管理員依次對軟件包進行簽名，保證軟件包來源的可靠性與不可抵賴性。為了盡可能地消除安全隱患，針對應(yīng)用軟件本身可以采取的保護措施有水印、加密狗、代碼混淆、簽名認(rèn)證及軟件加殼等，針對軟件倉庫采取的保護措施有設(shè)計合理的倉庫架構(gòu)、構(gòu)建安全性能高的數(shù)據(jù)傳輸通道等。

在保證軟件倉庫安全的保護措施中，角色管控是非常重要的一環(huán)，如果能夠阻止未經(jīng)授權(quán)人員獲取軟件，可以有效防止軟件濫用，同時，在某些特定機構(gòu)以及大型企業(yè)內(nèi)部，由于其維護軟件包的使用權(quán)限不同，有效的角色管控也能夠為企業(yè)軟件管理提供便利。

2　RBAC軟件倉庫權(quán)限控制模型構(gòu)建

2.1RBAC模型

訪問控制技術(shù)產(chǎn)生于20世紀(jì)60年代，是能夠?qū)崿F(xiàn)既定安全策略的系統(tǒng)安全技術(shù)［3］，它通過驗證訪問者是否對被訪問資源擁有權(quán)限，能夠有效管理使用者對系統(tǒng)資源進行訪問，從而確保對非法用戶訪問資源和合法用戶非法訪問資源的有效控制。

訪問控制策略有3種，分別是自主訪問控制策略（Discretionary Access Control，DAC）、強制訪問控制策略（Mandatory Access Control，MAC）和基于角色的訪問控制策略（Role-Based Access Control，RBAC）。目前最受大家認(rèn)同的是基于角色的訪問控制策略［4］，角色權(quán)限管理模型最初是由美國國家標(biāo)準(zhǔn)局（National Institute of Standards and Technology，NIST）在1992年提出的［5］，RBAC的核心思想是將系統(tǒng)資源的訪問權(quán)限進行分類或者建立層次關(guān)系，抽象為角色的概念，在用戶和權(quán)限之間引入角色，然后根據(jù)安全策略將用戶和角色關(guān)聯(lián)，實現(xiàn)用戶和權(quán)限之間的對應(yīng)，避免直接給用戶分配權(quán)限的復(fù)雜性，簡化了權(quán)限管理。R.Sandhu等人于1996年提出的RBAC96模型［5］是一個模型族，包括4個子模型，分別為RBAC0、RBAC1、RBAC2和RBAC3，綜合如圖3所示。R.Sandhu等人在RBAC96模型的基礎(chǔ)上又先后提出了ARBAC97管理模型［7］和ARBAC99管理模型［8］。

圖3　NIST RBAC模型Fig.3　The model of NIST RBAC

權(quán)限控制通俗的講是解決who，what，how 3者之間的關(guān)系，即who（用戶、角色）對what（對象）能進行how（何種）操作，在軟件倉庫這一應(yīng)用領(lǐng)域解決的就是用戶對軟件包的下載、安裝和升級等操作的控制。在RBAC管理模型中角色和權(quán)限的定義、分配默認(rèn)是由一組管理人員集中管理的，而且管理權(quán)限和規(guī)則是預(yù)先制定好的、靜態(tài)的，具有以下特點：

1）授權(quán)管理簡單：只需將角色賦予用戶；

2）賦予最小特權(quán)：可以將角色配置成完成任務(wù)所需要的最小權(quán)限集；

3）責(zé)任分離：可以調(diào)用相互獨立互斥的角色來共同完成敏感任務(wù)；

4）數(shù)據(jù)抽象：通過對權(quán)限的抽象體現(xiàn)數(shù)據(jù)抽象；

5）文件分級、靈活、系統(tǒng)管理模式明確、管理開銷小。

綜合以上特點，RBAC策略將用戶和許可進行分離，使彼此相互獨立，權(quán)限的授權(quán)認(rèn)證更加靈活，適合用在軟件倉庫的權(quán)限控制模型中，文中以開源軟件管理平臺為對象，構(gòu)建了RBAC軟件倉庫權(quán)限控制模型。

2.2RBAC軟件倉庫權(quán)限控制模型

對于軟件倉庫，通常當(dāng)用戶安裝好客戶端并進入圖形化界面后能夠看到分類存放的可以從軟件源獲取并安裝的應(yīng)用軟件列表，以及已安裝的可升級軟件列表和已安裝的可卸載軟件列表，用戶可以根據(jù)需求進行簡單便捷的操作。對于某些對安全性要求較高的特殊軟件倉庫應(yīng)用環(huán)境，需要根據(jù)應(yīng)用軟件安全情況建立安全分級的應(yīng)用軟件管理平臺，不同權(quán)限人員對軟件倉庫中維護的不同級別的應(yīng)用軟件具有不同的權(quán)限（指對軟件倉庫中的索引、軟件包進行下載的許可及可操作的權(quán)利），要求軟件倉庫具有權(quán)限控制功能。將RBAC策略引入軟件倉庫能夠較好的解決這類問題，可根據(jù)不同級別用戶權(quán)限來創(chuàng)建不同角色，同時把用戶指定給相應(yīng)的角色，這樣就利用角色這個橋梁將用戶與權(quán)限更好的結(jié)合在一起，避免直接把權(quán)限分配給用戶帶來的復(fù)雜性與繁瑣性。實際應(yīng)用中，首先需要根據(jù)開源平臺下眾多軟件包的特點對軟件包的安全等級及其在服務(wù)器端的存放進行合理規(guī)劃。開源平臺下軟件包的特點有：

1）數(shù)量多：不論是rpm包還是deb包，數(shù)量多體現(xiàn)在軟件包的個數(shù)和種類上；

2）包沖突：不同倉庫里存在相同的軟件、不同的軟件包中包含相同的文件列表；

3）依賴性強：只有在被依賴軟件包安裝的基礎(chǔ)上依賴軟件包才能正常安裝運行。

針對以上特點，制定軟件倉庫中軟件包的存放規(guī)則：

規(guī)則一：將所有軟件包按照來源性質(zhì)分為系統(tǒng)包、應(yīng)用基礎(chǔ)包和自主開發(fā)包分類存放；

規(guī)則二：同一個軟件包存在且只能存在于一個目錄下，軟件包命名要規(guī)范化，盡量避免軟件包中的文件沖突；

規(guī)則三：被依賴軟件包的安全等級永遠低于等于依賴軟件包。

按照上述規(guī)則構(gòu)建軟件包存放分支，其中屬于系統(tǒng)包、應(yīng)用基礎(chǔ)包的軟件包權(quán)限設(shè)定為公開，合法注冊用戶都可以通過獲取軟件包索引獲取軟件包，自主開發(fā)包需按安全等級建立分支分別存儲，不同級別用戶具有不同獲取權(quán)限。

圖4對自主開發(fā)包以四級權(quán)限劃分為例，給出了基于RBAC的軟件倉庫安全管理模型，該模型中將服務(wù)器端軟件倉庫中自主開發(fā)包分為密級1、密級2、密級3和公開四類，通過調(diào)用索引生成程序分別生成相應(yīng)索引并存儲。對應(yīng)軟件倉庫中軟件級別的劃分，需要創(chuàng)建四類角色，分別為角色1、角色2、角色3和角色4，角色與權(quán)限的對應(yīng)關(guān)系由圖4可以清晰地反映出來，這樣就能更好地實現(xiàn)軟件管理平臺對用戶的權(quán)限控制。由于軟件包密級的制定遵循規(guī)則三，所以在安裝依賴關(guān)系復(fù)雜的軟件包用戶獲取被依賴軟件包過程中不存在密級過高無法獲取的情況。

圖4　采用RBAC的軟件倉庫權(quán)限控制模型Fig.4　The access control model of software repository based on RBAC

基于RBAC的倉庫權(quán)限控制模型通過在用戶與軟件包索引之間引入角色，避免了無角色時直接將軟件包索引下載、更新權(quán)限授予用戶的復(fù)雜性，不管用戶級別作出何種改變，只需根據(jù)數(shù)據(jù)庫中用戶等級信息將相應(yīng)的角色授予用戶，不同角色具有的權(quán)限一旦被初始化分配好后，無需調(diào)整，權(quán)限管理機制相對穩(wěn)定。

2.3工作流程

引入RBAC權(quán)限控制策略后，軟件管理平臺的工作流程如圖5所示。用戶首先需要進行注冊，管理員根據(jù)注冊用戶的情況對用戶進行分級并存儲。當(dāng)用戶登陸軟件管理平臺時，系統(tǒng)需要進行身份驗證，以保證有效用戶的登錄，然后給驗證身份通過的用戶賦予相應(yīng)的角色從而獲取倉庫中索引生成特定軟件列表界面。

圖5　軟件管理平臺使用流程圖Fig.5　The flow chart of software management platform

3　RBAC模型控制下的數(shù)據(jù)庫設(shè)計與使用

3.1RBAC數(shù)據(jù)庫模型設(shè)計

結(jié)合RBAC模型與軟件倉庫應(yīng)用實際，在軟件倉庫數(shù)據(jù)庫設(shè)計中必須包含用戶表、角色表、資源表、操作表、權(quán)限表、用戶角色表（角色分配表）、角色權(quán)限表（授權(quán)表）。其基本數(shù)據(jù)庫模型設(shè)計如圖6所示。

其中，通過權(quán)限表（RBAC_Prililege）將操作與資源相關(guān)聯(lián)，通過授權(quán)表（RBAC_Impower）向角色分配資源，通過角色分配表（RBAC_Allot）將角色分配給用戶，這樣就實現(xiàn)了基于RBAC模型的軟件倉庫的權(quán)限控制。

圖6　軟件管理平臺RBAC數(shù)據(jù)庫模型圖Fig.6　The diagram of database model of software management platform based on RBAC

3.2RBAC數(shù)據(jù)庫表結(jié)構(gòu)設(shè)計

結(jié)合3.1節(jié)中給出的RBAC數(shù)據(jù)庫模型圖，RBAC數(shù)據(jù)庫中表結(jié)構(gòu)的設(shè)計如表1到表7。

表1　RBAC用戶表Tab.1　RBAC-user table

表2　RBAC角色表Tab.2　RBAC-role table

表3　RBAC資源表Tab.3　RBAC-resource table

表4　RBAC操作表Tab.4　RBAC-operate table

在表5中，權(quán)限編號1表示下載密級2自主開發(fā)包索引的權(quán)限，表6授權(quán)表中授權(quán)編號1將權(quán)限編號1授予角色編號為1的角色，即將下載密級2自主開發(fā)包索引的權(quán)限授予角色1，完成了角色授權(quán)。當(dāng)用戶登錄軟件管理平臺時，系統(tǒng)會根據(jù)用戶注冊時管理員給分配的用戶表中的用戶名、用戶密碼和用戶等級對用戶進行身份驗證，驗證通過后，系統(tǒng)通過判斷將相應(yīng)用戶等級的的角色賦予用戶，即填寫角色分配表，這樣用戶就有了相應(yīng)角色的權(quán)限，完成了用戶的角色分配，同時將用戶狀態(tài)填為1，表示用戶處于登錄狀態(tài)。

表5　RBAC資源表Tab.5　RBAC-privilege table

表6　RBAC授權(quán)表Tab.6　RBAC-impower table

表7　RBAC角色分配表Tab.7　RBAC-role-allot table

4　結(jié)　論

在分析軟件倉庫基礎(chǔ)框架及其安全性的基礎(chǔ)上，針對現(xiàn)有軟件倉庫特定應(yīng)用需求中權(quán)限控制方面存在的不足和軟件包的特點，結(jié)合 RBAC訪問控制模型，提出了一種基于RBAC的軟件倉庫安全管理模型，并在此模型基礎(chǔ)上進行RBAC數(shù)據(jù)庫的設(shè)計。該模型通過引入角色的概念，降低了用戶操作權(quán)限授權(quán)的復(fù)雜性，增加了軟件倉庫的安全性和可控性，簡單實用。

［1］DUAN Ji-Gang.The Development of Software Management Platform on Linux［M］.Beijing：China Machine Press，2013.

［2］WANG Fei，LI Ning，HOU Ping-Lu，etal.The Educational Administration Mmanagement Security Architecture Model of B/S and C/S Mode Combination Based on RBAC［J］.Journal of Liaoning Normal University（Natural Science Edition），2012，（4）：488-492.

［3］WANG Ya-Min.Access Control Model of Information System Based on RBAC［J］.Journal of Information，2005，（10）：43-45.

［4］LEI Hao，F(xiàn)ENG Deng-Guo，ZHOU Yong-Bin，etal.Threshold Access Control Scheme Based on Quantifying Permission［J］. Journal of Software，2004，15（11）：1680-1688.

［5］SHAN Zhi-Yong，SUN Yu-Fang.An Operating System Oriented RBAC Model and Its Implementation［J］.Journal of Computer Research and Development，2004，41（2）：287-298.

［6］Sandhu R，Coyne E，F(xiàn)einstein H，etal.Role-based access control models［J］.IEEE Computer，1996，29（2）：38-47.

［7］Sandhu R，Bhamidipati V，Coyne E，et al.The ARBAC97 model for role-based administration of roles：Preliminary Description and Outline［C］//In：Proceedings of the 2nd ACM Workshop on Role-Based Access Control，New York，NY：ACM Press，1997：41-50.

［8］Sandhu R，Munawer Q.The ARBAC99 Model for Administration of Roles［C］//In：Proceedings of the 15th Annual Computer Security Applications Conference，Washington，DC：IEEE Computer Society，1999：229-238.

Research on the security model of software management based on RBAC

CEN Peng-rui，WU Ling-da，YANG Chao，YU Rong-huan
（ScienceandTechnologyonComplexElectronicSystemSimulationLaboratory，AcademyofEquipment，Beijing101416，China）

Through the deep analysis of the shortages about the framework and security of the typical software repository，a security management model of software repository based on RBAC is proposed combined with the characteristics of RBAC （Role-Based Access Control），and designs the database of the software repository based on RBAC.Practice has proved that the access control model can be used to control download and install according to the different levels of users effectively in the process of software management，and further improve the security of the software management platform.

RBAC；software repository；framework；model

TN99

A

1674－6236（2016）03-0004-04

2015-09-30稿件編號：201509198

核高基國家重大科技專項（2013ZX01045-004）

岑鵬瑞（1990—），男，內(nèi)蒙古呼和浩特人，碩士研究生。研究方向：信息系統(tǒng)技術(shù)與應(yīng)用。