企业级信息系统的访问控制研究与应用:目前信息系统的访问控制有哪几种

　　摘要：针对企业级信息系统用户、角色多，权限关系和客体资源复杂等特点，在分析了多种访问控制技术的基础上，提出了一种新的基于角色的访问控制模型及其安全策略。此模型对传统的RBAC模型进行了优化处理，将分级授权、最小化授权、角色授权继承等策略相结合，以支持多种细粒度的访问控制。实验证明，能提高企业级信息系统的安全性和运行效率。
　　关键词：企业级信息系统；访问控制模型；角色；安全策略
　　中图分类号：TP391文献标识码：A文章编号：1006-4311（2012）05-0149-02
　　0引言
　　在企业级信息系统中，访问控制是针对越权使用企业信息资源的防御策略与技术。为了更好地保障企业信息系统的安全，目前，已有多种访问控制模型提出。如自主访问控制模型、强制访问控制模型和基于角色的访问控制模型[1]（RBAC）等，在这些访问控制模型中，RBAC模型由于避免了直接配置主体与客体的访问控制关系，具有易于实现和灵活性好等特点，已得到广泛采用。
　　但是，由于企业级信息系统的使用者众多，而且使用者需要访问的对象也不一样，在实际应用中，属于同一角色的不同用户对特定客体的访问权限往往存在差异。如：一个企业下属的不同分公司之间，销售人员只能查看本分公司的销售数据，而不能查看见其它分公司数据。也就是说，虽然其角色相同，但其访问权限也是有区别的。因此，系统中不仅需要对功能访问进行控制，还需对数据资源的访问也要进行控制。另外，即使属于同一部门、同一角色的特定用户在不同时段需求的权限可能不同。如：某员工原负责订单录入，现职务调整为部门经理，但其在一段时间内，这两项工作可能仍然要同时完成。这就要求角色定义需求更加灵活，即仅仅依靠RBAC建立的这种非一体化的访问控制容易引起安全漏洞，授权冲突等多种安全问题。故本文对RBAC模型进行了优化处理，提出了一种基于角色的企业级信息系统访问控制模型，同时建立了使用此模型的安全策略，并成功应用于某制造企业的原材料采购质量成本选优管理信息系统中，使其用户管理与授权变得更简单和高效，提高了企业级信息系统的安全性能和运行效率。
　　1基于角色的访问控制技术
　　RBAC模型的基本思想是在用户和权限之间引入角色，为角色分配权限，进而为用户指派角色，用户拥有的实际权限即为赋予用户的角色权限的并集，用户通过激活角色行使所赋予的访问权限。这减少了授权管理的复杂性，为管理员提供了一个易于实现的安全环境。它使用角色来管理用户访问权限，角色定义了一组访问权限并将其分配给用户，从而将用户和访问权限在逻辑上分开，可将应用资源的访问权限授予角色，并通过会话激活角色集合。这样，就使属于某角色的用户，也就获得了此角色的访问权限。也就是说，授权是对角色进行的，而不是直接对用户授权。其目的是为了适应大规模分布式应用环境，因为角色与组织结构相对应，角色的数目远比用户的数目少，而且，角色比用户稳定。这就避免了因为人员的变化而引起的授权变化，简化了权限的管理。同时RBAC模型还能够方便地实现各种安全管理策略，如权限分离，事务控制等[2]。
　　RBAC模型主要由用户集合、角色集合、权限集合、主体集合以及两个映射函数和两个二元关系组成。其中的一个映射函数是将主体映射到用户，另一个映射函数是在主体和一组角色之间建立联系。而两个二元关系则是分别用于表示权限和角色之间的关系以及用户和角色之间的关系。关于角色与用户的关系，可以是一个用户拥有多个角色，当然，一个角色也可以有多个用户。同时，一个角色也有多个权限，相同的权限同样可以给予多个的角色。而且，在角色之间是部分有序的[3]。也就是说，可以采用权限继承设计方式。将角色分为多个层次，上一级角色为父角色，下一级为子角色，子角色继承父角色的所有权限。这些有继承关系的角色，则称为是有序的。反之，其它无继承关系的角色，则称为无序的。这样，就可以针对用户的特殊需要，根据其用户信息、相关应用特性及数据范围合理地为其分配权限[4]。
　　
　　2基于角色的企业级信息系统访问控制模型
　　2.1 访问控制模型框架图1是基于角色的企业级信息系统访问控制模型框架。
　　2.2 模型分析在模型中，角色代表一组权限的集合。拥有某种角色的用户就享有这组权限。当用户经身份验证后，由发放角色标志为其分配某种角色，通过角色而得到系统的访问权限。也就是说，角色简化了访问控制，用户不是直接访问系统，而是通过角色进行访问。在一次访问过程中，用户被赋予不同的角色，角色被赋予不同的权限，从而完成相应权限下的操作。所谓操作，也就是这些与角色相关的访问活动，它可以是对共享资源对象的方法调用、或者是对访问活动的管理。调用方得到某种角色成员标志后，就使用这个标志对相关资源进行访问。具体地说，是调用方被映射到应用程序逻辑中间层的角色，并基于这个角色成员身份访问经许可的资源对象，同时，也限制了这个角色对其它类与方法的访问权限。
　　2.2.1 管理角色与资源角色根据企业级信息系统的用户特征，可首先将其划分为两大类角色，即管理角色和资源角色。管理角色拥有对其它角色进行授权的功能，而资源角色则只能按被授予的权限访问相关资源。这两类角色又都可分为若干个子角色。如管理角色根据其管理权限的高低可分为四个子角色，即中心系统管理员、子系统管理员、部门权限授予管理员、普通权限授予管理员，其中，优先级高的管理角色可管理优先级低的角色，并赋与其较低一级的管理权限。与此类似，资源类角色也可分为多个等级，尤其是对于某些重要资源的访问，常常需要进行更细粒度的授权。如可以具体到数据库的表级别授权，记录级别授权和字段级别授权。被授予资源类角色的用户则可进入系统，按所赋与的资源角色权限，进行相应的操作。同时，权限也相应的划分为应用权限，功能权限和信息权限等，以对应各种不同的角色。
　　2.2.2 角色的继承进行角色分类后，同类角色的权限仍然会有所不同。如不同级别的管理角色，其权限当然是不同的。这时可以采取角色权限继承的设计方式或最小化授权方式来为这些角色授权。即角色可以分层次地构建，子角色可以继承父角色的所有权限。这样，就可根据企业级信息管理系统中不同用户的需要，方便地为其进行分级授权或组合授权。即可首先按角色分类授权，然后同类角色又可按继承方式授权。这样，就能安全地将各用户需要访问的数据分离，简化了系统授权的复杂性，并提高了系统访问控制的安全性。
　　2.3 访问控制模型的安全策略
　　2.3.1 按策略访问的授权机制对每项应用资源，必须通过定义相应的策略来对其进行访问控制。一般情况下，一条策略应包括规则、主体、条件这三个组成部分。具体地说，规则是指对某种资源进行某种操作。主体指该规则针对何种角色或用户组。条件指则该规则在何种条件下有效，如指定可以访问的资源种类及访问时间等。某用户访问策略的确定，由策略代理来完成。策略代理可部署于访问控制服务器端，它作为系统的一个认证组件，用于获取用户对于资源的请求，并且按照为该资源所定义的策略进行比较后作出判断，允许用户访问或拒绝访问，从而保证整个系统中所有需要保护的资源都得到安全认证。也就是说，通过用户角色的配给、多级角色的授权以及策略代理的部署与设置和在访问控制服务器中策略的定义，就能够实现对所有应用资源按照实际需求进行统一的细粒度的保护。
　　2.3.2 权限的指派约束对权限的指派设定以下几种约束条件：
　　①基数约束：即在同一时间内拥有某角色的用户个数是受限的，应大于规定的下限，小于规定的上限。如某项资源是企业某部门专用的，若该部门共有十个用户使用此资源，则可定义拥有该资源访问权限的角色用户个数不能超过十个。例如，可以设定最大用户数和最小用户数等。
　　②静态权责互斥约束：又称强互斥，指具有冲突的角色不能同时分配给同一个使用者，以避免冲突。如企业不同部门的资源类角色之间属于静态互斥关系，即不可能有某一个部门的用户，在拥有自己部门资源类角色权限的同时，又拥有与本部门无关的另一部门的资源类角色权限。
　　③动态权责互斥约束：允许用户拥有两个互斥的角色，但用户在运行时不能同时激活他们，即不能在使用管理类角色A的权限时，又同时使用管理类角色B的权限。也就是说，如果一个角色同另一个角色之间存在责任互斥关系，则他们之间不存在直接或间接的继承关系。
　　④动态访问控制约束：通过角色分配给用户的权限可能会由于其他角色的成员执行某些操作而发生变化。例如，只有管理类角色授予某用户的资源类角色权限后，该用户才能获得相应访问权限。也就是说，某些权限可能需要根据不同的上下文环境来分配给角色，并且只有在特定上下文环境中才能被激活。
　　3模型实现与结果分析
　　3.1 模型的数据库设计在模型的应用设计中，为了便于授权管理，角色划分，职责分担，目标分级和赋与最小授权粒度，采用了基于用户－角色的信息共享访问控制策略，建立了基于角色的数据库（RBAC数据库），库中的主要表有：用户信息表、角色表、节点信息表、用户角色关系表、角色权限关系表、会话表、会话的活跃角色表等基本关系表。动态数据则主要包含会话表和会话的活跃角色表等，会话表的属性有会话标识、用户标识等，活跃角色表的属性有会话标识、角色标识等。
　　其中用户信息表用于记录登录企业信息系统的用户代码、名称等，角色表用于记录角色的名称、编号等，信息节点表用于记录系统内所建立的基本表和相关的名称信息等，由于用户和角色，角色与权限的多对多关系，所以，建立了两个中间表，即用户角色关系表和角色权限关系表，分别用于记录某一角色已授予的用户和记录角色与基本权限的对应关系，并由此来实现访问控制策略。访问控制时以用户认证为前提，并对合法用户访问信息的能力和范围也要进行限制，以综合决定用户主体是否被授权对某些应用资源进行某种操作。这样，就可避免在赋予同等权限的情况下或者由用户自身协调进行访问控制时会出现的存取错误、数据冲突和不同步以及非授权访问等许多问题。实现不同的数据信息具有不同的共享范围和不同的安全性要求。
　　3.2 结果分析本文提出的访问控制模型在某数控机床制造股份有限公司的原材料采购质量成本选优管理信息系统项目中得到了应用，该系统包括机械类原材料主文件管理、库存管理、工艺计划管理、生产配料计划、零配件质量评估、原材料消耗分析、电器类主文件管理、电器元件库存管理、计划管理、数控软件评估等十个子系统，系统用户来自采购部，销售部、发展规划部，技术质量部、资产财务部等多个部门，对于同一部门下的不同岗位，对系统功能及业务信息的访问权限是不同的。系统中某些功能模块能被多个部门的用户访问，但用户只能浏览或修订本部门的业务数据。若采用传统RBAC模型实施访问控制，则需要维护的角色太多，同时，对业务信息方面的访问控制也难以提供细粒度的访问支持。现采用本文提出的访问控制模型，首先按管理角色与资源角色两个大类对用户进行分类，然后通过组织各角色的权限关系和访问控制策略在系统中完成权限指派，同时又分别利用角色继承和权限继承，以及权限重载来简化授权管理。
　　系统中的角色授权管理服务器和访问控制服务器都使用浏览器作为管理界面，集成和封装各种子系统管理模块，为客户端和监控管理提供所需服务。并提供了完善的用户管理、角色管理、权限管理、策略管理、过程管理、系统设置、系统安全管理、配置文件管理和日志管理。客户端使用浏览器作为用户的使用界面，当用户经过授权后，可以某种角色进入系统，并在该角色的权限内，可非常方便地完成各工作项的处理。实际应用证明，本模型具有良好的安全性并提高了整个系统的运行效率。
　　4结束语
　　本文提出的访问控制模型及其安全策略经实际应用后表明：模型描述简单，安全策略易于实现，可极大地减轻系统管理员的权限维护工作量，并解决了用户权限根据条件动态访问控制的问题，使企业信息系统的安全性能和运行效率得到了提高。随着各种安全模式的不断发展以及各种集成手段、认证技术、授权技术的改进，我们还将继续研究新的访问控制模型及对安全策略进行改进，并计划通过区分功能模块及企业业务信息载体，以解决不同数据集对象操作权限的分配问题，进一步提高企业信息系统中的权限分配的便利性和灵活性和系统的安全性及通用性。
　　参考文献：
　　[1]Sandhu RS, Coyne EJ, Feinstein HL, et al. Role-based Access Control Models[J].IEEE Computer, 1996, 29(2):38-47.
　　[2]Ferraiolo D, Barkely J, Kuhn R. A Role-based Access Control Model and Reference Implementation Within a Corporate Intranet[J]. ACM Transactions on Information and System Security, 1999,2(1): 34-64.
　　[3]Axel Kern, Martin Kuhlmann, et al. A Meta Model for Authorizations in Application Security Systems and Their Integration into RBAC Administration[DB/OL].http://portal.省略, 2004-06-24,2005-06-10.
　　[4]钟华，冯玉琳，姜洪安.扩充角色层次关系模型及其应用[J].软件学报，2000,11(6):779-784.

推荐访问:信息系统 企业级 访问控制 研究