基于RBAC的權(quán)限管理系統(tǒng)的實(shí)現(xiàn)
0 引 言
本文引用地址:http://www.ex-cimer.com/article/90104.htm在許多的實(shí)際應(yīng)用中,不只是要求用戶簡(jiǎn)單地進(jìn)行注冊(cè)登錄,還要求不同類別的用戶對(duì)資源有不同的操作權(quán)限。目前,權(quán)限管理系統(tǒng)也是重復(fù)開(kāi)發(fā)率最高的模塊之一。在企業(yè)中,不同的應(yīng)用系統(tǒng)都擁有一套獨(dú)立的權(quán)限管理系統(tǒng)。每套權(quán)限管理系統(tǒng)只滿足自身系統(tǒng)的權(quán)限管理需要,無(wú)論在數(shù)據(jù)存儲(chǔ)、權(quán)限訪問(wèn)和權(quán)限控制機(jī)制等方面都可能不一樣,這種不一致性存在如下弊端:
(1)系統(tǒng)管理員需要維護(hù)多套權(quán)限管理系統(tǒng),重復(fù)勞動(dòng);
(2)用戶管理、組織機(jī)構(gòu)等數(shù)據(jù)重復(fù)維護(hù),數(shù)據(jù)一致性、完整性得不到保證;
(3)由于權(quán)限管理系統(tǒng)的設(shè)計(jì)不同,概念解釋不同,采用的技術(shù)有差異,權(quán)限管理系統(tǒng)之間的集成存在問(wèn)題,實(shí)現(xiàn)單點(diǎn)登錄難度十分大,也給企業(yè)構(gòu)建企業(yè)門(mén)戶帶來(lái)困難。
采用統(tǒng)一的安全管理設(shè)計(jì)思想,規(guī)范化設(shè)計(jì)和先進(jìn)的技術(shù)架構(gòu)體系,構(gòu)建一個(gè)通用的、完善的、安全的、易于管理的、有良好的可移植性和擴(kuò)展性的權(quán)限管理系統(tǒng),使得權(quán)限管理系統(tǒng)真正成為權(quán)限控制的核心,在維護(hù)系統(tǒng)安全方面發(fā)揮重要的作用,是十分必要的。
本文介紹一種基于角色的訪問(wèn)控制RBAC(role-based policies access control)模型的權(quán)限管理系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn),系統(tǒng)采用基于.NFT Framework 2.0架構(gòu)技術(shù)實(shí)現(xiàn),并討論了應(yīng)用系統(tǒng)如何進(jìn)行權(quán)限的訪問(wèn)和控制。
1 RBAC的基本思想
企業(yè)環(huán)境中的訪問(wèn)控制策略一般有3種:自主型訪問(wèn)控制方法、強(qiáng)制型訪問(wèn)控制方法和基于危色的訪問(wèn)控制方法(RBAC)。其中,自主式太弱,強(qiáng)制式太強(qiáng),二者工作最大,不便于管理?;诮巧脑L問(wèn)控制方法是目前公認(rèn)的解決大型企業(yè)的統(tǒng)一資源訪問(wèn)控制的有效方法。其最著的2大特征是:(1)減小授權(quán)管理的復(fù)雜性,降低管理開(kāi)銷;(2)靈活地支持企業(yè)的安全策略,并對(duì)企業(yè)的變化有很大的伸縮性。
美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(the national institute of standards and technology,NIST)標(biāo)準(zhǔn)RBAC模型由4個(gè)部件模型組成,這4個(gè)部件模型分別是基本模型RBAC0(core RBAC)、角色分級(jí)模型RBAC1(hierarchal RBAC)、角色限制模型RBAC2(constraint RBAC)和統(tǒng)一模型RBAC3(combines RBAC)。RBAC0模型如圖1所示。
(1)RBAC0定義了能構(gòu)成一個(gè)RBAC控制系統(tǒng)的最小的元素集合。在RBAC之中,包含用戶users(USERS)、角色roles(ROLES)、目標(biāo)objects(OBS)、操作operations(OPS)、許可權(quán)permissions(PRMS)五個(gè)基本數(shù)據(jù)元素,權(quán)限被賦予角色,而不是用戶,當(dāng)一個(gè)角色被指定給一個(gè)用戶時(shí),此用戶就擁有了該角色所包含的權(quán)限。會(huì)話sessions是用戶與激活的角色集合之間的映射。RBAC0與傳統(tǒng)訪問(wèn)控制的差別在于增加一層間接性帶來(lái)了靈活性,RBAC1、RBAC2、RBAC3都是先后在RBAC0上的擴(kuò)展。
(2)RBAC1引入角色間的繼承關(guān)系,角色間的繼承關(guān)系可分為一般繼承關(guān)系和受限繼承關(guān)系。一般繼承關(guān)系僅要求角色繼承關(guān)系最一個(gè)絕對(duì)偏序關(guān)系,允許角色間的多繼承。而受限繼承關(guān)系則進(jìn)一步要求角色繼承關(guān)系是一個(gè)樹(shù)結(jié)構(gòu)。
(3)RBAC2模型中添加了責(zé)任分離關(guān)系。RBAC2的約束規(guī)定了權(quán)限被賦予角色時(shí),或角色被賦予用戶時(shí),以及當(dāng)用戶在某一時(shí)刻激活一個(gè)角色時(shí)所應(yīng)遵循的強(qiáng)制性規(guī)則。責(zé)任分離包括靜態(tài)責(zé)任分離和動(dòng)態(tài)責(zé)任分離。約束與用戶-角色-權(quán)限關(guān)系一起決定了RBAC2模型中用戶的訪問(wèn)許可。
(4)RBAC3包含了RBAC1和RBAC2,既提供了角色間的繼承關(guān)系,又提供了責(zé)任分離關(guān)系。
事實(shí)上,RBAC認(rèn)為權(quán)限授權(quán)實(shí)際上是Who、What、How的問(wèn)題。在RBAC模型中,who、what、how構(gòu)成了訪問(wèn)權(quán)限三元組,也就是"Who對(duì)What(Which)進(jìn)行How的操作"。這點(diǎn)我們?cè)诤竺娴拿枋鲋衼?lái)詳細(xì)討論。
2采用.NET Framework 2.0架構(gòu)設(shè)計(jì)
采用.NET Framework 2.0企業(yè)平臺(tái)架構(gòu)構(gòu)建權(quán)限管理系統(tǒng)。NET Framework 2.0集成了先進(jìn)的軟件體系架構(gòu)思想,具有采用多層分布式應(yīng)用模型、基于組件并能重用組件、統(tǒng)一完全模型和靈活的事務(wù)處理控制等特點(diǎn)。而且在需要的時(shí)候,可以與Windows Server 2003的Active Directory進(jìn)行無(wú)縫連接,直接通過(guò)Active Directory管理用戶帳戶。
系統(tǒng)邏輯上分為四層:表現(xiàn)層、業(yè)務(wù)層、數(shù)據(jù)訪問(wèn)層和數(shù)據(jù)層。
(1)表現(xiàn)層主要負(fù)責(zé)人機(jī)交互??梢允瓜到y(tǒng)管理員通過(guò)Web瀏覽器訪問(wèn)。
(2)業(yè)務(wù)層提供業(yè)務(wù)服務(wù),包括業(yè)務(wù)數(shù)據(jù)和業(yè)務(wù)邏輯,集中了系統(tǒng)業(yè)務(wù)處理。
(3)數(shù)據(jù)訪問(wèn)層主要負(fù)責(zé)數(shù)據(jù)的訪問(wèn),如數(shù)據(jù)的增加、修改、刪除和查找等。
(4)數(shù)據(jù)層主要負(fù)責(zé)數(shù)據(jù)的存儲(chǔ)、組織和管理。數(shù)據(jù)層使用了 SQL Server 2000或SQL Server 2005來(lái)實(shí)現(xiàn)。
3核心對(duì)象模型設(shè)計(jì)
根據(jù)RBAC模型的權(quán)限設(shè)計(jì)思想,建立權(quán)限管理系統(tǒng)的數(shù)據(jù)庫(kù)模型,如圖2所示。
根據(jù)RBAC模型的權(quán)限設(shè)計(jì)思想,建立權(quán)限管理系統(tǒng)的核心對(duì)象模型,如圖3所示。
由于RBAC解決的就是Who、What、How的問(wèn)題,通過(guò)圖3來(lái)做一個(gè)詳細(xì)的描述:
Who:權(quán)限的擁用者或主體(User、Group、Role、Actor)。
What:權(quán)限針對(duì)的對(duì)象或資源(Resource),資源具有層次關(guān)系和包含關(guān)系。例如,網(wǎng)頁(yè)是資源,網(wǎng)頁(yè)上的按鈕、文本框等對(duì)象也是資源,是網(wǎng)頁(yè)節(jié)點(diǎn)的子節(jié)點(diǎn),如可以訪問(wèn)按鈕,則必須能夠訪問(wèn)頁(yè)面。資源應(yīng)該是一個(gè)樹(shù)形結(jié)構(gòu)。
How:具體的權(quán)限(Privilege,正向授權(quán)與負(fù)向授權(quán)),這個(gè)權(quán)限是綁定在特定的對(duì)象上的。比如說(shuō)教師測(cè)評(píng)系統(tǒng)新聞的發(fā)布權(quán)限,叫做"部門(mén)新聞發(fā)布權(quán)限"。這就表明,該P(yáng)rivilege是一個(gè)發(fā)布權(quán)限,而且是針對(duì)部門(mén)新聞這種資源的一種發(fā)布權(quán)限。權(quán)限,包括系統(tǒng)定義權(quán)限和用戶自定義權(quán)限,用戶自定義權(quán)限之間可以指定排斥和包含關(guān)系(如:讀取,修改,管理三個(gè)權(quán)限,管理權(quán)限包含前兩種權(quán)限)。
Operator:操作。表明對(duì)What的How操作。也就是Privilege+Resource的集合;
Role:角色,一定數(shù)量的權(quán)限的集合,是粗粒度和細(xì)粒度(業(yè)務(wù)邏輯)的接口。一個(gè)基于粗粒度控制的權(quán)限框架軟件,對(duì)外的接口應(yīng)該是Role,具體業(yè)務(wù)實(shí)現(xiàn)可以直接繼承或拓展豐富Role的內(nèi)容,Role不是如同User或Group的具體實(shí)體,它是接口概念,抽象的通稱。Role的繼承通過(guò)Group來(lái)體現(xiàn),所以不考慮Role的繼承關(guān)系。但是Role可以與相關(guān)的Group相關(guān)聯(lián),便于授權(quán)。
Group:用戶組,權(quán)限分配的單位與載體,直接映射組織關(guān)系。權(quán)限不考慮分配給特定的用戶。組可以包括組(以實(shí)現(xiàn)權(quán)限的繼承)。組可以包含用戶,組內(nèi)用戶繼承組的權(quán)限。Group要實(shí)現(xiàn)繼承。即在創(chuàng)建時(shí)必須要指定該Group的ParentGroup是什么Group。在粗粒度控制上,可以認(rèn)為,只要某用戶直接或者間接的屬于某個(gè)Group那么它就具備這個(gè)Group的所有操作許可。細(xì)粒度控制上,在業(yè)務(wù)邏輯的判斷中,User僅應(yīng)關(guān)注其直接屬于的Group,用來(lái)判斷是否"同組"。
User:純粹的用戶,與權(quán)限分離,只能通過(guò)Role去關(guān)聯(lián)相應(yīng)的權(quán)限。
該模型中主要的關(guān)系有:分配資源操作RA(resource assignment)、分配角色權(quán)限PA(privi-lege assignment)、分配用戶組角色GA(group as-signment)描述如下:
(1)分配資源訪問(wèn)RA:實(shí)現(xiàn)資源和操作之間的關(guān)聯(lián)關(guān)系映射。
(2)分配角色權(quán)限PA:實(shí)現(xiàn)操作和角色之間的關(guān)聯(lián)關(guān)系映射。
(3)分配用戶組角色GA:實(shí)現(xiàn)用戶組和角色之間的關(guān)聯(lián)關(guān)系映射。 權(quán)限管理系統(tǒng)的操作模式主要分為以下3個(gè)步驟:
(1)創(chuàng)造資源、權(quán)限:用戶創(chuàng)建一個(gè)資源(Re-source)的實(shí)例的時(shí)候指定相關(guān)的權(quán)限以及權(quán)限分配。比如學(xué)生測(cè)評(píng)只能創(chuàng)建者有修改的權(quán)限,同Group的人員只能擁有查看的權(quán)限。
(2)分配權(quán)限:系統(tǒng)管理員指定相關(guān)資源(Re-source)的權(quán)限分配,創(chuàng)建Role,創(chuàng)建Group,給Role分配權(quán)限,給Group分配User,給Group賦予某個(gè)Role等等。
(3)使用權(quán)限:User使用管理員分配的角色去使用相應(yīng)的系統(tǒng)功能。
4權(quán)限訪問(wèn)機(jī)制
權(quán)限管理系統(tǒng)服務(wù)器端:提供集中管理權(quán)限的服務(wù),負(fù)責(zé)提供用戶的鑒別、用戶信息、用戶組信息,以及權(quán)限關(guān)系表的計(jì)算,如圖4所示。
系統(tǒng)根據(jù)用戶、用戶組、角色、操作、訪問(wèn)方式和資源對(duì)象之間的關(guān)聯(lián)關(guān)系,同時(shí)考慮權(quán)限的正負(fù)向授予,計(jì)算出用戶的最小權(quán)限。在業(yè)務(wù)邏輯層使用SecuirtyManager.GetPower()方法實(shí)現(xiàn)此服務(wù)。采用代理Proxy模式,集中控制來(lái)自應(yīng)用系統(tǒng)的所要訪問(wèn)的權(quán)限計(jì)算服務(wù),并返回權(quán)限關(guān)系表,即二元組{ResouceId,OperationId}。
在表現(xiàn)層:可以通過(guò)訪問(wèn)能力表CL和訪問(wèn)控制表ACL兩種可選的訪問(wèn)方式訪問(wèn)權(quán)限管理系統(tǒng)。以基于.NET Framework的教師測(cè)評(píng)系統(tǒng)為例,說(shuō)明訪問(wèn)過(guò)程:
(1)首先采用基于表單的驗(yàn)證??紤]到需要鑒別的實(shí)體是用戶,采用基于ACL訪問(wèn)方式。用戶登錄時(shí)調(diào)用權(quán)限管理系統(tǒng)的用戶鑒別服務(wù),如果驗(yàn)證成功,調(diào)用權(quán)限計(jì)算服務(wù),并返回權(quán)限關(guān)系表,以HashTable的方式存放到登錄用戶的全局Session中;如果沒(méi)有全局的Session或者過(guò)期,則被導(dǎo)向到登錄頁(yè)面,重新獲取權(quán)限。
(2)直接URL資源采用基于CL訪問(wèn)方式進(jìn)行的訪問(wèn)控制。如果用戶直接輸入U(xiǎn)RL地址訪問(wèn)頁(yè)面,有兩種方法控制訪問(wèn):1.通過(guò)權(quán)限標(biāo)簽讀取CL進(jìn)行控制;2.采取頁(yè)面載人判斷權(quán)限模式,進(jìn)行權(quán)限控制,如果沒(méi)有權(quán)限,則重定向到登錄頁(yè)面。
5權(quán)限控制機(jī)制
由于應(yīng)用系統(tǒng)的權(quán)限控制與特定的技術(shù)環(huán)境有關(guān),以基于.NET Framework 2.0架構(gòu)的教師測(cè)評(píng)系統(tǒng)為例來(lái)說(shuō)明,系統(tǒng)主要的展示組件是aspx頁(yè)面,采用標(biāo)記和權(quán)限控制組件共同來(lái)實(shí)現(xiàn)。
(1)權(quán)限標(biāo)識(shí):利用頁(yè)面標(biāo)簽來(lái)標(biāo)識(shí)該頁(yè)面上所有的權(quán)限訪問(wèn)控制對(duì)象。
(2)權(quán)限控制:應(yīng)用系統(tǒng)用戶登錄系統(tǒng)時(shí),從權(quán)限管理中獲得權(quán)限關(guān)系表之后,一方面,權(quán)限標(biāo)簽控制頁(yè)面展示;另一方面,利用權(quán)限控制組件在業(yè)務(wù)邏輯中進(jìn)行相應(yīng)的權(quán)限控制,尤其是和業(yè)務(wù)邏輯緊密聯(lián)系的控制對(duì)象實(shí)例的權(quán)限控制。
6權(quán)限數(shù)據(jù)存儲(chǔ)機(jī)制
權(quán)限管理采用了關(guān)系型數(shù)據(jù)庫(kù)SQL Server2000或SQL Server 2005用來(lái)存儲(chǔ)用戶信息、用戶組信息、角色、操作、權(quán)限等信息。
7結(jié) 論
本文論述了一種基于RBAC的權(quán)限管理系統(tǒng)的實(shí)現(xiàn)技術(shù)方案。該權(quán)限管理系統(tǒng)已成功應(yīng)用于教師測(cè)評(píng)系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)實(shí)踐,與教師測(cè)評(píng)系統(tǒng)具有很好的集成。實(shí)踐表明,采用基于RBAC模型的權(quán)限管理系統(tǒng)具有以下優(yōu)勢(shì):由于角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對(duì)要慢得多,減小了授權(quán)管理的復(fù)雜性,降低管理開(kāi)銷;而且能夠靈活地支持應(yīng)用系統(tǒng)的安全策略,并對(duì)應(yīng)用系統(tǒng)的變化有很大的伸縮性;在操作上,權(quán)限分配直觀、容易理解,便于使用;分級(jí)權(quán)限適合分層的用戶級(jí)形式;重用性強(qiáng)。
評(píng)論