基于角色和任務的層次對象訪問控制模型

1、第31卷第8期2006年8月武漢大學學報信息科學版GeomaticsandInformationScienceofWuhanUniversityVol.31No.8Aug.2006文章編號:167128860(2006)0820716204文獻標志碼:A基于角色和任務的層次對象訪問控制模型何超英1,2蔣捷2陳軍2韓剛2(1武漢大學遙感信息工程學院,武漢市珞喻路129號,430079)(2國家基礎地理信息中心,北京市紫竹院百勝村1號,100044)摘要:以GIS協(xié)同工作應用為背景,探討了該背景下的訪問控制問題,提出了一種基于角色和任務的層次對象訪問控制模型,定義了受控對象層次關系和操作類型層次關

2、系,以及基于這兩種關系的權限定義規(guī)則。實驗證明,該模型具有較強的靈活性和適用性,在一定程度上降低了權限定義的復雜度。關鍵詞:GIS協(xié)同工作;訪問控制;角色;任務;受控對象層次;操作類型層次中圖法分類號:P208訪問控制是國際標準化組織定義的5層數(shù)據(jù)安全服務的重要組成部分之一1,是多用戶應用系統(tǒng)的研究重點。GIS協(xié)同工作(2computerG2CSCW)2,3()的有機結合,。在該結構中,地域上分散的一個用戶群組借助計算機網(wǎng)絡技術,按照一定的業(yè)務流程協(xié)同工作,訪問共享的系統(tǒng)資源和數(shù)據(jù)(通常稱為受控對象)。由于這些用戶在系統(tǒng)中的職責不同,它們所訪問的受控對象也不相同。為了防止系統(tǒng)資源遭到破壞并保證

3、數(shù)據(jù)資源的私有性和保密性,必須有一種機制對此類系統(tǒng)進行訪問控制。在GIS協(xié)同工作應用系統(tǒng)中,用戶能訪問的數(shù)據(jù)資源包括各種類型的時空數(shù)據(jù),這些數(shù)據(jù)在數(shù)據(jù)組織上具有層次特性,用戶作用于數(shù)據(jù)的操作類型也具有層次特性。因此,GIS協(xié)同工作應用系統(tǒng)的訪問控制除了應根據(jù)系統(tǒng)用戶的職責確定其所屬的角色類型4,并在業(yè)務流的動態(tài)執(zhí)行過程中對用戶(角色)進行訪問控制外5,還應考慮受控對象和操作類型的層次關系,使模型最大程度地滿足應用的需要。1訪問控制方法概述學者們對單機和網(wǎng)絡6環(huán)境中的訪問控制方收稿日期:2006204208。項目來源:國家自然科學基金資助項目(40171076,40337055)。,729、任務

4、1、5基于角色的訪問accesscontrol,RBAC)只5,沒有考慮動態(tài)執(zhí)行過程中的訪問控制問題?；谌蝿盏脑L問控制模型(task2basedaccesscontrol,TBAC)沒有深入討論任務與角色結合的問題?；诮巧腿蝿盏脑L問控制模型(task2role2basedaccesscontrol,TRBAC)將任務和角色有機結合,根據(jù)任務的特點將其分為4類,針對不同類型的任務采用不同的訪問控制策略,使模型具有更大的靈活性。但是該方法沒有考慮受控對象和操作類型的層次關系,權限定義較復雜。已有模型較多地考慮了訪問控制的主體(用戶/角色),以及訪問控制所處的環(huán)境(靜態(tài)/動態(tài)),但對于訪問控制

5、的客體(受控對象)和操作類型卻研究甚少,導致在實際應用中權限定義較為復雜,而且容易產(chǎn)生沖突。下面以實際應用中的兩個問題為例進行說明。設受控對象為北125萬數(shù)據(jù),上海125萬數(shù)據(jù),天津125萬數(shù)據(jù),重慶125萬數(shù)據(jù),操作類型Read,Write。問題1如果要讓所有受控對象具有操作類型Read,需要定義以下權限P:defineP(北京125萬數(shù)據(jù),Read);defineP(上海125萬數(shù)據(jù),Read);defineP(天津125萬數(shù)據(jù),Read);第31卷第8期何超英等:基于角色和任務的層次對象訪問控制模型717defineP(重慶125萬數(shù)據(jù),Read)。若受控對u2,un;R為角色集,R=r

6、1,r2,rn;Ta為任務集,Ta=ta1,ta2,tan;OP為操象很多,如全國各省市的125萬數(shù)據(jù),則需逐省市定義,權限定義非常復雜。問題2如果已定義權限P(北京125萬數(shù)據(jù),Write),進行授權操作后表明某個用戶能對北京125萬的數(shù)據(jù)執(zhí)行寫操作。然而,當該用戶訪問北京125萬的數(shù)據(jù)時,仍然可能遇到“無權訪問”的提示,產(chǎn)生沖突。經(jīng)分析發(fā)現(xiàn),原因在于該用戶雖已被授予“Write”權限,但沒被授予“Read”權限,故用戶讀取這些數(shù)據(jù)時,系統(tǒng)提示該用戶無權訪問。解決這一問題的方法之一是在定義“Write”權限的同時也定義“Read”權限,但該方法使問題變得很復雜。針對現(xiàn)有訪問控制方法在權限定義

7、時遇到的問題,本文提出了基于受控對象和操作類型的層次關系進行權限定義的基本思路,對已有訪問控制模型進行了改進。作集,OP=op1,op2,opn;O為受控對象集,O=o1,o2,on;W為工作流實例集,W=w1,w2,wn;S為會話集,S=s1,s2,sn;C為約束集,C=c1,c2,cn;T為權限的有效時間段,是時間t的二元關系的集合,T=(t1,t2),(ti,ti+1),(tn-1,tn)。8個基本關系如下:URAU×R,表示用戶角色分配關系;RHR×R,表示角色的層次關系;RTAR×T,表示角色任務分配關系;TWT×W,表示任務與工作流的所屬關系

8、;POP×O,定義了受控對象的操作類型,即權限P;TPAT×P,表示任務和權限的分配關系,即某個任務具有哪些權限,能對哪些對象進行哪些操作;OHO×O,表示受控對象之間的層次關系;OpHOp×Op,表示操作類型之間的層次關系。,筆者將。2受控對象指用戶能訪問的系統(tǒng)資源和數(shù)據(jù)資源,是應用系統(tǒng)的數(shù)據(jù)基礎。GIS協(xié)同工作應用系統(tǒng)包括各種類型的時空數(shù)據(jù),這些數(shù)據(jù)在數(shù)據(jù)組織上具有層次特性。以矢量數(shù)據(jù)為例,它可按比例尺地區(qū)圖層對象進行組織,如圖2所示。矢量數(shù)據(jù)包括不同比例尺,每個比例尺包括不同地區(qū),每個地區(qū)的數(shù)據(jù)由不同圖層構成,每個圖層包括若干具體對象。2.3操作類

9、型的層次關系操作類型指用戶可以作用于受控對象的操作,在應用系統(tǒng)中,面向外部用戶的操作通常包括更新(Update)、刪除(Delete)和讀取(Read)。此2基于角色和任務的層次對象訪問控制模型現(xiàn)有的角色、,著眼于權限定義復雜這一基本問題,引入受控對象層次和操作類型層次,并定義相應的處理規(guī)則進行權限定義,使權限定義變得更加簡單、明了。2.1模型概述定義1改進的基于角色和任務的層次對象訪問控制模型X2TRBAC=U,R,Ta,OP,O,W,S,C,T,URA,RH,RTA,TW,P,TPA,OH,OpH,共9個基本組件及8個基本關系,如圖1。9個基本組件如下:U為用戶集,U=u1,圖1基于任務和

10、角色的層次對象訪問控制模型Fig.1X2TRBACModel圖2受控對象的層次關系Fig.2ObjectHierarchy718武漢大學學報信息科學版2006年8月外,為了更方便地表示用戶的操作權限,定義了關鍵字All,它表示某個受控對象上的所有操作類型。這些操作類型具有隱含的層次關系,如圖3。用戶權限管理包包括解釋器、訪問器和重組器,完成從初始SQL語句分析到用新SQL語句訪問數(shù)據(jù)表的全部功能,實現(xiàn)系統(tǒng)的訪問策略。訪問控制的流程如圖5所示,當用戶提交訪問請求后,用戶權限管理包中的解釋器對已提交的請求進行解釋,得到角色ID、訪問數(shù)據(jù)等信息,訪問器根據(jù)角色ID訪問用戶權限表,得到該用戶的權限,重

11、組器將解釋器和訪問器輸出的用戶請求和用戶權限重新組合得到新的SQL語句,最后訪問數(shù)據(jù)庫并得到相應的結果。RoleID角色IDTaskID任務ID圖3操作類型的層次關系Fig.3OperationHierarchy2.4權限定義規(guī)則1o1,o2O,opOp,o1o2:(o2,op)(o1,op),其中,表示一種偏序關系,o1o2表示在受控對象的層次樹中,o1位于o2的子樹中。規(guī)則2oO,op1,op2Op,op1op2:(o,op2)(o,op1),其中,op1op2表示在操作類型層次樹中,op1位于op2的子樹中。規(guī)則1表示在受控對象的層次樹中,受控對象自動繼承其祖先所具有的權限1京125萬數(shù)

12、據(jù)、上海11萬數(shù)據(jù)、重慶象為1251,只需定義一個權限P(125萬數(shù)據(jù),Read),就可以達到§1中定義的4個權限所能達到的效果。規(guī)則2表示在操作類型的層次樹中,操作類型自動包含在其祖先的權限定義中。則對問題2,只需定義權限P(北京125萬數(shù)據(jù),Write),用戶就自動具有該數(shù)據(jù)“Write”和“Read”的操作權限,無需另外定義權限P(北京125萬數(shù)據(jù),Read)。(a)系統(tǒng)任務的訪問權限表RoleID角色IDTabNamePrivID權限IDPrivScope表名權限范圍(b)數(shù)據(jù)表的訪問權限表RoleIDIDID(RoleID角色IDRecordID記錄IDPrivID權限ID

13、(d)記錄的訪問權限表RoleID角色IDMapScaleAreaNameLyrName比例尺地區(qū)圖層(e)空間數(shù)據(jù)的訪問權限表圖4用戶訪問權限表的結構示意圖Fig.4StructureofPrivilegeTables該系統(tǒng)實現(xiàn)了工作流執(zhí)行過程中對空間、屬性數(shù)據(jù)的訪問控制。在權限定義中,根據(jù)用戶的職責定義用戶能操作(All,Update,Delete,Read)的比例尺、地區(qū)和圖層,能操作的數(shù)據(jù)表、記錄和字段(各類訪問權限表),然后利用已定義的訪問權限表進行用戶的訪問控制。圖6中,用戶A(圖6(a)和用戶B(圖6(b)能訪問150000北京城區(qū)地圖的不同圖層,A能訪問道路、3實驗與結論實驗系

14、統(tǒng)采用B/S結構,使用JBuilder、Or2acle、JSP、MapXtreme等編程環(huán)境和編程語言,實驗數(shù)據(jù)包括不同比例尺和地區(qū)的空間數(shù)據(jù),以及與這些空間數(shù)據(jù)掛接的屬性數(shù)據(jù)。實驗中,與模型相關的信息用Oracle表定義,包括用戶、角色、任務、權限等基本信息表,以及用戶對系統(tǒng)任務、數(shù)據(jù)表(記錄、字段)和空間數(shù)據(jù)的訪問權限表等。圖4是對用戶訪問權限表結構的簡單描述,圖中的權限范圍用來描述是否需要對該表的字段和(或)記錄進行訪問控制,如需控制,則每張數(shù)據(jù)表對應一張字段訪問權限表和記錄訪問權限表。鐵路、水系和三級行政區(qū)劃,B能訪問鐵路、自然保護區(qū)/公園綠地、城鎮(zhèn)建成區(qū)和三級行政區(qū)劃。實驗證明,該方

15、法將角色和任務有機結合,使得系統(tǒng)能在工作流執(zhí)行過程中對用戶進行訪問控制,并且在權限定義上簡單、明了,具有較強的實用性。第31卷第8期何超英等:基于角色和任務的層次對象訪問控制模型719圖6訪問控制示例Fig.5FlowofAccessControlFig.6ExampleofAccessControl6LuEricJuilin,ChenRaifu.DesignandImplementa2tionofaFine2grainedMenuControlProcessorforWeb2basedInformationSystemsJ.FutureGener2ationComputerSystems,2

16、003,19:1105211197FerraioloD,KuhnR.Role2BasedAccessControlsC.The15thNIST2NationalComputerSe2,19928J.2inDCOMJ.of,2000,46:117529HwangJingjang,WuKouchen,LiuDuenren.Ac2cessControlwithRoleAttributeCertificatesJ.ComputerStandards&Interfaces,2000,22:43253第一作者簡介:何超英,博士生?，F(xiàn)主要從事GIS協(xié)同工作的相圖5訪問控制流程參考文獻1鄧集波,洪帆.

17、基于任務的訪問控制模型J.軟件學報,2003,14(1):762822ChenJun,JiangJie,AnthonyGar2OnYeh.Desig2ningaGIS2BasedCSCWSystemforDevelopmentControlwithanEvent2DrivenApproachJ.Photo2grammetricEngineering&RemoteSensing,2004,70(2):22522333何超英,蔣捷,韓剛GIS,北京,20044SandhuR,ConyneEJ,LfeinsteinH,etal.RoleBasedAccessControlModelsJ.IE

18、EEComputer,1996,29(2):382475OhS,SeogP.562Task2role2basedAccessControlModelJ.InformationSystems,2003,28:5332關理論和應用研究。E2mail:hechyingAnImprovedTask2Role2BasedAccessControlonHierarchicalObjectinG2CSCWHEChaoying1,2JIANGJie2CHENJun2HANGang2(1SchoolofRemoteSensingandInformationEngineering,WuhanUniversity,129LuoyuRoad,Wuhan430079,China)(2NationalGeomaticsCenterofChina,1Baishengcu