中山大學(xué)：高校業(yè)務(wù)系統(tǒng)授權(quán)管理方案

文/唐國華 葉羲陶

隨著計(jì)算機(jī)應(yīng)用的日益普及，特別是網(wǎng)絡(luò)的迅速發(fā)展，如何在發(fā)展和推廣網(wǎng)絡(luò)應(yīng)用的同時(shí)進(jìn)一步提高訪問控制的安全與效率，已經(jīng)成為目前網(wǎng)絡(luò)界所必須研究和解決的課題。針對不同應(yīng)用的授權(quán)管理，需要根據(jù)項(xiàng)目的實(shí)際情況和具體架構(gòu)，在維護(hù)性、靈活性、完整性等N 多個(gè)方案之間比較權(quán)衡，選擇符合的方案。目前的授權(quán)管理一般有三種：

1.自主型訪問控制方法。目前在我國的很多信息系統(tǒng)中的訪問控制模塊中基本是借助于自主型訪問控制方法中的訪問控制列表(ACLs)。

2.強(qiáng)制型訪問控制方法。用于多層次安全級別的軍事應(yīng)用。

3.基于角色的訪問控制方法（RBAC）。是目前公認(rèn)的解決大型系統(tǒng)的統(tǒng)一資源訪問控制的有效方法。其顯著的兩大特征是：1.減小授權(quán)管理的復(fù)雜性，降低管理開銷。2.靈活地支持企業(yè)的安全策略，并對企業(yè)的變化有很大的伸縮性。

高校信息系統(tǒng)的對象包括學(xué)校所有校區(qū)、院系和部門、在校各類學(xué)生和家長、教職員工、畢業(yè)校友和國際友人，系統(tǒng)還涉及到上級主管部門和社會群體，用戶數(shù)量多，類型復(fù)雜，采用基于角色的訪問控制方法能夠?yàn)楦咝Ｐ畔⑾到y(tǒng)建立一個(gè)高安全強(qiáng)度，更易于維護(hù)和管理，擴(kuò)展能力極強(qiáng)的訪問控制環(huán)境，并能夠有效地控制管理復(fù)雜性，提供標(biāo)準(zhǔn)化和可以不斷延伸的授權(quán)平臺。但是，傳統(tǒng)的基于角色的訪問控制模型也存在著如下缺點(diǎn)：

1.模型粗糙，最小權(quán)限約束粒度還不夠細(xì)化；

2.權(quán)限表示缺乏靈活性，難以實(shí)現(xiàn)擁有相同功能權(quán)限的用戶訪問不同的數(shù)據(jù)范圍。

針對傳統(tǒng)授權(quán)模型的缺點(diǎn)，吳江棟等人提出了基于RBAC的細(xì)粒度訪問控制方法，在傳統(tǒng)粗粒度權(quán)限管理的基礎(chǔ)上加入“菜單－按鍵”對應(yīng)關(guān)系使權(quán)限得以細(xì)化，但是并沒有解決數(shù)據(jù)授權(quán)的問題；趙靜等人提出了基于數(shù)據(jù)對象的權(quán)限訪問控制模型，通過將角色分離為公有角色和私有角色，來劃分用戶的多個(gè)數(shù)據(jù)對象所具有的不同的功能權(quán)限，但模型的粒度只是到數(shù)據(jù)對象，而不能根據(jù)數(shù)據(jù)對象屬性的不同來進(jìn)行數(shù)據(jù)授權(quán)。

高校內(nèi)部的業(yè)務(wù)管理相對還是比較復(fù)雜的，同一個(gè)人可能在多個(gè)部門的多個(gè)崗位任職，在相同崗位任職的可能是多人（相同部門或不同部門），同時(shí)高校內(nèi)部單位眾多，人員流動，職責(zé)變化頻繁，為了適應(yīng)高校的特定環(huán)境需求，通過擴(kuò)展基于角色的授權(quán)訪問控制模型，提出了基于角色的細(xì)粒度分級授權(quán)模型，通過引入業(yè)務(wù)規(guī)則和崗位實(shí)現(xiàn)靈活的數(shù)據(jù)授權(quán)和分級授權(quán)，有效彌補(bǔ)了RBAC模型的缺點(diǎn)，擴(kuò)展了RBAC模型的動態(tài)性。

細(xì)粒度的分級授權(quán)模型

本章首先簡單闡述傳統(tǒng)的訪問控制模型－RBAC（基于角色的訪問控制模型），然后針對數(shù)據(jù)授權(quán)和分級授權(quán)對模型進(jìn)行擴(kuò)展，給出該模型的基本元素及相應(yīng)函數(shù)，以及訪問控制流程。

RBAC模型

RBAC的基本思想是引入角色的概念，用戶和權(quán)限通過角色相關(guān)聯(lián)，根據(jù)安全策略劃分角色，對每個(gè)角色分配權(quán)限許可，對用戶的授權(quán)通過賦予用戶相應(yīng)的角色來實(shí)現(xiàn)。使得用戶和權(quán)限得到了邏輯分離，降低了安全管理成本和管理復(fù)雜性，使授權(quán)變得簡單而靈活。圖1是RBAC0基本模型。

RBAC包含三個(gè)實(shí)體：用戶、角色和權(quán)限，其中，用戶就是一個(gè)可以獨(dú)立訪問計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其他資源的主體，一般情況下是指自然人；角色就是組織內(nèi)部一件工作的功能或工作的頭銜，表示該角色成員所授予的職責(zé)的許可；權(quán)限是對計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或用數(shù)據(jù)表示的其他資源進(jìn)行訪問的許可。

用戶與角色之間以及角色與權(quán)限之間用雙雙箭頭相連表示用戶角色分配和角色權(quán)限分配關(guān)系都是多對多的關(guān)系，即一個(gè)用戶可以擁有多個(gè)角色，一個(gè)角色也可被多個(gè)用戶所擁有。同樣的，一個(gè)角色擁有多個(gè)權(quán)限，一個(gè)權(quán)限能被多個(gè)角色所擁有。用戶建立會話從而對資源進(jìn)行存取，每個(gè)會話將一個(gè)用戶與他所對應(yīng)的角色集中的一部分建立映射關(guān)系，這個(gè)角色會話子集稱為會話激活的角色集。在一次會話中，用戶可以執(zhí)行的操作就是該會話激活的角色集對應(yīng)的權(quán)限所允許的操作。

RBAC模型最突出的優(yōu)點(diǎn)在于系統(tǒng)管理員能夠按照學(xué)校的安全政策劃分不同的角色，執(zhí)行特定的任務(wù)。一個(gè)系統(tǒng)建立起來后主要的管理工作即為授權(quán)或取消用戶的角色。用戶的職責(zé)變化時(shí)只需要改變角色即可改變其權(quán)限；當(dāng)組織功能變化或演進(jìn)時(shí)，則只需刪除角色的舊功能，增加新功能，或定義新角色，而不必更新每一個(gè)用戶的權(quán)限設(shè)置。這極大地簡化了授權(quán)管理，使對信息資源的訪問控制能更好地適應(yīng)特定單位的安全策略。

圖1 RBAC模型

但是，RBAC模型僅僅解決了功能資源授權(quán)問題，對于數(shù)據(jù)資源授權(quán)，因?yàn)楹蜆I(yè)務(wù)緊密相關(guān)，必須在RBAC模型的基礎(chǔ)上進(jìn)行擴(kuò)充，才能較好地解決數(shù)據(jù)資源授權(quán)問題。

圖2 基于角色的細(xì)粒度分級授權(quán)模型

分級授權(quán)問題的提出

對于一個(gè)高校來說，人員的調(diào)入調(diào)出、單位變更、工作職責(zé)變化都是日常工作，而隨著人員的狀態(tài)、單位、職責(zé)變更，相應(yīng)的授權(quán)也應(yīng)該同時(shí)發(fā)生變化，這樣才能更好地保障系統(tǒng)和信息的安全性。學(xué)校的業(yè)務(wù)部門、院系眾多，如果信息系統(tǒng)的授權(quán)都集中在校級系統(tǒng)管理員或者校級系統(tǒng)管理小組，那么工作量將非常大，而且往往不能及時(shí)更新用戶授權(quán)，也不符合目前的管理體制，研究表明，角色/權(quán)限之間的變化比用戶/角色關(guān)系之間的變化相對要慢得多，并且委派用戶到角色不需要很多技術(shù)，可以由業(yè)務(wù)部門人員來執(zhí)行，而配置權(quán)限到角色的工作比較復(fù)雜，需要一定的技術(shù)，可以由專門的技術(shù)人員來承擔(dān)，但是不給他們委派用戶的權(quán)限?；谝陨涎芯浚瑢⑾到y(tǒng)管理員劃分成校級系統(tǒng)管理員和部門級系統(tǒng)管理員，把用戶到角色之間的關(guān)聯(lián)用分級授權(quán)機(jī)制分配給部門級系統(tǒng)管理員，使得：

1.授權(quán)更及時(shí)：當(dāng)部門內(nèi)部的人員流動、職責(zé)變更時(shí)，在部門內(nèi)部即可及時(shí)處理。

2.授權(quán)更準(zhǔn)確：部門內(nèi)部的人員要使用的系統(tǒng)角色通常部門內(nèi)部會更清楚，分配人員角色時(shí)會更準(zhǔn)確。

3.職責(zé)分明：校級系統(tǒng)管理員專注于角色、功能權(quán)限、數(shù)據(jù)權(quán)限及相關(guān)關(guān)聯(lián)的設(shè)定和授予，以及部門級系統(tǒng)管理員的管理；而部門級系統(tǒng)管理員則專注于用戶和角色關(guān)聯(lián)關(guān)系的設(shè)定。

基于角色的細(xì)粒度分級授權(quán)模型定義

本模型對RBAC模型進(jìn)行了擴(kuò)展，引入了業(yè)務(wù)規(guī)則、部門、崗位三個(gè)對象，把業(yè)務(wù)規(guī)則和角色相關(guān)聯(lián)，通過業(yè)務(wù)規(guī)則限定用戶訪問的數(shù)據(jù)范圍；將崗位和部門相關(guān)聯(lián)，部門系統(tǒng)管理員能夠自行設(shè)置崗位，并設(shè)置崗位包含的角色，把本部門用戶分配到相應(yīng)的崗位上面。整個(gè)模型如圖2所示。

當(dāng)用戶→角色和用戶→崗位→角色兩條路徑發(fā)生重疊時(shí)，系統(tǒng)將按照取并集的規(guī)則進(jìn)行處理。本模型由以下幾部分組成：

模型中的主要函數(shù)關(guān)系包括：

1.部門崗位設(shè)置set_department_posts：DEPT→2post，其中，{post∈POST}，每個(gè)部門都能設(shè)置一組崗位集；

2.崗位角色設(shè)置set_posts_roles：POST→2role，其中，{role∈ROLE}，每個(gè)崗位都能設(shè)置一組角色集；

3.用戶崗位分配assigned_users_posts：USER→2post，其中，{post∈POST}，每個(gè)用戶都能分派到一組崗位集；

4.用戶角色分配assigned_users_roles：USER→2role，其中，{role∈ROLE}，每個(gè)用戶都能分派一組角色集；

5.角色功能權(quán)限分配assigned_roles_permissions：ROLE→2perm，其中，{perm∈PERM}，每個(gè)角色都能分派一組權(quán)限集；

6.角色數(shù)據(jù)權(quán)限分配assigned_roles_bussinessrules：ROLE→2buss，其中，{buss∈BUSS}，每個(gè)角色都能分派一組業(yè)務(wù)規(guī)則集；

7.用戶角色合成users_roles_compose：SESS×USER→ 2role， 其中{role∈ROLE|ROLEassigned_users_posts(ROLE)∪ assigned_users_roles(ROLE)},會話中用戶的角色合成是用戶崗位角色和用戶直接角色的并集。

模型訪問控制流程

整個(gè)模型的訪問控制流程如圖3所示。

圖3 訪問控制流程

基于角色的細(xì)粒度分級授權(quán)模型的應(yīng)用

中山大學(xué)研究生教育管理信息系統(tǒng)面向的用戶包括研究生院、各院系、導(dǎo)師、學(xué)生，學(xué)生類型復(fù)雜，各院系在管理上都有各自的特點(diǎn)，小的院系一個(gè)研究生秘書就分管了全部學(xué)生，大的院系則根據(jù)年級、專業(yè)的不同，由多個(gè)研究生秘書分管。在研究生院內(nèi)部，不同的業(yè)務(wù)管理部門分管不同的業(yè)務(wù)。因此，在授權(quán)訪問控制上面必須有靈活的數(shù)據(jù)權(quán)限控制，同時(shí)還要能提供及時(shí)、準(zhǔn)確的授權(quán)。

系統(tǒng)的安全訪問需求

1.功能權(quán)限因用戶的層次、分管業(yè)務(wù)的不同而不同。不同的用戶只能操作自己權(quán)限范圍內(nèi)的功能模塊。

2.數(shù)據(jù)權(quán)限需要有足夠細(xì)的粒度和靈活性。根據(jù)深入業(yè)務(wù)調(diào)研，發(fā)現(xiàn)各個(gè)院系在管理上都非常靈活，可以根據(jù)院系、專業(yè)、研究方向、培養(yǎng)層次（碩士、博士）、年級、單雙證、專業(yè)學(xué)位等粒度進(jìn)行管理。

3.授權(quán)管理必須簡單、可維護(hù)。中山大學(xué)是一所綜合性高等學(xué)校，院系眾多，內(nèi)部人員流動、崗位變更頻繁，用戶授權(quán)必須是動態(tài)可調(diào)整的，而且院系內(nèi)部的變動一般只有院系才能準(zhǔn)確、及時(shí)掌握，因此，必須實(shí)現(xiàn)授權(quán)管理的簡單可操作，讓非專業(yè)人員也能進(jìn)行授權(quán)。

圖4 基于角色的細(xì)粒度分級授權(quán)數(shù)據(jù)庫物理模型

數(shù)據(jù)庫設(shè)計(jì)

基于細(xì)粒度分級授權(quán)模型定義，結(jié)合安全訪問需求，建立基于角色的細(xì)粒度分級授權(quán)管理的數(shù)據(jù)庫模型，如圖4所示，圖中只給出了各表的主要屬性。

在傳統(tǒng)的RBAC模型基礎(chǔ)上，增加了業(yè)務(wù)規(guī)則表和業(yè)務(wù)規(guī)則明細(xì)表，來控制角色能夠訪問的數(shù)據(jù)資源范圍，業(yè)務(wù)規(guī)則表通過業(yè)務(wù)規(guī)則對應(yīng)實(shí)體以及表達(dá)式將業(yè)務(wù)規(guī)則明細(xì)表中的條件進(jìn)行組合，示例：業(yè)務(wù)規(guī)則對應(yīng)實(shí)體為“學(xué)生基本信息”，表達(dá)式：1 AND (2 OR 3)，其中數(shù)字對應(yīng)的是業(yè)務(wù)規(guī)則明細(xì)表中的業(yè)務(wù)規(guī)則明細(xì)編號，業(yè)務(wù)規(guī)則明細(xì)見表1。

那么這條業(yè)務(wù)規(guī)則的含義表示角色訪問的數(shù)據(jù)權(quán)限為法學(xué)院，并且年級為2013或者2014的學(xué)生基本信息數(shù)據(jù)。通過設(shè)定業(yè)務(wù)規(guī)則，能夠靈活制定相應(yīng)角色的系統(tǒng)數(shù)據(jù)操作權(quán)限范圍。

表1 業(yè)務(wù)規(guī)則明細(xì)

在分級授權(quán)實(shí)現(xiàn)上，引入“崗位”的概念與實(shí)際部門結(jié)構(gòu)相對應(yīng)。校級管理員對部門級管理員的管理體現(xiàn)在于對部門級管理員管理權(quán)限的分配上，部門級管理員由校級管理員管理，校級管理員分配部門級管理員能夠管理的角色和人員范圍，部門級管理員具有一定的自治性，在其管理范圍內(nèi)，能夠自主管理崗位、分配人員與崗位關(guān)聯(lián)、分配崗位與所管理的角色關(guān)聯(lián)。

用戶權(quán)限獲取

用戶在客戶端提交登錄賬號和密碼后，通過認(rèn)證后將用戶信息存入當(dāng)前會話中，根據(jù)當(dāng)前會話的用戶信息獲取用戶權(quán)限集合，采用如下偽碼表示：

CPermSet GetUserPerm(String userName) //獲取當(dāng)前用戶的權(quán)限集

{

CPostSet postSet = getAssignedUserPosts(userNa me);//獲取用戶的崗位集

CRoleSet roleSet = [];

for (int i=0; i

roleSet= roleSet.union(getAssignedPostRoles(postS et.get(i)));//根據(jù)崗位獲取角色集

}

roleSet.union(getAssignedUserRoles(username);//將用戶直接角色集和崗位角色集進(jìn)行合并，形成用戶最終角色集

CPermSet permSet = [];

for (i=0; i

permSet.union(getAssignedRolePerms(roleSet.get(i)));//根據(jù)角色獲取權(quán)限集

}

return permSet;

}

數(shù)據(jù)權(quán)限獲取

當(dāng)用戶點(diǎn)擊某個(gè)功能菜單或者某個(gè)操作按鈕時(shí)，權(quán)限系統(tǒng)會從權(quán)限庫中檢索出當(dāng)前用戶使用的這個(gè)功能菜單對應(yīng)的角色所擁有的業(yè)務(wù)規(guī)則，使用此業(yè)務(wù)規(guī)則作為過濾條件對用戶可操作的數(shù)據(jù)范圍進(jìn)行控制。

Map getUserPermData(String userName, String permUrl)

{

String roleNo = getRoleFromUserPerm(userName,permUrl);//通過用戶名、資源url獲取對應(yīng)的角色編號String bussinessRuleNo = getAssignedRoleBusines sRule(roleNo);//通過角色編號獲取業(yè)務(wù)規(guī)則編號

String bussinessRuleEntity = getBussinessRuleEnti ty(bussinessRuleNo);// /通過業(yè)務(wù)規(guī)則編號獲取業(yè)務(wù)規(guī)則對應(yīng)的對象實(shí)體

String bussinessRuleExpr = composeBussinessRu

le(businessRuleNo);//通過業(yè)務(wù)規(guī)則編號組裝業(yè)務(wù)規(guī)則表達(dá)式

Map bussinessRule = {getBussinessRuleEntity(role No), bussinessRuleExpr};//將業(yè)務(wù)規(guī)則對應(yīng)的對象實(shí)體和業(yè)務(wù)規(guī)則表達(dá)式組合成Map

return businessRule;

}

角色沖突問題的解決

一個(gè)用戶可以分配多個(gè)角色，一個(gè)角色又能授予多個(gè)功能資源，有可能一個(gè)用戶的兩個(gè)或多個(gè)不同角色授予了同一個(gè)功能資源，如果沒有數(shù)據(jù)授權(quán)，那么并不會產(chǎn)生角色沖突，但如果使用了數(shù)據(jù)授權(quán)，則會產(chǎn)生角色沖突。譬如，一個(gè)用戶同時(shí)被分配了法學(xué)院研究生秘書和管理學(xué)院研究生秘書的角色，這兩個(gè)角色都授予了“查詢學(xué)生學(xué)籍”的功能資源，此時(shí)就會產(chǎn)生角色沖突。解決角色沖突可以通過兩個(gè)辦法：

1.由用戶選擇當(dāng)前會話使用哪個(gè)角色，系統(tǒng)通過會話記錄用戶的當(dāng)前選擇，在本次會話的操作中，都使用當(dāng)前選擇的角色。

2.增加一個(gè)角色，如上面的例子，就可以增加“法學(xué)院、管理學(xué)院研究生秘書”這樣的角色，在業(yè)務(wù)規(guī)則表中設(shè)置表達(dá)式：1 OR 2，在業(yè)務(wù)規(guī)則明細(xì)表中設(shè)置,見表2。

表2 業(yè)務(wù)規(guī)則明細(xì)

上述兩種方案各有利弊，第1個(gè)方案可以有效利用系統(tǒng)已經(jīng)設(shè)定的角色，但是需要用戶選擇，給用戶帶來使用上的不便。第2個(gè)方案通過業(yè)務(wù)規(guī)則的設(shè)定避免了角色沖突，無需用戶選擇，用戶體驗(yàn)會更佳，但是增加了系統(tǒng)管理員的角色管理負(fù)擔(dān)。因此，在實(shí)際建設(shè)過程中，要按照學(xué)校的自身特點(diǎn)加以選擇。

基于角色的細(xì)粒度分級授權(quán)模型把系統(tǒng)角色和業(yè)務(wù)規(guī)則、功能權(quán)限相關(guān)聯(lián)，能夠?qū)崿F(xiàn)靈活的細(xì)粒度數(shù)據(jù)授權(quán)，滿足業(yè)務(wù)安全需求，同時(shí)，通過崗位的設(shè)置，將用戶授權(quán)管理劃分到二級部門，做到及時(shí)、準(zhǔn)確的授權(quán)。經(jīng)過在中山大學(xué)研究生教育管理信息系統(tǒng)上面的實(shí)踐檢驗(yàn)，該模型切實(shí)可行，取得了很好的應(yīng)用效果。