基于角色和任務(wù)的層次對(duì)象訪問控制模型

1、第31卷第8期2006年8月武漢大學(xué)學(xué)報(bào)信息科學(xué)版GeomaticsandInformationScienceofWuhanUniversityVol.31No.8Aug.2006文章編號(hào):167128860(2006)0820716204文獻(xiàn)標(biāo)志碼:A基于角色和任務(wù)的層次對(duì)象訪問控制模型何超英1,2蔣捷2陳軍2韓剛2(1武漢大學(xué)遙感信息工程學(xué)院,武漢市珞喻路129號(hào),430079)(2國(guó)家基礎(chǔ)地理信息中心,北京市紫竹院百勝村1號(hào),100044)摘要:以GIS協(xié)同工作應(yīng)用為背景,探討了該背景下的訪問控制問題,提出了一種基于角色和任務(wù)的層次對(duì)象訪問控制模型,定義了受控對(duì)象層次關(guān)系和操作類型層次關(guān)

2、系,以及基于這兩種關(guān)系的權(quán)限定義規(guī)則。實(shí)驗(yàn)證明,該模型具有較強(qiáng)的靈活性和適用性,在一定程度上降低了權(quán)限定義的復(fù)雜度。關(guān)鍵詞:GIS協(xié)同工作;訪問控制;角色;任務(wù);受控對(duì)象層次;操作類型層次中圖法分類號(hào):P208訪問控制是國(guó)際標(biāo)準(zhǔn)化組織定義的5層數(shù)據(jù)安全服務(wù)的重要組成部分之一1,是多用戶應(yīng)用系統(tǒng)的研究重點(diǎn)。GIS協(xié)同工作(2computerG2CSCW)2,3()的有機(jī)結(jié)合,。在該結(jié)構(gòu)中,地域上分散的一個(gè)用戶群組借助計(jì)算機(jī)網(wǎng)絡(luò)技術(shù),按照一定的業(yè)務(wù)流程協(xié)同工作,訪問共享的系統(tǒng)資源和數(shù)據(jù)(通常稱為受控對(duì)象)。由于這些用戶在系統(tǒng)中的職責(zé)不同,它們所訪問的受控對(duì)象也不相同。為了防止系統(tǒng)資源遭到破壞并保證

3、數(shù)據(jù)資源的私有性和保密性,必須有一種機(jī)制對(duì)此類系統(tǒng)進(jìn)行訪問控制。在GIS協(xié)同工作應(yīng)用系統(tǒng)中,用戶能訪問的數(shù)據(jù)資源包括各種類型的時(shí)空數(shù)據(jù),這些數(shù)據(jù)在數(shù)據(jù)組織上具有層次特性,用戶作用于數(shù)據(jù)的操作類型也具有層次特性。因此,GIS協(xié)同工作應(yīng)用系統(tǒng)的訪問控制除了應(yīng)根據(jù)系統(tǒng)用戶的職責(zé)確定其所屬的角色類型4,并在業(yè)務(wù)流的動(dòng)態(tài)執(zhí)行過程中對(duì)用戶(角色)進(jìn)行訪問控制外5,還應(yīng)考慮受控對(duì)象和操作類型的層次關(guān)系,使模型最大程度地滿足應(yīng)用的需要。1訪問控制方法概述學(xué)者們對(duì)單機(jī)和網(wǎng)絡(luò)6環(huán)境中的訪問控制方收稿日期:2006204208。項(xiàng)目來源:國(guó)家自然科學(xué)基金資助項(xiàng)目(40171076,40337055)。,729、任務(wù)

4、1、5基于角色的訪問accesscontrol,RBAC)只5,沒有考慮動(dòng)態(tài)執(zhí)行過程中的訪問控制問題。基于任務(wù)的訪問控制模型(task2basedaccesscontrol,TBAC)沒有深入討論任務(wù)與角色結(jié)合的問題。基于角色和任務(wù)的訪問控制模型(task2role2basedaccesscontrol,TRBAC)將任務(wù)和角色有機(jī)結(jié)合,根據(jù)任務(wù)的特點(diǎn)將其分為4類,針對(duì)不同類型的任務(wù)采用不同的訪問控制策略,使模型具有更大的靈活性。但是該方法沒有考慮受控對(duì)象和操作類型的層次關(guān)系,權(quán)限定義較復(fù)雜。已有模型較多地考慮了訪問控制的主體(用戶/角色),以及訪問控制所處的環(huán)境(靜態(tài)/動(dòng)態(tài)),但對(duì)于訪問控制

5、的客體(受控對(duì)象)和操作類型卻研究甚少,導(dǎo)致在實(shí)際應(yīng)用中權(quán)限定義較為復(fù)雜,而且容易產(chǎn)生沖突。下面以實(shí)際應(yīng)用中的兩個(gè)問題為例進(jìn)行說明。設(shè)受控對(duì)象為北125萬數(shù)據(jù),上海125萬數(shù)據(jù),天津125萬數(shù)據(jù),重慶125萬數(shù)據(jù),操作類型Read,Write。問題1如果要讓所有受控對(duì)象具有操作類型Read,需要定義以下權(quán)限P:defineP(北京125萬數(shù)據(jù),Read);defineP(上海125萬數(shù)據(jù),Read);defineP(天津125萬數(shù)據(jù),Read);第31卷第8期何超英等:基于角色和任務(wù)的層次對(duì)象訪問控制模型717defineP(重慶125萬數(shù)據(jù),Read)。若受控對(duì)u2,un;R為角色集,R=r

6、1,r2,rn;Ta為任務(wù)集,Ta=ta1,ta2,tan;OP為操象很多,如全國(guó)各省市的125萬數(shù)據(jù),則需逐省市定義,權(quán)限定義非常復(fù)雜。問題2如果已定義權(quán)限P(北京125萬數(shù)據(jù),Write),進(jìn)行授權(quán)操作后表明某個(gè)用戶能對(duì)北京125萬的數(shù)據(jù)執(zhí)行寫操作。然而,當(dāng)該用戶訪問北京125萬的數(shù)據(jù)時(shí),仍然可能遇到“無權(quán)訪問”的提示,產(chǎn)生沖突。經(jīng)分析發(fā)現(xiàn),原因在于該用戶雖已被授予“Write”權(quán)限,但沒被授予“Read”權(quán)限,故用戶讀取這些數(shù)據(jù)時(shí),系統(tǒng)提示該用戶無權(quán)訪問。解決這一問題的方法之一是在定義“Write”權(quán)限的同時(shí)也定義“Read”權(quán)限,但該方法使問題變得很復(fù)雜。針對(duì)現(xiàn)有訪問控制方法在權(quán)限定義

7、時(shí)遇到的問題,本文提出了基于受控對(duì)象和操作類型的層次關(guān)系進(jìn)行權(quán)限定義的基本思路,對(duì)已有訪問控制模型進(jìn)行了改進(jìn)。作集,OP=op1,op2,opn;O為受控對(duì)象集,O=o1,o2,on;W為工作流實(shí)例集,W=w1,w2,wn;S為會(huì)話集,S=s1,s2,sn;C為約束集,C=c1,c2,cn;T為權(quán)限的有效時(shí)間段,是時(shí)間t的二元關(guān)系的集合,T=(t1,t2),(ti,ti+1),(tn-1,tn)。8個(gè)基本關(guān)系如下:URAU×R,表示用戶角色分配關(guān)系;RHR×R,表示角色的層次關(guān)系;RTAR×T,表示角色任務(wù)分配關(guān)系;TWT×W,表示任務(wù)與工作流的所屬關(guān)系

8、;POP×O,定義了受控對(duì)象的操作類型,即權(quán)限P;TPAT×P,表示任務(wù)和權(quán)限的分配關(guān)系,即某個(gè)任務(wù)具有哪些權(quán)限,能對(duì)哪些對(duì)象進(jìn)行哪些操作;OHO×O,表示受控對(duì)象之間的層次關(guān)系;OpHOp×Op,表示操作類型之間的層次關(guān)系。,筆者將。2受控對(duì)象指用戶能訪問的系統(tǒng)資源和數(shù)據(jù)資源,是應(yīng)用系統(tǒng)的數(shù)據(jù)基礎(chǔ)。GIS協(xié)同工作應(yīng)用系統(tǒng)包括各種類型的時(shí)空數(shù)據(jù),這些數(shù)據(jù)在數(shù)據(jù)組織上具有層次特性。以矢量數(shù)據(jù)為例,它可按比例尺地區(qū)圖層對(duì)象進(jìn)行組織,如圖2所示。矢量數(shù)據(jù)包括不同比例尺,每個(gè)比例尺包括不同地區(qū),每個(gè)地區(qū)的數(shù)據(jù)由不同圖層構(gòu)成,每個(gè)圖層包括若干具體對(duì)象。2.3操作類

9、型的層次關(guān)系操作類型指用戶可以作用于受控對(duì)象的操作,在應(yīng)用系統(tǒng)中,面向外部用戶的操作通常包括更新(Update)、刪除(Delete)和讀取(Read)。此2基于角色和任務(wù)的層次對(duì)象訪問控制模型現(xiàn)有的角色、,著眼于權(quán)限定義復(fù)雜這一基本問題,引入受控對(duì)象層次和操作類型層次,并定義相應(yīng)的處理規(guī)則進(jìn)行權(quán)限定義,使權(quán)限定義變得更加簡(jiǎn)單、明了。2.1模型概述定義1改進(jìn)的基于角色和任務(wù)的層次對(duì)象訪問控制模型X2TRBAC=U,R,Ta,OP,O,W,S,C,T,URA,RH,RTA,TW,P,TPA,OH,OpH,共9個(gè)基本組件及8個(gè)基本關(guān)系,如圖1。9個(gè)基本組件如下:U為用戶集,U=u1,圖1基于任務(wù)和

10、角色的層次對(duì)象訪問控制模型Fig.1X2TRBACModel圖2受控對(duì)象的層次關(guān)系Fig.2ObjectHierarchy718武漢大學(xué)學(xué)報(bào)信息科學(xué)版2006年8月外,為了更方便地表示用戶的操作權(quán)限,定義了關(guān)鍵字All,它表示某個(gè)受控對(duì)象上的所有操作類型。這些操作類型具有隱含的層次關(guān)系,如圖3。用戶權(quán)限管理包包括解釋器、訪問器和重組器,完成從初始SQL語句分析到用新SQL語句訪問數(shù)據(jù)表的全部功能,實(shí)現(xiàn)系統(tǒng)的訪問策略。訪問控制的流程如圖5所示,當(dāng)用戶提交訪問請(qǐng)求后,用戶權(quán)限管理包中的解釋器對(duì)已提交的請(qǐng)求進(jìn)行解釋,得到角色I(xiàn)D、訪問數(shù)據(jù)等信息,訪問器根據(jù)角色I(xiàn)D訪問用戶權(quán)限表,得到該用戶的權(quán)限,重

11、組器將解釋器和訪問器輸出的用戶請(qǐng)求和用戶權(quán)限重新組合得到新的SQL語句,最后訪問數(shù)據(jù)庫并得到相應(yīng)的結(jié)果。RoleID角色I(xiàn)DTaskID任務(wù)ID圖3操作類型的層次關(guān)系Fig.3OperationHierarchy2.4權(quán)限定義規(guī)則1o1,o2O,opOp,o1o2:(o2,op)(o1,op),其中,表示一種偏序關(guān)系,o1o2表示在受控對(duì)象的層次樹中,o1位于o2的子樹中。規(guī)則2oO,op1,op2Op,op1op2:(o,op2)(o,op1),其中,op1op2表示在操作類型層次樹中,op1位于op2的子樹中。規(guī)則1表示在受控對(duì)象的層次樹中,受控對(duì)象自動(dòng)繼承其祖先所具有的權(quán)限1京125萬數(shù)

12、據(jù)、上海11萬數(shù)據(jù)、重慶象為1251,只需定義一個(gè)權(quán)限P(125萬數(shù)據(jù),Read),就可以達(dá)到§1中定義的4個(gè)權(quán)限所能達(dá)到的效果。規(guī)則2表示在操作類型的層次樹中,操作類型自動(dòng)包含在其祖先的權(quán)限定義中。則對(duì)問題2,只需定義權(quán)限P(北京125萬數(shù)據(jù),Write),用戶就自動(dòng)具有該數(shù)據(jù)“Write”和“Read”的操作權(quán)限,無需另外定義權(quán)限P(北京125萬數(shù)據(jù),Read)。(a)系統(tǒng)任務(wù)的訪問權(quán)限表RoleID角色I(xiàn)DTabNamePrivID權(quán)限IDPrivScope表名權(quán)限范圍(b)數(shù)據(jù)表的訪問權(quán)限表RoleIDIDID(RoleID角色I(xiàn)DRecordID記錄IDPrivID權(quán)限ID

13、(d)記錄的訪問權(quán)限表RoleID角色I(xiàn)DMapScaleAreaNameLyrName比例尺地區(qū)圖層(e)空間數(shù)據(jù)的訪問權(quán)限表圖4用戶訪問權(quán)限表的結(jié)構(gòu)示意圖Fig.4StructureofPrivilegeTables該系統(tǒng)實(shí)現(xiàn)了工作流執(zhí)行過程中對(duì)空間、屬性數(shù)據(jù)的訪問控制。在權(quán)限定義中,根據(jù)用戶的職責(zé)定義用戶能操作(All,Update,Delete,Read)的比例尺、地區(qū)和圖層,能操作的數(shù)據(jù)表、記錄和字段(各類訪問權(quán)限表),然后利用已定義的訪問權(quán)限表進(jìn)行用戶的訪問控制。圖6中,用戶A(圖6(a)和用戶B(圖6(b)能訪問150000北京城區(qū)地圖的不同圖層,A能訪問道路、3實(shí)驗(yàn)與結(jié)論實(shí)驗(yàn)系

14、統(tǒng)采用B/S結(jié)構(gòu),使用JBuilder、Or2acle、JSP、MapXtreme等編程環(huán)境和編程語言,實(shí)驗(yàn)數(shù)據(jù)包括不同比例尺和地區(qū)的空間數(shù)據(jù),以及與這些空間數(shù)據(jù)掛接的屬性數(shù)據(jù)。實(shí)驗(yàn)中,與模型相關(guān)的信息用Oracle表定義,包括用戶、角色、任務(wù)、權(quán)限等基本信息表,以及用戶對(duì)系統(tǒng)任務(wù)、數(shù)據(jù)表(記錄、字段)和空間數(shù)據(jù)的訪問權(quán)限表等。圖4是對(duì)用戶訪問權(quán)限表結(jié)構(gòu)的簡(jiǎn)單描述,圖中的權(quán)限范圍用來描述是否需要對(duì)該表的字段和(或)記錄進(jìn)行訪問控制,如需控制,則每張數(shù)據(jù)表對(duì)應(yīng)一張字段訪問權(quán)限表和記錄訪問權(quán)限表。鐵路、水系和三級(jí)行政區(qū)劃,B能訪問鐵路、自然保護(hù)區(qū)/公園綠地、城鎮(zhèn)建成區(qū)和三級(jí)行政區(qū)劃。實(shí)驗(yàn)證明,該方

15、法將角色和任務(wù)有機(jī)結(jié)合,使得系統(tǒng)能在工作流執(zhí)行過程中對(duì)用戶進(jìn)行訪問控制,并且在權(quán)限定義上簡(jiǎn)單、明了,具有較強(qiáng)的實(shí)用性。第31卷第8期何超英等:基于角色和任務(wù)的層次對(duì)象訪問控制模型719圖6訪問控制示例Fig.5FlowofAccessControlFig.6ExampleofAccessControl6LuEricJuilin,ChenRaifu.DesignandImplementa2tionofaFine2grainedMenuControlProcessorforWeb2basedInformationSystemsJ.FutureGener2ationComputerSystems,2

16、003,19:1105211197FerraioloD,KuhnR.Role2BasedAccessControlsC.The15thNIST2NationalComputerSe2,19928J.2inDCOMJ.of,2000,46:117529HwangJingjang,WuKouchen,LiuDuenren.Ac2cessControlwithRoleAttributeCertificatesJ.ComputerStandards&Interfaces,2000,22:43253第一作者簡(jiǎn)介:何超英,博士生?，F(xiàn)主要從事GIS協(xié)同工作的相圖5訪問控制流程參考文獻(xiàn)1鄧集波,洪帆.

17、基于任務(wù)的訪問控制模型J.軟件學(xué)報(bào),2003,14(1):762822ChenJun,JiangJie,AnthonyGar2OnYeh.Desig2ningaGIS2BasedCSCWSystemforDevelopmentControlwithanEvent2DrivenApproachJ.Photo2grammetricEngineering&RemoteSensing,2004,70(2):22522333何超英,蔣捷,韓剛GIS,北京,20044SandhuR,ConyneEJ,LfeinsteinH,etal.RoleBasedAccessControlModelsJ.IE

18、EEComputer,1996,29(2):382475OhS,SeogP.562Task2role2basedAccessControlModelJ.InformationSystems,2003,28:5332關(guān)理論和應(yīng)用研究。E2mail:hechyingAnImprovedTask2Role2BasedAccessControlonHierarchicalObjectinG2CSCWHEChaoying1,2JIANGJie2CHENJun2HANGang2(1SchoolofRemoteSensingandInformationEngineering,WuhanUniversity,129LuoyuRoad,Wuhan430079,China)(2NationalGeomaticsCenterofChina,1Baishengcu