基于擴展RBAC模型的文檔管理系統設計與實現

丁源

（上海市崇明縣長興島4B軍事代表室上海202150）

基于擴展RBAC模型的文檔管理系統設計與實現

丁源

（上海市崇明縣長興島4B軍事代表室上海202150）

針對某型裝備文檔管理系統復雜，合理有效組織人員權限管理和分配困難問題，分析現有RBAC0模型的局限性，論文建立了跨過角色直接面向用戶的擴展RBAC模型，設計了文檔管理系統中的權限訪問控制所需要的相關功能模塊。該方法工程易用性和可配置性強，易升級和維護。

基于角色的訪問控制；擴展RBAC；文檔管理

Class NumberTN957；TP274

1 引言

隨著辦公自動化程度提高，電子文檔越來越多，各種影音、圖像等多媒體信息文檔大量出現。由于電子文檔存儲分散，缺乏合理科學的管理，文檔使用性和安全性差，因此訪問控制策略在文檔管理中起著重要的作用，它能夠有效防止對任何資源進行未經授權的使用、泄漏、修改、銷毀信息及頒發指令等。訪問控制策略定義了系統運行期間的授權和非授權行為，即哪些行為是允許發生的，哪些是不允許發生的。一般訪問控制策略有三種：自主訪問控制（Discretionary Access Control，DAC）、強制訪問控制（Mandatory Access Control，MAC）和基于角色的訪問控制（Role-Based Access Control， RBAC）［1］。RBAC相對于傳統訪問控制策略如DAC和MAC來說，RBAC更加多樣化、更能有效地滿足客戶的業務需求。RBAC與傳統訪問控制策略有所不同，它將角色的概念引入了訪問控制的過程，靈活多變的角色使得用戶脫離了直接與訪問權限的聯系，用戶通過對角色使用來獲取相應的訪問權限［2～3］。用戶通過模擬現實世界中組織結構的訪問控制原則來建立不同擁有不同權限的角色，再將設立的角色授予用戶，從而極大地簡化了授權的復雜性。

RBAC的概念早在20世紀70年代就已提出，1995年ACM成立了RBAC工作組專門致力于RBAC模型及相關技術研究工作。2000年，由美國國家標準與技術局（National Institute of Standardsand Technology，NIST）的D.F.Ferraiolo，R.Sandhu，S. Gavrila三位作者，整理了過去學術界以及美國國家標準與技術局在RBAC領域的研究成果，提出了RBAC最新的定義與理論模型。基于角色的訪問控制是傳統的自主性訪問控制（DAC）和強制性訪問控制（MAC）策略之后一種新的訪問控制技術。其通過角色概念來表達訪問控制策略的語義結構，角色對應于組織中某一特定職能崗位，代表特定的任務范疇［4］。用戶和權限之間通過角色間接發生聯系，實現了用戶與權限的邏輯分離。這種方式更便于授權管理，角色劃分，職責分擔，目標分級和實現了最小權限原則。

本項目研發的文檔管理系統服務于復雜程度很高的某型裝備，該型裝備需要很多組織結構和人員來配合完成，因此合理有效組織人員權限管理和分配成為重要問題。針對該問題，分析現有RBAC模型的局限性，擴展RBAC模型跨過角色，直接授權用戶，實現文檔管理系統職責權限和臨時權限的分配，解決文檔管理系統復雜的訪問控制問題。

2 RBAC模型

NIST標準RBAC模型由四個概念模型組成。它們分別是Core RBAC，Hierarchal RBAC和Con?straint RBAC中的兩個責任分離部件模型：靜態授權約束（SSD）和動態授權約束（DSD）［5］。通過這四個概念模型就可以了解各種RBAC實現所支持的特性。

現在使用比較廣泛的有RBAC0、RBAC1、RBAC2三種模型，本文在RBAC0模型基礎上擴展。RBAC0是任何支持RBAC系統需要滿足的最低要求，它包括用戶集合（U）、角色集合（R）、許可權集合（P）和會話集合（S）。用戶（U）是系統中的個體用戶集，隨用戶的添加與刪除動態變化。角色（R）是系統角色集，由系統管理員定義角色。對象（Obj）是系統中所有受控對象的集合［6～7］。操作（Ops）是系統中所有操作的集合。許可（P）是定義了受控對象與操作的對應關系。PA是P×R表示許可權與角色之間多對多的指派關系。UA是U×R表示用戶與角色之間多對多的指派關系。用戶是S→U每個會話si到單個用戶user（si）的映射函數（常量代表會話的聲明周期）。角色是S→2R每個會話si到角色子集roles（si）｛r|user（si，r‘）∈UA｝（能隨時間改變）的映射函數，會話（si）是有許可權Ur∈roles（si）｛p|（p，r’）∈PA｝。圖1為RBAC0詳細模型。

在RBAC0中，用戶就是一個可以獨立訪問計算機系統中的數據或者用數據表示的其他資源的主體。角色是指一個組織或任務中的工作或者位置，它代表了一種權利、資格和責任［8］。許可（特權）就是允許對一個或多個客體執行的操作。一個用戶可經授權而擁有多個角色，一個角色可由多個用戶構成；每個角色可擁有多種許可，每個許可也可授權給多個不同的角色。每個操作可施加于多個客體（受控對象），每個客體也可以接受多個操作［9］。

3 擴展的RBAC模型

RBAC模型把角色作為訪問控制中訪問主體和受控對象之間的一座橋梁，將訪問權限與角色相聯系，并通過為用戶指派合適角色的方式為用戶授權。通過角色對用戶進行授權時RBAC的一個最大優點，但是同時也帶來了一個局限性，就是只能為角色授權，不能對用戶進行直接二次授權。由于客戶業務對象復雜，參與業務的組織機構和用戶眾多，權限管理中的角色定義十分復雜。在某個用戶由于業務需求需要暫時擁有某項文檔的知悉權限，而此時現有角色均不合適，如果給該用戶所屬角色賦予此權限，則必然同樣會給賦予該角色的所有用戶增加此權限，這顯然給不符合訪問控制要求。如果再建一個合適的角色，然后賦予該用戶，但該用戶的此權限是暫時的。當撤銷該權限時，還必須刪除這個角色的定義，這樣又比較繁瑣。在這種情況下，將這部分工作的權限被稱為臨時權限。臨時權限是針對單獨的用戶，而不是針對角色，這種情況則是RBAC模型不能解決的［10］。

通常情況下，用戶所具有的權限是不會發生變化的，這種權限是職責權限，此時RBAC模型可以通過角色對用戶賦予權限。特殊情況下，本系統就跨過角色，對用戶直接授權，這時就必須對原有的RBAC模型進行改進。本系統中對RBAC模型進行了擴展，以達到能夠滿足對用戶進行臨時授權的要求。擴展的RBAC模型包括用戶集合（U）、角色集合（R）、許可權集合（P）和會話集合（S）。用戶（U）是系統中的個體用戶集，隨用戶的添加與刪除動態變化。圖2為擴展RBAC詳細模型。

用戶（U）：系統中的個體用戶集，隨用戶的添加與刪除動態變化。

角色（R）：系統角色集，由系統管理員定義角色。

對象（Obj）：系統中所有受控對象的集合。

操作（Ops）：系統中所有操作的集合。

許可（P）：定義了受控對象與操作的對應關系。

PRA：P×R表示許可權與角色之間多對多的指派關系，為用戶授予職責權限。

UA：U×R表示用戶與角色之間多對多的指派關系。

PUA：U×P表示用戶與角色之間多對多的指派關系，為用戶授予臨時權限。

用戶：S→U每個會話si到單個用戶user（si）的映射函數（常量代表會話的聲明周期）。

角色：S→2R每個會話si到角色子集roles（si）｛r|user（si，r‘）∈UA｝（能隨時間改變）的映射函數，會話si有許可權Ur∈roles（si）｛p|（p，r’）∈PA｝。

在擴展的RBAC模型中，對用戶的授權被分成PRA和PUA兩個部分。PRA實現為用戶授予職責權限，由于職責權限相對固定并且可以為其他用戶所用，所以職責權限的授予是通過角色完成的。PUA實現為用戶授予臨時權限，由于臨時權限的不固定性和暫時性，所以臨時權限是通過對用戶直接授權完成的。這樣，通過PRA和PUA對用戶進行授權，很好解決了職責權限和臨時權限的問題，也形成一個完整的用戶訪問控制策略。

4 擴展的RBAC模型的設計與實現

4.1 總體設計

本項目的文檔管理系統采用三層架構，即顯示層、控制層、數據層。在訪問控制過程中，顯示層由責任權限模塊、臨時權限模塊、客戶端應用構成，控制層由訪問控制模塊和策略管理模塊構成，數據層存儲了策略數據庫和業務數據庫。圖3為訪問控制整體設計圖。

根據以上訪問控制整體設計，給出了一個對文檔內容進行訪問控制的典型流程。如圖4所示。用戶提出對訪問對象的訪問請求，被訪問控制實施點截獲，訪問控制實施點將請求信息和目標信息以決策請求的方式提交給訪問控制決策點，訪問控制決策點根據相關信息返回決策結果，執行點根據決策結果決定是否執行訪問。若允許用戶訪問資源，則訪問控制實施點查詢訪問者需要的信息，然后再返回給客戶端。這個體系結構體現了“安全與應用分離”的思想。具體的應用資源統一受控于安全訪問控制系統，實施統一的授權與訪問控制管理。其中，訪問控制實施點和訪問控制決策點不必是分開的。訪問控制實施點和訪問控制決策點合起來完成了訪問控制的功能。典型訪問控制流程如圖4所示。

4.2 用戶管理模塊設計與實現

用戶管理對用戶的個人信息進行管理，用戶信息以用戶列表的形式進行統一顯示，系統管理員可通過用戶列表實現對用戶信息的快速添加、修改、刪除、查看、查詢、導入/導出、啟用/禁用、解鎖。用戶管理模塊的界面，如圖5所示。

4.3 角色管理設計

1）PRA授權管理設計

系統管理員通過PRA授權管理將責任權限分配角色，用戶在與角色之間進行關聯，實現授權的實際分配。PRA授予用戶固定的權限，用戶登錄系統后，在會話中存儲了給用戶所有能夠使用的權限集合。用戶在訪問系統應用的時候，會話將用戶的請求發送到訪問控制模塊以角色其訪問范圍，最后訪問控制模塊將用戶權限范圍內的操作授予用戶。PRA授權管理模塊，如圖6所示。

2）PUA授權管理及數據庫設計

用戶通過PRA授權可以獲得PUA的操作權限，獲得PUA操作權限的用戶自動成為了PUA管理員。對不同的用戶組的用戶，PUA管理員通過該功能實現為用戶授予臨時權限、修改臨時權限和收回臨時權限，以達到對不同用戶組授予不同權限的目的。PUA授權管理模塊如圖7所示。

5 結語

本文主要針對某型裝備文檔管理系統合理有效組織人員權限管理和分配問題，提出了一種基于擴展RBAC模型。該模型以RBAC0為基礎擴展跨過角色，直接授權用戶實現文檔管理系統職責權限和臨時權限的分配，解決文檔管理系統復雜的訪問控制問題。同時設計了文檔管理系統中的權限訪問控制所需要的相關功能模塊。該文檔管理系統可配置性強，升級和維護容易。

［1］范銀琛，吳遠紅，張艷艷.基于工作流的文檔管理系統的研究與實現［J］.現代計算機，2009（4）：116-118.

［2］楊振平，張學平，王偉全.基于RBAC擴展模型的實驗室綜合管理系統設計與實現［J］.海南師范大學學報，2010，23（1）：21-24.

［3］杜興盛.面向計算機網絡的物流信息管理系統的權限控制研究［J］.物流技術，2012，31（9）：402-404.

［4］姚婷，胡業發.制造企業內容管理系統中基于角色和任務訪問控制的研究［J］.計算機應用研究，2008，25（12）：247-249.

［5］楊柳，危韌勇，陳傳波.一種擴展型基于角色權限管理模型的研究［J］.計算機工程與科學，2006，28（9）：126-128.

［6］D.J.Kewley.一種瀏覽器信息檢索注釋工具［J］.RIAO工程，2000.

［7］Barry E.Fridling，Oliver E.Drummond.代理及語義瀏覽器［J］.IEEE智能系統，2001，16（2）：30-37.

［8］安沛，王春玲.OA系統中RBAC擴展模型的研究與實現［J］.西安工程大學學報，2015，2：78-83.

［9］何建飛.OA系統中敏感數據安全的研究［D］.沈陽：遼寧工程技術大學，2011：31-35.

［10］張靖康，石宇良，王海豹.擴展的RBAC權限管理模型的設計與研究［J］.電子設計工程，2013，21（3）：50-53.

Design and Implementation of Document Management System Based on Extended Role-Based Access Control Model

DING Yuan
（4B Office of Military Representatives in Chongming Changxing Island，Shanghai202150）

According to the question of certain type equipment document management system complexity and the difficulties of reasonably and effectively organizing the personnel authority and distribution management，the paper analyses the limits of RBAC0 model and builds the extended RBAC model by crossing the roles and facing directly the users.Further，the paper designs the relevant model of authority access control in the document management system.The method is easy to use，configure，update and maintenance.

role-based access control，extend RBAC，document management

TN957；TP274

10.3969/j.issn.1672-9730.2017.08.024

2017年2月10日，

2017年3月28日

丁源，男，助理工程師，研究方向：作戰指揮系統。