基于角色的訪問控制模型在數字認證平臺中的應用

摘要：提出了某數字證書管理系統中基于RBAC模型的權限管理模塊的設計和實現方案。闡述了RBAC模型的設計思想，并討論了權限管理系統的核心面向對象設計模型，以及權限訪問和權限控制等關鍵技術。

關鍵詞：權限管理；角色；訪問控制；RBAC模型

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)34-1609-03

The Application of RBAC Model on Digital Certificates Management System

WANG Na1， WANG Tian-hua2

(1.The Computer and Information Department， the Second Industrial University， Shanghai 201209， China;2.CA Center in Shanghai， Shanghai 200040， China)

Abstract:The article advances the design and implementing schema of the authority management module based on RBAC in some digital certificate management system. Explains on the design idea of RBAC model， discusses the central OOP model of authority management system and such pivotal technology as authority accessing and controlling.

Key words: authority management; role; access control; RBAC model

1 前言

當下的信息系統是一個復雜的人機交互系統，其中每個具體環節都可能受到安全威脅。構建強健的權限管理系統，保證管理信息系統的安全性是十分重要的。權限管理系統是管理信息系統中可代碼重用性最高的模塊之一。任何多用戶的系統都不可避免的涉及到相同的權限需求，例如，訪問控制服務要求系統根據操作者已經設定的操作權限，控制操作者可以訪問哪些資源，以及確定對資源如何進行操作。

訪問控制是針對越權使用資源的防御措施。基本目標是為了限制訪問主體（如用戶）對訪問客體（如文件）的訪問權限，從而使計算機系統在合法范圍內使用；決定用戶能做什么。基于角色的訪問控制方法是目前公認的解決大型企業的統一資源訪問控制的有效方法。其顯著的兩大特征是：減小授權管理的復雜性，降低管理開銷；靈活地支持企業的安全策略，并對企業的變化有很大的伸縮性。

NIST標準RBAC模型由4個部件模型組成，這4個部件模型分別是基本模型RBAC0、角色分級模型RBAC1、角色限制模型RBAC2和統一模型RBAC3。RBAC0模型如圖1所示。

RBAC0定義了能構成一個RBAC控制系統的最小的元素集合。在RBAC之中，包含用戶users(USERS)、角色roles(ROLES)、目標 objects(OBS)、操作operations(OPS)、許可權permissions(PRMS)五個基本數據元素，權限被賦予角色，而不是用 戶，當一個角色被指定給一個用戶時，此用戶就擁有了該角色所包含的權限。會話sessions是用戶與激活的角色集合之間的映射。RBAC0與傳統訪問控制的差別在于增加一層間接性帶來了靈活性，RBAC1、RBAC2、RBAC3都是先后在RBAC0上的擴展。

2 權限管理模塊的整體設計

本系統的權限管理模塊，可實現較強的訪問控制，使得不同用戶在同一系統中實現不同的操作， 方便系統管理員維護該管理系統，避免了重復勞動。

2.1 對象模型

該對象模型中包含的基本元素主要有：用戶、角色、資源、操作、權限。主要的關系有：分配角色權限、分配用戶角色。

1) 用戶：是權限的擁有者或主體。用戶和權限實現分離，通過授權管理進行綁定。 該系統中的用戶也成為操作員。

2) 角色：權限分配的單位與載體。角色通過繼承關系支持分級的權限實現。例如，系統管理員角色同時具有管理員角色、讀者角色。

3) 權限：對受保護的資源操作的訪問許可，是綁定在特定的資源實例上的。對應地，訪問策略和資源類別相關，不同的資源類別可能采用不同的訪問模式。

4) 操作：完成資源的類別和訪問策略之間的綁定。

5) 分配角色權限PA：實現操作和角色之間的關聯關系映射。

6) 分配用戶角色UA：實現用戶和角色之間的關聯關系映射

2.2 訪問控制權限

訪問控制權限的構建主要是決定一個用戶是否有權對某一特定的數據資源執行某種操作，這種權限主要包括對信息資源的讀、寫、刪、改、拷貝、執行等，即對應某個功能模塊的執行權，我們可以基于用戶不同的類型來確定合法用戶對系統資源有何種權限，可以進行什么類型的訪問操作，規定他使用的范圍和權限，按照權限規定實現有條件的資源共享。防止非法用戶使用數據資源和合法用戶對系統資源的越權使用。建立用戶、角色、資源及資源的操作之間的映射關系集合滿足系統對資源控制的需求。實現用戶、角色和權限之間的靈活對應關系(一對一、一對多或多對多)。

3 訪問控制策略的實現

對于一個基于Web的信息資源管理系統的訪問管理，主要是對于訪問用戶如何管理，即每個用戶可以授予哪些角色，每個角色具有哪些權限。所謂權限應當就是對相關功能模塊及其子模塊的訪問權限，即可以訪問哪些數據庫，以及對數據庫能進行哪些操作。這樣就可以將角色和系統中實際的資源相對應。

3.1 訪問控制權限的數據結構

本系統采用權限關系表作為實現RBAC系統的核心存儲結構和實現方式。通過建立用戶表、用戶一角色表、角色一權限表及權限表，實現用戶、角色與權限的映射關系，使用戶通過角色與他可使用的權限聯系起來，顯然，這是一種多到多的角色授權映射關系。其關系圖如圖2。

3.2 權限訪問及控制機制

本系統采用基于B/S三層體系結構開發模式，角色權限的實現與用戶登錄系統后的操作頁面配合，不同權限的角色用戶進入不同功能的操作頁面（即授權網頁）。在授權網頁內將列出該用戶角色權限內的所有操作。

初始化階段，必須以系統管理員身份進入系統進行如下操作:

1) 編輯角色：包括新增角色，修改角色，刪除角色。

2) 角色授權：給每個角色指定權限（如：錄入員擁有申請錄入、廢除錄入等權限）。如圖3所示。

3) 編輯用戶（此處的用戶又名操作員）：包括新增用戶，修改用戶，刪除用戶（如：新增“RA錄入員”，他是被賦予了錄入員角色的一個用戶名）。

4) 角色授予：給用戶賦予角色，使用戶可以通過賦予角色而擁有相關權限。每個用戶可以擁有多個角色，而每個角色又可以同時賦予多個用戶（如：將“RA超級操作員”同時賦予錄入員、審核員和審計員角色，那么他將既可以申請錄入，也可以申請審核，還可以進行統計）。如圖4所示。

3.3 系統中的對象實例

系統試運行時的對象實例如圖5所示。

初始化后，當用戶登陸資源管理系統時，系統通過用戶名和密碼登陸的認證方式，根據安全策略，判斷是否準許訪問，從而接受或是拒絕用戶的訪問請求。對于有訪問權限的用戶，系統根據其用戶的屬性分配相應的角色，再根據所擁有角色的不同權限，提取相應的功能項與數據資源，為用戶組織相應的可操作和訪問的資源，屏蔽其不能訪問的數據庫及操作菜單，在授權網頁內將列出該用戶角色權限內的所有功能模塊和可訪問的資源。“所見即所用”、直觀明了，符合用戶的心理，使其不會面對繁雜的功能不知所措，也不會對不能使用的功能進行操作，從而防止惡意行為的發生。

4 結論

隨著網絡的普及和信息資源共享的迅速發展，對信息資源訪問控制技術提出了更高的要求。用基于角色的訪問控制技術實現管理系統對資源訪問用戶的控制，解決了具有大量用戶、數據課題和訪問權限的系統中的授權管理問題，不僅極大地減少權限管理的負擔和代價，而且使得系統的安全機制具有更大的靈活性。

參考文獻

[1] 侯紅.基于RBAC的權限管理系統的設計與開發[J].鐵路計算機應用，2008(1).

[2] 谷瑩吉.RBAC模型在權限控制中的研究與實現[J].佳木斯大學學報，2008(1).