歐陽榮彬，劉云峰，龍新征

(北京大學(xué) 計(jì)算中心，北京 100871)

基于屬性規(guī)則的PRBAC參數(shù)模型研究與實(shí)現(xiàn)

歐陽榮彬，劉云峰，龍新征

(北京大學(xué) 計(jì)算中心，北京 100871)

PRBAC模型可以實(shí)現(xiàn)細(xì)粒度的數(shù)據(jù)訪問控制.論文分析了以往有關(guān)RBAC數(shù)據(jù)權(quán)限的研究，總結(jié)了具體的實(shí)踐探索經(jīng)驗(yàn)，提出一種基于屬性規(guī)則的PRBAC參數(shù)模型，以實(shí)現(xiàn)通用的數(shù)據(jù)權(quán)限管理.筆者闡述了模型的設(shè)計(jì)思路，包括數(shù)據(jù)權(quán)限規(guī)則的形式組成、具體含義，還闡述了模型的實(shí)現(xiàn)方案，包括規(guī)則的實(shí)現(xiàn)形式、PRBAC參數(shù)應(yīng)用時(shí)機(jī)、規(guī)則校驗(yàn)的主要實(shí)現(xiàn)算法，以及相關(guān)的技術(shù)要點(diǎn).論文還結(jié)合該模型在北京大學(xué)IAAA系統(tǒng)的應(yīng)用實(shí)踐闡述了模型的優(yōu)勢，即數(shù)據(jù)權(quán)限規(guī)則設(shè)置具有較強(qiáng)的通用性，靈活而便捷，最后指出模型實(shí)現(xiàn)方案可以在規(guī)則沖突檢驗(yàn)方面進(jìn)一步完善.

訪問控制；數(shù)據(jù)權(quán)限；PRBAC；屬性規(guī)則；參數(shù)模型

0 引言

1992年文獻(xiàn)[1]提出了基于角色的訪問控制模型(role-based access control， RBAC)，之后有關(guān)RBAC的研究不斷發(fā)展，并形成了相關(guān)標(biāo)準(zhǔn).NIST(The National Institute of Standards and Technology，美國國家標(biāo)準(zhǔn)與技術(shù)研究院)的標(biāo)準(zhǔn)定義了三類RBAC模型，分別是基本模型(core RBAC)、角色分層模型(hierarchal RBAC)、角色限制模型(constraint RBAC)[2].

目前，RBAC模型已經(jīng)成為一種廣泛應(yīng)用的訪問控制模型，其簡潔、可擴(kuò)展、易管理的特性被廣泛認(rèn)可.在實(shí)際應(yīng)用中，當(dāng)一批用戶具有同等的功能權(quán)限，他們被授予一個(gè)相同的角色，但是這些用戶可以操作的數(shù)據(jù)對(duì)象卻可能是各不相同的，即他們應(yīng)當(dāng)具有相應(yīng)的數(shù)據(jù)權(quán)限.RBAC標(biāo)準(zhǔn)模型并沒有明確定義數(shù)據(jù)權(quán)限模型，也沒有給出建議的實(shí)現(xiàn)策略.雖然從理論上來說，RBAC標(biāo)準(zhǔn)模型可以通過細(xì)粒度的操作對(duì)象(OBS)劃分實(shí)現(xiàn)數(shù)據(jù)權(quán)限，但是在實(shí)際環(huán)境中，細(xì)粒度的劃分并形成更細(xì)粒度的權(quán)限(PRMS)，勢必需要大量的角色，而且操作繁復(fù).

PRBAC(parameterized RBAC)模型是對(duì)RBAC基本模型的擴(kuò)展，能夠完成細(xì)粒度的權(quán)限訪問控制，而且無需大量角色和繁復(fù)的操作.在具體應(yīng)用的實(shí)現(xiàn)過程中，如何設(shè)計(jì)參數(shù)才能有效地應(yīng)對(duì)不同數(shù)據(jù)對(duì)象的訪問控制呢？筆者提出了一種基于屬性規(guī)則的PRBAC參數(shù)模型，將PRBAC中的參數(shù)設(shè)計(jì)為一組規(guī)則集，規(guī)則集中定義了角色可以訪問的數(shù)據(jù)對(duì)象，及其應(yīng)當(dāng)滿足的屬性規(guī)則.模型和規(guī)則可以靈活地適配于各類不同的數(shù)據(jù)對(duì)象.

筆者接下來首先回顧和總結(jié)了有關(guān)PRBAC和數(shù)據(jù)權(quán)限的研究，然后具體闡述了基于屬性規(guī)則的PRBAC參數(shù)模型，并給出了具體的實(shí)現(xiàn)算法，介紹了有關(guān)技術(shù)要點(diǎn)，最后介紹了該模型在北京大學(xué)的應(yīng)用實(shí)踐.

1 相關(guān)研究

很多研究人員在PRBAC的細(xì)粒度權(quán)限控制方面做了不少有益的探索和研究.

文獻(xiàn)[3]在PRBAC的基礎(chǔ)上引入面向?qū)ο蟮母拍睿岢隽瞬呗阅０?policy template)和角色類(role class)，即通過角色的實(shí)例化實(shí)現(xiàn)細(xì)粒度權(quán)限控制.文獻(xiàn)[4]提出參數(shù)化角色的設(shè)計(jì)，即不同用戶被授予同一個(gè)角色的時(shí)候有可能攜帶不同的參數(shù).文獻(xiàn)[5-6]采用Z語言，在FRBAC(flat RBAC)的基礎(chǔ)上對(duì)PRBAC模型進(jìn)行了規(guī)范化闡述.文獻(xiàn)[7-8]對(duì)RBAC的Web Service訪問控制進(jìn)行了論述，其中的Actor概念和PRBAC目標(biāo)相近，也是為了實(shí)現(xiàn)細(xì)粒度的權(quán)限控制.文獻(xiàn)[9-12]引入了數(shù)據(jù)角色和數(shù)據(jù)權(quán)限規(guī)則的概念，旨在將數(shù)據(jù)權(quán)限與功能權(quán)限獨(dú)立開來，以實(shí)現(xiàn)對(duì)數(shù)據(jù)訪問的細(xì)粒度權(quán)限控制，然而數(shù)據(jù)角色的引入增加了管理的復(fù)雜性.

PRBAC是對(duì)RBAC模型的擴(kuò)展，在RBAC模型的各個(gè)部件中加入了參數(shù)(包括角色、對(duì)象、權(quán)限等)以實(shí)現(xiàn)對(duì)權(quán)限尤其是數(shù)據(jù)權(quán)限的細(xì)粒度控制.用戶在被賦予某個(gè)角色的時(shí)候可以攜帶一系列的參數(shù)，并將這些參數(shù)傳遞給模型中的各個(gè)部件.如此，不同參數(shù)的用戶角色，其訪問權(quán)限尤其是數(shù)據(jù)訪問權(quán)限就會(huì)各不相同.

為了設(shè)計(jì)一種通用的參數(shù)，使其可以適配各種不同的數(shù)據(jù)對(duì)象，常見的做法是將SQL條件語句作為參數(shù).但是，由于數(shù)據(jù)庫類型多樣，SQL語句處理情況也多樣，因此這種做法的通用性受到很大的限制.筆者將PRBAC中的參數(shù)設(shè)計(jì)為一組規(guī)則集，規(guī)則集中定義了角色可以訪問的數(shù)據(jù)對(duì)象，及其應(yīng)當(dāng)滿足的屬性規(guī)則，可以靈活地與各類不同的數(shù)據(jù)對(duì)象適配.

2 PRBAC參數(shù)模型

PRBAC模型中引入?yún)?shù)的目的是為了實(shí)現(xiàn)更加精細(xì)的數(shù)據(jù)權(quán)限訪問控制.為了實(shí)現(xiàn)參數(shù)模型的通用性，筆者將PRBAC中的參數(shù)具體設(shè)計(jì)為一組基于屬性規(guī)則的數(shù)據(jù)權(quán)限規(guī)則集，規(guī)則集的主要內(nèi)容正是訪問控制的對(duì)象——數(shù)據(jù)對(duì)象及其屬性.

2.1 數(shù)據(jù)權(quán)限規(guī)則

首先介紹數(shù)據(jù)權(quán)限規(guī)則dpr.在形式上， dpr由元素對(duì)(data,rule_set)表示，下面是對(duì)元素對(duì)的各組成部分的描述.

data： 數(shù)據(jù)對(duì)象，由數(shù)據(jù)對(duì)象名(obj_name)和數(shù)據(jù)對(duì)象類型(obj_type)組成；

rule_set：屬性規(guī)則集，形式上由元素對(duì)(relation,rules,rule_sets)表示，元素對(duì)中子元素描述如下：

①relation：邏輯關(guān)系符，取值OR或AND，表示rules中組成元素以及rule_sets中組成元素之間的關(guān)系；

②rules：屬性規(guī)則rule的集合，每個(gè)rule為一個(gè)簡單的比較運(yùn)算表達(dá)式，形式上由元素對(duì)(attr_name,comparator,value)表示，其子元素分別表示對(duì)象屬性名、比較符和右值；

③rule_sets：屬性規(guī)則集rule_set的集合.

基于上述描述，dpr元素對(duì)(data,rule_set)可以構(gòu)成一個(gè)由比較運(yùn)算表達(dá)式和邏輯關(guān)系符組成的復(fù)雜的布爾表達(dá)式，邏輯關(guān)系符為relation，每個(gè)比較表達(dá)式都由rule元素對(duì)(attr_name,comparator,value)中的子元素構(gòu)成.data元素也參與比較表達(dá)式的構(gòu)成，主要是用于限制元素attr_name的所屬.具體示例會(huì)在第3.1節(jié)“規(guī)則實(shí)現(xiàn)形式”中解釋.

2.2 動(dòng)態(tài)屬性規(guī)則

在形式上，屬性規(guī)則rule元素對(duì)(attr_name,comparator,value)中的右值value可以有兩種：常量形式和變量形式.常量形式為一具體的值，例如具體的院系代碼“00082”.

變量形式時(shí)，其值則與用戶會(huì)話相關(guān)，如采用“{USER.deptID}”表示當(dāng)前會(huì)話中用戶的單位編碼.如此，PRBAC的參數(shù)就具有了用戶會(huì)話的屬性，產(chǎn)生動(dòng)態(tài)效果.形成了基于對(duì)象屬性和用戶會(huì)話屬性的數(shù)據(jù)權(quán)限規(guī)則，使得數(shù)據(jù)權(quán)限的配置更加靈活.

3 實(shí)現(xiàn)方案

3.1 規(guī)則實(shí)現(xiàn)形式

在具體實(shí)現(xiàn)時(shí)，可以采用XML形式的屬性規(guī)則，表1為屬性規(guī)則示例.如果某個(gè)角色被賦予了表1所示的參數(shù)，那么這個(gè)角色可以(不是只可以，因?yàn)槭纠羞€有其他規(guī)則集，而且關(guān)系符還是OR)訪問院系單位為00082的人員基本信息(類型為pku.model.PersonInfo).

3.2 參數(shù)應(yīng)用的時(shí)機(jī)

按PRBAC模型所述，用戶登錄系統(tǒng)進(jìn)入會(huì)話之后，激活已經(jīng)賦予了參數(shù)的用戶授權(quán)角色，此時(shí)的參數(shù)為一組數(shù)據(jù)權(quán)限規(guī)則集，因?yàn)橐粋€(gè)角色可能被賦予多個(gè)數(shù)據(jù)權(quán)限規(guī)則.同時(shí)，如果數(shù)據(jù)權(quán)限規(guī)則中的屬性規(guī)則右值(value)采用了變量形式，那么在用戶登錄之后需要將這些變量替換成實(shí)際的用戶會(huì)話屬性值.

文獻(xiàn)[4]指出，被賦予了參數(shù)的權(quán)限(parameterized privileges)，形式為(xx{a1,a2,…,an},m)，其中：x為數(shù)據(jù)對(duì)象;a1、a2、…、an為參數(shù)；m為訪問操作.所以，應(yīng)當(dāng)是在用戶進(jìn)行數(shù)據(jù)訪問操作的時(shí)候應(yīng)用參數(shù)，校驗(yàn)數(shù)據(jù)權(quán)限規(guī)則，確保用戶只能操作那些通過規(guī)則校驗(yàn)的數(shù)據(jù)，即具體的數(shù)據(jù)權(quán)限規(guī)則只對(duì)具體的用戶訪問操作生效，而不是對(duì)用戶同類型數(shù)據(jù)的所有訪問操作都生效.

表1 屬性規(guī)則示例

由于一個(gè)角色可能被賦予了多個(gè)數(shù)據(jù)權(quán)限規(guī)則，這些規(guī)則可能都是針對(duì)同一類數(shù)據(jù)對(duì)象.當(dāng)一個(gè)用戶角色具有多個(gè)數(shù)據(jù)權(quán)限規(guī)則時(shí)，這些規(guī)則之間的關(guān)系應(yīng)該是OR的關(guān)系.

3.3 規(guī)則校驗(yàn)

參數(shù)應(yīng)用的過程就是數(shù)據(jù)權(quán)限規(guī)則校驗(yàn)的過程.過程FilterWithDPRs的功能是對(duì)數(shù)據(jù)對(duì)象集合依據(jù)數(shù)據(jù)權(quán)限規(guī)則集進(jìn)行過濾，其算法描述如表2所示.其中參數(shù)data_list表示原數(shù)據(jù)對(duì)象集合，dpr_list表示用戶在當(dāng)前會(huì)話中的數(shù)據(jù)權(quán)限規(guī)則集.算法中涉及的子過程FilterWithRS是將數(shù)據(jù)對(duì)象集合依據(jù)單個(gè)數(shù)據(jù)權(quán)限規(guī)則的屬性規(guī)則集合進(jìn)行過濾，其算法表述如表3.其他涉及的子過程功能描述如表4.

表2 基于DPRs的過濾

表3 基于RS的過濾

表4 相關(guān)子過程功能描述

3.4 Java反射

在過程FilterWithRule中，需要校驗(yàn)單個(gè)屬性規(guī)則.然而，屬性規(guī)則中的屬性名都被配置成了文本，一般的做法是遍歷所有可能屬性名，然后調(diào)用相應(yīng)的屬性訪問方法.但是，一個(gè)數(shù)據(jù)對(duì)象一般都具有多個(gè)屬性，而且數(shù)據(jù)對(duì)象的類型也不可能只有少數(shù)幾個(gè)，不同的應(yīng)用系統(tǒng)都可以定義自己不同的數(shù)據(jù)對(duì)象類型.因此，不可能在FilterWithRule的具體實(shí)現(xiàn)中通過文本判斷遍歷所有的情況.

Java語言中的反射機(jī)制能夠通過文本的屬性名獲取到該屬性的訪問方法，并且可以通過程序觸發(fā)運(yùn)行，從而獲得數(shù)據(jù)對(duì)象的屬性值.實(shí)際上，Java語言的反射機(jī)制對(duì)于本文基于屬性規(guī)則的PRBAC參數(shù)模型的通用性有極為關(guān)鍵的作用,而且，其他的面向?qū)ο笳Z言中也都有類似的反射機(jī)制.

4 應(yīng)用實(shí)踐

“北京大學(xué)統(tǒng)一身份認(rèn)證和權(quán)限管理系統(tǒng)”(以下簡稱“IAAA系統(tǒng)”)是北京大學(xué)電子校務(wù)環(huán)境下集成了用戶管理、身份認(rèn)證、權(quán)限管理和日志審計(jì)管理等功能的綜合安全管理系統(tǒng)[13].其中權(quán)限管理部分基于PRBAC模型設(shè)計(jì)和實(shí)現(xiàn)，在數(shù)據(jù)權(quán)限管理方面應(yīng)用了筆者提出的PRBAC參數(shù)模型，實(shí)現(xiàn)了通用而且細(xì)粒度的數(shù)據(jù)權(quán)限管理.其簡化的實(shí)現(xiàn)類圖如圖1所示.其中“對(duì)象約束屬性”對(duì)應(yīng)2.1節(jié)中闡述的屬性規(guī)則rule元素對(duì)中的attr_name.

圖1 權(quán)限管理類圖

“IAAA系統(tǒng)”目前共管理北京大學(xué)電子用戶身份數(shù)據(jù)大約21萬條，為108個(gè)應(yīng)用系統(tǒng)提供統(tǒng)一身份認(rèn)證服務(wù)，為29個(gè)應(yīng)用系統(tǒng)提供統(tǒng)一權(quán)限管理服務(wù)(共有角色約320個(gè))，其中10個(gè)應(yīng)用系統(tǒng)集成了數(shù)據(jù)權(quán)限管理服務(wù).“IAAA系統(tǒng)”面向全校的應(yīng)用系統(tǒng)提供統(tǒng)一而分級(jí)的權(quán)限管理服務(wù)，應(yīng)用系統(tǒng)的權(quán)限管理均由注冊的應(yīng)用系統(tǒng)安全管理員管理和配置，無需分別在應(yīng)用系統(tǒng)中重復(fù)設(shè)計(jì)實(shí)現(xiàn)和管理.

實(shí)踐表明，“IAAA系統(tǒng)”能夠合理而有效地實(shí)現(xiàn)數(shù)據(jù)權(quán)限管理，應(yīng)用系統(tǒng)集成簡便，規(guī)則配置靈活，滿足了應(yīng)用系統(tǒng)的權(quán)限管理需求.

5 結(jié)論

筆者通過分析以往研究并總結(jié)具體的實(shí)踐探索經(jīng)驗(yàn)，提出了基于屬性規(guī)則的PRBAC參數(shù)模型.闡述了該模型的設(shè)計(jì)思路和實(shí)現(xiàn)方案，包括數(shù)據(jù)權(quán)限規(guī)則的形式組成、具體含義，以及規(guī)則的具體實(shí)現(xiàn)形式、參數(shù)的應(yīng)用時(shí)機(jī)、規(guī)則校驗(yàn)的主要實(shí)現(xiàn)算法和相關(guān)的實(shí)現(xiàn)技術(shù)要點(diǎn)等.規(guī)則配置時(shí)對(duì)規(guī)則沖突的檢驗(yàn)方面本文的實(shí)現(xiàn)方案并未涉及，還需要進(jìn)一步完善.

最后，北京大學(xué)“IAAA系統(tǒng)”的應(yīng)用實(shí)踐表明，筆者提出的基于屬性規(guī)則的PRBAC參數(shù)模型可以合理而有效地實(shí)現(xiàn)數(shù)據(jù)權(quán)限管理，規(guī)則設(shè)置具有較強(qiáng)通用性，靈活而且便捷，滿足了應(yīng)用系統(tǒng)的權(quán)限管理需求.

[1] FERRAIOLO D, KUHN R. Role-based access control[C]// Proceedings of the NIST-NSA National(USA) Computer Security Conference. Piscataway: IEEE, 1992:554-563.

[2] ANSI. American National Standard for information technology-role based access control[M]. ANSI INCITS 359-2004. New York: American National Standards Institute, Inc. 2004.

[3] EMIL L, MORRIS SM. Reconciling role based management and role based access control[C]//Proceedings of Symposium on Access Control Model and Technologies. New York: ACM. 1997:135-141.

[4] MEI G, SYLVIA L O. A design from parameterized roles[C]//Proceedings of Research Directions in Data and Application Security XVII. Laxenburg: IFIP, 2004:251-264.

[5] ETIENNE J K, ALI E A. A formal model for flat role-based access control[C]//Proceedings of ACS/IEEE International Conference on Computer Systems and Application. Piscataway: IEEE, 2003.

[6] ALI E A, ETIENNE J K. A formal model for parameterized role-based access control[C]//Proceedings of Workshop on Information Technologies and Systems. Georgia: WITS, 2005:233-246.

[7] XU F, LIN GY, HUANG H, et al. Role-based access control system for web services[C]//Proceedings of Conference on Computer and Information Technology. Piscataway: IEEE, 2004:357-362.

[8] JONATHAN K A. A service-centric approach to a parameterized RBAC service[C]//Proc. of the 5th WSEAS International Conference on Applied Computer Science. Wisconsin: WSEAS , 2006.

[9] LIANG Z H, HUANG X F, PAN L, et al. A desion and implementation of data access control in digital campus systems using the RBAC method[C]//Proc. of the First IEEE International Symposium on Information Technologies and Applications in Education. Piscataway: IEEE, 2007:274-277.

[10]ZHANG D M, LU Z X. Strategy design of permission management and data access scope control in provincial centralized project[C]//Proc. of International Forum on Computer Science-Technology and Applications. Piscataway: IEEE, 2009:396-398.

[11]王莉娟，郭培輝. PLM系統(tǒng)中數(shù)據(jù)權(quán)限控制研究[J]. 電子設(shè)計(jì)工程, 2011,19(3):131-133.

[12]龔藝. 一種基于RBAC的數(shù)據(jù)權(quán)限模型的設(shè)計(jì)與實(shí)現(xiàn)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2012(8):42-44.

[13]劉云峰，歐陽榮彬，來天平，等. 面向職責(zé)的細(xì)粒度委托授權(quán)機(jī)制及其應(yīng)用研究[J]. 太原理工大學(xué)學(xué)報(bào), 2012,43(專輯)：150-154.

Implementation of Parameter Model of PRBAC Based on Attribute Rules

OUYANG Rongbin, LIU Yunfeng, LONG Xinzheng

(Computer Center, Peking University, Beijing, 100871)

PRBAC was always implemented to achieve fine-grained access control. This paper analyzed recent research on data permissions, summarized related experiences, and presented a parameter model of PRBAC based on attribute rules. It presented the model’s design, including the rule’s formal form and its components. It also described a general implementation scheme, including the rules’ specification, rule’s application time choice, algorithm of the rule’s validation, and some key techniques of the implementation. With the practice on IAAA at PKU, it showed that the model was flexible and the rules’ setting was convenient. This paper also pointed out that rules’ conflict checking should be implemented in future.

access control; data permissions; PRBAC; attribute rules; parameter model

2016-10-31；

2016-11-29

國家發(fā)改委2011國家信息安全專項(xiàng)資助項(xiàng)目

歐陽榮彬(1979— )，男，北京大學(xué)高級(jí)工程師，主要從事教育信息化研究，E-mail:ouyang@pku.edu.cn.

1671-6833(2017)02-0013-04

TP315

A

10.13705/j.issn.1671-6833.2017.02.004