摘 要 基于角色訪問控制系統(tǒng)具有傳統(tǒng)訪問控制系統(tǒng)所不具備的一系列優(yōu)點(diǎn)，從而成為保證系統(tǒng)安全的首選訪問控制模型，而要保證基于角色訪問控制系統(tǒng)的安全性，則離不開職責(zé)分離約束。本文從基于角色訪問控制系統(tǒng)的優(yōu)點(diǎn)出發(fā)，簡要介紹了基于角色訪問控制系統(tǒng)中約束的重要性，并對職責(zé)分離約束的研究現(xiàn)狀和發(fā)展方向進(jìn)行了探討。

【關(guān)鍵詞】基于角色訪問控制 系統(tǒng)約束 職責(zé)分離

隨著信息技術(shù)和網(wǎng)絡(luò)通信技術(shù)的發(fā)展，信息共享程度逐漸增加，與此同時對共享信息及信息系統(tǒng)中信息的安全性提出了更高的要求。而要保證信息系統(tǒng)中信息的安全，業(yè)界提出了不同的訪問控制方式，如傳統(tǒng)的自主訪問控制方式和強(qiáng)制訪問控制方式等。與上述傳統(tǒng)訪問控制方式相比，基于角色訪問控制RBAC（Role-based Access Control）方式具有如下一系列優(yōu)點(diǎn)。

（1）在用戶和權(quán)限之間引入角色，用戶不直接擁有權(quán)限，而是通過扮演角色間接擁有角色所擁有的權(quán)限，從而簡化了系統(tǒng)管理；

（2）通過分析企業(yè)現(xiàn)有業(yè)務(wù)流程，構(gòu)建符合企業(yè)業(yè)務(wù)流程的角色，并給角色分配必要的權(quán)限，能夠更好地反映企業(yè)業(yè)務(wù)邏輯，從而有利于提高企業(yè)生產(chǎn)力和減少新員工的試用期；

（3）基于角色的訪問控制系統(tǒng)通過引入一系列的訪問控制約束，從而提高了系統(tǒng)的安全性和完整性，并能在一定程度上簡化系統(tǒng)規(guī)則的調(diào)整。

基于此本文在介紹基于角色訪問控制系統(tǒng)中約束的重要性基礎(chǔ)上，對基于角色訪問控制系統(tǒng)中的職責(zé)分離約束進(jìn)行了綜述，并對其未來的研究方向進(jìn)行了展望。

1 訪問控制系統(tǒng)中的約束

基于角色訪問控制系統(tǒng)，通過在用戶和權(quán)限之間引入角色的概念，從而使得用戶和一系列的角色相關(guān)，角色和一系列的權(quán)限相關(guān)，進(jìn)而使得用戶通過所擁有的角色集獲得在系統(tǒng)執(zhí)行任務(wù)所需要的權(quán)限結(jié)合。由于基于角色訪問控制系統(tǒng)所具備的一系列優(yōu)點(diǎn)，從而得到越來越多的關(guān)注和研究，也逐漸成為企業(yè)安全應(yīng)用的首選模型。

基于角色訪問控制系統(tǒng)模型包含核心角色訪問控制模型RBAC0（Core RBAC），其定義了基于角色訪問控制系統(tǒng)所包含的必要元素及元素之間的相互關(guān)系，層次角色訪問控制模型RBAC1（Hierarchal RBAC），其定義角色之間的相互繼承關(guān)系，使得用戶通過角色間的繼承進(jìn)而獲得低級角色，角色限制模型RBAC2（Constraint RBAC），其定義了基于角色訪問控制模型下的一系列約束規(guī)則，統(tǒng)一模型RBAC3（Combines RBAC），該模型是RBAC1和RBAC2模型的融合，其結(jié)構(gòu)圖如圖1所示。

基于角色訪問控制模型中的約束是訪問控制機(jī)制得以保障的一個重要因素，如果基于角色訪問控制系統(tǒng)離開或者缺乏系統(tǒng)所規(guī)定的一系列約束條件，那么其系統(tǒng)本身的安全性和完整性將不能保證，從而也無法體現(xiàn)其相對于傳統(tǒng)訪問控制機(jī)制的優(yōu)點(diǎn)；其次，基于角色的訪問控制系統(tǒng)可以支持最小權(quán)限原則、職責(zé)分離原則和數(shù)據(jù)抽象原則。如在某個基于角色訪問控制系統(tǒng)中，用戶需要獲取的權(quán)限組合為RQ={p1，p2，p3，p4，p5}，假定該系統(tǒng)中角色r1所擁有的權(quán)限集合為{p1，p2，p3}，角色r2所擁有的權(quán)限集合為{p3，p4，p5}，則要確保該用戶能夠完成系統(tǒng)所需要的任務(wù)則必將同時擁有角色r1和角色r2，然而如果角色r1和角色r2為互斥角色的話，而將他們同時分配給用戶的話，則系統(tǒng)的安全性需求不能保證，由此可見基于角色訪問控制系統(tǒng)中的約束對保證系統(tǒng)的安全性具有舉足輕重的作用；再者，針對現(xiàn)有企業(yè)中擁有眾多的用戶和權(quán)限及角色，從而造成用戶角色分配關(guān)于復(fù)雜的問題，基于角色的訪問控制系統(tǒng)通過引入約束實(shí)現(xiàn)了系統(tǒng)角色分配權(quán)限的下方，從而確保了系統(tǒng)高效地進(jìn)行角色分配。

2 職責(zé)分離約束

在基于角色訪問控制系統(tǒng)中約束的研究中，由于職責(zé)分離約束在基于角色訪問控制系統(tǒng)中保證信息安全所處的重要地位，從而使得其逐漸成為基于角色訪問控制系統(tǒng)中所有約束中研究的重點(diǎn)。基于角色訪問控制系統(tǒng)中職責(zé)分離約束的研究主要分為三大類：一類為單自治域中的職責(zé)分離約束研究；二類為多自治域中的職責(zé)分離約束研究；三類為職責(zé)分離約束的生成研究。

2.1 單自治域職責(zé)分離約束研究

單自治域職責(zé)分離約束主要包括靜態(tài)職責(zé)分離約束和動態(tài)職責(zé)分離約束兩大類，其中靜態(tài)職責(zé)分離約束由Ferraiolo于1995年提出，該約束指用戶在擁有某個角色的同時必須確保其擁有的該角色不能與用戶所擁有的其他角色之間是互斥的，其目的是保證在完成一個安全任務(wù)或者相關(guān)工作時，至少需要兩個或者更多的人才能夠擁有完成該項(xiàng)任務(wù)所擁有的全部權(quán)限，從而來保證關(guān)鍵任務(wù)的安全性需求。例如角色r1代表企業(yè)某一部門會計(jì)所對應(yīng)的角色，而角色r2代表該部門出納所對應(yīng)的角色，則角色r1和角色r2不能分配給同一個用戶。而動態(tài)職責(zé)分離約束則允許用戶同時擁有互斥的角色，但是同時強(qiáng)調(diào)用戶在執(zhí)行任務(wù)的同一個會話過程中不能同時以兩種互斥的角色身份出現(xiàn)。例如角色r1代表某次運(yùn)動會中運(yùn)動員所對應(yīng)的角色，而角色r2代表該次運(yùn)動會中裁判所對應(yīng)的角色，則初始化時運(yùn)動員角色r1和裁判員角色r2可以同時分配給同一個用戶，而該用戶在具體比賽的過程中只能夠以運(yùn)動員身份或者裁判員的身份出現(xiàn)。

2.2 多自治域職責(zé)分離約束研究

隨著信息技術(shù)和網(wǎng)絡(luò)通信技術(shù)的快速發(fā)展，使得不同部門、不同機(jī)構(gòu)乃至不同自治域間信息的共享成為可能，進(jìn)而推動多自治域間信息共享及應(yīng)用系統(tǒng)的不斷發(fā)展，從而對跨自治域間信息共享過程中的安全問題提出了更高地要求?；诖?，2000年Kapadia等人提出了多自治域間實(shí)現(xiàn)角色動態(tài)映射和轉(zhuǎn)化的模型IRBAC2000，該模型通過傳遞關(guān)聯(lián)和非傳遞關(guān)聯(lián)實(shí)現(xiàn)不同域角色間的轉(zhuǎn)化，從而使得外域的用戶通過域間角色的映射在本域中扮演對應(yīng)角色，進(jìn)而執(zhí)行相應(yīng)權(quán)限，完成相應(yīng)任務(wù)。而在具體的多自治域系統(tǒng)中，可能存在某項(xiàng)任務(wù)的完成需要多個域中的不同角色配合來完成，因此常規(guī)的職責(zé)分離約束已經(jīng)不能滿足多域間的需要，例如進(jìn)行項(xiàng)目評審時，就需要評定委員會成員的構(gòu)成不能全部來自同一個自治域，以避免不科學(xué)的評審結(jié)果發(fā)生?；诖?，常規(guī)的職責(zé)分離約束規(guī)則已經(jīng)不能滿足該具體要求，因此可定義滿足多自治域環(huán)境下的一般職責(zé)分離約束規(guī)則為：

定義一：在具有n個權(quán)限的權(quán)限集合{p1，p2，…，pn}和m個域{D1，D2，…，Dm}中，不允許少于k個來自不同域中的用戶共擁有權(quán)限集合中的全部權(quán)限，這樣的原則被稱為一般意義上的多域靜態(tài)職責(zé)分離約束，該一般意義上的多域靜態(tài)職責(zé)分離約束可表示為：

GSSOD<{p1，p2，…，pn}，{D1，D2，…，Dm}，k>

其中{p1，p2，…，pn}表示基于多自治域角色訪問控制系統(tǒng)中的一組權(quán)限集合，{D1，D2，…，Dm}表示多自治域系統(tǒng)中的不同自治域，m和k是正整數(shù)，且滿足2≤k，2≤m，該一般意義上的多域靜態(tài)職責(zé)分離約束禁止少于k個域的用戶共同擁有權(quán)限組{p1，p2，…，pn}中的所有權(quán)限。

更嚴(yán)格的可以定義滿足多自治域環(huán)境下的嚴(yán)格職責(zé)分離約束規(guī)則為：

定義二：在具有n個權(quán)限的權(quán)限集合{p1，p2，…，pn}和m個域{D1，D2，…，Dm}中，不允許少于ki個來自域Di中的用戶共擁有權(quán)限集合中的全部權(quán)限，這樣的原則被稱為嚴(yán)格意義上的多域靜態(tài)職責(zé)分離約束，該嚴(yán)格意義上的多域靜態(tài)職責(zé)分離約束可表示為：

SGSSOD<{p1，p2，…，pn}，{D1，D2，…，Dm}，{k1，k2，…，km}>

其中{p1，p2，…，pn}表示基于多自治域角色訪問控制系統(tǒng)中的一組權(quán)限集合，{D1，D2，…，Dm}表示多自治域系統(tǒng)中的不同自治域，m和{k1，k2，…，km}是正整數(shù)，該多域靜態(tài)職責(zé)分離約束禁止少于ki個來自域Di中的用戶共同擁有權(quán)限組{p1，p2，…，pn}中的所有權(quán)限。

2.3 職責(zé)分離約束的生成研究

職責(zé)分離約束生成研究文獻(xiàn)較少，其中文章討論了互斥權(quán)限和互斥角色的定義，并根據(jù)權(quán)限和角色之間互斥的原理，指出要獲取用戶和權(quán)限分配表中隱含的權(quán)限組之間的互斥關(guān)系，就是發(fā)現(xiàn)那些在分配關(guān)系中用戶不能同時擁有的權(quán)限組，并基于此通過關(guān)聯(lián)規(guī)則算法Apriori生成滿足最小加權(quán)支持度的互斥角色約束。然后上述的互斥角色和權(quán)限約束并沒有考慮權(quán)限的權(quán)重，從而造成生成的互斥約束不夠完備，基于此文章定義了權(quán)限的權(quán)重并在權(quán)限的權(quán)重基礎(chǔ)之上重新定義了基于權(quán)限權(quán)重的職責(zé)分離約束規(guī)則的生成算法。

定義三權(quán)限pi的權(quán)重定義為

ωpi=α×f1（ua）+β×f2（opa）+γ×f3（oba）+δ×ω0

其中，ω0表示依據(jù)先驗(yàn)知識所確定的權(quán)限pi的初始權(quán)重，f1（ua）代表用戶屬性對權(quán)限pi的權(quán)重的影響程度，f2（opa）代表操作屬性對權(quán)限pi的權(quán)重的影響程度，f3（oba）代表操作對象的屬性對權(quán)限pi的權(quán)重的影響程度；α，β，γ和δ分別用來代表上述影響對權(quán)限權(quán)重的影響程度。

3 結(jié)語

基于角色的訪問控制技術(shù)由于其自身的優(yōu)點(diǎn)從而成為眾多安全應(yīng)用的首選模型，而要確保安全系統(tǒng)的安全性和完整性得以實(shí)施，則離不開系統(tǒng)所制定的一系列約束規(guī)則，尤其是職責(zé)分離約束規(guī)則。與此同時，隨著對等計(jì)算、網(wǎng)格計(jì)算、云計(jì)算以及物聯(lián)網(wǎng)等大型網(wǎng)絡(luò)應(yīng)用的快速發(fā)展，職責(zé)分離約束規(guī)則在新興網(wǎng)絡(luò)環(huán)境下將面臨更復(fù)雜的新問題，這些都值得我們進(jìn)一步深入研究和更廣泛的討論。

參考文獻(xiàn)

[1]National Computer Security Center.A guide to understanding discretionary access control in trusted system. NCSC-TG-003，September 1987，1-29.

[2]David F.Ferraiolo，Janet A.Cugini and D.Richard Kuhn.Role-based access control（RBAC）：Features and motivations，in： proceedings of 11th annual computer security APPlications conference，1995，241-248.

[3]R.S.Sandhu，E.J.Coyne，H.L.Feinstein and C.E.Youman.Role-based access control models.IEEE Computer，1996，29（02）：38-47.

[4]Ansi，American national standard for information technology–role based access control.ANSI INCITS 359，2004，1-5.

[5]Li Ruixuan，Lu Jianfeng，Li Tianyi， et al.An APProach for Resolving Inconsistency Conflicts in Access Control Policies.Chinese Journal of Computers，2013，36（06）：1210-1223.

[6]Li，N.，Bizri，Z.，Tripunttara，M.V.On Mutually-exclusive Roles and Separation of Duty [C]. In：Proceedings of the 11th ACM Conference on Computer and Communications Security，ACM Press， New York，2004：42-51.

[7]K.Apu，J.Al-Muhtadi，R.Campbell， et al.IRBAC2000：Secure Interoperability Using Dynamic Role Translation.Technical Report： UIUCDCS-R-2000-2162，2000：1-8.

[8]Xiaopu Ma，Ruixuan Li，Zhengding Lu， et al.Global Static Separation of Duty in Multi-domains [C].In：Proceeding of the 2009 International Conference on Multimedia Information Networking and Security，Wuhan，China，2009：18-20.

[9]Xiaopu Ma，Ruixuan Li，Zhengding Lu， et al.Mining Constraints in Role-Based Access Control.Mathematical and Computer Modelling，2012，55（1-2）：87-96.

[10]Xiaopu Ma，Jianfang Wang，Li Zhao， Ruixuan Li.Mutual Exclusion Role Constraint Mining Based on Weight in Role-Based Access Control System， International Journal of Innovative Computing， Information and Control， 2016，12（01）：91-101.

作者簡介

趙莉（1977-），女，河南省南陽市人。大學(xué)本科學(xué)歷?，F(xiàn)南陽師范學(xué)院計(jì)算機(jī)與信息技術(shù)學(xué)院工程師。主要研究方向?yàn)樵L問控制機(jī)網(wǎng)絡(luò)安全。

作者單位

南陽師范學(xué)院計(jì)算機(jī)與信息技術(shù)學(xué)院 河南省南陽市 473061