基于RBAC的电子政务权限访问控制模块的设计与实现

-680-0引言在电子政务系统中,权限管理是设计的核心部分,因为各子系统不可能对所有用户开放,这样做既不利于数据保密,又会对系统安全运行造成威胁。访问控制正是实现既定安全策略的系统安全技术,它管理所有资源访问请求,即根据安全策略的要求,对每个资源访问请求做出是否许可的判断,能有效地防止非法用户访问系统资源和合法用户非法使用资源。1访问控制技术简介访问控制技术最早产生于20世纪60年代,随后出现了两种重要的访问控制技术:自主访问控制(discretionaryaccesscontrol,DAC和强制访问控制(mandatoryaccesscontrol,MAC1.1自主访问控制技术(DAC目前我国大多数信息系统的访问控制模块基本都是借助于自主型访问控制方法中的访问控制列表(ACLs。自主访问控制有一个明显的缺点就是这种控制是自主的,它能够控制主体对客体的直接访问,但不能控制主体对客体的间接访问(利用访问的传递性,即A可访问B,B可访问C,于是A可访问C。虽然这种自主性为用户提供了很大的灵活性,但同时也带来了严重的安全问题。1.2强制访问控制技术(MAC安全级别高的计算机采用这种策略,它常用于军队和国家重要机构,例如将数据分为绝密、机密、秘密和一般等几类。用户的访问权限也类似定义,即拥有相应权限的用户可以访问对应安全级别的数据,从而避免了自主访问控制方法中出现的访问传递问题。这种策略具有层次性的特点,高级别的权限可以访问低级别的数据。这种策略的缺点在于访问级别的划分不够细致,在同级间缺乏控制机制。1.3基于角色的访问控制技术(RBAC由于DAC和MAC安全性的缺陷及其基于用户的机制造成的添加用户和功能时操作的复杂性,我们选择了一种新型的访问控制技术RBAC(role-basedaccesscontrol。在RBAC中,在用户和访问许可权之间引入角色的概念,用户与特定的一个或多个角色相联系,角色与一个或多个访问许可权相联系,角色可以根据实际的工作需要生成或取消,而用户可以根据自己的需要动态地激活自己拥有的角色,避免了用户无意中危害系统安全。RBAC模型是目前最为广泛接受的权限模型,收稿日期:2006-01-10E-mail:zhangxy@作者简介:张晓燕(1979-,女,河北人,硕士研究生,研究方向为计算机应用;张素伟(1959-,男,北京人,硕士生导师,正研级高级工程师,研究方向为组件开发技术与电子商务企业应用集成。基于RBAC的电子政务权限访问控制模块的设计与实现张晓燕,张素伟(华北计算技术研究所,北京100083摘要:电子政务系统庞大,涉及到的机构、地域、人员繁多,而且国家的政策法规还处于不断完善中,很可能需要不断的调整权限控制系统,所以对权限管理模块的易维护和易扩展性提出很高要求。RBAC访问控制技术,引入角色的概念,使得用户、权限管理条理化,减少授权管理的复杂性,支持用户数量和子系统数量、功能的无限增加,满足系统扩展性要求。利用RBAC技术,可以实现国家集中控制权限系统,各机构自主分配角色。关键词:RBAC;级别;地域;角色;操作;可配置;中图法分类号:TP311.52文献标识码:A文章编号:1000-7024(200703-0680-03DesignandrealizationinE-governmentsystembasedonRBACtheoryZHANGXiao-yan,ZHANGSu-wei(NorthChinaInstituteofComputingTechnology,Beijing100083,China:TheE-governmentsystemisavoluminoussystemwhichconcernsmanydepartments,districtsandpeople.Sincethenationalpoliciesandstatutesstillkeepperfecting,thehighcriterionrequirementfortheeasy-maintenanceandeasy-expansibilityisnecessaryintheauthoritymanagementmodule.TheRBACaccesscontroltechnologymakestheuserandtheauthoritymanagementmethodicbyin-troducingtheconceptionofroll.Meanwhile,thecomplexityfortheauthorizationmanagementisdecreased;thefunctiondevelopmentwithoutlimitationissupportedandquantityofuserandsub-systemislarged;therequirementofsystemexpansibilityissatisfied.ByapplyingtheRBACtechnology,nationcontroltheauthoritysystemwhilethedepartmentsassigntherollsindependent.:RBAC;level;district;role;operation;configure;2007年2月计算机工程与设计Feb.2007第28卷第3期Vol.28No.3ComputerEngineeringandDesign-681-标准RBAC模型由4个部件模型组成,这4个部件模型分别是基本模型RBAC0、角色分级模型RBAC1、角色限制模型RBAC2和统一模型RBAC3。RBAC0模型如图1所示。RBAC0定义了能构成一个RBAC控制系统的最小的元素集合。在RBAC之中,包含用户USERS、角色ROLES、目标OBS、操作OPS、许可权PRMS这5个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。会话sessions是用户与激活的角色集合之间的映射。RBAC0与传统访问控制的差别在于增加一层间接性带来了灵活性,RBAC1、RBAC2、RBAC3都是先后在RBAC0上的扩展。目前大型系统应用于社会的方方面面,寻找一种适合大型可扩展系统的安全管理方案就显得极为重要。而RBAC技术由于其对角色和层次化管理的引进,特别适用于用户数量庞大,系统功能不断扩展的大型系统。所以本文选择了RBAC0作为系统访问控制设计方案。2系统分析与设计2.1设计思想对于一个国家级的电子政务系统,它的应用范围包括全国各地的各级政府机构和服务于这些机构的大量工作人员,出于信息安全和系统运行速度以及操作简便性方面的考虑,我们要基于工作人员的职务和工作性质来确定他在本系统中的操作权限。特殊的系统需求,尤其考虑到本系统使用人员的数量之大、类别之多、地域之广,使得广泛应用于其它行业绝大多数权限控制系统无法满足。RBAC理论提出角色的概念,将用户与操作分开正,使权限的分配变得简单而有效。研究表明,RBAC理论所包含的设计思想有以下的优点:①授权方式得易用性和高效性:系统在授权(即分配操作权限的时候,只需授权给角色,然后将角色分配给用户即可。②授权模型维护的简便性:系统的维护只需要维护基本的授权模型,而不需要针对每一个用户进行具体而繁琐的维护。这些特点恰恰能使国家级电子政务系统的人员繁多,不好集中管理的问题得到完美的解决,同时保证了信息的安全性。这也是之所以在设计过程中处处体现RBAC理论的原因。2.2设计及实现RBAC理论包含一些基本概念,这些概念在我们的设计过程中将有选择的有所体现:(1用户和角色用户指访问系统中的资源的主体,一般为人,也可为Agent等智能程序。电子政务系统用户是各级政府机构的工作人员及管理人员。角色指应用领域内一种权力和责任的语义综合体,一般来说是一个抽象概念,也可以是对应于实际系统中的特定语义体,系统的设计者可以根据自己的需要设定角色的定义和名称。针对角色属性的不同,某些模型中将角色进一步细分为普通角色和管理员角色(可理解为全局角色。在本文设计的电子政务模型中,角色就包括普通角色和管理员角色。其中管理员角色又细分为超级管理员(全局角色和各机构管理员,其中超级管理员负责定义角色并维护整个系统的运转;各机构管理员负责管理本机构的人员,并给人员分配角色;普通角色对应了机构内部的职务。(2许可和权限被赋予了超级管理员角色的人,负责定义角色。定义角色的同时,我们要对角色进行授权,这里含有另外两个具体的概念:许可和权限。其中许可是授权的结果,表示某个角色获得了某种权限,权限描述的是许可和具体操作间的某种关联关系。在本文中,授权的过程由超级管理员完成,是定义角色的一部分。如果定义的角色为机构管理员,则系统会给机构管理员授权,即赋予机构管理员管理本机构人员的权限。如果定义的角色不是机构管理员,那就是普通角色,普通角色对应了机构内部的职务,这样就需要超级管理员根据实际情况,给这个角色进行授权,即指派某些操作权限到这个角色上。(3角色和指派指派是RBAC理论中另一个重要的概念,其中包括用户指派和许可指派两种。用户指派是指将用户指派给特定角色,即将用户跟提前定义好的角色相关联,也就意味着将用户与具体操作权限相关联,本文中的指派就是指的这一种。各机构的管理员就负责把建好的角色,分配给本机构的人员,这个机构的管理员所能看到的角色信息只是他可分配的角色。所以需要根据超级管理员为角色加的限制信息,为各个机构的管理员挑选出他可分配的角色。本模型的角色等级有地域和级别,各个机构的管理员也有本机构的地域和级别,所以可以取出管理员所在机构的地域和级别信息,并且根据这些信息为管理员挑选可分配的角色。不可分配的角色对于机构管理员是透明的。这个过程其实就是在给机构管理员在分配角色时加入了限制信息。这就是对指派角色给用户时的约束条件,而所有这些约束条件是由国家超级管理员统一控制的,但是具体的角色分配给那个用户是由各机构管理员决定的。这样就实现了统一控制,灵活分配。至于许可指派,是指为角色指派资源的访问和操作许可,其实就是上面所提到给角色授权。(4限制、角色和角色等级角色本身仅仅只是一个名词,其本身并不能代表权限的大小。系统无法仅仅根据角色的名称来确定权限的高低和区别。因此需要采用分等级角色,在角色上实现层次化来解决这些问题。也可以采用复合角色(其表示的就是一个角色组的概念,对角色实现一定的分组和复合,以便于权限指派。国家级的电子政务系统模拟的是一个国家级的系统,包括国家各个级别的,各个地区的机构。很多情况下,同一级别机构里的职务是相同的。所以本模型对角色进行分级。有了级别限制,超级管理员在定义角色时,就没有必要为每个机构都定义角色了,只需要定义同一级别的角色即可。对角色引入级别限制,解决了普遍性问题,但是也有很多特殊情况,例如对于某些特殊的省,比如西藏,或许只有省级的机构,很多应该由地级和县级管理的事务不得不拿到省级图1RBAC0模型用户角色会话操作控制对象与用户相联系的会话集合session激活的角色用户角色分配(UA角色许可分配(PA许可(PERM-682-来管理,这样就需要给这个省建立一些特殊的角色,区别于其它省级角色。为了解决这个问题,本文给角色加了一个地域的概念,这样就可以解决由于地域的特殊性带来的权限分配问题。这样就形成一个地域和级别的复合角色,很好的解决地域特殊性的问题。根据以上概念建立的系统模型如图2所示。(5会话分配了权限给角色,又分配了角色给用户,实际上就是通过角色,把权限赋给了用户。在用户登录时会根据它所拥有的角色信息,把其权限取出来,当这个用户请求某个操作时,要先验证此用户是否有操作权限。这样就实现了对具体用户的访问控制。这一过程在理论中称为会话,会话表示的是用户和角色之间的关系。用户每次必须通过建立会话来激活角色,得到相应的访问权限。其实在系统中会话就是用户登录和验证的过程,用户只有通过会话激活其角色后,才能获得相应的操作权限,对系统数据进行操作。图3为用户登录建立会话,并进行操作的流程图。2.3数据库设计图4为数据库设计图,其中操作表用于存放系统中对应于每一个程序模块的操作,角色表用于存放系统中所有的角色,角色_操作表用于把角色和操作关联起来,其中角色和操作是多对多的关系。角色_地点表用于给角色加上地域限制,即把角色应用到某个地域.人员表记录了人员的基本信息,登陆的验证信息,还有人员属于哪个机构,这个机构有一个所属的地区,通过机构表可以看到。用户表把人员和角色关联起来,用于给用户的角色授权。3结束语本文的设计方案适用于国家级的电子政务解决方案,这种设计方案有利于国家统一控制权限,各个地方机构分别管理人员,并对人员分配国家允许的权限。一旦国家的政策有改动。例如,对某个角色而言,将增加或删除某种权限,这样只需在国家级的超级管理员处将此角色的定义修改一下即可,不需要每个有这个角色机构都进行修改。同样,在定义人员时,国家不需要知道哪个角色分配给了哪个人,只需要知道对于哪个地区应该有那种角色即可,各个地方机构的管理员,根据本机构的情况分配角色,当然,此角色是应用到这个地区的。本文对于大型电子政务系统中