角色访问控制中的职责分离约束

摘 要 基于角色访问控制系统具有传统访问控制系统所不具备的一系列优点，从而成为保证系统安全的首选访问控制模型，而要保证基于角色访问控制系统的安全性，则离不开职责分离约束。本文从基于角色访问控制系统的优点出发，简要介绍了基于角色访问控制系统中约束的重要性，并对职责分离约束的研究现状和发展方向进行了探讨。

【关键词】基于角色访问控制 系统约束 职责分离

随着信息技术和网络通信技术的发展，信息共享程度逐渐增加，与此同时对共享信息及信息系统中信息的安全性提出了更高的要求。而要保证信息系统中信息的安全，业界提出了不同的访问控制方式，如传统的自主访问控制方式和强制访问控制方式等。与上述传统访问控制方式相比，基于角色访问控制RBAC（Role-based Access Control）方式具有如下一系列优点。

（1）在用户和权限之间引入角色，用户不直接拥有权限，而是通过扮演角色间接拥有角色所拥有的权限，从而简化了系统管理；

（2）通过分析企业现有业务流程，构建符合企业业务流程的角色，并给角色分配必要的权限，能够更好地反映企业业务逻辑，从而有利于提高企业生产力和减少新员工的试用期；

（3）基于角色的访问控制系统通过引入一系列的访问控制约束，从而提高了系统的安全性和完整性，并能在一定程度上简化系统规则的调整。

基于此本文在介绍基于角色访问控制系统中约束的重要性基础上，对基于角色访问控制系统中的职责分离约束进行了综述，并对其未来的研究方向进行了展望。

1 访问控制系统中的约束

基于角色访问控制系统，通过在用户和权限之间引入角色的概念，从而使得用户和一系列的角色相关，角色和一系列的权限相关，进而使得用户通过所拥有的角色集获得在系统执行任务所需要的权限结合。由于基于角色访问控制系统所具备的一系列优点，从而得到越来越多的关注和研究，也逐渐成为企业安全应用的首选模型。

基于角色访问控制系统模型包含核心角色访问控制模型RBAC0（Core RBAC），其定义了基于角色访问控制系统所包含的必要元素及元素之间的相互关系，层次角色访问控制模型RBAC1（Hierarchal RBAC），其定义角色之间的相互继承关系，使得用户通过角色间的继承进而获得低级角色，角色限制模型RBAC2（Constraint RBAC），其定义了基于角色访问控制模型下的一系列约束规则，统一模型RBAC3（Combines RBAC），该模型是RBAC1和RBAC2模型的融合，其结构图如图1所示。

基于角色访问控制模型中的约束是访问控制机制得以保障的一个重要因素，如果基于角色访问控制系统离开或者缺乏系统所规定的一系列约束条件，那么其系统本身的安全性和完整性将不能保证，从而也无法体现其相对于传统访问控制机制的优点；其次，基于角色的访问控制系统可以支持最小权限原则、职责分离原则和数据抽象原则。如在某个基于角色访问控制系统中，用户需要获取的权限组合为RQ={p1，p2，p3，p4，p5}，假定该系统中角色r1所拥有的权限集合为{p1，p2，p3}，角色r2所拥有的权限集合为{p3，p4，p5}，则要确保该用户能够完成系统所需要的任务则必将同时拥有角色r1和角色r2，然而如果角色r1和角色r2为互斥角色的话，而将他们同时分配给用户的话，则系统的安全性需求不能保证，由此可见基于角色访问控制系统中的约束对保证系统的安全性具有举足轻重的作用；再者，针对现有企业中拥有众多的用户和权限及角色，从而造成用户角色分配关于复杂的问题，基于角色的访问控制系统通过引入约束实现了系统角色分配权限的下方，从而确保了系统高效地进行角色分配。

2 职责分离约束

在基于角色访问控制系统中约束的研究中，由于职责分离约束在基于角色访问控制系统中保证信息安全所处的重要地位，从而使得其逐渐成为基于角色访问控制系统中所有约束中研究的重点。基于角色访问控制系统中职责分离约束的研究主要分为三大类：一类为单自治域中的职责分离约束研究；二类为多自治域中的职责分离约束研究；三类为职责分离约束的生成研究。

2.1 单自治域职责分离约束研究

单自治域职责分离约束主要包括静态职责分离约束和动态职责分离约束两大类，其中静态职责分离约束由Ferraiolo于1995年提出，该约束指用户在拥有某个角色的同时必须确保其拥有的该角色不能与用户所拥有的其他角色之间是互斥的，其目的是保证在完成一个安全任务或者相关工作时，至少需要两个或者更多的人才能够拥有完成该项任务所拥有的全部权限，从而来保证关键任务的安全性需求。例如角色r1代表企业某一部门会计所对应的角色，而角色r2代表该部门出纳所对应的角色，则角色r1和角色r2不能分配给同一个用户。而动态职责分离约束则允许用户同时拥有互斥的角色，但是同时强调用户在执行任务的同一个会话过程中不能同时以两种互斥的角色身份出现。例如角色r1代表某次运动会中运动员所对应的角色，而角色r2代表该次运动会中裁判所对应的角色，则初始化时运动员角色r1和裁判员角色r2可以同时分配给同一个用户，而该用户在具体比赛的过程中只能够以运动员身份或者裁判员的身份出现。

2.2 多自治域职责分离约束研究

随着信息技术和网络通信技术的快速发展，使得不同部门、不同机构乃至不同自治域间信息的共享成为可能，进而推动多自治域间信息共享及应用系统的不断发展，从而对跨自治域间信息共享过程中的安全问题提出了更高地要求。基于此，2000年Kapadia等人提出了多自治域间实现角色动态映射和转化的模型IRBAC2000，该模型通过传递关联和非传递关联实现不同域角色间的转化，从而使得外域的用户通过域间角色的映射在本域中扮演对应角色，进而执行相应权限，完成相应任务。而在具体的多自治域系统中，可能存在某项任务的完成需要多个域中的不同角色配合来完成，因此常规的职责分离约束已经不能满足多域间的需要，例如进行项目评审时，就需要评定委员会成员的构成不能全部来自同一个自治域，以避免不科学的评审结果发生。基于此，常规的职责分离约束规则已经不能满足该具体要求，因此可定义满足多自治域环境下的一般职责分离约束规则为：

定义一：在具有n个权限的权限集合{p1，p2，…，pn}和m个域{D1，D2，…，Dm}中，不允许少于k个来自不同域中的用户共拥有权限集合中的全部权限，这样的原则被称为一般意义上的多域静态职责分离约束，该一般意义上的多域静态职责分离约束可表示为：

GSSOD<{p1，p2，…，pn}，{D1，D2，…，Dm}，k>

其中{p1，p2，…，pn}表示基于多自治域角色访问控制系统中的一组权限集合，{D1，D2，…，Dm}表示多自治域系统中的不同自治域，m和k是正整数，且满足2≤k，2≤m，该一般意义上的多域静态职责分离约束禁止少于k个域的用户共同拥有权限组{p1，p2，…，pn}中的所有权限。

更严格的可以定义满足多自治域环境下的严格职责分离约束规则为：

定义二：在具有n个权限的权限集合{p1，p2，…，pn}和m个域{D1，D2，…，Dm}中，不允许少于ki个来自域Di中的用户共拥有权限集合中的全部权限，这样的原则被称为严格意义上的多域静态职责分离约束，该严格意义上的多域静态职责分离约束可表示为：

SGSSOD<{p1，p2，…，pn}，{D1，D2，…，Dm}，{k1，k2，…，km}>

其中{p1，p2，…，pn}表示基于多自治域角色访问控制系统中的一组权限集合，{D1，D2，…，Dm}表示多自治域系统中的不同自治域，m和{k1，k2，…，km}是正整数，该多域静态职责分离约束禁止少于ki个来自域Di中的用户共同拥有权限组{p1，p2，…，pn}中的所有权限。

2.3 职责分离约束的生成研究

职责分离约束生成研究文献较少，其中文章讨论了互斥权限和互斥角色的定义，并根据权限和角色之间互斥的原理，指出要获取用户和权限分配表中隐含的权限组之间的互斥关系，就是发现那些在分配关系中用户不能同时拥有的权限组，并基于此通过关联规则算法Apriori生成满足最小加权支持度的互斥角色约束。然后上述的互斥角色和权限约束并没有考虑权限的权重，从而造成生成的互斥约束不够完备，基于此文章定义了权限的权重并在权限的权重基础之上重新定义了基于权限权重的职责分离约束规则的生成算法。

定义三权限pi的权重定义为

ωpi=α×f1（ua）+β×f2（opa）+γ×f3（oba）+δ×ω0

其中，ω0表示依据先验知识所确定的权限pi的初始权重，f1（ua）代表用户属性对权限pi的权重的影响程度，f2（opa）代表操作属性对权限pi的权重的影响程度，f3（oba）代表操作对象的属性对权限pi的权重的影响程度；α，β，γ和δ分别用来代表上述影响对权限权重的影响程度。

3 结语

基于角色的访问控制技术由于其自身的优点从而成为众多安全应用的首选模型，而要确保安全系统的安全性和完整性得以实施，则离不开系统所制定的一系列约束规则，尤其是职责分离约束规则。与此同时，随着对等计算、网格计算、云计算以及物联网等大型网络应用的快速发展，职责分离约束规则在新兴网络环境下将面临更复杂的新问题，这些都值得我们进一步深入研究和更广泛的讨论。

参考文献

[1]National Computer Security Center.A guide to understanding discretionary access control in trusted system. NCSC-TG-003，September 1987，1-29.

[2]David F.Ferraiolo，Janet A.Cugini and D.Richard Kuhn.Role-based access control（RBAC）：Features and motivations，in： proceedings of 11th annual computer security APPlications conference，1995，241-248.

[3]R.S.Sandhu，E.J.Coyne，H.L.Feinstein and C.E.Youman.Role-based access control models.IEEE Computer，1996，29（02）：38-47.

[4]Ansi，American national standard for information technology–role based access control.ANSI INCITS 359，2004，1-5.

[5]Li Ruixuan，Lu Jianfeng，Li Tianyi， et al.An APProach for Resolving Inconsistency Conflicts in Access Control Policies.Chinese Journal of Computers，2013，36（06）：1210-1223.

[6]Li，N.，Bizri，Z.，Tripunttara，M.V.On Mutually-exclusive Roles and Separation of Duty [C]. In：Proceedings of the 11th ACM Conference on Computer and Communications Security，ACM Press， New York，2004：42-51.

[7]K.Apu，J.Al-Muhtadi，R.Campbell， et al.IRBAC2000：Secure Interoperability Using Dynamic Role Translation.Technical Report： UIUCDCS-R-2000-2162，2000：1-8.

[8]Xiaopu Ma，Ruixuan Li，Zhengding Lu， et al.Global Static Separation of Duty in Multi-domains [C].In：Proceeding of the 2009 International Conference on Multimedia Information Networking and Security，Wuhan，China，2009：18-20.

[9]Xiaopu Ma，Ruixuan Li，Zhengding Lu， et al.Mining Constraints in Role-Based Access Control.Mathematical and Computer Modelling，2012，55（1-2）：87-96.

[10]Xiaopu Ma，Jianfang Wang，Li Zhao， Ruixuan Li.Mutual Exclusion Role Constraint Mining Based on Weight in Role-Based Access Control System， International Journal of Innovative Computing， Information and Control， 2016，12（01）：91-101.

作者简介

赵莉（1977-），女，河南省南阳市人。大学本科学历。现南阳师范学院计算机与信息技术学院工程师。主要研究方向为访问控制机网络安全。

作者单位

南阳师范学院计算机与信息技术学院 河南省南阳市 473061