基于三员管理和拓展的角色访问控制方法与流程

本发明涉及信息对抗/信息安全技术领域，具体而言涉及一种基于三员管理和拓展的角色访问控制方法。

背景技术：

随着信息化的高速发展，越来越多的企业采用信息系统对企业信息进行有效管理。目前国内外众多企业信息系统包含许多关于企业及员工相关的秘密信息，为了能够高效地防止非法用户进入系统访问信息资源和阻止合法用户对未拥有权限的系统资源进行访问，需要采用信息安全中的访问控制技术对用户和不法份子的权限予以限制。

现阶段许多企业不采用任何访问控制策略，或者采用的访问控制策略大多基于传统的自主访问控制策略、强访问控制策略或者角色访问控制策略，随着时代的发展和信息技术的进步，使得信息系统的规模不断扩大，用户数量不断增加及变动，自主访问控制策略和强访问控制策略已经很难满足现代信息系统的需求，同时角色访问控制策略存在灵活度不高、扩展性低、控制粒度较粗的问题。而对于一些基于传统访问控制策略进行改进的新型策略，如面向任务的访问控制策略、面向服务的工作流访问控制策略以及使用控制策略等，应用的范围较为狭窄，同时实施难度较大，实际应用性不高。

为此，现代信息系统急需一种新型访问控制策略能够普遍适用于企业信息系统，从而达到维护信息系统安全的目的。

技术实现要素：

本发明目的在于提供一种基于三员管理和拓展的角色访问控制方法，基于三员管理和拓展的角色访问控制(TMMERBAC)策略，将角色划分为普通角色和系统角色并进一步将系统角色细分为系统管理员、安全管理员和安全审计员三员进行系统管理；引入部门概念，采用用户-部门-角色-权限和用户-角色-权限两种授权方式，提高授权灵活性、减低授权复杂性、细分控制粒度。

为达成上述目的，本发明提出一种基于三员管理和拓展的角色访问控制方法，包括：

步骤1、在信息管理系统中建立系统管理员、安全管理员和安全审计员三员管理系统，其中，系统管理员被设置用于实现系统中的用户账号、角色信息的管理；安全管理员被设置用于实现系统中的角色权限分配、用户权限分配、部门权限分配和授权管理；安全审计员被设置用于依据信息管理系统的数据库中所记录的日志表，监管系统中用户、系统管理员和安全管理员的所有操作，包括对信息的添加、修改以及删除；

步骤2、系统管理员添加角色信息；

步骤3、系统管理员在接收到纸质审批单后，为企业人员添加用户信息，并将初始给予用户，所述用户包括普通用户；

步骤4、安全管理员在接收到纸质审批单并且在步骤3的用户创建完成后，依据设定规则为每种角色、每个用户以及每类部门分配默认相关权限；

步骤5、安全审计员对安全管理员和系统管理员的日志进行实时监督和审查，对可疑的用户行为进行账号锁定并上报；

步骤6、系统管理员对已冻结的用户进行调查处理，结束之后方可对所冻结的账号解锁；

步骤7、普通用户使用账号和密码登录信息管理系统，在其自身的权限范围内完成工作和任务，之后注销账号，安全退出系统。

进一步地，前述方法更加包含以下步骤：

安全审计员定期对信息管理系统中的日志进行备份和清理。

进一步地，所述系统管理员对用户账号、角色信息的管理具体包括：

创建用户：当系统管理员根据指令按照所提供的信息创建账号名称和初始密码，并录入用户相关信息；

维护角色信息：系统管理员更新角色信息，并添加或者删除相关角色；

用户解锁：对于某些用户存在危险的行为导致账号冻结，在核实查明原因后，由系统管理员进行用户账号解锁。

进一步地，前述方法中，所述安全管理员对角色权限分配、用户权限分配、部门权限分配和授权管理具体包括：

角色权限分配：在维护完角色信息后，给角色分配相应的权限，其中存在相互冲突的、有重叠权限的角色；

用户权限分配：安全管理员给用户分配权限；

部门权限分配：安全管理员依据部门的实际情况添加不同种角色；

授权管理：安全管理员将账号与相关部门中的角色对应起来，或者直接将账号与角色对应起来，完成角色的授权管理。

进一步地，前述方法中，所述系统管理员和安全管理员在为用户分配权限时，采用下述方式实现：系统管理员在SYAD类中按照要求在User类中创建一个新的用户，完成后返回创建成功消息；之后由SEAD类中安全管理员采用U-D-R-P策略或者U-R-P策略对User类中某一用户进行权限分配，权限分配是从Operations类和Objects类选取操作权限和系统资源，完成后返回分配成功消息；在权限分配过程中，SEAU类中安全审计员实时监督SYAD类中系统管理员和SEAD类中安全管理员的行为。

由以上本发明的技术方案可知，本发明的显著优点在于：在用户不断增加且时常变化的今天，信息系统能够高效地为用户分配权限是确保信息安全的有效方式，也是保障信息系统中所有资源合理使用的基本途径。本访问策略的研发基于上述背景下，通过信息安全技术中的访问控制技术，提出了一种基于三员管理和拓展的角色访问控制(TMMERBAC)策略，将角色划分为普通角色和系统角色并进一步将系统角色细分为系统管理员、安全管理员和安全审计员三员进行系统管理；引入部门概念，采用用户-部门-角色-权限和用户-角色-权限两种授权方式，并将TMMERBAC策略应用于某军工项目管理系统中，表明了TMMERBAC策略能够提高授权灵活性、减低授权复杂性、细分控制粒度。

应当理解，前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。另外，所要求保护的主题的所有组合都被视为本公开的发明主题的一部分。

结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见，或通过根据本发明教导的具体实施方式的实践中得知。

附图说明

图1是根据本发明某些实施例的基于三员管理和拓展的角色访问控制方法的流程示意图。

图2是根据本发明某些实施例的TMMERBAC总体模型。

图3是根据本发明某些实施例的三员管理关系图。

图4是TMMERBAC策略设计主要类和关系图。

图5是TMMERBAC策略时序图。

具体实施方式

为了更了解本发明的技术内容，特举具体实施例并配合所附图式说明如下。

结合图1-5所示，本发明提出的基于三员管理和拓展的角色访问控制方法使基于三员管理和拓展的角色访问控制策略可普遍应用于企业信息系统中，通过此策略能够较好的为用户分配权限，同时细分系统角色能够相互协作、相互制约，极大地避免了权限的滥用。

结合图1，基于三员管理和拓展的角色访问控制方法包括下述步骤：

步骤1、在信息管理系统中建立系统管理员、安全管理员和安全审计员三员管理系统，其中，系统管理员被设置用于实现系统中的用户账号、角色信息的管理；安全管理员被设置用于实现系统中的角色权限分配、用户权限分配、部门权限分配和授权管理；安全审计员被设置用于依据信息管理系统的数据库中所记录的日志表，监管系统中用户、系统管理员和安全管理员的所有操作，包括对信息的添加、修改以及删除；

步骤2、系统管理员添加角色信息；

步骤3、系统管理员在接收到纸质审批单后，为企业人员添加用户信息，并将初始给予用户，所述用户包括普通用户；

步骤4、安全管理员在接收到纸质审批单并且在步骤3的用户创建完成后，依据设定规则为每种角色、每个用户以及每类部门分配默认相关权限；

步骤5、安全审计员对安全管理员和系统管理员的日志进行实时监督和审查，对可疑的用户行为进行账号锁定并上报；

步骤6、系统管理员对已冻结的用户进行调查处理，结束之后方可对所冻结的账号解锁；

步骤7、普通用户使用账号和密码登录信息管理系统，在其自身的权限范围内完成工作和任务，之后注销账号，安全退出系统。

由此，在用户不断增加且时常变化的今天，信息系统能够高效地为用户分配权限是确保信息安全的有效方式，也是保障信息系统中所有资源合理使用的基本途径。本访问策略的研发基于上述背景下，通过信息安全技术中的访问控制技术，提出了一种基于三员管理和拓展的角色访问控制(TMMERBAC)策略，将角色划分为普通角色和系统角色并进一步将系统角色细分为系统管理员、安全管理员和安全审计员三员进行系统管理；引入部门概念，采用用户-部门-角色-权限和用户-角色-权限两种授权方式，并将TMMERBAC策略应用于某军工项目管理系统中，表明了TMMERBAC策略能够提高授权灵活性、减低授权复杂性、细分控制粒度。

结合图2所示，TMMERBAC策略基于角色访问控制策略，在RBAC97模型的基础上引入部门实体并对普通角色和管理角色进行进一步改进，TMMERBAC的总体模型如图1、2所示。

下面分别详述模型中每一部分的概念和作用：

(1)用户(Users，U)：指那些用系统管理员创建的唯一账号和密码登录系统，并可参与系统互动，执行某些操作的人员。

(2)部门(Departments，D)：作为连接用户和角色的关键部分，能够方便用户更好的获得访问权限并访问系统资源。

(3)角色(Roles，R)：承担着一定访问权限的责任，并能够通过部门分配给用户或者直接分配给用户以获得权限。TMMERBAC模型中角色分为普通角色和系统角色，其中系统角色主要负责管理普通角色和维护系统安全等；普通角色的权限受系统管理员分配，并承担系统业务部分职责。

(4)会话(Sessions，S)：作为用户和角色之间的一种映射，具体表示为激活某个角色完成用户与系统间互动。

(5)权限(Permissions，P)：表示具体的访问权限，一种包括操作(Operations，OP)和客体(Objects，OB)二元关系，其中操作主要包括审阅、修改等；客体表示任何受到系统保护的信息资源。

(6)约束(Constraints，C)：主要包括最小权限、互斥角色、基数约束与角色容量以及先决条件等。

(7)静态职责分离(Static Separation of Duties，SSD)：由于同一用户可被分配多个角色且角色之间又存在相互冲突的权限，为此，在分配过程需要予以限制。

(8)动态职责分离(Dynamic Separation of Duties，DSD)：DSD和SSD所解决的问题类似，不同之处在于实现方式。SSD主要在分配时予以限制，而DSD是在用户进行会话激活角色时予以限制。

策略设计主要类和关联关系如图3所示：访问控制策略主要依赖于三员管理模块和部门模块进行访问控制，主要由ManagermentRole类和Department类完成。由类图可知，实现信息系统访问控制策略主要包括如下类：

(1)User类：用户类，包含用户用户名、密码以及用户的基本信息，是用于登录系统的唯一入口。

(2)Session类：会话类，实现某一用户被激活相应角色拥有对应权限进行系统互动。

(3)Constraint类：系统中所有约束的抽象类，包括时限约束、地域约束和数值约束。本系统主要在角色约束和部门约束。

(4)RoleConstraint类：角色约束类，同时继承Constraint类。

(5)Role类：角色类，主要包含角色的一些基本信息。

(6)CommonRole类：普通角色类，继承了Role类，实现了对普通角色的管理。

(7)ManagermentRole类：管理角色类，继承了Role类，实现了对管理角色的管理。

(8)SYAD类：系统管理员类，继承ManagermentRole类，主要实现创建用户、维护角色信息和用户解锁功能。

(9)SEAD类：安全管理员类，继承ManagermentRole类，主要实现角色权限分配、用户权限分配、部门权限分配以及授权管理功能。

(10)SEAU类：安全设计员类，继承ManagermentRole类，主要实现审计日志和记录日志功能。

(11)Permission类：权限类，安全管理员根据角色和部门，采用U-D-R-P策略或者U-R-P策略为用户分配权限，享有相应的资源操作。

(12)Operation类：操作类，主要包括对客体的访问以及修改功能。

(13)Object类：客体类，主要包含系统中各种资源。

访问控制策略从时序上主要分为两个阶段：管理员为用户分配权限和已分配的用户与系统进行会话，如图4访问控制时序图所示，其中管理员为用户分配权

三员管理：TMMERBAC模型将RBAC97中的角色和管理角色融合在一起并划分成普通角色(Common Role，CR)和系统角色(System Role，SR)(三员具体关系如图2所示)。同时系统角色采用三员管理，相互独立，相互制约，相互协助，共同维护系统安全并给普通用户分配权限。

三员管理有利于提高系统细粒度，更加明确系统角色的职责，提升管理的效率。

三员的具体职责：

(1)系统管理员：主要负责系统中的用户账号、角色信息的管理等，下面详细描述系统管理员的具体职责。

创建用户：当系统管理员在接到上级许可的纸质申请材料后，按照所提供的信息创建账号名称和初始密码，并录入用户相关信息。

维护角色信息：随着组织的不断变化，角色的相关信息也将发生变化，为此，系统管理员需要及时更新角色信息，并添加或者删除相关角色。

用户解锁：对于某些用户存在危险的行为导致账号冻结，在核实查明原因后，可由系统管理员进行用户账号解锁。

(2)安全管理员：主要负责系统中的角色权限分配、用户权限分配、部门权限分配和授权管理等，下面详细描述安全管理员的具体职责。

角色权限分配：在系统管理员维护完角色信息后，需要给角色分配相应的权限，这其中会存在相互冲突的、有重叠权限的角色。

用户权限分配：安全管理员给用户分配权限，此种方式很好的弥补了部分用户担任某个角色后权限不足但此角色又无法添加权限的不足。同时，也很好的解决了极少数的用户尚未担任角色但仍存在于系统中的尴尬情形。

部门权限分配：安全管理员依据部门的实际情况添加不同种角色，对于大多数系统来说，部门之间存在很多一样的角色，让安全管理员按照部门进行角色管理有利于减小角色的数量。

授权管理：安全管理员将账号与相关部门中的角色对应起来，或者直接将账号与角色对应起来，完成角色的授权管理。

(3)安全审计员：主要依据数据库中所记录的日志表，监管系统中用户、系统管理员和安全管理员的所有操作，包括对信息的添加、修改以及删除等。安全审计员的具体职责主要包括审计日志和备份日志。

审计日志：定期检查审计日志，当出现添加、删除账号或者用户权限发生重大变化时，需要参考相关规定予以判断是否合理，若出现违规行为，需要及时汇报。

备份日志：随着系统使用时间越久，日志文件会越来越大，需要定期对日志文件进行备份和维护。

引入部门概念多种授权方式：TMMERBAC模型采用两种授权方式：用户-部门-角色-权限方式和用户-角色-权限方式。为了更好的说明，我们采用形式化方法进行描述。假设TMMERBAC＝{U，D，R，S，P，C，SSD，DSD}，其中R＝{CR，SR}，SR＝{SYAD，SEAD，SEAU}，P＝{OP，OB}，U表示用户集，D表示部门集，R表示角色集，S表示会话集，P表示权限集，C表示约束集，下面详述U-D-R-P和U-R-P授权方式。

(1)U-D-R-P策略：

U-D分配(U-D Assignment，UDA)关系：在现实生活中一个用户最多只属于一个部门，也存在特殊情形用户暂时属于任何一个部门，例如刚入职的用户还在轮岗或者培训中等。因此，若则可能使得二元组

D-R分配(D-R Assignment，DRA)关系：一个部门往往包含多个角色，一种角色可以在多个部门中出现，所以部门与角色是一种多对多的关系。因此，若则一定使得二元组

R-P分配(R-P Assignment，RPA)关系：一方面，一种角色拥有多项权限；另一方面，每项权限可以被多种角色同时拥有，所以角色与权限也是一种多对多的关系。因此，若则一定使得二元组

(2)U-R-P策略：

U-R分配(U-R Assignment，URA)关系：此处U包含系统所有合法用户，R包含所有种类的角色。一位用户可胜任多种角色，一种角色可被多位用户所胜任，所以用户与角色是一种多对多的关系。因此，若则一定使得二元组

R-P分配(R-P Assignment，RPA)关系：此处关系和U-D-R-P中的R-P分配关系一致，这里不在赘述。

访问控制策略主要依赖于三员的管理模块和部门模块进行访问控制，主要由ManagermentRole实现。

访问控制策略从时序上主要分为两个阶段：管理员为用户分配权限和已分配的用户与系统进行会话，如图4访问控制时序图所示，其中管理员为用户分配权。策略设计主要类和关联关系如图5所示：访问控制策略主要依赖于三员管理模块和部门模块进行访问控制，主要由ManagermentRole类和Department类完成。

管理员为用户分配权限：SYAD类中系统管理员按照要求在User类中创建一个新的用户，完成后返回创建成功消息。之后由SEAD类中安全管理员采用U-D-R-P策略或者U-R-P策略对User类中某一用户进行权限分配，权限分配是从Operations类和Objects类选取操作权限和系统资源，完成后返回分配成功消息。在权限分配过程中，SEAU类中安全审计员实时监督SYAD类中系统管理员和SEAD类中安全管理员的行为，保证了系统权限分配的可靠性和安全性。

用户在分配好权限后，登录系统，激活被分配的角色，与系统进行会话，在完成用户目标之后结束会话并退出系统。

虽然本发明已以较佳实施例揭露如上，然其并非用以限定本发明。本发明所属技术领域中具有通常知识者，在不脱离本发明的精神和范围内，当可作各种的更动与润饰。因此，本发明的保护范围当视权利要求书所界定者为准。