一種靈活的小顆粒權(quán)限管理方法及其實(shí)踐

王博 郝羽

摘 ?要： 權(quán)限管理是應(yīng)用軟件的重要組成部分，它關(guān)系到應(yīng)用系統(tǒng)安全性和可靠性。當(dāng)前的軟件管理者和用戶的多樣性為權(quán)限管理提出了挑戰(zhàn)。傳統(tǒng)粗粒度的權(quán)限管理系統(tǒng)權(quán)限粒度較粗，較難適用于用戶復(fù)雜多樣的管理系統(tǒng)，故提出一種基于“位示權(quán)限”和“權(quán)限矩陣”的細(xì)粒度權(quán)限管理的方法（Flex?RBAC），實(shí)現(xiàn)了相應(yīng)的權(quán)限分配算法，減小了權(quán)限分配的粒度，增加了權(quán)限管理的靈活性。提出的細(xì)粒度、配置靈活的權(quán)限管理方法及設(shè)計(jì)的原型系統(tǒng)，為應(yīng)用軟件的細(xì)粒度權(quán)限管理提出一種切實(shí)可行的方法。Flex?RBAC方法的創(chuàng)新點(diǎn)在于權(quán)限管理的粒度細(xì)小、配置靈活、算法實(shí)現(xiàn)簡單，具有較高的通用性。

關(guān)鍵詞： Flex?RBAC; 細(xì)粒度; 權(quán)限管理; 角色; 位示權(quán)限; 權(quán)限矩陣

中圖分類號(hào)： TN911?34 ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼： A ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號(hào)： 1004?373X（2019）11?0153?05

Abstract： Permission management as an important part of application software is critical to the security and reliability of the software system， which is challenged by diversity of software managers and users. The traditional coarse?grained permission management system is difficult to apply to the management system with complex and diverse users. Therefore， a flexible role?based access control （Flex?RBAC） method based on bit map for permission and permission matrix is proposed， which can realize the corresponding permission assignment algorithm， reduce the granularity of permission distribution， and increase the flexibility of permission management. A permission management method with fine granularity and flexible configuration， and its prototype system are proposed， which provides a feasible method for fine?grained permission management of application software. The Flex?RBAC method has the innovation points of fine granularity and flexible configuration of permission management， easy algorithm implementation， and high universality.

Keywords： flexible role?based access control; fine grit; permission management; role; bit map for permission; permission matrix

0 ?引 ?言

權(quán)限管理和訪問控制是管理系統(tǒng)的重要組成部分，它關(guān)系到整個(gè)系統(tǒng)的安全性和資源訪問的級(jí)別[1]。當(dāng)前無處不在的軟件應(yīng)用，尤其是云計(jì)算[2]、Web系統(tǒng)[3?4]和移動(dòng)應(yīng)用系統(tǒng)[5]的大量涌現(xiàn)，使用者級(jí)別的多樣性[6]，為軟件開發(fā)中的安全性和可靠性提出了更高的要求[7?8]。更進(jìn)一步，隨著社會(huì)的飛速發(fā)展，軟件的開發(fā)周期要求非常短，因?yàn)槿舨蝗绱?，一個(gè)新的創(chuàng)新成果很快被復(fù)制。其次，軟件開發(fā)成本也被急劇壓縮。一個(gè)良好的權(quán)限管理系統(tǒng)應(yīng)該可以獨(dú)立于其他的功能需求和非功能需求。因此，提出一種非侵入式的、獨(dú)立的權(quán)限管理框架，尤其是一種小粒度[9]、靈活的權(quán)限管理方法，對(duì)于提高軟件開發(fā)的效率、降低軟件的開發(fā)成本，提高軟件的靈活性和安全性是非常有必要的。

針對(duì)這種情況，本文提出一種靈活可行的權(quán)限管理方法Flex?RBAC（Flexible Role?based Access Control），可以有效地解決上述問題，該方法的主要特點(diǎn)和創(chuàng)新點(diǎn)如下：

1） 靈活性。靈活性是本方法的主要特點(diǎn)，通過配置，可以非侵入原有系統(tǒng)，對(duì)操作和功能進(jìn)行權(quán)限管理。

2） 小粒度[9]。針對(duì)某一功能塊和某一事件的小粒度權(quán)限，該方法適用面廣。

3） 高效簡單。對(duì)權(quán)限可以采用一種位權(quán)限的方法標(biāo)識(shí)該權(quán)限，對(duì)權(quán)限進(jìn)行簡單的位運(yùn)算可以快速配置或者取得權(quán)限，方法簡單有效。

4） 通用性[7]?？梢赃m用各類軟件，如果稍加修改可以適用各類CS、BS系統(tǒng)。

5） 安全性[1]。對(duì)用戶的密碼使用SHA加密，因此，即使后臺(tái)工作人員看到了密碼，也無法破解密碼而侵入系統(tǒng)。

1 ?Flex?RBAC方法的設(shè)計(jì)思想

在應(yīng)用系統(tǒng)的開發(fā)中，常見的訪問控制方法有如下三種形式：自主訪問控制（DAC）、強(qiáng)制訪問控制（MAC）和基于角色的訪問控制（RBAC）[10]。本文所提出的新的權(quán)限管理模型是在RBAC基礎(chǔ)模型之上做的一種擴(kuò)充和改進(jìn)，并設(shè)計(jì)了一種原型。該方法具有較高的靈活性和較細(xì)的訪問控制粒度，本文稱之為Flex?RBAC。

1.1 ?Flex?RBAC設(shè)計(jì)思想

RBAC是基于角色的權(quán)限管理方法，RBAC基礎(chǔ)權(quán)限具有如下三個(gè)核心元素：用戶、角色和權(quán)限。這個(gè)基礎(chǔ)模型可以用圖1表示。

圖1 ?RBAC基礎(chǔ)權(quán)限模型

圖1中RBAC基礎(chǔ)權(quán)限模型的元素包括[5]：

1） URPS分別代表用戶USER、角色ROLE、權(quán)限PERMISSION和會(huì)話SESSION;

2） PA?[P×R]，多對(duì)多的權(quán)限指派關(guān)系;

3） UA?[U×R]，多對(duì)多的用戶角色指派關(guān)系;

4） User：[S→U]，映射每一個(gè)用戶到會(huì)話;

5） Role：[S→2R]映射每一個(gè)會(huì)話到一組角色。

上述權(quán)限設(shè)計(jì)和權(quán)限分配粒度較粗，在Flex?RBAC方法中，對(duì)權(quán)限的設(shè)計(jì)和分配做了較細(xì)粒度的調(diào)整，把權(quán)限分成兩個(gè)部分：一部分是應(yīng)用的基礎(chǔ)權(quán)限BP（Base Permission），基礎(chǔ)權(quán)限對(duì)系統(tǒng)的基礎(chǔ)操作做了分離;另一部分是特殊操作權(quán)限SP（Specific Permission），特殊權(quán)限分配比如上傳下載，郵件發(fā)送等功能。如圖2所示。

圖2 ?細(xì)粒度權(quán)限分配方案

這種權(quán)限的設(shè)計(jì)思想是：基礎(chǔ)權(quán)限在訪問控制的粒度上更小，游離于整個(gè)系統(tǒng)中，特殊共有功能權(quán)限被獨(dú)立分離提取，可以總體上被配置和控制。通過這種方法，使得總的權(quán)限控制粒度變得比較細(xì)小，權(quán)限分配更加靈活。

1.2 ?權(quán)限分配

下面Flex?RBAC從權(quán)限分配的幾個(gè)難點(diǎn)和重點(diǎn)上給出設(shè)計(jì)思路和方案。這幾個(gè)重難點(diǎn)包括細(xì)粒度基礎(chǔ)權(quán)限分配、特殊功能權(quán)限分配和加密策略。

1.2.1 ?Flex?RBAC細(xì)粒度基礎(chǔ)權(quán)限分配

Flex?RBAC的權(quán)限分配包括兩部分，即基礎(chǔ)權(quán)限分配和特殊權(quán)限分配。在這兩個(gè)權(quán)限分配中采用不同的方法，前者采用“位示權(quán)限”，所謂“位示權(quán)限”，就是用一個(gè)二進(jìn)制數(shù)的每一位來表示每一種角色是否具有該權(quán)限，0和1分別表示具有和不具有該訪問權(quán)限;后者采用“權(quán)限矩陣”的分配方式，所謂“權(quán)限矩陣”就是用二維矩陣表示角色和特殊功能之間的具有關(guān)系，二維矩陣中的值true和false分別代表該角色是否具有該權(quán)限。

為了靈活簡單地表示基礎(chǔ)權(quán)限，在這里，把每一個(gè)權(quán)限用[0～n]的整數(shù)來表示，不同的整數(shù)表示一種不同的權(quán)限，在該位上設(shè)置1或者0分別表示具有該基礎(chǔ)操作的訪問權(quán)限或者不具有訪問權(quán)限。那么所有的權(quán)限就可以用一個(gè)大整數(shù)表示該角色擁有的權(quán)限。再結(jié)合該角色是否擁有“分離的細(xì)粒度操作”[ζ]來確定是否具有細(xì)粒度的操作。如圖3所示。

圖3 ?基礎(chǔ)權(quán)限分配的“位示權(quán)限”

1.2.2 ?特殊功能權(quán)限矩陣

在一個(gè)系統(tǒng)中有眾多的共有功能，比如郵件發(fā)送、上傳下載、短消息發(fā)送等子功能，這些功能需要根據(jù)不同的角色權(quán)限，分配不同的功能權(quán)限。由于這些功能離散在應(yīng)用系統(tǒng)的各部分，因此在設(shè)計(jì)時(shí)，需要通盤考慮，把這些功能權(quán)限剝離出來，設(shè)計(jì)成角色功能矩陣[?]。FunRight[=?（i，j）]，[?]為權(quán)限功能矩陣，見表1。

表1 ?特殊功能權(quán)限矩陣

2 ?Flex?RBAC的系統(tǒng)設(shè)計(jì)

前面給出了Flex?RBAC的設(shè)計(jì)思想，微小粒度的基礎(chǔ)權(quán)限和特殊權(quán)限劃分的方案和設(shè)計(jì)思想。采用何種數(shù)據(jù)結(jié)構(gòu)、如何建模是在Flex?RBAC微小粒度權(quán)限管理系統(tǒng)中實(shí)現(xiàn)的關(guān)鍵問題。下面從Flex_RBAC的功能結(jié)構(gòu)、數(shù)據(jù)庫設(shè)計(jì)和算法實(shí)現(xiàn)方面一一闡述。

2.1 ?Flex?RBAC系統(tǒng)功能結(jié)構(gòu)

Flex?RBAC權(quán)限管理中，主要包含如下功能：系統(tǒng)用戶管理、角色管理、功能管理、基礎(chǔ)權(quán)限分配、功能權(quán)限分配。其中，用戶管理負(fù)責(zé)對(duì)不同用戶的注冊(cè)、刪除、更新和用戶基本信息管理，為用戶分配角色;角色管理負(fù)責(zé)建立不同的角色，并對(duì)角色進(jìn)行基本管理;基礎(chǔ)權(quán)限管理負(fù)責(zé)創(chuàng)建基礎(chǔ)權(quán)限;基礎(chǔ)權(quán)限分配功能通過位示權(quán)限為角色分配基礎(chǔ)權(quán)限功能和微小權(quán)限控制權(quán)限;功能權(quán)限分配通過權(quán)限矩陣為用戶角色分配功能權(quán)限。圖4是Flex?RBAC的功能結(jié)構(gòu)圖。

圖4 ?Flex?RBAC的功能結(jié)構(gòu)圖

2.2 ?Flex?RBAC數(shù)據(jù)庫設(shè)計(jì)

圖5是Flex?RBAC的實(shí)體關(guān)系圖，主要涉及系統(tǒng)用戶sys_user，系統(tǒng)角色表sys_role，基礎(chǔ)權(quán)限表sys_baseRight，特殊權(quán)限表sys_specificRight，角色?特殊功能權(quán)限表sys_role_specificRight。

圖5 ?Flex?RBAC的實(shí)體關(guān)系圖

2.3 ?Flex?RBAC權(quán)限分配算法

表2 ?系統(tǒng)用戶表sys_user

表3 ?角色表sys_role

表4 ?基礎(chǔ)功能表sys_baseRight

表5 ?特殊功能表sys_specificRight

表6 ?角色?特殊功能權(quán)限表sys_role_specificRight

3 ?Flex?RBAC的系統(tǒng)實(shí)現(xiàn)

根據(jù)上述設(shè)計(jì)思想和設(shè)計(jì)方案，本節(jié)給出Flex?RBAC的一種設(shè)計(jì)實(shí)現(xiàn)原型。本方案采用Web方式的Apache Shiro框架[11]。Apache Shiro是一個(gè)強(qiáng)大且易用的Java安全框架，執(zhí)行身份驗(yàn)證、授權(quán)、密碼學(xué)和會(huì)話管理[12]。

3.1 ?總體Shiro配置

此部分配置了ShiroRealm的實(shí)現(xiàn)類和訪問路徑的配置。其中，在Shiro Filter中配置的Shiro Filter的filterChainDefinitions取值有兩種，分別是anno和authc。anno代表不需要授權(quán)即可訪問，對(duì)于靜態(tài)資源，訪問權(quán)限都設(shè)置為anno，authc表示需要授權(quán)才可訪問。

3.2 ?基礎(chǔ)權(quán)限實(shí)現(xiàn)

基礎(chǔ)權(quán)限的分配由基礎(chǔ)功能和微小控制權(quán)限構(gòu)成。權(quán)限分配的截圖如圖6所示。

圖6 ?基礎(chǔ)權(quán)限分配

在選擇功能權(quán)限中，是一個(gè)樹形的功能權(quán)限截圖，如圖7所示。

圖7 ?基礎(chǔ)功能權(quán)限樹

3.3 ?特殊功能權(quán)限實(shí)現(xiàn)

特殊功能權(quán)限是對(duì)離散于整個(gè)系統(tǒng)中的特殊功能的一種提取。圖8的矩陣是設(shè)計(jì)的角色?特殊功能權(quán)限矩陣，其中，橫向是特殊功能，縱向是用戶角色。圖中的按鈕是一種開關(guān)按鈕，點(diǎn)擊該按鈕，該特殊功能權(quán)限可以在設(shè)置和取消間反轉(zhuǎn)。

圖8 ?特殊功能權(quán)限矩陣可視化

4 ?結(jié) ?語

本文針對(duì)應(yīng)用系統(tǒng)中的權(quán)限管理做了仔細(xì)分析，提出一種細(xì)粒度的權(quán)限管理方案，并給出設(shè)計(jì)原型。在基礎(chǔ)功能權(quán)限和特殊功能權(quán)限上給出權(quán)限設(shè)計(jì)的思路和算法，相比其他的權(quán)限管理方案，具有粒度細(xì)小、配置靈活和功能簡單高效的特點(diǎn)。在多種應(yīng)用軟件中已經(jīng)實(shí)踐了該方案，同時(shí)也證明了Flex?RBAC是一種行之有效的細(xì)粒度權(quán)限管理方法。

該方法尚有一些不足之處，對(duì)特殊功能權(quán)限沒有做進(jìn)一步的細(xì)分。比如，資源上傳和下載的功能，該用戶可以對(duì)某些資源具有上傳和下載的權(quán)限，但對(duì)另外的一些資源不具備該權(quán)限。對(duì)這類特殊權(quán)限的超細(xì)粒度尚未做深入的考慮。希望能在后續(xù)的研究和開發(fā)中，進(jìn)一步完善這部分的工作。

參考文獻(xiàn)

[1] CHEN A， XING H， SHE K， et al. A dynamic risk?based access control model for cloud computing [C]// 2016 IEEE International Conferences on Big Data and Cloud Computing. Atlanta： IEEE， 2016： 579?584.

[2] HAN D J， ZHUO H K， XIA L T， et al. Permission and role automatic assigning of user in role?based access control [J]. Journal of Central South University， 2012， 19（4）： 1049?1056.

[3] JIANG L， ZHU A. The permission management of access and control based on role in monitoring platform [C]// 2016 International Conference on Advances in Mechanical Engineering and Industrial Informatics. [S.l.]： Atlantis， 2016： 2219?2226.

[4] 陳宮浩，卿粼波，滕奇志，等.RBAC權(quán)限管理模型在油田管理系統(tǒng)中的應(yīng)用[J].微型機(jī)與應(yīng)用，2017，36（2）：87?89.

CHEN Gonghao， QING Linbo， TENG Qizhi， et al. Application of RBAC authority management model in oilfield management system [J]. Microcomputer and its applications， 2017， 36（2）： 87?89.

[5] 鄧盛源，盧建朱，楊菁菁，等.一種基于角色的WSN訪問控制改進(jìn)方案[J].計(jì)算機(jī)工程，2014，40（5）：129?133.

DENG Shengyuan， LU Jianzhu， YANG Jingjing， et al. An improved role?based access control scheme in wireless sensor network [J]. Computer engineering， 2014， 40（5）： 129?133.

[6] 湯文亮，李科.基于RBAC模型的權(quán)限管理改進(jìn)研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2015（5）：1181?1186.

TANG Wenliang， LI Ke. Research and implementation of improved authority management based on RBAC model [J]. Computer engineering and design， 2015（5）： 1181?1186.

[7] 趙君，熊燕妮.基于角色和顆粒操作的自定義通用權(quán)限管理模型研究[J].軟件導(dǎo)刊，2016，15（12）：14?16.

ZHAO Jun， XIONG Yanni. Research on custom universal permission management model based on role and particle operation [J]. Software guide， 2016， 15（12）： 14?16.

[8] 卜質(zhì)瓊，鄭波盡.一種改進(jìn)的云存儲(chǔ)平臺(tái)權(quán)限管理機(jī)制設(shè)計(jì)[J].現(xiàn)代電子技術(shù)，2016，39（21）：1?6.

BU Zhiqiong， ZHENG Bojin. Design of an improved privilege management mechanism for cloud storage platform [J]. Modern electronics technique， 2016， 39（21）： 1?6.

[9] 涂小琴，吳晟.基于細(xì)粒度權(quán)限質(zhì)檢管理系統(tǒng)的研究與設(shè)計(jì)[J].軟件，2017（12）：87?89.

TU Xiaoqin， WU Sheng. Research and design of fine grained permission based quality inspection management system [J]. Computer engineering & software， 2017（12）： 87?89.

[10] 郭巍.基于RBAC的測井?dāng)?shù)據(jù)權(quán)限管理模塊的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京大學(xué)，2008.

GUO Wei. Design and implementation of RBAC based access management module for logging data [D]. Beijing： Peking University， 2008.

[11] 許滔.基于Shiro的移動(dòng)應(yīng)用權(quán)限控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代計(jì)算機(jī)，2016（6）：97?100.

XU Tao. Design and implementation of mobile permission control system based on Shiro [J]. Modern computer， 2016（6）： 97?100.

[12] 劉全飛，周相兵.基于Apache Shiro的站群角色管理[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2015，24（6）：177?182.

LIU Quanfei， ZHOU Xiangbing. Station group role management based on Apache Shiro [J]. Computer system & applications， 2015， 24（6）： 177?182.