（计算机应用技术专业论文）基于业务过程的gis访问控制模型研究.pdf

大连理_ 大学硕七学位论文 摘要 研究业务过程环境下的地理信息系统的访问控制，是为了解决包含业务过程的地理 信息系统中空白j 数据保密性的问题。通过访问控制机制，来动态地对用户的可操作空间 对象及权限进行控制。g i s 中的业务过程通常与空间数据相关联，并需要对每个任务定 义不同的操作权限。而与任务实例相关的空间对象是动态生成的，因此在业务过程环境 下，对空问数据的权限控制比较复杂。 本文通过研究业务过程环境下g i s 访问控制的需求，提出了基于业务过程的g i s 访问控制模型( p g - r b a c ) 。p g ，r b a c 以o g l s 空间数据模型为数据基础，对r b a c 模 型进行了扩展，使之满足空自j 数据及业务过程对访问控制模型的需求。一方面，在 p g r b a c 中，根据角色与空间数据之间的关系，重新定义了“空间角色”及“空间角 色实例”。空间角色中包含了角色的可操作要素类型。根据用户的位蜀和空问角色生成 空自j 角色实例，用户的访问权限通过分配给空间角色实例的权限来确定。另一方面根据 业务过程或任务与空间数据之日j 的关系，定义了“空日j 业务过程”和“空间任务”，空 间业务过程包含了与业务过程相关的要素类型，空间业务过程实例包含了与过程实例相 关的空间要素。在定义阶段对空间业务过程及空间任务进行权限定义，在运行阶段根据 空间业务过程实例生成的相关空间对象的位置来控制用户的访问权限。在空间角色、空 问任务等概念的基础上，定义了访问控制函数。当用户对某个空间对象提出访问请求时， 根据分配给该用户的空间角色实例的权限，及分配给该用户正在执行的任务的权限，来 判断此访问请求是否被允许。 以p g r b a c 模型为理论基础，设计并实现了一个访问控制系统，并在建设用地 审批系统中得到应用，收到很好的实际效果。实践证明，p g r b a c 可以解决业务过 程环境下g s 中对空问数据的访问控制。灵活有效地控制了用户可以操作的空问对象的 范匿，并在不影响其完成任务的前提下使空间数据得到了较好的安全性。 关键词：地理信息系统；业务过程；访问控制；授权模型 人连理i ：人学硕十学f 蔑论文 r e s e a r c ho f a c c e s sc o n t r o lm o d e l i ng i sb a s e do nb u s i n e s sp r o c e s s a b s t r a c t n l er e s e a r c ho f a c c e s sc o n t r o li nb u s i n e s sp r o c e s sb a s e d g e o g r a p h i ci n f o r m a t i o ns y s t e m s i st or e s o l v et h es e c u r i t yp r o b l e mo fs p a t i a ld a t ai ni t a c c e s sc o n t r o lm e c h a n i s mi su s e dt o d y n a m i c a l l yc o n t r o lt h eu s e r s a c c e s s i b l es p a t i a lo b j e c t sa n dp e r m i s s i o n s b yr e s e a r c h o fa c c e s sc o n 订o ld e m a n d si nb u s i n e s sp r o c e s sb a s e dg i s t l l i sa r t i c l e p r o p o s e da na c c e s sc o n t r o lm o d e li nb u s i n e s sp r o c e s sb a s e dg i s ( p g - r b a c ) p g - r b a c w h i c he x t e n d st h er b a cm o d e l i sb a s e d0 n0 g i ss p a t i a ld a t am o d e l s ot os a t i s f yt h ea c c e s s c o n t r o ld e m a n do fs p a t i a ld a t ai ng i s p g r b a ci no n eh a n dr e d e f i n e st h ee o n c e p bo f s p a t i a lr o l ea n ds p a t i a lr o l ei n s t a n c eb a s e do nt h er e l a t i o n s h i pb e t w e e nr o l ea n ds p a t i a ld a t a s p a t i a lr o l ei n c l u d e sa c c e s s i b l ef e a t u r et y p e s s p a t i a lr o l ei n s t a n c ei sp r o d u c e db yt h eu s e r s l o c a t i o na n ds p a t i a lr o l e p e r m i s s i o n st h a tc a nb ea s s i g n e dt ot h eu s e ra r ed e t e r m i n e do n p e r m i s s i o n sa s s i g n e dt ot h es p a t i a lr o l eo ft h ei n s t a n c e i nt h eo t h e rh a n d p g r b a cd e f i n e s t h ec o n c e p t so f s p a t i a lb n s i n e s sp r o c e s s ”a n d “s p a t i a lt a s k ， w h i c ha l eb a s e do nt h e r e l a t i o n s h i pb e t w e e nb u s i n e s sp r o c e s sa n ds p a t i a ld a t a s p a t i a lb u s i n e s sp r o c e s si n c l u d e st h e f e a t u r et y p e sw h i c hc o n n e c tw i t ht h eb u s i n e s sp r o c e s s b u s i n e s sp r o c e s si n s t a n c ei n c l u d e st h e f e a t u r e sw h i c hc o n n e c tw i t ht h eb u s i n e s sp r o c e s si n s t a n c e p e r m i s s i o n sa r ea s s i g n e dt os p a t i a l b u s i n e s sp r o c e s sa n ds p a t i a lt a s ka tb u i l dt i m e a tm nt i m e u s e r s a c c e s sp e r m i s s i o n sa r e c o n t r o l l e db yt h er e l a t i v es p a t i a lo b j e c t sl o c a t i o nw h i c h p r o d u c e db ys p a t i a lb u s i n e s sp r o c e s s i n s t a n c e a c c e s sc o n t r o lf u n c t i o ni sd e f i n e do nb a s eo fs p a t i a lr o l ea n ds p a t i a lt a s ke r e w h e n an s e rb r i n g su pa na c c e s sr e q u e s t , t h ea c c e s sc o n t r o lf u n c t i o nd e t e r m i n e sw h e t h e rt h e r e q u e s t c a nb es a t i s f i e do rn o tb yc h e c k i n go nt h ep e r m i s s i o n sa s s i g n e dt ot h eu s e r ss p a t i a lr o l e i n s t a n c eo ra s s i g n e dt ot h et a s ke x e c u t e db yt h eu s e r t h ea c c e s sc o n t r o ls y s t e mb a s e do nt h i sm o d e l i s p u ti nu s eo fe x a m i n ea n da p p r o v eo f c o n s t r u c t i v el a n ds y s t e m ，a n dg a i n sg o o de f f i c i e n c yi np r a c t i c e i ti sp r o v e dt h a tp g r b a c c a nr e s o l v et h ea c c e s sc o n t r o lp r o b l e mo fs p a t i a ld a mi nb u s i n e s sp r o c e s sb a s e dg i s c o n t r o l t h eu s e r s a c c e s s i b l ee x t e n te f f e c t i v e l y ，a n do b t a i nb e t t e rs e c u r i t yo fs p a t i a ld a t aw i t h o u t a f f e c t i n gt h et a s k s k e yw o r d s ：g i s ；b u s i n e s sp r o c e s s ：a c c e s sc o n t r o l ：a u t h o r i z a t i o nm o d e l 独创性说明 作者郑重声明：本硕士学位论文是我个人在导师指导下进行的研究工 作及取得研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写的研究成果，也不包含为获得大连理 工大学或者其他单位的学位或证书所使用过的材料。与我一同工作的同志 对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。 作者签名： 奎瑾日期：塑丑塞亟垫回 大连理1 ：大学硕士研究生学位论文 大连理工大学学位论文版权使用授权书 本学位论文作者及指导教师完全了解“大连理工大学硕士、博士学位论文版权使用 规定”，同意大连理工大学保留并向国家有关部门或机构送交学位论文的复印件和电子 版，允许论文被查阅和借阅。本人授权大连理工大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，也可采用影印、缩印或扫描等复制手段保存和汇编学位论 文。 作者虢奎选 导师签名搓盛 丑年月2 0 e t 大连理： 人学硕士学位论文 1 绪论 1 1 研究背景和现状 地理信息系统( g i s ) 已经得到了越来越广泛的应用，对地理信息的管理和共享也迫切 的需要一种访问控制机制，来保证地理信息系统的安全。过去一直采用的访问控制方式 是为每一次授权都建立一个专门的数据集，这种方法不适于动态且数量多的用户一如基 于网络的系统，并且不支持灵活的授权粒度和访问控制策略的动态变化。如今地理信息 系统中的地理数据模型已经相当复杂，更需要一个高级的访闯控制模型来实现对地理数 据的保护。但是，虽然数据安全相当重要，对地理信息系统中数据的访问控制模型的研 究却很少。 现有的数据库系统访问控制模型的研究并不适于g i s 中的空间数据库，因为地理数 据有其自己的特性。首先，地图中的对象可以用不同的维度表示。其次，g i s 中的访问 控制需求通常与区域有关。并且，地理数据可以用不同的方式表示，通常g i s 系统的用 户看到的是一些地理对象的几何形状、范围和位置，而地理数据也可以用其他的形式表 示，例如用拓扑关系来表示。由此可见，对地理信息系统中空间数据的访问控制需要进 行专门的研究，以实现空间信息的有效、安全的共享。 在很多地理信息系统中，特别是政务g i s 中包含了业务过程【l - 4 1 。这种以业务过程 为基础的地理信息系统中更加需要对空间信息的有效控制，使得用户既可以访问业务过 程所关联的某个空间对象，又不会超越自己的可访问权限。包含业务过程的地理信息系 统中的访问控制与其他地理信息系统中的访问控制是有其明显区别的，因为业务过程定 义过程中不能确定其操作的空间对象，只能在实例化的过程中得到具体的空间对象。此 时用户对空间信息的可操作范围及权限不仅仅要考虑用户的角色及地理位置，还要考虑 此项目的空问范围。因此，对地理信息系统，特别是包含业务过程的地理信息系统的访 问控制的研究显得尤为重要。 大部分访问控制的研究几乎都是基于r b a c ( r o i eb a s e d a c c e s sc o 曲0 1 1 的，自从1 9 9 6 年s a n d h u 等人提出r b a c 模型p j 之后，r b a c 就在各个领域得到了广泛的重视和应用。 然而，直到最近，由于g i s 和l b s ( 1 0 c a t i o nb a s e ds e r v i c e ) 的广泛应用，才有研究将空间 数据需求考虑到r b a c 中。最先提出地理数据的访问控制模型的是2 0 0 0 年及2 0 0 1 年的 文献【6 ，7 1 。之后又有一些对地理数据的访问控制的研究，都是针对栅格数据的【8 9 】，主要 解决如何处理高分辨率卫星图像上的敏感信息豹机密问题。2 0 0 4 年的文献【9 1 提出的访 问控制模型可以根据数据的空间和时态属性及分辨率对栅格数据进行控制，权限类型包 基丁，业务过程的g i s 访阀控制模型研究 括读、插入、删除、修改、放大、下载等。在这些栅格数据访问控制模型中，每个受保 护的对象主要是二进制图像或图像的一部份。因此，这种模型不支持地理要素的向量表 示和拓扑表示。文献【l o 】中提出了一个在网络服务中控制对向量空间数据进行访问的访 问控制模型，这个模型提出了空间授权的概念，授权机制通过限定的视窗( w i n d o w s ) 来规 定对地理对象的操作范围。它采用的数据模型相对简单【1 “。文献【1 2 】中的模型与【l o 】相 似，但是主要研究了空间数据的x m l 表达。另一个访问控制模型【1 3 1 在 1 0 1 的基础上提 出了基于拓扑空问数据的访问控制模型，以及正授权和负授权机制。正授权规定用户可 以对地理对象进行的操作，反授权规定用户不可以进行的操作。 1 4 ，1 5 1 中对r b a c 模 型进行了扩展，并提出的空间角色的概念，当用户处于某个地理位置时，就被赋与个 角色。这个空间模型主要面向无线网络应用。2 0 0 5 年，文献【1 6 】提出了一个基于地理网 络服务的访问控制模型，定义了地理空间数据访问控制标记语言g e o x a c m l 。 g e o x a c m l 可以定义规则，并根据地理对象的空问边界控制对访问的控制。在【1 7 仲， c h a n d r a n 和j o s h i 提出了一个既包含空间又包含时间背景的访问控制模型。 g e o r b a c l l s 1 9 】中提出的访问控制模型也是对r b a c 的扩展，适用于l b s ，它主要考 虑的问题是根据用户的地理位置来触发其角色，再根据访问控制机制来限制用户对空间 数据的访问权限。它提出的模型包含了层次扩展，以实现角色和权限的继承。 目前也有一些着眼于业务过程的访问控制的研究的【2 0 埘1 ，其中部分是基于w e b 服务的 2 0 2 ”，还有一部分的基于工作流管理系统的 2 2 2 4 1 。在基于w e b 服务的访问控帛0 研 究中，大部分研究都将w e bs e r v i c e s 作为被保护的对象， 但是，目前为止，还很少有专门的文献来研究基于业务过程的地理信息系统的访问 控制。 1 2 研究目的和意义 研究业务过程环境下的g i s 访问控制模型，主要是为了解决空间数据保密性的问 题。通过权限控制，使不同的用户拥有对空间数据的不同操作权限，以防止空间数据的 泄露或破坏。 在访问控制机制中加入空间位置因素，可以控制用户可操作的空间对象的范围。这 样用户的权限只适用于其有效范围内的对象，而不能访问这一空间范围之外的对象。 将业务过程考虑到g i s 的访问控制模型中，可以更加灵活动态地控制用户的访问权 限。可以只为用户分配与其执行任务相关的空问对象的访问权限，这样既保证了用户可 以完成任务，又不会因拥有太多权限而导致数据泄露或破坏。 大连理：l ：大学硕+ 学位论文 1 3 本文主要工作 本文的研究重点是业务过程环境下的g i s 访问控制模型，主要工作如下： ( 1 ) 本文根据作者对参与设计并建设的多个地理信息系统的访问控制需求进行分 析，提出了“基于业务过程的g i s 访问控制研究”这个问题。虽然已经有文献专门研究 了g i s 中的访问控制，并且g i s 中的业务过程也已经得到了重视，但是由于对g i s 访 问控制的研究还刚刚起步，近几年才有对矢量数据的访问控制的研究。因此还很少有文 献提出这样一个业务过程环境下的o i s 访问控制模型。 ( 2 ) 根据业务过程及任务与空间数据的关系，本文提出了“空间业务过程”和“空 间任务”的概念，为实现访问控制模型奠定了基础。 ( 3 ) 提出了基于业务过程的g i s 访问控制模型( p g r b a c ) ，从理论上给出了在( 1 ) 中 提出的问题的解决办法。 ( 4 ) 按照p g - r b a c 的思想，设计并实现了一个访问控制系统，在建设用地审批 系统中得到了应用，取得了很好的效果，基本上实现了业务过程环境下的空间数据的 访问控制机制。 基于业务过程的g i s 访问控制模型研究 2g l s 中的空间数据模型 现有的数据库系统访阎控制模型鹤研究并不适于g i s 中的空嘲数据库，因为地理数 据有其自己的特性。首先，地图中的对象可以用不同的维度表示，例如一个城市根据不 同的访问控制需要，既可以表示为面，又可以表示为点。其次，g i s 中的访问控制需求 通常与区域有关，例如访问某一个对象周围1 0 0 平方米内的其他对象。并且，地理数据 可以用不同的方式表示，通常g s 系统的用户看到的是一些地理对象的几何形状、范围 和位置，而地理数据也可以用其他的形式表示，例如用拓扑关系来表示。拓扑关系表示 两个地理对象相离( d i s j o i n t ) 、相接( m e e t ) 、交叠( o v e r l a p ) 、覆盖( c o v e r ) 等关系。由此可见， 对地理信息系统中空问数据的访问控制需要进行专门的研究，以实现空间信息的有效安 全的共享。 大部分关于空间数据访问控制模型的研究都采用o g i s 标准中的空问数据模型，本 文提出的p o r b a c 也是基于o g i s 标准。在本章中将介绍o g i s 标准跚中的空间几 何俸和通躅要素模型等。要素是一个菲常重妥的概念，在地理信息系统的访问控制中， 权限中的操作对象通常就是某种要素类型或要素， 2 1 空间信息模型 空间信息分为场模型和对象模型。场模型通常用于具有连续的空间交化趋势的情况 的建模口l ，如海拔、温度及土壤变化。在遥感领域，主要利用卫星或飞机上的传感器收 集地表数据，此时场模型是占主导地位的。 定义场模型要求确定3 个组成部分：空间框架( s p a t i a lf r a m e w o r k ) 、场函数( f i e l d f u n c t i o n ) 和一组相关的场操作( f i e l do p e r a t i o n ) 。空间框架是一个有限网格，这个网格加在 基本空间上。所有度量都基于这个框架来完成。空间框架最常用的例子是地球表面的经 度一纬度参照系。 在基于对象的建模中，关键是把空间信息抽象成明确的、可识鄹的、相关的事物事 实体，称之为对象。每个对象都有一套刻画它的属性集。与传统数据库建模中普遍采用 的对象或实体相比，空间对象的最主要特点在于它的属性可以分为截然不同的两类：空 间属性和非空间属性。对象通过其空间属性与包含它的基本空间进行交互。一个空间对 象可以有多个空间属性，例如，地图上的条路，可以根据地图的比例尺表示成一条线 或一个多边形。 2 20 g l s 空间数据模型 一4 大连理，i ：人学硕士学位论文 对基于对象的空间信息模型来说，其关键问题是选择一组基本空间数据类型，来满 足对地图常用形状建模的需求。o g i s9 9 规范【1 1 1 已得到了广泛应用，但o g i s 已提出一 个最新的空间数据模型【2 6 1 ，本文将采用此模型。图2 i 中给出了o g i s 新标准中用u m l 符号表示的二维空间几何体的基本构件及其相互关系。 图2 1o g i s 空间几何体基本构件 f i g 2 1o g i sg e o m e t r yc l a s sh i e r a r c h y 点( p o i n t ) ：零维几何体，表示坐标空间中的一个位置，有一个x 坐标值和一个y 坐 标值。 多点( m u l t i p o i m ) ：零维几何体集合，由点组成，点之间无连接或排序。几何体集合 空间数据类型保证了o g i s 空间数据类型在几何操作上的闭合性。 线( c u r v e ) ：一维几何体对象，通常由一系列点组成。 线( 1 i n e s t r i n g ) ：点之间线性插值而成的线。 直线( 1 i n e ) ：只有两个点的线串。 线性环( 1 i n e a r r i n g ) ：闭合的简单线串。 多线( m u l t i e u r v e ) ：一维几何体集合，由线组成。 多线( m u l t i l i n e s t r i n g ) ：由多个线串组成的多线。 面( s u r f a c e ) ：二维几何体对象。 基丁业务过程的g i s 访问控制模型研究 多边形( p o l y g o n ) ：外部边界为1 且内部边界为0 或多个的平面。 三角形( t r i a n g l e ) ；由三条不同的边及三个不共线的点组成的没有内部边界的多边形。 多边形网( p o t y b e d r a l s u r f a c e ) ：连续的多边形组成的集会。 三角形不规划网( t i n ) ：仅由三角形组成的多面体面。 多面( m u l t i s u r f a c e ) ：二维几何体集合，由面组成。 多多边形( m u l t i p o l y g o n ) ：由多边形组成的多面。 设所有的几何体都包含在一个参考空间( 多边形) g e o 中，几何体之间的关系用拓扑 关系来表示，r e l = d i s j o i n t ，t o u c h ，i n ，c o n t a i n s ，e q u a l ，c r o s s ，o v e r l a p 。 地理要素( g e o g r a p h i cf e a t u r e ) 是地理空间信息建模的基本概念 z 7 1 ，是地理信息建模的 起点。要素是现实世界现象的抽象。地理要素是与地球上的一个位置相关联的一个要素。 现实世界的数字表示可以看作是一组要素。 图2 2 地理要素 f i g 2 2g e o g r a p h i cf e a t u r e s 地理要素分两个层次：要素实例( f e a t u r ei n s t a n c e s ) 和要素类型( f e a t u r et y p e s ) 。如图 2 2 ，在实铡级斜上，地理要素被表示为与时空坐标楣关联鸽离散现象。每一个要素实锣5 根据共同的特性被归类为要素类。人们根据专门的需求而对地理信息进行主观地选取， 这种需求决定了如何将要素实例归类为要素类型。例如，“艾菲尔铁塔”是一个要素实 大连理t = 人学硕十学位论文 例，它可以被归类于要素类型“塔”。 对离散世界用通 朋要素模型建模 用概念模式 语言建模 从应用模式中 得来的含有逻 辑结构的数据 图2 3 地理信息建模 f i g 2 3m o d e l i n gg e o g r a p h i ci n f o r m a t i o n 图2 4 通用要素模型 f i g 2 4g e n e r a lf e a t u r em o d e l 图2 3 表示了o p e n g i s 对地理要素建模的方法。o p e n g i s 信息框架提供了定义抽象 要素类型的概念模式( c o n c e p t u a ls c h e m a s ) ，以及帮助不同领域的专家获取要素实例的信 基于业务过程的g i s 访问控制模型研究 息的应用模式( a p p l i c a t i o ns c h e m a s ) 。 要素类型具有要素属性，要素操作和要素关联角色。这些概念都表达在通用要素模 型上。通用要素模型是要素类型的元模型。如图2 4 。 要素既有空间属性，也有非空间属性。其空间属性的值为空间几何体。i s o1 9 1 2 5 州 定义了一个s q l 模式，它基于空间几何体( g e o m e t r y ) ，可以实现对要素的存储、获取、 查询和修改。 在s q l 应用中，某种类型的要素集合存储在“f e a t u r e 表”中，在f e a t u r e 表中包含 一些以空间几何体为属性值的列。每个要素表示为f e a t u r e 表中的一行，通过s q l 技术 与其它表相联。要素的非空间属性映射到表中的列，用s q l 数据类型( 包括s q l 3 的用 户定义类型一u d n 表示。要素的空闻属性映射到表中的列，其类型为空间几何体数据 类型。图2 5 表示了f e a t u r e 表模式，它应用含空间几何体类型扩展的s q l ，包含f e a t u r e 表，空间几何体和空间参考信息。 l i t2 5 使用包含g e o m e t r y 类型的s q l 的f e a t u r e 表模式 f i g 2 5s c h e m af o rf e a t u r et a b l e su s i n gs q l w i t hg e o m e t r yt y p e s g e o m e t r y - c o l u m n s 提供为数据库中的每个g e o m e t r y 列提供以下信息：f e a t u r e 表，空间参考，空间几何体类型和坐标维度。 s p a t i a l _ r e f _ s y s 表描述了空间几何体坐标系统和坐标变换。 大连理r 大学硕十学位论文 f e a t u r et a b l e 存储了一组要素。f e a t u r e 表的列代表要素属性，每一行代表一个要素。 要素的g e o m e t r y 是其中的一个或多个要素属性，类型为s q lg e o m e t r yt y p e 。 9 一 基于业务过程的g i s 访问控制模型研究 3 基于角色的访问控制模型( r b a c ) 3 1 访问控制 对信息系统中数据的安全性管理是十分重要的，对数据的损坏或错误使用不仅会影 响到一个用户或一个应用，甚至会影响整个企业或机构的正常运作。在数据库管理系统 中，有多种保护数据的方式，最重要的一种就是访问控制机制嘲。当一个用户尝试要访 问某个数据对象时，访问控制机制会检验该用户的一组授权。一个授权定义了用户是否 可以对一个对象执行某种操作，它是基于组织内部的某些访问控制策略而生成的。 3 2r b a c 参考模型 传统的安全系统的访问机制，如自主型访问控制方法( d i s c r e t i o n a r ya c c 宅s sc o n t r 0 1 ) 和 强制型访问控制方法( m a n d a t o r ya c c e s sc o n t r 0 1 ) 尸, 经不能满足当今信息系统的需求。因为 传统的安全系统的访问机制是对系统中的所有用户进行直接的权限管理，这样权限操作 复杂，授权方式不灵活，对大量的数据信息的处理能力有限，对分布式数据的权限管理 则更是束手无策。基于角色的权限控制则很好地解决了传统的安全系统的访问机制的缺 点，能满足分布式系统安全性的需求，且能实现快速访问。 在地理信息系统中，通常将用户归类到各种角色，因此采用基于角色的访问控制模 型r b a c ( r o i e b a s e da c c c s sc o n t r 0 1 ) 3 0 , 3 1 1 是一个适当的选择。 2 0 0 1 年8 月。r b a c 技术的权威机构n i s t 提出了一个建议标准【3 1 1 ，它综合了学 术界和产业界对r b a c 技术的各种见解，界定了r b a c 技术的领域范围，统一了相关 术语，建立了r b a c 技术的参考模型，定义了各种模型构件，并给出一套系统与管理功 能规范。 n i s t 的r b a c 参考模型包括核心r b a c ( c o r er b a c ) 、层次( h i e r a r c h i c a lr b a c ) 、 静态约束r b a c ( s t a t i cc o n s t r a i n tr b a c ) 、动态约束r b a c ( d y n a m i cc o n s t r a i n tr b a c ) 四个模型构件，分别描述r b a c 系统某一个方面的特征。在构造实际r b a c 系统时， 除核心r b a c 构件是必选的，其它构件都是可选的。 3 2 1 核心r s a o 核心r b a c 体现了r b a c 的一些本质特征。核心r b a c 构件包括五个基本要素集： 用户、角色、对象、操作和访问权限。在r b a c 系统中用户被委派一定的角色。每一角 色被授予一定的访问权限，这样用户通过其担任的角色获得相关的访问权限。用户与角 色，角色与访问权限之问是多对多的关系，这与实际组织中的成员、岗位与责权结构关 大连理一1 - 人学硕士学位论文 系是一致的。核心r b a c 还引入会话的概念，会话即一个用户与一个角色子集间的映射 关系。一个用户可以建立多个会话一个会话只有一个用户参与。图3 1 为核心r b a c 的模型。 图3 1 核心r b a c 模型 f i g 3 ic o r er b a cm o d e l 图3 1 中涉及的概念表示如下： 用户：u s e r s = 缸，虬， ，所有用户( u s c r ) 的集合。 角色：r o l e s = ，r 2 ，厶 ，所有角色( r o l e ) 的集合。 操作：o p s = 印，o p p ，吼 ，所有操作( o p e r a t i o n ) 的集合。 对象：o b j = d 岛，呜，峨 ，所有对象( o b j e c t ) 的集合 用户角色分配：u a 互u s e r s r o l e s ，从用户集合到角色集合的多对多映射，表 示用户与角色间的委派关系。a s s i g n e d u s e r s ( r ：r o l e s ) - - 2 v s e e s 表示委派到角色上的 用户集，即a s s i g n e d u s e r s ( r ) = 协e u s e r s i ( 甜，) u a j 。 权限：瑚 舔= 2 ( o r e 。o ，访问权限集。访问权限就是在受系统保护的对象上执行 某种操作的许可。 权限分配：p a p r m s x r o l e s ，从权限集合到角色集合的多对多映射，表示访 问权限与角色间的授予关系。a s s i g n e d p e r m i s s i o n s ( r ：r o l e s ) 寸2 表示授予角色的 一组访问权限，即a s s i g n e d p e r m i s s i o n s ( r ) = 扫p r m s l ( p ，r ) p a 印( ，：p r m s ) 哼 印o p s 为与指定访问权限相关的一组操作。 o b ( p ：p r m s ) 一如6 互o _ 船 为与指定访问权限相关的一组操作对象。 会话：s e s s i o n s = 扛，屯，s ， ，所有会话的集合。 基丁业务过程的g i s 访问控制模型研究 用户一会话：v s e rs e s s i o n s ( u ：u s e r s ) 一2 删，与指定用户相关的会话。 角色一会话：s e s s i o nr o l e s ( s ：s e s s i o n s 卜2 ”“：参与会话的一组角色，即 s e s s i o n r o l e s ( s ) = r o l e s l ( s e s s i o n u s e r ( s ) , r ) u a ，其中s e s s i o n u s e r ( s ) 是会话 所属的用户。 a v a i l s e s s i o n p e r m s ( s ：s e s s i o n s ) 哼? ：会话中用户拥有的访问权限，即 a v a i l s e s s i o n p e r m s ( s ：s e s s i o n s ) =ua s s i g n e d p e r m i s s i o n s ( r ) 。 r t i 。r o “o i r b a c 标准中访问权限仅限于对数据和资源对象的访问，不包括系统要素自身的访 问控制。 3 2 2 层次髓a c 层次r b a c 构件要求支持角色间的层次关系。理论上讲这种层次关系可是角色间的 任意半序关系，层次角色之间存在访问权限与用户的继承关系，用户的继承是自上而下 的，而访问权限的继承是自下而上的。由于实际组织中角色上下级关系常常存在某些限 制，r b a c 标准将角色层次区分为通用角色层次和限制角色层次。通用角色层次规定角 色层次可是任意的半序关系，因而包括多重继承。限制角色层次要求在角色层次上施加 某种限制，通常是为了简化角色层次结构，如使角色层次成为树形结构。图3 2 为层次 r b a c 的结构。 图3 2 层次r b a c 模型 f i g 3 2h i e r a r c h i c a lr b a cm o d e l 通用角色层次( g e n e r a lr o l eh i e r a r c h i e s ) ： 角色层次：r - r o l e s r o l e s ，表示角色间的半序关系，称为继承，记作芝。 1 2 大连理 j 大学硕十学位论文 若一 - r 2 ，则，继承1 - z 的访问权限， r l 苎r 2ja u t h o r i z e d p e r m i s s i o n s ( r 2 ) a u t h o r i z e d p e r m i s s i o n ( r t ) a u t h o r b e d u s e r s ( r 1 ) a u t h o r i z e d u s e r s ( r z ) 。 a u t h o r i z e du s e r s ( r ：r o l e s ) - - 2 脚：在层次结构上按继承关系委派到角色的一 组用户( 包括直接委派和继承的) ，a u t h o r i z e d u s e r s ( r ) = 缸u s e r sf ，岁( 甜，t ) u a 。 a u t h o r i z e dp e r m i s s i o n s ( r ：r o l e s ) 寸2 e r m s ：在层次结构上按继承关系授予角色的 所有访问权限，即a u t h o r i z e d p e r m i s s i o n s ( r ) = 扫p r m s | r 寥，( p ，) p a 。 限制角色层次( 1 i m i t e dr o l eh i e r a r c h i e s ) ： 在通用角色层次的基础上增加如下限制：v r ，r ，r z r o l e s ，r 办 r _ h r 2jr t = r 2 。 3 2 ，3 静态约束r b a c 有约束的r b a c 规定在r b a c 模型上实施职责分离( s e p a r a t i o no f d u t y ) 机制。职责 分离是实际组织中用于防止其成员获得超越自身职责范围的权限的一种利益冲突策略。 实际组织中的岗位职责有可能是互相排斥的，如财务工作中的会计与出纳。解决这种利 益冲突的办法是让不同的角色用户承担互斥的职责以阻止非法操作。r b a c 参考模型引 入两种职责分离机制：静态职责分离和动态职责分离。 静态职责分离要求在用户角色委派时实施约束。r b a c 标准规定的静态约束机制仅 限于角色集上的约束关系，特别是u a 关系。它要求u a 上的s s d 关系带有两个参数： 一是包含两个或两个以上角色的角色子集，一是大于1 的基数，任何用户在此角色集中 被委派的角色数不得超过基数。因而s s d 约束可视作一个对偶( r o l es e t ，m ，表示任何 用户在某角色子集中被委派的角色数必须小于n 。图3 3 表示层次r b a c 中的静态职责 分离。 静态职责分离： s s d ( 2 r o t 8 ) ：静态职责分离机制中的对偶，行) 的集合，其中憎是角色集， 疗是自然数且刀2 ，则v ( r s ，玎) s s d ，每个用户在_ r s 中委派的角色数必须小于1 1 。即： v ( r s ，疗) s s d ，v t 坶：jtj j f1 ，。，a s s i g n e d u s e r s ( r ) = 妒a 层次结构中的静态职责分离： 层次结构中的s s d 定义在包含继承关系的授权( a u t h o r i z e d ) 用户上，而不仅仅是直接 委派( a s s i g n e d ) 的用户，v ( r s ，行) s s d ，v t 瑚：lt 除，lj a a u t h o r i z e d u s e r s ( r ) = 妒。 基于业务过程的g 1 s 访问控制模璎研究 图3 3 层次r b a c 模型中的静态约束 f i g 3 3s s dw i t h i nh i e r a r c h i c a lr b a cm o d e l 3 2 4 动态约束船a c s s d 在用户角色委派时施加约束机制，从而了可以提供给某一用户的可能的访问权 限。d s d 也是用于限制可提供给用户的访问权限，但作用的机制不同。s s d 定义和限 制用户的整体权限空间，而d s d 对用户会话中可激活的角色进行约束，也就是说d s d 限制用户权限空间中访问权限的可用性。d s d 约束也可以视作一个对偶沁，押) ，表示任 何用户在某角色子集中能同时激活的角色数必须小于片。d s d 扩充了最小权限原则，在 d s d 中一个用户在不同环境下具有不同的权限级别，d s d 确保访闯权限不会在时间上 超越它们对履行职责的必要性，这种机制称作信任的实时撤消。 d s d 构件提供了对特定组织的d s d 政策支持。d s d 解决的是用户角色委派时潜在 的利益冲突问题，在d s d 中用户可以被委派两个或更多的角色，而且这些角色可以是 互斥的。但互斥角色不能在同一个会话中被激活，因此不会发生利益冲突。这样d s d 机制提供了更强的可操作性。 r b a c 中的d s d 是会话与角色集间的一种约束机制。如图3 4 。 动态约束：d s d ( 2 r o l e s ) ，动态职责分离机制中的对偶，聍) 的集合，其中 i s 是角色集，聍是自然数且1 7 1 2 ，则v ( r s ，玎) d s d ，每个用户在耶中委派的角色数必 须小于1 7 。即：v r s 2 r o l e s ，以n ，( r s ，以) d s d jh 2 l 坶i 野，并且v s s e s s i o n s ， v r s 2 “”8 ，v r o l e s u b s e t e 2 r o l i i s , v n e n ，( r s ，1 7 ) d s d ，r o l e s u b s e t o r s , r o l e s u b s e t s e s s i 0 1 7 一r o l e s ( s ) 刮r o l e s u b s e ti , 2 a 3 。2 5r b a c 特点及局限性 大连理r 人学硕十学俺论文 图3 4 动态职责分离机制 f i