【正文】 標 [33]。當主體發(fā)生變化時，只需修改主體與角色之間的關聯(lián)而不必修改角色與客體的關聯(lián)。在 RBAC 授權模型中，包含了 3 個實體：用戶、角色和權限（也稱許可） 。用戶與角色存在多對多的關系，角色與許可也存在多對多的關系，角色作為用戶與許可的中間媒介，溝通用戶與許可 [34]。在 RBAC 中，用戶的授權是經過角色進行的。用戶概念可以很廣，是擁有角色的主體，可以是人、計算機，也可以是組織結構中的一個部門、一個機構。用戶與角色是多對多的關系，一個用戶可以擁用多個角色，用戶只有通過角色取得許可，實現(xiàn)對資源的訪問。角色是執(zhí)行特定任務的能力，是許可的集合，可以是組織中已被授予一定責任的崗位，也可以是組織結構中承擔一定職能的部門 [35]。角色與用戶是多對多的關系，根據(jù)崗位職責的需要，一個角色可以授予多個用戶。許可（或權限）在系統(tǒng)中是對目標進行特定訪問的操作。許可與角色之間也存26 / 76在多對多的關系，一個角色可以擁有多個許可，一個許可可以賦予多個角色 [36]。會話指用戶的一次請求的執(zhí)行。一個用戶在他所建立的會話中，可以激活該用戶所屬角色的角色集合的某個子集，也就是說，用戶在一次會話中可以同時激活多個角色，用戶所擁有的權限就是在這個會話中所有被激活的角色所對應的權限集的并集 [37]，因此會話可以看作是一個用戶到多個角色的映射，一個用戶可以同時打開多個會話。在 RBAC 授權模型中，角色與權限的靜止的映射關系并不能很好的滿足組織管理的授權策略 [38]。ARBAC97 模型ARBAC97 模型是基于角色授權的管理模型，整體框架見圖 32，其中限制作用于所有部件，底半部是上半部的鏡像，管理角色 AR 和管理許可 AP 分別與規(guī)則角色 R 和規(guī)則許可 P 不同。管理許可授權對包含 RBAC0、RBACRBAC2 或RBAC3 在內的各種部件的改變，而規(guī)則許可不可以。管理許可只能賦予管理角色，規(guī)則許可只可賦予規(guī)則角色，每個管理角色都映射到規(guī)則角色等級的某個子集 [39]。 AR R P AP U 約 束 AP ARH AU UA RH PA UA： 規(guī) 則 角 色 分 配 PA： 規(guī) 則 許 可 分 配 RH： 角 色 層 次 等 級 U： 管 理 角 色 分 配 AP： 管 理 許 可 分 配 ARH： 管 理 角 色 等 級 U： 用 戶 R： 規(guī) 則 角 色 P： 規(guī) 則 許 可 S： 會 話 A： 管 理 角 色 A： 管 理 許 可 ARH S 27 / 76圖 32 RBAC 管理模型框架圖基于角色授權管理模型在 RBAC 模型內部實現(xiàn)對各部分元素的管理，包括對用戶角色的管理、權限的管理、角色層次關系管理、角色限制管理等。利用 RBAC 管理模型，可以實現(xiàn)訪問控制系統(tǒng)的分布式管理，避免由一個安全管理員負責整個系統(tǒng)的管理和維護。RBAC 管理模型基本組成部分包括：URA97：分布式實現(xiàn)用戶角色指派。PRA97：分布式實現(xiàn)權限角色指派。RRA97：分布式實現(xiàn)角色層次關系指派。RBAC 管理模型有效地劃分規(guī)則角色與管理角色、規(guī)則權限與管理權限，并明確規(guī)則角色與管理角色、規(guī)則權限與管理權限的區(qū)別，比較方便地支持多管理員的分布式管理。但采用邊界角色來劃分管理范圍會增加管理的復雜性。 角色的層次關系RBAC 模型中引入了角色等級來反映一個組織的職權與責任分布的偏序關系。角色等級關系有自反性、傳遞性和非對稱性，是一種偏序關系 [40]。 PL1 QE1 PE1 E1 QE1 圖 33 角色等級關系示例圖 33 是一個角色等級關系的示例。在角色等級關系中，存在高級別角色對低級別角色的繼承關系。通過繼承，高級別角色 PL1 可以擁有低級別角色 QE1 的權限。但通常情況是，低級別角色擁有的一部分權限是該角色的專有權限，在安全策略上是不允許被其它角色所繼承。在 RBAC 中通常是利用私有角色對角色的繼承進行限制，通過構造新的角色作為私有角色，將不允許被繼承的權限集合定義為私有28 / 76角色，將用戶分配給這些私有角色。利用私有角色來對權限繼承的范圍進行限制，就能夠限制高級別角色通過角色繼承擁有它不應該得到的權限。圖 33 中的QE11，它擁有的權限就不會被高級別角色所繼承。 RBAC 中的約束RBAC 模型引入了約束概念，約束的形式多種多樣，包括互斥限制、基數(shù)限制、先決條件限制、運行時互斥限制、會話數(shù)量的限制、時間頻度限制等 [41]?；コ庀拗品譃椤跋嗷ヅ懦狻焙汀半p重約束”兩種約束 [42]。 “相互排斥”約束指一個用戶最多只能分配到這兩個“相互排斥”角色中的一個角色。 “相互排斥”約束可以推廣到多個角色之間，來限定用戶的各種角色組合情況在不同的環(huán)境中是否可被接受。 “雙重約束”是指同一權限只能分派給相互排斥的角色中的一個。這種權限分配限制阻止了權限被故意或非故意濫用，是一種限制高級權限分配的有效方法。基數(shù)限制也稱為“基本限制” ，它規(guī)定了一個角色可被分配的最大用戶數(shù)。同樣一個用戶可以擁有的角色數(shù)量也是受限的。一個權限可分配的角色數(shù)量也受到“基本限制”約束以控制高級權限在系統(tǒng)中的分配。一個角色可以擁有的權限不能超過系統(tǒng)規(guī)定的最大值。先決條件限制對角色分配的約束也稱為“必備角色” ，是指當用戶擁有角色 B時，角色 A 也可以分配給該用戶，并且角色 A 在其它任何情況下都不能分配給該用戶，這個角色 B 就是角色 A 的必備角色 [43]。必備角色比新角色要低級。更一般化地，可以利用這樣一些必要條件，僅當用戶已是或者不是一些特定角色中的成員，用戶才可以被分配到角色 A。先決條件限制作用于權限分配上，表示權限 P 能夠指派給一個角色只有當該角色已經擁有了權限 Q 才行。約束限制也作用在會話上，因為用戶和角色函數(shù)與會話相聯(lián)系，而角色與權限也相聯(lián)系 [44]。例如一個用戶可以擁有兩個不同的角色，但卻不能在一次會話中同時激活它們，而且同一權限所分配的會話數(shù)也受到限制。29 / 76 RBAC 在應用上的優(yōu)勢1. RBAC 能適應范圍廣泛的安全策略RBAC 與具體的安全策略無關，所以能適應范圍廣泛的安全策略 [45]，包括前面討論過的 DAC 和 MAC，因而系統(tǒng)管理員能夠按照不同的安全策略的需要定義角色，適應不同應用領域的安全需要。2. 極大地簡化了權限管理在 RBAC 中，權限管理要圍繞角色進行。例如，根據(jù)具體要求定義角色，為用戶分配或取消角色等；當用戶的職責變化時，改變其角色也就改變了用戶的權限；或者當組織的功能變化時，也只需要定義新角色即可，而不必針對每一個用戶的權限重新配置，極大地簡化了權限的管理 [46]。3. 能實現(xiàn)最小權限分配（leastprivilege assignment ）所謂最小權限分配原則是指：用戶所擁有的權限不能超過其工作所需的權限。由于可以有針對性地按照具體要求定義相應的角色并給用戶分配合適的角色，可防止給用戶賦予過高的訪問權限，提高系統(tǒng)的安全性。當用戶發(fā)出訪問時，可以同時打開多個會話，每個會話激活的角色集合可能不一樣，即便是為完成某一特定的操作而建立的一系列會話，也可能包含不同的角色。如果用戶在一次會話中激活的角色集所能完成的功能遠遠超出需要，就造成一種浪費，有時用戶還會出現(xiàn)誤操作，破壞系統(tǒng)。為了防止這種情況發(fā)生，RBAC 中規(guī)定用戶所擁有的角色集合對應的權限不能超過用戶工作時所需要的最大權限，而且每次會話中激活的角色集合所對應的權限要小于等于用戶所擁有的權限。4. 具備靈活地定義角色間關系的能力當角色之間存在互斥關系時，例如“會計” 這個角色與 “出納”角色之間就存在這種關系，在角色間定義這類關系可以實現(xiàn)用戶間的制約作用?；诮巧脑L問控制由于在滿足目前大量存在的商業(yè)和政府部門安全需求方面顯示了極大的優(yōu)勢，因此它便作為傳統(tǒng)訪問控制的替代和補充引起了廣泛的關注和討論。30 / 76 小結本章介紹了課題的技術背景，比較了自主訪問控制、強制訪問控制和基于角色的訪問控制的優(yōu)點和不足，說明了基于角色訪問控制技術在應用上的優(yōu)勢。31 / 764 通信經營信息系統(tǒng)基于角色的訪問控制策略 通信經營信息系統(tǒng)的安全需求通信經營信息系統(tǒng)對通信經營過程的各項業(yè)務信息進行處理，按照業(yè)務流程對信息的流轉進行管理，確保信息的處理及時、有序、高效，是一個大型分布式信息管理系統(tǒng)，數(shù)據(jù)量大，有不同的信息敏感度，用戶多，變動頻繁，其訪問控制管理十分復雜。如何有效地管理通信經營信息系統(tǒng)中大量授權數(shù)據(jù)，提供按需訪問控制，適應業(yè)務管理需要，是系統(tǒng)安全管理的首要問題。1. 對用戶的授權存在多種安全需求通信經營管理的各個工作崗位在業(yè)務處理上有著明確的分工，同一部門不同的工作人員在不同的業(yè)務處理上可能具備不同的訪問授權。在通信經營信息系統(tǒng)中，崗位職責不同，其訪問需求也不相同，該查詢什么信息、該處理什么數(shù)據(jù)，應該與工作職責相聯(lián)系。例如在制訂通信經營計劃時，制訂者應該有權對經營計劃數(shù)據(jù)進行修改，但在使用過程，相關人員則只能有查詢的權限。工程立項的審批是總經理的職責，只有總經理才能有處理的權限。不同崗位的工作人員對信息系統(tǒng)的訪問應該按實際的工作職責進行授權。在通信業(yè)務的管理中，通常同一工作人員在同一業(yè)務的不同階段有不同的訪問授權。經營計劃的制訂者在制訂過程對計劃有修改的權限，當經營計劃經過公司的審核后，制訂者的權限就消失了，對于經營計劃的訪問也只有查詢的權限。通信經營信息系統(tǒng)中信息的處理有嚴格的時序關系。市場調查與工程立項有時序上的聯(lián)系，工程立項與工程建設有時序上的聯(lián)系。上一環(huán)節(jié)的業(yè)務尚未完成，下道環(huán)節(jié)的業(yè)務就不能開展。通信經營的各項工作由不同部門不同崗位的人員處理，信息在處理過程中需要按一定的時序進行控制，工作人員對通信經營信息的處理要根據(jù)其崗位職責與業(yè)務流程的要求進行約束。同時，計算機系統(tǒng)對通信經營信息的處理應符合實際管理的規(guī)范。敏感信息的32 / 76處理應有嚴格的管理。對于有鉤稽關系的業(yè)務應嚴格分工，由不同崗位的人員分別處理。例如工程立項申請和工程審核不能由同一個人處理，市場物資的領用和記帳應由不同崗位的人進行處理。對于通信經營信息的查詢，也需要進行嚴格的管理。通信經營信息有較強的時效性，歷史的經營情況的分析對于經營預測和經營決策有較大的參考和指導作用，對歷史通信經營信息的查詢和分析，對于不同的部門必須有不同的管理范疇和查閱范圍。2. 授權的管理存在多種安全需求在組織結構中，部門被賦予一定的職能，在組織中完成一定的職能。在部門內部，工作職責的劃分、工作人員的管理、業(yè)務過程的管理通常由部門管理人員按組織的相關制度確定。在工作目標和責任層層分解后，部門人員的工作授權、工作內容就是部門管理人員的管理對象。通信經營管理過程與機構設置存在密切的對應關系。組織職能按部門劃分，經營工作的管理也是按部門進行分工，不同部門有不同的職能。在經營業(yè)務的管理上，部門與具體業(yè)務處理權限通常具有“一對多” 的對應關系，業(yè)務權限的管理與工作人員實際的崗位職責存在較多的聯(lián)系。人員的日常管理由各部門負責，人員的工作分工由部門指定，部門管理人員對業(yè)務過程熟悉，對部門內部業(yè)務分工明確，由其指定業(yè)務人員在通信經營信息系統(tǒng)中的訪問權限，對提高信息處理的準確性和及時性有積極的作用。由于授權管理復雜，系統(tǒng)安全管理員需要將用戶授權的管理職責按部門進行劃分，委托各部門相關的管理人員進行管理。部門管理人員的管理職責由系統(tǒng)安全管理員指定，部門管理人員只能管理部門內部用戶的訪問授權，其管理職責局限于指定的部門。系統(tǒng)安全管理員可以制定各個單位的訪問控制策略，利用審核、審計、稽核等方法對系統(tǒng)的安全進行集中管理。在經營管理上，人員的招聘、錄用統(tǒng)一由人力資源部門負責，部門的職責由組織劃分，部門管理人員只能按公司要求對分派到本部門工作的員工進行管理。部門的管理職責指派給部門管理人員之后，公司管理人員也受制度約束，不能任意地參33 / 76與部門內部日常的事務的管理。公司管理人員負責公司經營工作的管理，按組織要求設計分權策略，對部門管理員的行為進行監(jiān)督，確保各部門內部人員的管理符合組織策略要求。系統(tǒng)安全管理員對部門安全管理員的授權，也需要與組織管理策略相適應，保障授權管理的分散與集中相協(xié)調。系統(tǒng)安全管理員既要指定每個管理人員可管理的部門，核定可管理的部門的工作人員和崗位職責，并規(guī)定部門管理人員只能對部門內部工作人員進行管理。 通信經營信息系統(tǒng)的安全策略通信經營信息系統(tǒng)對于通信經營信息的管理，必須以業(yè)務處理流程和各部門、各業(yè)務人員在業(yè)務的不同階段及扮演的角色為基礎，控制、跟蹤、監(jiān)督業(yè)務處理的過程，靜態(tài)或動態(tài)地為系統(tǒng)用戶賦予相應的角色，通過角色控制相應的業(yè)務處理職能和對相關數(shù)據(jù)的訪問權限。根據(jù)安全管理的需要，通信經營信息系統(tǒng)引入訪問控制機制，按照通信業(yè)務管理的需要落實多種安全策略，對數(shù)據(jù)信息的使用提供安全保護，確保用戶對系統(tǒng)信息的訪問是經過授權的。在通信經營信息系統(tǒng)，安全策略是通信經營信息安全性的高級指導，它出自對用戶授權要求、通信設備環(huán)境、公司業(yè)務管理規(guī)則以及法律法規(guī)約束等方面的詳細研究，其重要性在于對安全管理的指導作用。通信經營過程新機構的設立或合并、人員崗位的調整、部門授權的調整都需要相應地在通信經營信息系統(tǒng)調整授權或管理策略。不同的業(yè)務、不同部門有不同的管理需要，安全策略也有隨實際業(yè)務管理需要進行調整的必要。在經營信息系統(tǒng)中主要的安全策略包括：1．安全管理的職責：采用了集中管理與分散管理相結合的形式，一方面由負責系統(tǒng)安全工作的