【正文】 標(biāo) [33]。當(dāng)主體發(fā)生變化時(shí)，只需修改主體與角色之間的關(guān)聯(lián)而不必修改角色與客體的關(guān)聯(lián)。在 RBAC 授權(quán)模型中，包含了 3 個(gè)實(shí)體：用戶、角色和權(quán)限（也稱許可） 。用戶與角色存在多對(duì)多的關(guān)系，角色與許可也存在多對(duì)多的關(guān)系，角色作為用戶與許可的中間媒介，溝通用戶與許可 [34]。在 RBAC 中，用戶的授權(quán)是經(jīng)過角色進(jìn)行的。用戶概念可以很廣，是擁有角色的主體，可以是人、計(jì)算機(jī)，也可以是組織結(jié)構(gòu)中的一個(gè)部門、一個(gè)機(jī)構(gòu)。用戶與角色是多對(duì)多的關(guān)系，一個(gè)用戶可以擁用多個(gè)角色，用戶只有通過角色取得許可，實(shí)現(xiàn)對(duì)資源的訪問。角色是執(zhí)行特定任務(wù)的能力，是許可的集合，可以是組織中已被授予一定責(zé)任的崗位，也可以是組織結(jié)構(gòu)中承擔(dān)一定職能的部門 [35]。角色與用戶是多對(duì)多的關(guān)系，根據(jù)崗位職責(zé)的需要，一個(gè)角色可以授予多個(gè)用戶。許可（或權(quán)限）在系統(tǒng)中是對(duì)目標(biāo)進(jìn)行特定訪問的操作。許可與角色之間也存26 / 76在多對(duì)多的關(guān)系，一個(gè)角色可以擁有多個(gè)許可，一個(gè)許可可以賦予多個(gè)角色 [36]。會(huì)話指用戶的一次請(qǐng)求的執(zhí)行。一個(gè)用戶在他所建立的會(huì)話中，可以激活該用戶所屬角色的角色集合的某個(gè)子集，也就是說，用戶在一次會(huì)話中可以同時(shí)激活多個(gè)角色，用戶所擁有的權(quán)限就是在這個(gè)會(huì)話中所有被激活的角色所對(duì)應(yīng)的權(quán)限集的并集 [37]，因此會(huì)話可以看作是一個(gè)用戶到多個(gè)角色的映射，一個(gè)用戶可以同時(shí)打開多個(gè)會(huì)話。在 RBAC 授權(quán)模型中，角色與權(quán)限的靜止的映射關(guān)系并不能很好的滿足組織管理的授權(quán)策略 [38]。ARBAC97 模型ARBAC97 模型是基于角色授權(quán)的管理模型，整體框架見圖 32，其中限制作用于所有部件，底半部是上半部的鏡像，管理角色 AR 和管理許可 AP 分別與規(guī)則角色 R 和規(guī)則許可 P 不同。管理許可授權(quán)對(duì)包含 RBAC0、RBACRBAC2 或RBAC3 在內(nèi)的各種部件的改變，而規(guī)則許可不可以。管理許可只能賦予管理角色，規(guī)則許可只可賦予規(guī)則角色，每個(gè)管理角色都映射到規(guī)則角色等級(jí)的某個(gè)子集 [39]。 AR R P AP U 約 束 AP ARH AU UA RH PA UA： 規(guī) 則 角 色 分 配 PA： 規(guī) 則 許 可 分 配 RH： 角 色 層 次 等 級(jí) U： 管 理 角 色 分 配 AP： 管 理 許 可 分 配 ARH： 管 理 角 色 等 級(jí) U： 用 戶 R： 規(guī) 則 角 色 P： 規(guī) 則 許 可 S： 會(huì) 話 A： 管 理 角 色 A： 管 理 許 可 ARH S 27 / 76圖 32 RBAC 管理模型框架圖基于角色授權(quán)管理模型在 RBAC 模型內(nèi)部實(shí)現(xiàn)對(duì)各部分元素的管理，包括對(duì)用戶角色的管理、權(quán)限的管理、角色層次關(guān)系管理、角色限制管理等。利用 RBAC 管理模型，可以實(shí)現(xiàn)訪問控制系統(tǒng)的分布式管理，避免由一個(gè)安全管理員負(fù)責(zé)整個(gè)系統(tǒng)的管理和維護(hù)。RBAC 管理模型基本組成部分包括：URA97：分布式實(shí)現(xiàn)用戶角色指派。PRA97：分布式實(shí)現(xiàn)權(quán)限角色指派。RRA97：分布式實(shí)現(xiàn)角色層次關(guān)系指派。RBAC 管理模型有效地劃分規(guī)則角色與管理角色、規(guī)則權(quán)限與管理權(quán)限，并明確規(guī)則角色與管理角色、規(guī)則權(quán)限與管理權(quán)限的區(qū)別，比較方便地支持多管理員的分布式管理。但采用邊界角色來劃分管理范圍會(huì)增加管理的復(fù)雜性。 角色的層次關(guān)系RBAC 模型中引入了角色等級(jí)來反映一個(gè)組織的職權(quán)與責(zé)任分布的偏序關(guān)系。角色等級(jí)關(guān)系有自反性、傳遞性和非對(duì)稱性，是一種偏序關(guān)系 [40]。 PL1 QE1 PE1 E1 QE1 圖 33 角色等級(jí)關(guān)系示例圖 33 是一個(gè)角色等級(jí)關(guān)系的示例。在角色等級(jí)關(guān)系中，存在高級(jí)別角色對(duì)低級(jí)別角色的繼承關(guān)系。通過繼承，高級(jí)別角色 PL1 可以擁有低級(jí)別角色 QE1 的權(quán)限。但通常情況是，低級(jí)別角色擁有的一部分權(quán)限是該角色的專有權(quán)限，在安全策略上是不允許被其它角色所繼承。在 RBAC 中通常是利用私有角色對(duì)角色的繼承進(jìn)行限制，通過構(gòu)造新的角色作為私有角色，將不允許被繼承的權(quán)限集合定義為私有28 / 76角色，將用戶分配給這些私有角色。利用私有角色來對(duì)權(quán)限繼承的范圍進(jìn)行限制，就能夠限制高級(jí)別角色通過角色繼承擁有它不應(yīng)該得到的權(quán)限。圖 33 中的QE11，它擁有的權(quán)限就不會(huì)被高級(jí)別角色所繼承。 RBAC 中的約束RBAC 模型引入了約束概念，約束的形式多種多樣，包括互斥限制、基數(shù)限制、先決條件限制、運(yùn)行時(shí)互斥限制、會(huì)話數(shù)量的限制、時(shí)間頻度限制等 [41]。互斥限制分為“相互排斥”和“雙重約束”兩種約束 [42]。 “相互排斥”約束指一個(gè)用戶最多只能分配到這兩個(gè)“相互排斥”角色中的一個(gè)角色。 “相互排斥”約束可以推廣到多個(gè)角色之間，來限定用戶的各種角色組合情況在不同的環(huán)境中是否可被接受。 “雙重約束”是指同一權(quán)限只能分派給相互排斥的角色中的一個(gè)。這種權(quán)限分配限制阻止了權(quán)限被故意或非故意濫用，是一種限制高級(jí)權(quán)限分配的有效方法?；鶖?shù)限制也稱為“基本限制” ，它規(guī)定了一個(gè)角色可被分配的最大用戶數(shù)。同樣一個(gè)用戶可以擁有的角色數(shù)量也是受限的。一個(gè)權(quán)限可分配的角色數(shù)量也受到“基本限制”約束以控制高級(jí)權(quán)限在系統(tǒng)中的分配。一個(gè)角色可以擁有的權(quán)限不能超過系統(tǒng)規(guī)定的最大值。先決條件限制對(duì)角色分配的約束也稱為“必備角色” ，是指當(dāng)用戶擁有角色 B時(shí)，角色 A 也可以分配給該用戶，并且角色 A 在其它任何情況下都不能分配給該用戶，這個(gè)角色 B 就是角色 A 的必備角色 [43]。必備角色比新角色要低級(jí)。更一般化地，可以利用這樣一些必要條件，僅當(dāng)用戶已是或者不是一些特定角色中的成員，用戶才可以被分配到角色 A。先決條件限制作用于權(quán)限分配上，表示權(quán)限 P 能夠指派給一個(gè)角色只有當(dāng)該角色已經(jīng)擁有了權(quán)限 Q 才行。約束限制也作用在會(huì)話上，因?yàn)橛脩艉徒巧瘮?shù)與會(huì)話相聯(lián)系，而角色與權(quán)限也相聯(lián)系 [44]。例如一個(gè)用戶可以擁有兩個(gè)不同的角色，但卻不能在一次會(huì)話中同時(shí)激活它們，而且同一權(quán)限所分配的會(huì)話數(shù)也受到限制。29 / 76 RBAC 在應(yīng)用上的優(yōu)勢(shì)1. RBAC 能適應(yīng)范圍廣泛的安全策略RBAC 與具體的安全策略無關(guān)，所以能適應(yīng)范圍廣泛的安全策略 [45]，包括前面討論過的 DAC 和 MAC，因而系統(tǒng)管理員能夠按照不同的安全策略的需要定義角色，適應(yīng)不同應(yīng)用領(lǐng)域的安全需要。2. 極大地簡(jiǎn)化了權(quán)限管理在 RBAC 中，權(quán)限管理要圍繞角色進(jìn)行。例如，根據(jù)具體要求定義角色，為用戶分配或取消角色等；當(dāng)用戶的職責(zé)變化時(shí)，改變其角色也就改變了用戶的權(quán)限；或者當(dāng)組織的功能變化時(shí)，也只需要定義新角色即可，而不必針對(duì)每一個(gè)用戶的權(quán)限重新配置，極大地簡(jiǎn)化了權(quán)限的管理 [46]。3. 能實(shí)現(xiàn)最小權(quán)限分配（leastprivilege assignment ）所謂最小權(quán)限分配原則是指：用戶所擁有的權(quán)限不能超過其工作所需的權(quán)限。由于可以有針對(duì)性地按照具體要求定義相應(yīng)的角色并給用戶分配合適的角色，可防止給用戶賦予過高的訪問權(quán)限，提高系統(tǒng)的安全性。當(dāng)用戶發(fā)出訪問時(shí)，可以同時(shí)打開多個(gè)會(huì)話，每個(gè)會(huì)話激活的角色集合可能不一樣，即便是為完成某一特定的操作而建立的一系列會(huì)話，也可能包含不同的角色。如果用戶在一次會(huì)話中激活的角色集所能完成的功能遠(yuǎn)遠(yuǎn)超出需要，就造成一種浪費(fèi)，有時(shí)用戶還會(huì)出現(xiàn)誤操作，破壞系統(tǒng)。為了防止這種情況發(fā)生，RBAC 中規(guī)定用戶所擁有的角色集合對(duì)應(yīng)的權(quán)限不能超過用戶工作時(shí)所需要的最大權(quán)限，而且每次會(huì)話中激活的角色集合所對(duì)應(yīng)的權(quán)限要小于等于用戶所擁有的權(quán)限。4. 具備靈活地定義角色間關(guān)系的能力當(dāng)角色之間存在互斥關(guān)系時(shí)，例如“會(huì)計(jì)” 這個(gè)角色與 “出納”角色之間就存在這種關(guān)系，在角色間定義這類關(guān)系可以實(shí)現(xiàn)用戶間的制約作用。基于角色的訪問控制由于在滿足目前大量存在的商業(yè)和政府部門安全需求方面顯示了極大的優(yōu)勢(shì)，因此它便作為傳統(tǒng)訪問控制的替代和補(bǔ)充引起了廣泛的關(guān)注和討論。30 / 76 小結(jié)本章介紹了課題的技術(shù)背景，比較了自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制的優(yōu)點(diǎn)和不足，說明了基于角色訪問控制技術(shù)在應(yīng)用上的優(yōu)勢(shì)。31 / 764 通信經(jīng)營信息系統(tǒng)基于角色的訪問控制策略 通信經(jīng)營信息系統(tǒng)的安全需求通信經(jīng)營信息系統(tǒng)對(duì)通信經(jīng)營過程的各項(xiàng)業(yè)務(wù)信息進(jìn)行處理，按照業(yè)務(wù)流程對(duì)信息的流轉(zhuǎn)進(jìn)行管理，確保信息的處理及時(shí)、有序、高效，是一個(gè)大型分布式信息管理系統(tǒng)，數(shù)據(jù)量大，有不同的信息敏感度，用戶多，變動(dòng)頻繁，其訪問控制管理十分復(fù)雜。如何有效地管理通信經(jīng)營信息系統(tǒng)中大量授權(quán)數(shù)據(jù)，提供按需訪問控制，適應(yīng)業(yè)務(wù)管理需要，是系統(tǒng)安全管理的首要問題。1. 對(duì)用戶的授權(quán)存在多種安全需求通信經(jīng)營管理的各個(gè)工作崗位在業(yè)務(wù)處理上有著明確的分工，同一部門不同的工作人員在不同的業(yè)務(wù)處理上可能具備不同的訪問授權(quán)。在通信經(jīng)營信息系統(tǒng)中，崗位職責(zé)不同，其訪問需求也不相同，該查詢什么信息、該處理什么數(shù)據(jù)，應(yīng)該與工作職責(zé)相聯(lián)系。例如在制訂通信經(jīng)營計(jì)劃時(shí)，制訂者應(yīng)該有權(quán)對(duì)經(jīng)營計(jì)劃數(shù)據(jù)進(jìn)行修改，但在使用過程，相關(guān)人員則只能有查詢的權(quán)限。工程立項(xiàng)的審批是總經(jīng)理的職責(zé)，只有總經(jīng)理才能有處理的權(quán)限。不同崗位的工作人員對(duì)信息系統(tǒng)的訪問應(yīng)該按實(shí)際的工作職責(zé)進(jìn)行授權(quán)。在通信業(yè)務(wù)的管理中，通常同一工作人員在同一業(yè)務(wù)的不同階段有不同的訪問授權(quán)。經(jīng)營計(jì)劃的制訂者在制訂過程對(duì)計(jì)劃有修改的權(quán)限，當(dāng)經(jīng)營計(jì)劃經(jīng)過公司的審核后，制訂者的權(quán)限就消失了，對(duì)于經(jīng)營計(jì)劃的訪問也只有查詢的權(quán)限。通信經(jīng)營信息系統(tǒng)中信息的處理有嚴(yán)格的時(shí)序關(guān)系。市場(chǎng)調(diào)查與工程立項(xiàng)有時(shí)序上的聯(lián)系，工程立項(xiàng)與工程建設(shè)有時(shí)序上的聯(lián)系。上一環(huán)節(jié)的業(yè)務(wù)尚未完成，下道環(huán)節(jié)的業(yè)務(wù)就不能開展。通信經(jīng)營的各項(xiàng)工作由不同部門不同崗位的人員處理，信息在處理過程中需要按一定的時(shí)序進(jìn)行控制，工作人員對(duì)通信經(jīng)營信息的處理要根據(jù)其崗位職責(zé)與業(yè)務(wù)流程的要求進(jìn)行約束。同時(shí)，計(jì)算機(jī)系統(tǒng)對(duì)通信經(jīng)營信息的處理應(yīng)符合實(shí)際管理的規(guī)范。敏感信息的32 / 76處理應(yīng)有嚴(yán)格的管理。對(duì)于有鉤稽關(guān)系的業(yè)務(wù)應(yīng)嚴(yán)格分工，由不同崗位的人員分別處理。例如工程立項(xiàng)申請(qǐng)和工程審核不能由同一個(gè)人處理，市場(chǎng)物資的領(lǐng)用和記帳應(yīng)由不同崗位的人進(jìn)行處理。對(duì)于通信經(jīng)營信息的查詢，也需要進(jìn)行嚴(yán)格的管理。通信經(jīng)營信息有較強(qiáng)的時(shí)效性，歷史的經(jīng)營情況的分析對(duì)于經(jīng)營預(yù)測(cè)和經(jīng)營決策有較大的參考和指導(dǎo)作用，對(duì)歷史通信經(jīng)營信息的查詢和分析，對(duì)于不同的部門必須有不同的管理范疇和查閱范圍。2. 授權(quán)的管理存在多種安全需求在組織結(jié)構(gòu)中，部門被賦予一定的職能，在組織中完成一定的職能。在部門內(nèi)部，工作職責(zé)的劃分、工作人員的管理、業(yè)務(wù)過程的管理通常由部門管理人員按組織的相關(guān)制度確定。在工作目標(biāo)和責(zé)任層層分解后，部門人員的工作授權(quán)、工作內(nèi)容就是部門管理人員的管理對(duì)象。通信經(jīng)營管理過程與機(jī)構(gòu)設(shè)置存在密切的對(duì)應(yīng)關(guān)系。組織職能按部門劃分，經(jīng)營工作的管理也是按部門進(jìn)行分工，不同部門有不同的職能。在經(jīng)營業(yè)務(wù)的管理上，部門與具體業(yè)務(wù)處理權(quán)限通常具有“一對(duì)多” 的對(duì)應(yīng)關(guān)系，業(yè)務(wù)權(quán)限的管理與工作人員實(shí)際的崗位職責(zé)存在較多的聯(lián)系。人員的日常管理由各部門負(fù)責(zé)，人員的工作分工由部門指定，部門管理人員對(duì)業(yè)務(wù)過程熟悉，對(duì)部門內(nèi)部業(yè)務(wù)分工明確，由其指定業(yè)務(wù)人員在通信經(jīng)營信息系統(tǒng)中的訪問權(quán)限，對(duì)提高信息處理的準(zhǔn)確性和及時(shí)性有積極的作用。由于授權(quán)管理復(fù)雜，系統(tǒng)安全管理員需要將用戶授權(quán)的管理職責(zé)按部門進(jìn)行劃分，委托各部門相關(guān)的管理人員進(jìn)行管理。部門管理人員的管理職責(zé)由系統(tǒng)安全管理員指定，部門管理人員只能管理部門內(nèi)部用戶的訪問授權(quán)，其管理職責(zé)局限于指定的部門。系統(tǒng)安全管理員可以制定各個(gè)單位的訪問控制策略，利用審核、審計(jì)、稽核等方法對(duì)系統(tǒng)的安全進(jìn)行集中管理。在經(jīng)營管理上，人員的招聘、錄用統(tǒng)一由人力資源部門負(fù)責(zé)，部門的職責(zé)由組織劃分，部門管理人員只能按公司要求對(duì)分派到本部門工作的員工進(jìn)行管理。部門的管理職責(zé)指派給部門管理人員之后，公司管理人員也受制度約束，不能任意地參33 / 76與部門內(nèi)部日常的事務(wù)的管理。公司管理人員負(fù)責(zé)公司經(jīng)營工作的管理，按組織要求設(shè)計(jì)分權(quán)策略，對(duì)部門管理員的行為進(jìn)行監(jiān)督，確保各部門內(nèi)部人員的管理符合組織策略要求。系統(tǒng)安全管理員對(duì)部門安全管理員的授權(quán)，也需要與組織管理策略相適應(yīng)，保障授權(quán)管理的分散與集中相協(xié)調(diào)。系統(tǒng)安全管理員既要指定每個(gè)管理人員可管理的部門，核定可管理的部門的工作人員和崗位職責(zé)，并規(guī)定部門管理人員只能對(duì)部門內(nèi)部工作人員進(jìn)行管理。 通信經(jīng)營信息系統(tǒng)的安全策略通信經(jīng)營信息系統(tǒng)對(duì)于通信經(jīng)營信息的管理，必須以業(yè)務(wù)處理流程和各部門、各業(yè)務(wù)人員在業(yè)務(wù)的不同階段及扮演的角色為基礎(chǔ)，控制、跟蹤、監(jiān)督業(yè)務(wù)處理的過程，靜態(tài)或動(dòng)態(tài)地為系統(tǒng)用戶賦予相應(yīng)的角色，通過角色控制相應(yīng)的業(yè)務(wù)處理職能和對(duì)相關(guān)數(shù)據(jù)的訪問權(quán)限。根據(jù)安全管理的需要，通信經(jīng)營信息系統(tǒng)引入訪問控制機(jī)制，按照通信業(yè)務(wù)管理的需要落實(shí)多種安全策略，對(duì)數(shù)據(jù)信息的使用提供安全保護(hù)，確保用戶對(duì)系統(tǒng)信息的訪問是經(jīng)過授權(quán)的。在通信經(jīng)營信息系統(tǒng)，安全策略是通信經(jīng)營信息安全性的高級(jí)指導(dǎo)，它出自對(duì)用戶授權(quán)要求、通信設(shè)備環(huán)境、公司業(yè)務(wù)管理規(guī)則以及法律法規(guī)約束等方面的詳細(xì)研究，其重要性在于對(duì)安全管理的指導(dǎo)作用。通信經(jīng)營過程新機(jī)構(gòu)的設(shè)立或合并、人員崗位的調(diào)整、部門授權(quán)的調(diào)整都需要相應(yīng)地在通信經(jīng)營信息系統(tǒng)調(diào)整授權(quán)或管理策略。不同的業(yè)務(wù)、不同部門有不同的管理需要，安全策略也有隨實(shí)際業(yè)務(wù)管理需要進(jìn)行調(diào)整的必要。在經(jīng)營信息系統(tǒng)中主要的安全策略包括：1．安全管理的職責(zé)：采用了集中管理與分散管理相結(jié)合的形式，一方面由負(fù)責(zé)系統(tǒng)安全工作的