刘智等一种面向系统基于权限位的访问控制方法设计和实现中的实践给出了一种访问控制模型并设计了基于权限位的访问控制算法以在满足访问控制需求的前提下减少计算

657 '))6$% 计算机工程与科学 +.108#(!#110!#( 9 )*!1#*1 第 5 卷第期年月 :+,;56+;#; 文章编号 $%$5 一种面向系统基于权限位的访问控制方法刘智吴刚上海交通大学软件学院上海摘要访问控制技术是保障信息系统安全的关键技术在对已有的访问控制技术进行了回顾和分析的基础上提出了访问控制模型该模型针对系统中存在的用户层次多数据量大数据细粒度的控制等因素造成的系统性能低效和管理困难的问题引入了用户组层次来替代访问控制模型中的角色层次并增加了权限层次结构来管理数据权限同时结合在某企业系统设计和实现中的实践设计了基于权限位的访问控制算法用于解决正负权限引起的策略冲突问题实验结果表明了该模型和算法在大型信息系统权限管理的高效性关键词产品数据管理基于角色的访问控制访问控制中图分类号文献标志码!""#$%! "#" &'! #( )*++,+-)+-./01)#(!!++#(#!10"!.)#(!!# "**1""*+#.0+,!"#!+0.#."1*0!..1*#+,+(.+0+.1*..1!#-+0.!+#"".1'#.!"10/101!1/.112!".!#(**1""*+#.0+,+31,"#30++"1.1+31,!"+31,!"31"!(#13.+"+,1.10+4,1""*"!#1-!*!1#*#33!-!*,.#(11#./!*12!".!#.1 "".1#301*"134(1+#.+-3.-!#1(0!#13*+#.0+,+-3.#3.++#"10,11,"1 "1"10(0+!100*!#".13+-0+,1!100*.+31*01"110!""!+#*+#-!(0.!+#3.#3!#.0+3*1 10!""!+#!100*.+ #(13.10!""!+##310.1,!*.!+#!##1#.100!"1 "".1 /1,"+0++"1#**1""*+#.0+,,(+0!.4"13+#10!""!+#4!.".+"+,1.1*+#-,!*.*"134#1(.!110!""!+#" $!%**1""*+#.0+, & 引言数据资源作为企业的核心资产直接关系到企业的经济利益因此对数据资源访问的安全性保障工作尤为重要产品数据管理 0+3*..#(11#. 系统是设计生产型企业的重要信息系统管理着所有与产品相关的信息包括产品的零部件信息结构配置文件等和所有与产品相关的过程包括审批发放工程更改一般流程配置管理等目前已有一些系统如 11#.10!#3*!,1.0!2)0.1 在航空能源船舶制造等领域有着广泛的应用但是实践过程中发现这些系统中存在一个普遍的问题即文档访问的速度慢其主要原因在于大型企业对数据细粒度的访问控制造成了大量的计算同时用户层次多产品数据量大也增加了权限配置管理上的难度本文针对这一问题结合在某企业系统收稿日期修回日期 5 通讯地址上海市上海交通大学软件学院 )*++,+-)+-./01)#(!!++#(#!10"!.)#(!!#

刘智等一种面向系统基于权限位的访问控制方法设计和实现中的实践给出了一种访问控制模型并设计了基于权限位的访问控制算法以在满足访问控制需求的前提下减少计算时间提高文档访问效率本文第节介绍了典型的访问控制模型第节结合某企业系统对访问控制的需求提出了一种 +,1"13 **1"" +#.0+, 模型第节在模型的基础上给出了一种基于权限位的访问控制判断算法并通过对比实验说明了本文算法和模型的有效性最后对本文进行了总结 $ 信任管理等被称为下一代访问控制模型 0!*/010+,14"13**1""*+#.0+, 提出了一种支持隐私信息访问控制机制的框架扩展了模型是在工作流中的具体应用是一种新工作流系统的带权角色与周期时间访问模型空间矢量数据细粒度强制查询访问控制模型针对敏感空间地理矢量数据形状不规则跨多级敏感区域分布的特点对强制访问控制模型进行空间扩展将空间数据查询与安全策略检索相结合本文将要介绍的访问控制模型也是对模型的一种扩展 ' 典型的访问控制模型访问控制模型访问控制技术是保障信息系统安全的一种重要技术它是通过某种途径显式地准许或限制主体对客体访问能力及范围的一种方法通过对资源的限制访问防止非法用户侵入或因为合法用户的不慎操作而造成的破坏从而保证系统资源受控地合法地使用传统的访问控制有自主访问控制!" *01.!+#0**1""+#.0+, 和强制访问控制 #3.+0**1""+#.0+, 自主访问控制是在确认主体身份以及主体所属组的基础上对访问进行限制的一种方法中具有某种访问权的主体能够自行决定将其访问权直接或间接地授予其他主体它具有很大的灵活性但是这种灵活性可能会导致权限的传递出现失控而导致信息泄露强制访问控制是强加给主体的一种访问控制方式为所有的主体和客体分配了敏感标签利用敏感标签来确定主体是否可以访问客体的特定信息如只有当主体的敏感等级高于或等于客体的敏感等级时才允许主体访问客体的主要缺点在于实现工作量较大管理不便对系统连续工作能力和授权的可管理性方面考虑不足基于角色的访问控制是当前应用最为广泛的访问控制模型其中引入了角色的概念用户与权限通 5 过角色相关联使得授权管理变得简单企业的环境与需求不同对访问控制的要求也不同国内外的计算机学者和技术人员不断对访问控制模型进行完善和扩展提出了一些新的模型如 6 0!*/010+,14"13**1""*+#.0+, $ 7 等其中使用控制 6 模型基于授权责任条件三大决策因素及主客体属性实现动静结合的授权策略包含了企业内不同层次的用户在同一个集成环境下工作产品过程的每一个步骤涉及到各种人员他们在产品生命周期中对数据文档有不同的操作需要被授予不同的权限结合在某企业的实践我们发现系统访问控制需求的复杂性主要表现在以下三个方面主体的复杂性企业的用户层次多组织结构庞大导致用户权限管理的难度大客体的复杂性企业的数据资源庞大制造一个产品可产生几十万个文档这些文档具有多个属性如安全标识生命周期等控制过程的复杂性用户和数据资源具有安全标识且用户不能访问高于自己安全等级的数据资源用户对数据资源的权限随着数据资源的生命周期变化而变化如文档创建者可以修改处于创建状态的文档但不能修改处于已发布状态的文档为了实现上述系统访问控制的需求本文在模型的基础上使用用户组层次替代访问控制模型中的角色层次并引入了权限层次结构来组织权限得到了模型图和图分别展示了控制模型的结构和权限的层次结构下面详细描述模型的元素和元素间的关系主体 "10 用户是具有某些属性的实体并且持有部分权限用户的属性决定其是否具有访问某类资源的能力如组名角色安全标识等客体 1"+0*1 访问控制的核心功能是保护系统资源在

$ +.108#(!#110!#( 9 )*!1#*1 计算机工程与科学 5!(01**1""*+#.0+,+31, 图访问控制模型!(0110!""!+#!100* 图权限组织结构系统中受保护的资源有系统功能和数据资源系统功能有产品配置管理产品文档管理电子仓库管理权限管理等系统中的数据资源多种多样如设计图纸施工图纸财务文档等为了更好地管理如此种类繁多的数据资源具有类似操作权限的数据资源客体可组织成文件夹安全标识 )1*0!.&11, 系统中的部分资源包含敏感信息安全标识用来标识具有敏感信息的数据资源用户不能读取高于其安全标识的数据资源数据资源的安全级别可分为绝密机密普通等级别操作 10.!+# 系统中的权限操作可以分为两类第一类操作为读写等基本操作第二类操作为完全控制等组合操作模型中引入了拒绝权限例如拒绝读拒绝写等它的优先级最高给权限的配置带来了很多方便例如要实现某用户组除用户 +4 外其他人都有权限安全管理员只需先简单地给 +4 设定拒绝权限再设定组内所有成员拥有权限则可实现上述功能如果不存在拒绝权限那么就必须给组内其他成员一一赋权才能实现由此可见引入拒绝权限简化了系统管理减少了授权数据量 5 角色 +,1 角色是一种有利于安全管理员组织权限的方式如将一个用户分配给另外一个项目安全管理员可以简单地让这个用户分配到一个新的角色系统的角色有系统管理员安全管理员业务管理员设计人员总工程师等用户组 "100+ 和用户组层次结构 "100+!100* 用户组依据企业的组织结构划分用户组层次结构定义企业的职能继承关系如果用户组包含了用户组则用户组继承用户组的所有权限采用用户组层次结构代替角色层次结构有利于安全管理部门和人力资源部门的职责分离例如人力资源部门管理企业的组织结构如果企业要建立一个新的部门人力资源部门负责部门的建立安全管理员只需给该部门分配某些角色而无需建立新的角色层次来体现企业结构的变化同时采用用户层次结构可以简化授权工作系统中包含大量的用户和角色如果给每个用户分配角色授权数据库必须记录每一条用户角色关系数据而现在只需记录一条用户组和角色对应的数据大大减少了授权数据量 $ 权限 10!""!+# 和权限层次结构 10!" "!+#!100* 权限是对系统中受保护的一个或多个客体对象执行操作的许可由操作客体以及客体属性包括生命周期客体类型组成权限层次结构定义了系统中数据资源之间的继承语义结构如产品与产品设计文档的关系在权限分配时给上层权限赋权即针对该上层权限所有的子权限赋权而对子权限赋权只是针对子权限本身赋权在实际应用中对用户赋权即指派用户去完成一系列的组合权限安全管理员可以给用户分配上层权限即可实现用户对所有下层权限的配置简化了授权工作图是产品数据权限层次结构的例子产品包含了设计数据财务数据项目产品产品设计文档图纸等这些数据资源都处于不同的权限层次项目对象的权限适用于下层各个对象如产品产品设计文档等 7 会话 )8))'6 会话 )8))'6) 是用户与激活的角色集合之间的映射一个用户建立一个会话时可以激活不同的角色用户组角色分配角色权限分配用户与用户组分配会话角色用户会话是模型元素间的重要关系在系统中用户组与角色角色和权限是多对多的关系例如一个用户组可以拥有一个或多个角色而一个角色也可以被分配给一个或多个用户组一个角色可以访问一个或多个资源而一个资源也可以被

刘智等一种面向系统基于权限位的访问控制方法一个或多个角色访问这种方式带来了给角色分配权限和给角色分配用户组时的灵活性和细粒度基于权限位的访问控制判断算法上述模型存在正负权限赋予为正权限拒绝为负权限系统权限配置中会出现相同主体对客体具有互斥的权限例如某项配置要求主体执行某项操作而另一项配置却禁止主体执行此项操作为了解决正负权限的策略冲突问题并实现某用户各种角色权限的合并计算本节给出权限操作位的定义和基于权限位的计算方法 (& 权限操作定义系统中可独立赋予的数据权限操作有读取修改删除设定安全标识每个权限操作有三种状态有无拒绝本文采用两位二进制编码来表示操作状态由于拒绝权限具有优先否决权在整个运算过程中拒绝的状态保持不变二进制代码与其它两位二进制码进行按位或运算后的结果仍然是状态不发生改变所以我们取为拒绝权限的状态标识由此得出以下权限操作的状态设置拒绝操作权限状态没有配置操作权限状态具有操作权限状态权限操作名表列出了各种权限操作的二进制代码值 )"&# 权限操作代码表 & 权限操作代码安全标识 7$ 删除 5 修改读取全部控制拒绝设定安全标识设定安全标识拒绝删除删除拒绝修改修改拒绝读取读取其中读取操作状态为位修改操作状态为位删除操作状态为 5 位设定安全标识操作状态为 $7 位由此得出全部控制为拒绝设定安全标识为设定安全标识为读取为 $5 (' 基于权限位的访问权限计算系统中一个用户可以有多个角色用户所属的用户组又可能有新的角色分配这些角色对某个资源可能都有权限配置因此需要对这些权限配置进行合并计算基于上述权限位操作定义下的某用户访问权限计算方法如算法所示算法 & 基于权限位的访问权限计算 '#. 用户操作资源.. 权限取值为 1"6+1" 意味着用户可以对资源执行操作初始化位串!- 被赋予的安全标识高于被赋予的安全标识 +,1 被赋予的角色集合! 所有包含的用户组 -+0,"!3+ +,1 每个 " 被赋予的角色集合 1#3-+0 -+0, 3+ 对的权限位串位串并操作 1#3-+0 #$% 截取中第位和第位!-#$% &&.1# 1" 1,"1 6+ 1#3!- 1,"1 6+ 1#3!- ( 实验结果基于模型和基于权限位的访问控制判断算法本文以某企业为例设定系统中用户个用户组个角色个并参照企业的安全管理策略就和两种访问控制方法对系统性能影响实施了随着数据资源的增加授权数据量和访问时间变化的实验实验结果如图和图所示图显示随着数据资源规模的增加的授权数据量远小于中的授权数据量图显示不同的访问控制方法所花费的时间不一样其中随着数据规模的增加访问权限的计算时间趋向稳定且保持在 5 秒以下模型中的计算时间随着数据规模的增加线

$ +.108#(!#110!#( 9 )*!1#*1 计算机工程与科学 5 性增长由此可以看出模型和基于权限位的访问权限计算在大型信息系统的权限管理中具有高效性 5100!+,+)#30++"136')".#303-+00+,14"13 **1""*+#.0+, 0#"*.!+#"+#'#-+0.!+# #3 )".1)1*0!.'))8$ 0=)#316"(1*+#.0+,+31, 0#"*.!+#"+#'#-+0.!+##3)".1)1*0!.') )8$7$ $6!>10.!#+8&+4+0!*/010+,14"13**1"" *+#.0+, 0#"*.!+#"+#'#-+0.!+##3)".1 )1*0!.'))8 7#(%!+!#(++#(.+1?1(#( /1!(.13 0+,1#310!+3!*.!1**1""*+#.0+,+31,+-/+0=-,+/""!(01+#.+-.+0!<133.*+0!"+#*0. 图授权数据量对比图.1+0#,+-)+-./01777!#!#1"1 %1#(&@!#1"10*#3311,+1#.+-.0".# (11#.!#/14"1*0!.+0#,+-)+-./01 5$!#!#1"1 #(1#!1#(1#((+!#1(0!#13#3.+0A10**1""*+#.0+,+31,#3!."1-!*!1#.01,!<.!+# -+0".!,1*.+03.+0#,+-)+-./01 77$77!#!#1"1 附中文参考文献 * 结束语!(01#.!1*+0!"+#*0. 图运行时间对比图本文分析了某企业的访问控制需求针对其复杂性在已有的模型基础上提出了模型该模型的用户组层次有利于企业的职责分离简化了安全管理员的管理工作权限层次结构可以有效地组织数据权限和减少授权数据量同时针对系统中存在的正负权限冲突引入了权限位的访问决策合并算法实验结果表明该模型和算法在大型信息系统的权限管理中具有高效性参考文献 &!)#!#(&!6!0++!#().#303+-0+3*.3.#31!!#("!#(#!10"!.01""!#!#1"1 # 1#!&!+0!#*!,1"#3!,11#..!+# +- 0+3*.3.#(11#.1!!#(!#*!#101""!#!#1"1 )1#!4++#(#**1""*+#.0+,+31,01"10*,!*.!+#1"10*+-+.10"5!#!#1"1 )#3+#18+,14"13**1""*+#.0+,+31," '888+.107$ 李善平刘乃若郭明产品数据标准与北京清华大学出版社范文慧李涛产品数据管理的原理与实施北京机械工业出版社沈海波洪帆访问控制模型研究综述计算机应用研究 5 7 王小明赵宗涛郝克刚工作流系统带权角色与周期时间访问控制模型软件学报 777 徐锋吕建 14 安全中的信任管理研究与进展软件学报 5$ 张妍陈驰冯登国空间矢量数据细粒度强制查询访问控制模型及其高效实现软件学报 77$ 77 作者简介刘智 7$ 女湖南祁阳人硕士生研究方向为分布计算和信息系统 +,!<!,!+*+,-./4+0#!#7$)*#3!3.1 1001"10*!#.101"."!#*,31 3!".0!4.13 *+.!#(#3!#-+0.!+#"".1 吴刚 $ 男江苏南通人博士副教授研究方向为分布式计算和云计算 +/(#(*"".13*# 0. 14+0#!#$""+*!.10+-1""+0!"01"10*!#.101"."!#*,31 3!".0!4.13*+.!#(#3*,+3*+.!#(

刘 智 等 一 种 面 向 系 统 基 于 权 限 位 的 访 问 控 制 方 法 设 计 和 实 现 中 的 实 践 给 出 了 一 种 访 问 控 制 模 型 并 设 计 了 基 于 权 限 位 的 访 问 控 制 算 法 以 在 满 足 访 问 控 制 需 求 的 前 提 下 减 少 计 算

刘智等一种面向系统基于权限位的访问控制方法设计和实现中的实践给出了一种访问控制模型并设计了基于权限位的访问控制算法以在满足访问控制需求的前提下减少计算