（计算机软件与理论专业论文）电子政务中的组织与访问控制体系研究与实现.pdf

大连理工大学硕士学位论文 摘要 电子政务系统是辅助政府实现信息化建设的基础系统，它在整个信息化建设中有着 举足轻重的地位。电子政务系统作为一类复杂的信息系统，通常由多个应用着不同的安 全策略、地理上分布的、分属不同部门的、多用户同时在线的子系统组成，各系统内部 存在越来越多的海量资源和用户信息，因此电子政务系统在访问控制技术方面面临着有 效性、应用性、动态性、分布性、实时性、兼容性等严峻挑战。 本文以国家自然科学基金项目( 7 0 2 7 1 0 4 5 ) ：“电子政务系统模型体系及政务流程 再造研究”为研究背景，从电子政务系统特有的业务需求出发，结合当前分布式环境下 的电子政务系统面临的严峻挑战，深入研究了复杂政务信息系统的组织与授权体系模 型，给出了电子政务系统的安全访问控制实施过程中各个业务过程的流程实现以及需要 注意的环节。其中包括强化岗位概念、约束限定和自动检测机制、角色的层次化定制、 政务体制的一致性、对分布式系统的有效集成。结合a j a x 、h i b e r n a t e 、w e bs e r v i c e s 等 技术体系和实现方式，具体实现了电子政务系统中的组织与访问控制系统。该系统采用 结合分层结构和基于组件的软件设计方式，强调系统功能扩展的平滑性、系统用户在管 理方面的易用性和减少信息存储的冗余，并在约束控制和信息完整性等方面有深刻体 现。以此设计方案为基础实现的电子政务组织人事系统、分布授权管理及鉴权系统和操 作集与角色管理系统及其组件在“杭州市办公业务资源系统”、“绍兴市政府电子政务 系统”和“大连市中山区政府办公系统”中得到应用，收到很好的实际效果。 关键词：电子政务；模型；岗位；角色；权限 大连理工大学硕士学位论文 t h er e s e a r c ha n dr e a l i z a t i o no fo r g a n i z a t i o na n da c c e s sc o n t r o ls y s t e m i ne g o v e r n m e n t a b s t r a c t e g o v e m m e n ts y s t e mi st h eb a s i cs y s t e mf o rg o v e r n m e n ti n f o r m a t i o n - b a s e dc o n s t r u c t i o n a n di ti s q u i t ei m p o r t a n t i nt h ew h o l ei n f o r m a t i o n - b a s e dc o n s t r u c t i o n a sat y p eo f c o m p l i c a t e di n f o r m a t i o ns y s t e m , e - g o v e r n m e n ts y s t e m i s u s u a l l ym a d eu po fm a n y s u b s y s t e m sw h i c h b ed e a l tb yd i f f e r e n ts e c u r i t ys t r a t e g i e s ，b ed i s t r i b u t e di ng e o g r a p h y ，b e l o n g t od i f f e r e n td e p a r t m e n t s ，t h e i rs y s t e m i cu s e r sc a nb ea c t i v ei nm a n ys y s t e m si nt h es a m et i m e t h e r ea r eg r e a tc a p a c i t yr e s o u r c ea n du s e ri n f oi ne a c hs u b s y s t e m s t h e r e f o r e ，e g o v e r n m e n t s y s t e m i sf a c e dw i t hv a l i d i t y ，u t i l i t y ，d y n a m i c s ，d i s t r i b u t i v i t y ，r e a l - t i m en a t u r ea n d c o m p a t i b i l i t ye t c c h a l l e n g e si na c c e s sc o n t r o lt e c h n o l o g ya s p e c t t h i sp a p e rr e s e a r c h e su n d e rf u n dp r o j e c to f n a t i o n a l i t yn a t u r a ls c i e n c e ( 7 0 2 7 1 0 4 5 ) ： i h e r e s e a r c h e so ne g o v e r n m e n ts y s t e mm o d e la n dg o v e r n m e n ta f f a i rf l o wr e f o r g e r i ts t a r t s f r o mt h ep r o p e ro p e r a t i o nr e q u i r e m e n to fe - g o v e r n m e n ts y s t e m , c o m b i n e st h es e v e r e c h a l l e n g e so fe g o v e r n m e n ts y s t e mu n d e rc u r r e n td i s t r i b u t i n ge n v i r o n m e n t , l u e u b r a t e st h e o r g a n i z a t i o na n da u t h o r i z a t i o ns y s t e mm o d e lo fc o m p l e xg o v e r n m e n ta f f a i ri n f o r m a t i o n s y s t e m , p r e s e n t s t h ef l o wr e a l i z a t i o no f s e c u r i t y a c c e s sc o n t r o li m p l e m e n t a t i o no f e g o v e r n m e n ts y s t e ma n ds o m en o t i c e a b l et a c h e s i ti n c l u d e ss t r e n g t h e n i n gp o s tc o n c e p t i o n ， c o n c r e t i o no fr e s t r i c t i o na n da u t o m a t i cc h e c km e c h a n i s m , a r r a n g e m e n tc u s t o m i z a t i o no fr o l e ， c o n s i s t e n c yo fg o v e r n m e n ta f f a i rs y s t e ma n de f f e c t i v ei n t e g r a t i o nt o w a r d sd i s t r i b u t i n gs y s t e m c o m b i n i n gt h et e c h n o l o g ys y s t e ma n dr e a l i z a t i o nm a n n e ro fa j a x ，h i b e r n a t e ，w e bs e r v i c e s e t e ，r e a l i z e st h eo r g a n i z a t i o na n da c c e s sc o n t r o ls y s t e mo fe - g o v e r n m e n t t h es y s t e ma d o p t s c o m b i n e - d e l a m i n u t i o ns t r u c t u r ea n dm o d u l e b a s e ds o f t w a r ed e s i g nm a n n e r , e m p h a s i z e st h e s m o o t h n e s so fs y s t e mf u n c t i o ne x p a n s i o n , c o n v e n i e n c ef o rm a n a g e m e n ta n dr e d u c e st h e r e d u n d a n c yo fi n f o r m a t i o ns t o r a g e m o r e o v e r , i ti n c a r n a t e sd e e p l yi nr e s t r i c t i o nc o n t r o la n d i n f o r m a t i o ni n t e g r a l i t ye t c e - g o v e r n m e n to r g a n i z a t i o na n dp e r s o n n e ls y s t e m , d i s t r i b u t i n g a u t h o r i z a t i o na n da u t h e n t i c a t i o ns y s t e m ，o p e r a t i o n - s e ta n dr o l e - m a n a g es y s t e md e s i g n e d u n d e rt h es c h e m ea b o v ea r eu s e di n h a n g z h o uo f f i c i a lb u s i n e s sl e s o u r c es y s t e m , s h a o x i n g c i t ye - g o v e r n m e n ts y s t e m a n d d a l i a nz h o n g s h a nd i s t r i c tg o v e r n m e n to f f i c i a l b u s i n e s s s y s t e m , w h i c hr e c e i v e sa l l - f i g h tp r a c t i c ee f f e c t k e yw o r d s ：e - g o v e r n m e n t ；m o d e l ：p o s t ；r o l e ：p u r v i e w 独创性说明 作者郑重声明：本硕士学位论文是我个人在导师指导下进行的研究工 作及取得研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写的研究成果，也不包含为获得大连理 工大学或者其他单位的学位或证书所使用过的材料。与我一同工作的同志 对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。 作者签名： 大连理工大学硕士研究生学位论文 大连理工大学学位论文版权使用授权书 本学位论文作者及指导教师完全了解“大连理工大学硕士、博士学位论文版权使用 规定”，同意大连理工大学保留并向国家有关部门或机构送交学位论文的复印件和电子 版，允许论文被查阅和借阅。本人授权大连理工大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，也可采用影印、缩印或扫描等复制手段保存和汇编学位论 文。 作者签名： 导师签名： 至蚴 至短 型尘年业月尘日 大连理工大学硕士学位论文 1 绪论 1 1 研究背景 人类迸入2 1 世纪以来，信息网络化正在延伸到社会的每一个角落，这种趋势己成 为一种不可抗拒的时代潮流。全球性的网络化、信息化进程深刻地改变了人类的生存方 式：一方面，i n t e m e t 技术应用以及电子商务的飞速发展给人们生活和工作的各个层面 带来了深刻的影响：另一方面，信息网络时代的到来给国家政府部门的工作提出了快捷、 高效的要求。网络对于政府来讲不仅是一种高效的通信手段，而且是一座沟通政府与社 会各界的桥梁。从全球范围来看，推动政府部门办公网络化、自动化、电子化，实现信 息共享，提供个性化信息服务，已是大势所趋 1 - 3 1 。当前，在世界各国积极倡导的“信 息高速公路”的五个应用领域中，“电子政务”被列为第一位，其后是“电子商务，远 程教育，远程医疗，电子娱乐”。由此可见政府信息化是社会信息化的基础和重要组成 部分。 政府是社会信息资源的最大拥有者、生产者、使用者和传送者，政府所拥有的信息 资源占整个社会信息资源的8 0 ，对社会信息资源的开发与利用起着主导作用。目前， 信息网络技术的发展使得政府机构拥有、生产、使用与传送信息的方式发生了深刻的变 化，这些都对政府的管理水平和服务功能提出了更高的要求。电子政务的目的正是政府 机构应用现代信息和通信技术，将管理和服务通过网络技术进行集成，在i n t e m e t 上实 现政府组织结构和工作流程的优化重组，超越时间、空间和部门分割的限制，全方位地 向社会提供优质、规范、透明、符合国际水准的管理和服务。也正是如此，有关电子政 务的研讨、规划和实施愈来愈成为各国推进全方位信息化建设的新热点，成为各国政务 改革的主要推动力量，成为世界新一轮公共行政管理改革和衡量国家以及城市竞争力水 平的标志之一m 。 上世纪9 0 年代初，欧美日等发达国家为了提高其国际竞争优势，相继推出国家信 息基础设施建设，并规划用网络构建电子政府作为提高政府办公效率以及方便为民服务 的重点，以建设一个反映人民需求，为人民提供更为广泛的信息和更便捷的服务。正如 电子商务的最终归宿，是生产者更直接贴近地围绕消费者，为消费者服务；电子政务的 最终归宿，是政府对民众的要求更快捷地反应，更直接地为人民服务。我国的电子政务 起步较晚，自1 9 9 9 年启动作为电子政务重要组成部分的“政府上网工程”以来，全国 各级政府部门在c h i n a n e t 和中国公众多媒体信息网上建立了正式的网站，为公众提 供相关的信息和政务服务，效果良好，为实现上述目标做出了积极贡献 8 1 。但是，随着 电子政务中的组织与访问控制体系研究与实现 电子政务建设的深入，我国电子政务信息资源总量不断增加、质量不断提高，而由于我 国电子政务信息资源管理上的薄弱，所导致的问题和矛盾也日益突出，如政府部门之间 的信息资源封闭现象严重、跨部门的业务信息协同无法有效进行、电子政务信息服务质 量不高，等等。 纵观我国电子政务信息资源的开发建设与管理应用，总体上具有一些独特的、显著 区别于其它国家和地区的现象，这些现象直接与我国政治、经济、社会的特征相关联。 主要表现在以下四个方面： ( 1 ) 开发规划上的“各自为政” 目前，我国电子政务信息资源的建设缺乏统一的顶层设计，各地、各行业、各部门 都在进行着各自封闭地“独立思考”。一些部门和单位把涉及全局的电子政务项目，如 金字工程，视为本部门信息系统的延伸，仍然停留在办公自动化和政务专网的建设上， 对跨行业和部门的信息交换与应用缺乏足够的考虑。以国务院为例，有实力的部委纷纷 建设着各自的自下而上的政务专网。据统计，目前各部委已建和在建的专网已经超过2 3 个，但这些政务专网系统之间彼此独立，互相封闭。 ( 2 ) 资源归属上的“部门私有” 当前，电子政务信息资源的所有权、采集权、开发权的归属、转移及相关管理原则 还不明确，造成了不少政府部门将电子政务信息资源的产权部门化，有意或无意地设置 信息互联互通的堡垒，从而导致了资源归属上的“部门私有”格局。 这种“部门私有”的资源归属格局，导致了在跨部门的大型电子政务信息资源建设 项目中，由于共建单位之间的协作关系和工作模式都不确定，信息互联互通缺乏硬性规 定，许多政府部门在建设过程中继续自觉或不自觉地强化部门利益。如，正在规划建设 中的人口基础信息库、法人单位基础信息库等国家基础信息资源库的建设，需要多个政 府部门共同建设，但就目前而言，项目建设各方之间在项目的协作建设模式、信息整合 防伪等方面尚未达成一致。 ( 3 ) 资源配置上的“纵强横弱” 就目前状况而言，我国在电子政务信息资源的配置上存在着“纵强横弱”的现象。 电子政务信息资源的配置，包括纵向和横向两种布局类型，其中纵向资源信息配置则是 指本级政府和下级政府之间的，或同一系统内的上下级之间的电子政务信息资源的建 设、交换与应用，如全国税务系统内上下级机构之间的业务信息建设、以及信息互联互 通；横向信息资源配置则是指同一级别的不同政府，或同一政府的各不同部门之间的电 子政务信息资源的建设、交换与应用，如国务院各部委之间的电子政务信息资源建设、 以及信息互联互通。我国目前在纵向电子政务信息资源的建设以及信息互联互通方面进 一2 一 大连理工大学硕士学位论文 行的相对较好，投入也很大。而横向电子政务信息资源的建设以及信息互联互通方面则 起步较晚，建设进展缓慢，信息交换困难重重，目前在横向政府部门之间存在着众多的 信息孤岛。 ( 4 ) 资源建设上的“技术驱动” 在电子政务信息资源建设中“技术驱动”的现象普遍存在，政府部门往往“重装备 水平，轻信息资源应用”，资金投入主要用于硬件设备的配备，而用于信息开发、更新 和维护的经费严重不足，甚至许多数据库在建设完成之后，由于缺乏后续资金只是数据 更新和维护都难以为继。信息网络基础设施建设远远领先于信息资源建设，信息资源开 发严重不足，造成了目前许多电子政务领域中有路无车、有车无货的现象。同时，目前 电子政务信息资源建设项目的规划设计方案往往是由i t 部门或者由技术支持部门提出 来的，而有关技术部门并不清楚业务信息需求与社会信息需求。没有业务需求驱动作源 泉的电子政务信息资源建设，在很大程度上是盲动的。 如上所述，中国的电子政务信息资源建设无论是规划上的“各自为政”，还是信息 资源归属上的“部门私有”、信息资源配置上的“纵强横弱”，归根结底都说明了一个 问题，那就是我国电子政务信息资源建设缺乏统一规划和有效控制。 1 2 组织与访问控制体系的研究与现状 这里提到的组织，是指在对系统用户进行有效的访问控制设定过程中，对人员即授 权主体的组织，因此对组织的研究，也应当在访问控制技术的研究领域范围之内。 现代访问控制技术的发展始于2 0 世纪六、七十年代。随着多用户在线和分布式计 算机系统的发展，大量的共享信息存在于一个计算机系统中。作为系统的管理层，希望 只有合法的用户能进行合理的访问。而访问控制技术则是解决这一问题的关键，因而发 展访问控制技术成为信息安全研究人员的一项必要而紧迫的任务。为此，国内外的研究 机构和研究人员做了大量而深入的研究。 1 9 8 3 年，美国国防部在计算机系统安全性评估标准d e p a r n 踟o fd e f e n s e t r u s t e d c o m p u t e r s y s t e m e v a l u a t i o n c r i t e r i a 中，明确提出了访问控制在 计算机系统安全中的重要作用。该标准提出了安全计算机系统的六大需求【9 】： 安全策略( s e u r i t yp o l i c y ) ：系统必须提供良好和清楚的安全策略制定机制； 标定( m a r k i n g ) ：所有的对象必需拥有一个访问控制标定( 安全分级) ； 可标识( i d e n t i f i c a t i o n ) ：对应于现实世界的用户或计算机系统的职能代理等，所有的 主体都是可区分的； 可审计( a c c o u n t a b i l i t y ) ：所有的访问过程都可以有选择的记录以便事后追踪； 电子政务中的组织与访问控制体系研究与实现 保证( a s s u r a n c e ) ：系统必须拥有足够的软硬件资源保证能够完成上述四项要求； 持续防护( c o n t i n u o u sp r o t e c t i o n ) ：系统必须确切地保证己实施上述基本需求以防范 其它干预和不经过授权的变更。 访问控制技术是信息安全领域中的一个重要的研究内容，它在保护敏感信息、防止 越权访问方面起着重要的作用【l o 】。在访问控制技术的发展过程中，有三个典型的访问控 制模型： ( 1 ) 自主访问控制( d a c ) - 基本思想是受控对象的拥有者可以决定谁可以如何访问 该对象。换句话说，d a c 策略是一种基于所有者授权的访问控制策略。现存在大量的 d a c 策略，他们的不同点在于所有者的权限如何能代理给其他用户以及授予的权限如 何回收。 d a c 的策略具有如下特点： 对象创建者即为它的所有者； 对象的所有者只有一个； 对象的销毁只能由它的所有者完成。 ( 2 ) 强制访问控制m c ) ：也称为基于网格的访问控制【1 1 】，其基本思想是在信息安 全标识的网格中限制信息的流向，比如只能从低到高而不能从高到低的信息流动。 强制访问控制策略的表达是基于附在主体和客体的安全标签的。附在客体上的叫安 全密级，而附在主体上的叫安全令牌。 ( 3 ) 基于角色的访问控制( r b a c ) ：基本思想是通过将权限授予角色而不是直接授予 主体，主体通过角色分派来得到客体操作权限从而实现授权。由于角色在系统中具有相 对于主体的稳定性，并具有更为直观的理解，从而大大减少系统安全管理员的工作复杂 性和工作量。 前面主要介绍国外对访问控制技术的研究，而作为信息安全的一项关键技术，国内 的学者对访问控制技术也开展了大量的研究工作。 ( 1 ) 李成锴等针对当时的方法不能很好地满足计算机支持协同工作( c s c w ) 系统对 访问控制提出的新需求，提出了一个基于角色的c s c w 系统访问控制模型 r b c s a c ( r o l e - b a s e dc o l l a b o r a t i v es y s t e m sa c c e s sc o n t r 0 1 ) 。该模型形式化地描述了数据、 操作、权限、角色和用户等要素及其相互问的关系，提供访问控制信息的记录方法，通 过分配和取消角色来完成对用户权限的授予和取消，并且提供了角色分配规则和操作合 法性检查规则。该模型针对c s c w 系统的多用户交互、协作、实时、动态等特性，能 较好的满足c s c w 系统对访问控制的需求【1 2 1 ； ( 2 ) 刘琼波等为适应分布式环境下的安全需求，提出了一种描述访问控制策略和判 一4 一 大连理工大学硕士学位论文 定访问请求的方法，采用类似于无函数的扩展逻辑程序的表示方法对安全访问策略进行 描述，限定权限传播的深度，利用不同的有限次序定义了多种消解冲突的规则，并给出 了类似扩展逻辑程序的回答及语义解释，结合确定性推理和可能性推理，描述了如何判 定反跟请求的算法，解决了三个问题：分布式授权、私有权限和冲突消解方法1 1 ) j ； ( 3 ) 李立新等讨论了在基于角色的安全系统中实现强制访问控制( m a c ) 的问题。首 先介绍了角色的基本概念及其在安全系统中的应用和m a c 的基本概念，然后给出了一 个利用角色机制实现强制访问控制的方法，通过将每个角色的上下文处理为独立的安全 级并施行非循环信息流约束，从而实现强制访问控制【l ”。 还有国内许多学者提出了大量访问控制的研究成果和实践经验，这里就不再赘述。 1 3 当前访问控制技术面临的挑战 随着信息技术的发展，电子政务系统内部存在越来越多的海量资源和用户信息，并 变得越来越复杂。这些资源信息分为多种类别；分属于不同的部门；应用着不同的安全 策略；系统的用户又是极其复杂的，既有内部用户，也有外部用户，这些用户的访问方 式不尽相同，并极有可能同时在一个系统中活动；系统对每次访问均需要进行分别控制； 系统的资源和用户可能是地理分布的。因此当前电子政务中的访问控制技术面临着严峻 的挑战： ( 1 ) 有效性：系统必须是安全的，能够完整地贯彻管理员的授权意图，必须拒绝不 合法的访问，而允许进行合法的访问，从而保证敏感数据不被恶意或者无意地破坏。这 是访问控制技术的基础。 但1 易用性：系统内部的访问者和资源数量庞大、关系复杂，使得系统安全管理员 的策略制定工作十分困难且容易出错。访问控制技术必须提供一个有效和直观的工具方 便系统安全管理员制定安全策略，这包括授权和权限回收。这是访问控制技术的研究热 点。对这一挑战现有大量的研究，包括r b a c 模型的提出和r b a c 扩展模型的发展， 及其对某些特定应用领域访问控制技术的研究。 ( 3 ) 动态性：信息系统的内容是动态的，多变的，有其创建的阶段，有其变化的阶 段，也有其消亡的阶段。同时，访问控制中的主体在系统的不同时间所需要访问的权限 也不尽一致。现代访问控制技术在策略的表达和制定上必须满足这些信息的动态性l l ”。 现有的研究包括： 使用基于状态的访问控制矩阵i6 ； 利用系统中最为常见的动态实体来实现动态客体和主体的捕捉，比如t a b c f t a s k - b a s e da u t h o r i z a t i o nc o n t r 0 1 ) 1 7 】； 电子政务中的组织与访问控制体系研究与实现 研究基于角色上下文的访问控制技术f 1 8 】； 研究基于约束表达的访问控制技术来表达动态信息系统中的访问控制策略f 】9 j 等 等。 ( 4 ) 分布性：现有的信息系统变得越来越分布，不仅仅是系统在逻辑上的分布，而 且也存在着物理上的分布，利益上的分布。信息系统采用分布式体系结构是信息系统发 展的一个重要方向。 在逻辑分布上，指出分布式信息系统的分布策略可以分为两种【2 0 】：用户层面上的分 布和系统层面上的分布。前者是指系统允许按用户层面上的需求来分布系统的各个功能 组件，它能实现系统统一功能的模块在不同站点上的重复配置；后者是指按需求将系统 的各个模块放在不同的站点上，如把系统的任务调度配置在一个站点，而把任务控制配 置在另外一个站点上。 在物理分布上，大致可以分成三种：第一种是客户端分布于不同地理位置的信息系 统，而服务端集中在一处。这种分布式系统最为常见，发展最久，这也可称为集中式分 布系统；第二种是不考虑客户端的分布，服务端是分布的。这可能是用户层面的分布方 式，也可能是系统层面的分布方式。这种分布方式在大型信息系统越来越普及的情况下， 对改善系统的性能，提高系统的可靠性，降低系统的部署成本上显得越来越重要：第三 种是动态的服务端和客户端，也即系统中的客户端和服务端是相对的，动态的，同时又 是分布在世界的不同地方。这种分布式结构的耦合最为松散，如近来较为流行的p 2 p 分 布式体系结构。 在利益分布上，主要是指信息系统中的主体可以分为不同的利益集团，这些利益集 团很多利益是冲突的【2 l 】，相应的对某些信息的访问也是冲突的，如一些商业系统要求的 中国墙。 面对这些分布，对访问控制在安全策略制定、系统保证和持续维护上的要求将更高， 更复杂。 ( 5 ) 实时性：分布式安全系统要求对访问者的每次访问均需要控制，因此系统对访 问控制模块的性能要求极高。一个好的访问控制模块在设计时必须考虑能够实时响应系 统提交的访问控制请求。这很大程度上来说是访问控制技术实现的必要条件。因此，为 提高访问控制模块的响应性能，必须在安全策略的表达制定时考虑其实现方法，并提供 高速访问控制缓存和优化过的权限检查算法等。 ( 6 ) 兼容性：作为一个大型应用，尤其是在现代政务应用中，内部会存在不同的信 息系统，他们可能运行在不同的系统平台，如w i n d o w s ，u n i x ，由不同的语言编写，而 且软件供应商也不一样。而被实施的政府或机构，则必然要求所有系统能成为一个整体， 大连理工大学硕士学位论文 能够解决这些信息系统所面对的政府或机构的整体应用。这就需要访问控制系统能够提 供开放式体系结构，实现可配置访问控制。这是现代访问控制技术在政务信息系统中的 必然需求。 因此我们必须在大型分布式环境下，尤其是需求迫切的电子政务信息系统中，对访 问控制技术进行深入研究，针对以上挑战提出有效的手段和方法。 1 4 本文的研究思路及研究工作 上述国内外研究人员对访问控制技术的研究成果在现有信息系统，尤其是电子政务 系统中的应用中存在着一些不足： ( 1 ) r b a c 中的约束模型( r b a c 2 ) 不够完善，实际上只是个框架，并只给出了一些约 束样例。而s a n d h u 及其他很多研究指出，约束在访问控制中是十分重要的，从某种意 义上可以说是r b a c 提出的原动力，迫切需要进行细致的研究。 ( 2 ) 国内外研究人员从各自的应用领域出发，并没有深入涉及面向电子政务应用的 信息系统的实际访问控制需求。国外多数学者从事数据库、w e b 应用、操作系统等的访 问控制，国内也是如此，缺乏对面向电子政务系统的需求的深入调研，缺乏在进行访问 控制技术研究的同时对面向访问控制的组织模型、资源模型、过程模型、上下文模型等 的研究。而这些研究对于解决1 3 中所述现代访问控制面临的挑战是十分必要的。 ( 3 ) 多作为系统安全的通用技术出现，较少对新兴安全应用领域和新兴安全问题， 如网络化制造、部分开放分布式环境下的访问控制技术等进行深入地研究。从而在电子 政务系统的应用中只能基本满足而不够全面，并且柔性不足。 基于上述分析，本文将以电子政务信息系统作为典型的分布式系统，研究其柔性的 组织与约束访问控制技术，以尝试弥补以上的缺点，具体包括： ( 1 ) 强化岗位概念：政府部门采用岗位责任制，处在什么样的岗位上，就要行使什 么样的职权。正是由于岗位取代人员本身，与权利建立了相对稳定的映射关系，本文深 入研究了复杂政务信息系统的组织与授权体系模型，该模型在基于角色的授权方式基础 上，在用户与角色之间强化了岗位( 用户组) 这一概念，将岗位作为系统的全局角色，对 组织内的所有行为主体进行统一抽象，通过用户与岗位的映射以及相对稳定的岗位与各 应用系统中角色的映射，取代原来相对多变的用户与各应用系统中角色的映射，从而方 便了对授权主体的维护以及权限的分配过程。 ( 2 ) 约束限定和自动检测机制：在基于组织与授权体系模型的基础上，对整个授权 过程进行具体设计的过程中，将r b a c 9 6 模型中的约束模型具体化，并包含了r b a c l 模型，使最终设计的组织与访问控制系统更加适合在电子政务系统分布式多用户在线环 电子政务中的组织与访问控制体系研究与实现 境下的应用。同时，该系统提供了自动的约束检测机制，从而可以简化系统管理员的授 权和约束管理复杂性。 ( 3 ) 角色的层次化定制：将政务系统中的角色划分为规则角色、管理角色和业务角 色。这些角色之间是互斥的。角色职权对应的上下级关系将由管理角色和业务角色组成 的树状结构体现；角色间的继承关系将由规则角色以及与他们关联的管理角色和业务角 色组成的树状结构体现。从而方便了角色的定制以及各种与角色相关的约束限定的具体 实现。 ( 4 ) 政务体制的一致性：系统管理员采用分级机制，人员的组织信息由组织人事系 统管理员( 人事部门人员) 来维护；岗位与各个子系统角色的映射操作由应用系统管理员 ( 业务部门管理人员) 来完成；而角色与操作之间的映射操作则由权限分配与鉴权系统管 理员( 信息中心人员) 来完成，从而使整个过程更加接近政府部门实际业务的需要。 ( 5 ) 对分布式系统的有效集成：整个组织与访问控制系统采用w e bs e r v i c e s 技术进 行整体规划，给出了实现组织与访问控制服务的服务者和代理，以及第三方调用类的具 体实现方式，满足了电子政务系统的分布式要求，提高了电子政务系统的可扩展性。对 于一些具体实现过程中的用户界面展现、复杂的业务逻辑定制以及数据层的处理，也采 用了h i b e r n a t e 、a j a x 这些较为流行且实用的技术手段，方便了系统的开发定制，提高了 系统的响应速度。 上述研究工作是在导师王延章教授早期提出的基于角色网络模型的组织与授权管 理方案的基础上展开的，并参考了r b a c 模型中约束控制的设计思路。根据以上研究工 作，作者建立了复杂政务信息系统的组织与授权体系模型，并对在该体系模型中建模的 三个子系统：组织人事系统、资源与角色管理系统、分布式授权管理及鉴权系统进行了 从元数据模型描述、模型间的关联关系设定、系统组件的设计以及对系统内部流程的设 计，到最终基于w e bs e r v i c e s 技术体系对三个子系统的最终实现。将这三个子系统部署 到分布式的复杂政务信息系统当中，即可实现对各个应用子系统的有效集成，包括对用 户与岗位信息的统一管理、组织与授权的分离实现以及子系统分布授权模式的支持。 - 8 - 大连理工大学硕士学位论文 2 相关技术综述 2 1 何谓组织与访问控制 所谓组织与访问控制，是指为了实现并简化对系统中各类用户的管理以及在系统中 进行设置并保证合适的人访问( 包括查看、修改、删除等) 合适的信息而采用的一项信息 安全技术。组织与访问控制之间要配合工作，它们共同构成一个整体，来实现各个系统 特别是复杂系统的授权管理问题。 一般的，实施访问控制的信息系统中将包含以下三个主要对象集： ( 1 ) 主体( s u b j e c t ) - 试图去访问敏感信息的主动者，例如用户或软代理。 ( 2 ) 客体( o b j e c t ) ：被访问的对象信息。例如系统中的各类文件、文档处理过程等。 很多系统中主体的信息业作为客体的一部分，需要实施有效的访问控制。 ( 3 ) 访问控制策略( p o l i c y ) ：一套规贝f j ，以确定主体是否对客体拥有某些操作权限。 从数学模型的角度来讲，普通的访问控制可以被认为是一个决策矩阵，如表2 1 所 示。 表2 1 访问控制决策矩阵 t a b 2 1a c c e s sc o n t r o ld e c i s i o n - m a k i n gm a t r i x u s e r p e r s o n d o e p l a y b a t r b i l e x e p a p e r z i p s l rer 堇兰! ：! 呈生!： 表2 1 中，s 1 ，s 2 属于主体，p e r s o n d o c ，p l a y b a t ，r u n e k e ，p a p e r z i p 属于客体， 行列的交叉指明某主体对客体是否有读、写、执行的权限。 从功能上说，实施访问控制的信息系统包括以下三个模块： ( 1 ) 授权( a u t h o r i z a t i o n ) ：用已制定的访问控制策略，将对客体的操作许可赋予主体。 它可以分为直接授权和间接授权。直接授权是指制定的访问控制策略直接将客体的访问 许可分派给主体。间接授权是指制定的访问控制策略并不把客体的访问许可直接分派给 主体，而是通过一个中间体来实现权限的指派。间接授权以基于角色的访问控制模型为 典型，并成为现代访问控制技术研究领域的热点。 ( 2 ) 权限回收( r e v o k e ) ：用以将特定权限从主体收回，防止该主体再拥有特定权限 进行非法访问。与授权对应，它也分为直接权限回收和间接权限回收。 ( 3 ) 访问检查( a c c e s sc h e c k ) ：这是授权在系统中的实施模块。通过访问检查，系统 才能完成授权所能达成的访问控制目的。在多数系统中，访问检查模块是与系统紧密集 电子政务中的组织与访问控制体系研究与实现 成( e m b e d d e d ) 、不可分割的，也有学者提出独立于系统的访问检查框架旧。 以上这三方面是紧密联系不可分割的。其中，授权的灵活性、直观性和柔性是这三 方面中的研究重点，权限回收和访问检查都是基于授权而相应展开。只有授权后，权限 回收才有可能和必要，雨访问检查本身就是授权生成的策略在系统的具体实施。 除此之外，当代先进的访问控制为了实现授权的灵活性、直观性和柔性，通常会提 供约束管理机制，这也是本文研究的核心。例如在r b a c 9 6 系列模型中的r b a c 2 模型 就是约束模型【】。在电子政务系统中引入约束管理，可以增强授权表达的灵活性、直观 性和柔性，有助于系统管理员更好地制定系统访问控制策略。 综上所述，我们对组织与访问控制的定义如下： 定义2 1 ： 组织与访问控制是解决谁( 主体) 对某个特定对象( 客体) 具有什么权限的 一项系统安全技术。它包括两方面的关键技术，一方面是安全策略的制定技术，即如何 表达主体对客体有何种权限；另一方面是安全策略的实现技术，即如何将制定的策略在 系统中有效地执行。 2 。2 基于角色的访问控制( r b a c ) 模型 2 2 1r b a c 模型产生背景 r b a c 模型的产生背景是：主体和客体的数量级增大，传统模型很难适用；1 n t c m c t 发展使得w e b 上的访问控制成为主流研究课题。 r b a c 模型的主流模型有： r b a c 9 6 ：r b a c 基本模型s a n d h una 1 1 9 9 6 ： a 砌3 a c 9 7 ：r b a c 管理模型s a n d h ue ta 1 1 9 9 7 。 2 2 2r b a c 模型的基本原理 基于角色的访问控制策略模型是在用户和权限之间设置了一个新的实体即角色，角 色作为中间媒介把用户集合和权限集合联系起来，用户通过角色间接的访问系统资源。 一个角色与权限关联可以看作是该角色拥有一组权限的集合，与用户的关联又可以看作 是若干具有相同身份的用户的集合。在基于角色的访问控制模型中，一个用户可以被赋 予多个角色，一个角色也可以被赋予多个用户，用户和角色之间是多对多的关系。同样， 一个角色可以具有多项权限，一项权限也可以被赋予多个角色，权限与角色之间也是多 对多的关系。一个登录到系统中的用户，可以通过所拥有的角色的权限来判断允许访问 的数据库资源和系统资源，这是基于角色的访问控制模型的基本原理【2 3 】。 2 2 3r b a c 模型中的基本概念 1 0 一 大连理工大学硕士学位论文 用户( u ) ：访问系统中的资源的主体； 权限口) ：对计算机中某些受保护的资源的访问许可； 角色o u ：应用领域内一种权力和责任的语义综合体； 用户指派唧a ) ：用户集到角色集的多对多关系； 权限指派( p a ) ：权限集到角色集的多对多关系； 会话( s ) ：用户每次通过建立会话来激活角色，得到相应的访问权限； 角色继承关系限h ) ：角色集上定义的偏序关系； 如果用有向边表示偏序关系，角色集实际上构成了一个角色层次图； 限$ i j ( c o n s t r a i n t s ) ：模型中的职责分离关系，用于控制冲突。主要的限制：角色基数 限制，角色互斥。 2 2 4r b a c 模型基本框架 ( 1 ) r b a c 9 6 模型基本框架 r b a c 9 6 模型是s a n d h u 等人提出的一个i 出a c 模型簇，包括四个模型。s a n d h u 等 人认为r b a c 是个内容广泛的概念，用一个模型全面的描述。r b a c 0 是基本模型，描 述任何支持r b a c 的系统的最小要求。r b a c 0 包括四个基本要素：用户、角色、会话 和访问权限。用户在一次会话中激活所属角色的一个子集获得一组访问权限即可对相关 客体执行规定的操作，任何非显示授予的权限都是被禁止的。 r b a c l 是对r b a c 0 的扩充，增加了角色等级的概念。实际组织中职权重叠的现象 的客观存在为角色等级提供了依据。通过角色等级，上级角色可以继承下级角色的访问 权限，这极大方便了权限管理。比如，人事部门经理应具有人事部门职员的访问权限， 同时还应有普通职员不具备的权限，如，制定工资制度、修订员工奖金系数等权限田】。 r b a c 2 也是r b a c 0 的扩充，但与r b a c l 不同，r b a c 2 加进了约束的概念。约 束机制由来已久，如在一个组织中会计和出纳不能由同一个人担当( 称职责分离) 。 r b a c 2 中的约束规则主要有四】： 最小权限：用户被分配的权限不能超过完成其职责所需的最小权限，否则会导致权 力的泛滥。 互斥角色：组织中的有些角色是互斥的，一个用户最多只能属于一组互斥角色中的 某一个，否则会破坏职责分离。权限分配也有互斥约束，同一权限只能授予互斥角色中 的某一个。 基数约束与角色容量：分配给一个用户的角色数目以及一个角色拥有的权限数目都 可以作为安全策略加以限制，称为基数约束。一个角色对应的用户数也有限制，如总经 电子政务中的组织与访问控制体系研究与实现 理角色只能由一人担当，这是角色容量。 先决条件：一个用户要获得某一角色必须具备某些条件，如总会计必须是会计。同 理一个角色必须先拥有某一权限才能获得另一权限。如，在文件系统中先有读取目录的 权限才有写文件的权限。 r b a c 3 是r b a c l 和r b a c 2 的结合。将角色等级与约束结合起来就产生了等级结 构上的约束。 等级问的基数约束：给定角色的父角色( 直接上级) 或子角色( 直接下级) 的数量限制。 等级间的互斥角色；两个给定的角色是否可以有共同的上级角色或下级角色。特别 是两个互斥角色是否可以有共同的上级角色，如在一个项目小组中程序员和测试员是互 斥角色，那么项目主管角色如何解释( 他是程序员和测试员的上级) 。 r b a c 9 6 模型基本框架l l1 1 如图2 1 。 r b a 岛 。，一一一一一_ 、 图2 1r b a c 9 6 模型 f i g 2 1r b a c 9 6m o d e l ( 2 ) a r b a c 9 7 模型基本框