基于RBAC 的成品油协同监管访问控制模型*
收藏
打印
发给朋友
发布者:李晓辉,贺 冬,王 炯,彭本辉
热度0票 浏览163次
时间:2014年2月08日 09:44
基于RBAC 的成品油协同监管访问控制模型*
李晓辉,贺 冬,王 炯,彭本辉
(国富通信息技术发展有限公司, 北京,100176)
摘要:石油流通市场的有效监管对于维护该市场的健康、平稳发展有着重要意义。针对成品油协同监管过程中的访问控制问
题进行分析,提出基于RBAC 模型的二元访问控制模型。该模型作为核心应用支撑,被应用于成品油协同监管服务平台的建设
中,实现了信息资源在访问范围和访问操作维度上的分离控制,提高了访问控制的有效性、便捷性、安全性和灵活性。
关键词:协同监管;RBAC ;二元访问控制模型
随着我国政治体制改革不断深入,我国政府管理模式逐渐
趋向“大社会小政府”模式,政府职能从“管制型政府”向“服务
型政府”不断转变,以进一步适应和推动具有中国特色社会主义
国家的经济、社会、文化、政治和生态的可持续发展。石油作为国
家重要战略性能源,其市场监管呈现协同化、动态化和层次化特
征。
为保证全国成品油流通市场的健康稳定运行和发展,国家
石油行业主管部门特立项建立基于物联网技术的成品油协同监
管大型应用服务平台,为我国成品油市场监管提供信息化支撑。
针对成品油协同监管访问控制中的协同性、柔化性等方面问题,
基于RBAC 模型建立以二元访问模式为核心的访问控制模型,实
现了信息资源在范围和操作两个控制维度的上的分离控制,提
高了协同监管访问控制的适用性和灵活性。
1 成品油协同监管
1.1 协同监管体系
随着中国经济的快速稳步发展,各生产、生活领域对于石油
产品,特别是成品油的需求量不断增大。成品油作为重要的战略
性能源,对社会经济的影响不断加强。我国成品油市场监管中,
存在监管主体多元化、监管内容重叠化、监管流程协同化和监管
政策灵活化等方面特征。我国成品油市场主管部门主要包括商
务部及各级地方商务主管部门、发改委,行业管理的其他相关管
理部门还包括质检、工商、税务等部门。
我国成品油协同监管以商务部及各级地方商务部门为主
线,形成了纵贯国家、省、地市三级商务管理部门,横联发改委、
质检、工商等相关管理部门的协同监管体系框架。该体系框架如
图1 所示。
图1 成品油协同监管体系框架
Fig.1 Refined oil synergetic management framework
上述体系框架中,根据协同监管主体之间的职能划分关系,
协同监管行为分为内部协同监管行为和外部协同监管行为两
类。内部协同监管行为是指同一政务职能领域内的不同层级监
管主体之间的协同监管。在内部协同监管中,各监管主体之间的
监管行为呈强耦合和互斥关系,并呈现层次性、范围化等特征。
外部协同监管行为是指不同政务职能领域的同级监管主体之间
的协同监管。在外部协同监管中,各监管主体的监管行为相对比
较独立,呈松耦合关系。
1.2 协同监管平台
结合国家、省、地市各级商务管理部门和其他相关行业管理
部门对成品油市场发展和监管的需求,商务部特立项建立基于
物联网技术的成品油协同监管大型应用服务平台—成品油协同
监管服务平台,被列为科技部国家科技支撑计划重点项目(课题
编号2011BAH17B03)。成品油协同监管服务平台的系统架构如
图2 所示。
图2 成品油协同监管服务平台系统架构
F i g . 2 S y s t e m a r c h i t e c t u r e o f r e f i n e d o i l
management platform
在建立科学、有效的监管指标体系基础上,该项目重点研究
协同监管、动态数据采集、智能决策分析等方面关键技术,构建
纵向贯通国家、省、地市三级商务管理部门,横向协同发改委、税
务等相关部门的国家级成品油协同监管平台。成品油协同监管
平台面向各级商务主管部门、相关部委及成品油企业,基于物联
网技术实时采集成品油存量数据,建立存量库、企业库、预警库
和法规库等数据库,提供存量预警、辅助决策、监管服务、门户服
务、审批许可、公共服务等协同监管服务。
2 RBAC 访问控制模型
2.1 RBAC 概述
访问控制(Access Control)是在存在多个信息干系主体
的系统中,根据各信息干系主体的功能身份,对系统信息资源
进行授权、控制和统一管理的规定和机制。目前国际通用的访
问控制模型主要为三种:自主访问控制模型(Discretionary
Access Control, DAC)、强制访问控制模型(Mandatory
Access Control, MAC)和基于角色的访问控制模型(Roles
based Access Control, RBAC)。
RBAC 模型作为一种能够有效实施系统权限的访问控制方
式,引入角色的概念,真实地反映了系统的授权和责任,能够较
好的保障系统信息资源的可控访问。自从1992 年RBAC 模型提
出以来,经过了不断地发展和改进,其中比较有代表性的RBAC
模型包括RBAC96、ARBAC97 和ARBAC02 等。RBAC96 模型是一
种应用广泛的基础访问控制模型,该模型提出了RBAC 访问控制
的最小规则集合,定义了用户、角色、会话、访问权限及其映射
关系等模型基本要素,并在角色继承、继承约束等方面进行了扩
展。基于RBAC96 模型,提出了一种用RBAC 管理RBAC 的模型,
称为ARBAC97 模型。该模型的主要特点是利用RBAC 思想管理
用户- 角色、权限- 角色、角色关系三组指派关系,相应地定义
URA97、PRA97 和RRA97 三个子模型,实现了RBAC 模型管理的
自包含特性。ARBAC02 是ARBAC97 的一种改进模型,该模型通
过引入组织结构、用户池、权限池等概念,提高了指派的效率和
安全性。
2.2 RBAC96 模型
RBAC96 模型是RBAC 的基础模型,定义了基于角色访问控
制的基本要素和控制思想,是本文成品油协同监管协同访问控
制模型的改进基础。
RBAC96 模型确定了RBAC 的核心思想:在用户和权限之
间引入角色的概念,权限首先被赋予角色,为用户赋予相应
的角色,通过角色授权来控制用户对系统信息资源的可控访
问。RBAC96 模型按照其演进路径,被分为四个模型—RBAC0、
RBAC1、RBAC2、RBAC3。其中,RBAC0 是核心基础模型,定义了
用户、角色、操作、权限和客体等要素和“用户- 角色”、“权限-
角色”两组授权关系。RBAC1 和RBAC2 分别基于RBAC0,从角色
继承和约束两个角度对模型进行扩展,二者改进部分是独立的。
RBAC3 整合RBAC1、RBAC2 的改进特征,建立统一模型。RBAC96
模型框架如图3(a)所示,RBAC96 模型如图3(b) 所示。
上述RBAC96 模型中的主要组件定义如下:
● 定义为有限集,分别表示用户、角色、权限和会
话集合。
● 定义为一个P 和R 上的二元关系,表示权
限和角色之间的多对多分配关系。
● 定义为一个U 和R 上的二元关系,表示用
户和角色之间的多对多分配关系。
● 定义为一个R 上的偏序关系,表示角色之
间的继承关系。
● 定义为一个S 到U 的函数映射,每一个会
话对应单一的用户。
● 定义为一个S 到幂集的函数映射,一
个会话对应角色。
3 成品油协同监管二元访问控制模型
3.1 问题分析
成品油协同监官服务平台的研究和设计中,访问控制组
件作为信息协同模型的核心组件,针对关键性业务问题,基于
RBAC96 模型进行扩展,建立具备良好业务适应性、灵活性和科
学性的成品油协同监官服务访问控制模型。
在深入充分调研的基础上,重点分析和研究了成品油协同
监管服务实施中的访问控制主客体、访问控制映射模式和访问
控制灵活性等方面问题。
1) 访问控制主客体
成品油协同监管服务中,实施访问控制的客体是各地区的
成品油企业信息、法规信息、存量信息和决策信息。访问控制客
体具有明显的地域层次性,按照全国、省、地市三级进行地域归
属。成品油协同监管主体主要包括国家、省、地市三级商务管理
部门,其访问权限与其行政职责对应,同时受其所辖地域范围约
束,具有地域层次性和行政层次性的两重性特征。
2) 访问控制映射模式
访问控制映射关系主要包括“用户- 角色”和“权限- 角色”
两类,而“权限- 角色”映射关系的设计是成品油协同监管访问
控制的关键所在。成品油协同监管服务受协同主体两重性影响,
其访问控制内容也包括访问对象和访问操作两个维度。其中,访
问对象主要受地域范围约束,访问操作主要受行政职责约束。
3) 访问控制灵活性
随着国内外石油市场不断变化,我国成品油行业监管不断
调整和优化,行业审批权限呈现下放的趋势,新政策的应用试点
也在酝酿中。在行业政策调整过程中,各级监管主体的权限会发
生迁移现象,这要求访问控制模型具备灵活调整“权限- 角色”
映射关系的能力。
3.2 概念定义
定义1 地域范围E 定义为基本地域集合D 的幂集上的
一个子集,表示具有层次性结构的地域区划范围。若且
,则称为的上级区划范围, 为的下级区划范
围。
定义2 角色R 定义为一个有限集合,表
示组织中的一个具有某种职责的权力/ 责任集合。
定义3 二元角色定义为一个二元组的有限
集合。其中, ,分别表示角色的地域管辖属性和职
责属性。
定义4 权限P 定义为集合,
表示对特定客体的特定访问操作模式的许可。其中,
,表示访问对象的集合;
,表示访问操作的集合。
定义5 二元权限定义为集合
,表示特定地域范
围s 约束下的特定客体的特定访问操作模式的许可。其中,
,表示在地域范围e 约束下的访问对象的集
合,满足; ,表示访问
操作的集合。
定义6 访问许可函数定义为,
,其中,表示二元角色拥有二元
权限,则函数值为真( ),否则为假( )。
3.3 模型描述
成品油协同监管二元访问控制模型继承了RBAC96 的基本
元素定义,以协同监管实际需求为导向,引入二元角色和二元权
限的概念,实现了范围和操作维度的分离访问控制,增强了访问
控制的灵活性和适用性,为成品油协同监管服务提供了有力的
基础模型支撑。基于RBAC 的二元访问控制模型如图4 所示。
图4 基于RBAC 的二元访问控制模型
Fig.4 Two dimension access control model based on
RBAC
上述模型继承了传统RBAC96 中的用户、会话、约束、权限
等概念,包含了地域范围、二元角色、二元权限和访问许可矩阵
等核心组件。
1) 地域范围
根据成品油协同监管体系框架的层级设定,建立覆盖全
国的国家、省、地市的三级地域范围组件。设基本地域集合
,其中是某地市级地域。地域范围定义
为地市级地域集合D 的幂集上的一个子集,其中包含的元素
分为国家、省、地市三个层次级别。
地市级元素定义为,表示地市级别的地域范围。国家级
元素定义为全集D,表示全国地域范围。省级元素定义为D 的一
个子集。省级元素集合满足:
,且。
2) 二元角色
二元角色是二元组的有限集合, 分
别表示角色的地域管辖属性和职责。地域管辖属性既体
现了该二元角色可访问信息资源的地域范围约束,也体现了该
二元角色职责的管理级别(国家级、省级、地市级)。
3) 二元权限
二元权限表示某个地域范围e 约束下的信息资源访问
范围和访问操作。二元权限定义为。其中,
,表示地域范围约束下的可访问资源集合;
,表示访问操作的集合。
4) 访问许可矩阵
访问许可矩阵G 表示二元角色和二元权限之间是否具有分
配关系,用访问许可函数量化表示。
色不拥有权限。G 满足以下约束:
a) 地域范围约束
设二元权限, , 设
二元角色, 的必要条件是: 。地
域范围约束表示某个二元权限仅能被具有该权限的地域属性或
上级地域属性的二元角色所拥有。
b) 权限互斥约束
在访问许可矩阵G 中,对于任意一个,所有的访问许可
函数中有且仅有一个访问许可函数的值
为真( )。权限互斥约束表示某个二元权限(主要是行政审
批类权限),仅被赋予单一的二元角色。
4 应用
为保障国家能源安全、加强我国成品油流通市场的健康、稳
定运行和发展,国家行业主管部门会同相关管理部门开展基于
物联网技术的成品油协同监管关键技术研究和平台建设。平台
建设基于“纵贯三级商务主管部门,横联其他相关管理部门”的
成品油协同监管服务体系框架,以“基于RBAC 的二元访问控制
模型”为核心模型支撑,实现不同职责的不同角色之间的信息资
源访问控制和协同监管行为。
作为成品油协同监官服务平台的重要应用支撑系统,二元
访问控制模型以国家、省、地市三级地域范围组件为基础,以二
元角色(地域约束下的经办、主管处长、司领导和部领导等)和
二元权限(地域约束下的材料接收、初审、终审、发证、辅助决策
等)为核心,以访问许可矩阵及变换为重点,实现了地域范围和
操作权限两个维度的分离访问控制。成品油协同监官平台的二
元访问控制模型实现模型(实体- 联系模型)如图5 所示。
以行业主管部门对成品油协同监管服务的实际需求为导
向,针对协同监管中的安全性、高效性、灵活性和适用性等方面
要求,基于RBAC 的二元访问控制模型能够较好的以较低成本
和简洁的配置实现成品油协同监管中的信息资源访问控制,“范
围- 操作”维度上的二元访问控制模式使得协同监管具备了极
大的灵活性,满足了调整和优化进程中的协同监管业务的柔韧
性需求。特别是针对应用示范和业务调整过程中的职责下放等
职能主体调整等业务规则变化,通过配置访问控制矩阵或进行
简单矩阵元素运算的方式,实现了业务协同监管规则调整条件
下的“随需而变”。
5 结束语
基于对成品油协同监管存在的问题和解决模式的深入分
析,提出访问范围和访问操作维度分离的二元访问控制模型,应
用于成品油协同监管服务平台的建设和实施中,在访问控制系
统的需求适用性、业务灵活性和操作便捷性方面取得了良好的
社会经济效益。石油作为我国重要的战略性能源,其流通市场监
管需求和模式具有普适性。对于具有地域层级性特征和业务柔
韧性需求的其他领域,二元访问控制模型经过少量特化或改进,
可满足更多协同监管以及其他类型的访问控制业务需求,具有
进一步推广和研究的潜力和价值。
参考文献
[1] 李晓辉,王炯,蔡啸. 成品油协同监管平台部署模式研究与
设计[J]. 电子测试,2013,179(17):62-67.
[2] 国佳. 信息生态系统下的企业信息协同模式研究[D]. 吉林:
吉林大学,2009.
[3] 吴波,王晶. 基于基本RBAC 模型的权限管理框架的设计与
实现[J]. 计算机系统应用,2011,20(4):50-54.
[4] FERRAIOLO D F,SANDHU R,GUIRILA S,et al.Proposed
NIST standard for role-based access control[J].
ACM Trans on Information and System Security,
2001,4(3):224-274.
[5] 胡迎松,李光军. 基于角色与向量矩阵的访问控制模型[J].
计算机工程,2005,31(1):111-112.
李晓辉,贺 冬,王 炯,彭本辉
(国富通信息技术发展有限公司, 北京,100176)
摘要:石油流通市场的有效监管对于维护该市场的健康、平稳发展有着重要意义。针对成品油协同监管过程中的访问控制问
题进行分析,提出基于RBAC 模型的二元访问控制模型。该模型作为核心应用支撑,被应用于成品油协同监管服务平台的建设
中,实现了信息资源在访问范围和访问操作维度上的分离控制,提高了访问控制的有效性、便捷性、安全性和灵活性。
关键词:协同监管;RBAC ;二元访问控制模型
随着我国政治体制改革不断深入,我国政府管理模式逐渐
趋向“大社会小政府”模式,政府职能从“管制型政府”向“服务
型政府”不断转变,以进一步适应和推动具有中国特色社会主义
国家的经济、社会、文化、政治和生态的可持续发展。石油作为国
家重要战略性能源,其市场监管呈现协同化、动态化和层次化特
征。
为保证全国成品油流通市场的健康稳定运行和发展,国家
石油行业主管部门特立项建立基于物联网技术的成品油协同监
管大型应用服务平台,为我国成品油市场监管提供信息化支撑。
针对成品油协同监管访问控制中的协同性、柔化性等方面问题,
基于RBAC 模型建立以二元访问模式为核心的访问控制模型,实
现了信息资源在范围和操作两个控制维度的上的分离控制,提
高了协同监管访问控制的适用性和灵活性。
1 成品油协同监管
1.1 协同监管体系
随着中国经济的快速稳步发展,各生产、生活领域对于石油
产品,特别是成品油的需求量不断增大。成品油作为重要的战略
性能源,对社会经济的影响不断加强。我国成品油市场监管中,
存在监管主体多元化、监管内容重叠化、监管流程协同化和监管
政策灵活化等方面特征。我国成品油市场主管部门主要包括商
务部及各级地方商务主管部门、发改委,行业管理的其他相关管
理部门还包括质检、工商、税务等部门。
我国成品油协同监管以商务部及各级地方商务部门为主
线,形成了纵贯国家、省、地市三级商务管理部门,横联发改委、
质检、工商等相关管理部门的协同监管体系框架。该体系框架如
图1 所示。
图1 成品油协同监管体系框架
Fig.1 Refined oil synergetic management framework
上述体系框架中,根据协同监管主体之间的职能划分关系,
协同监管行为分为内部协同监管行为和外部协同监管行为两
类。内部协同监管行为是指同一政务职能领域内的不同层级监
管主体之间的协同监管。在内部协同监管中,各监管主体之间的
监管行为呈强耦合和互斥关系,并呈现层次性、范围化等特征。
外部协同监管行为是指不同政务职能领域的同级监管主体之间
的协同监管。在外部协同监管中,各监管主体的监管行为相对比
较独立,呈松耦合关系。
1.2 协同监管平台
结合国家、省、地市各级商务管理部门和其他相关行业管理
部门对成品油市场发展和监管的需求,商务部特立项建立基于
物联网技术的成品油协同监管大型应用服务平台—成品油协同
监管服务平台,被列为科技部国家科技支撑计划重点项目(课题
编号2011BAH17B03)。成品油协同监管服务平台的系统架构如
图2 所示。
图2 成品油协同监管服务平台系统架构
F i g . 2 S y s t e m a r c h i t e c t u r e o f r e f i n e d o i l
management platform
在建立科学、有效的监管指标体系基础上,该项目重点研究
协同监管、动态数据采集、智能决策分析等方面关键技术,构建
纵向贯通国家、省、地市三级商务管理部门,横向协同发改委、税
务等相关部门的国家级成品油协同监管平台。成品油协同监管
平台面向各级商务主管部门、相关部委及成品油企业,基于物联
网技术实时采集成品油存量数据,建立存量库、企业库、预警库
和法规库等数据库,提供存量预警、辅助决策、监管服务、门户服
务、审批许可、公共服务等协同监管服务。
2 RBAC 访问控制模型
2.1 RBAC 概述
访问控制(Access Control)是在存在多个信息干系主体
的系统中,根据各信息干系主体的功能身份,对系统信息资源
进行授权、控制和统一管理的规定和机制。目前国际通用的访
问控制模型主要为三种:自主访问控制模型(Discretionary
Access Control, DAC)、强制访问控制模型(Mandatory
Access Control, MAC)和基于角色的访问控制模型(Roles
based Access Control, RBAC)。
RBAC 模型作为一种能够有效实施系统权限的访问控制方
式,引入角色的概念,真实地反映了系统的授权和责任,能够较
好的保障系统信息资源的可控访问。自从1992 年RBAC 模型提
出以来,经过了不断地发展和改进,其中比较有代表性的RBAC
模型包括RBAC96、ARBAC97 和ARBAC02 等。RBAC96 模型是一
种应用广泛的基础访问控制模型,该模型提出了RBAC 访问控制
的最小规则集合,定义了用户、角色、会话、访问权限及其映射
关系等模型基本要素,并在角色继承、继承约束等方面进行了扩
展。基于RBAC96 模型,提出了一种用RBAC 管理RBAC 的模型,
称为ARBAC97 模型。该模型的主要特点是利用RBAC 思想管理
用户- 角色、权限- 角色、角色关系三组指派关系,相应地定义
URA97、PRA97 和RRA97 三个子模型,实现了RBAC 模型管理的
自包含特性。ARBAC02 是ARBAC97 的一种改进模型,该模型通
过引入组织结构、用户池、权限池等概念,提高了指派的效率和
安全性。
2.2 RBAC96 模型
RBAC96 模型是RBAC 的基础模型,定义了基于角色访问控
制的基本要素和控制思想,是本文成品油协同监管协同访问控
制模型的改进基础。
RBAC96 模型确定了RBAC 的核心思想:在用户和权限之
间引入角色的概念,权限首先被赋予角色,为用户赋予相应
的角色,通过角色授权来控制用户对系统信息资源的可控访
问。RBAC96 模型按照其演进路径,被分为四个模型—RBAC0、
RBAC1、RBAC2、RBAC3。其中,RBAC0 是核心基础模型,定义了
用户、角色、操作、权限和客体等要素和“用户- 角色”、“权限-
角色”两组授权关系。RBAC1 和RBAC2 分别基于RBAC0,从角色
继承和约束两个角度对模型进行扩展,二者改进部分是独立的。
RBAC3 整合RBAC1、RBAC2 的改进特征,建立统一模型。RBAC96
模型框架如图3(a)所示,RBAC96 模型如图3(b) 所示。
上述RBAC96 模型中的主要组件定义如下:
● 定义为有限集,分别表示用户、角色、权限和会
话集合。
● 定义为一个P 和R 上的二元关系,表示权
限和角色之间的多对多分配关系。
● 定义为一个U 和R 上的二元关系,表示用
户和角色之间的多对多分配关系。
● 定义为一个R 上的偏序关系,表示角色之
间的继承关系。
● 定义为一个S 到U 的函数映射,每一个会
话对应单一的用户。
● 定义为一个S 到幂集的函数映射,一
个会话对应角色。
3 成品油协同监管二元访问控制模型
3.1 问题分析
成品油协同监官服务平台的研究和设计中,访问控制组
件作为信息协同模型的核心组件,针对关键性业务问题,基于
RBAC96 模型进行扩展,建立具备良好业务适应性、灵活性和科
学性的成品油协同监官服务访问控制模型。
在深入充分调研的基础上,重点分析和研究了成品油协同
监管服务实施中的访问控制主客体、访问控制映射模式和访问
控制灵活性等方面问题。
1) 访问控制主客体
成品油协同监管服务中,实施访问控制的客体是各地区的
成品油企业信息、法规信息、存量信息和决策信息。访问控制客
体具有明显的地域层次性,按照全国、省、地市三级进行地域归
属。成品油协同监管主体主要包括国家、省、地市三级商务管理
部门,其访问权限与其行政职责对应,同时受其所辖地域范围约
束,具有地域层次性和行政层次性的两重性特征。
2) 访问控制映射模式
访问控制映射关系主要包括“用户- 角色”和“权限- 角色”
两类,而“权限- 角色”映射关系的设计是成品油协同监管访问
控制的关键所在。成品油协同监管服务受协同主体两重性影响,
其访问控制内容也包括访问对象和访问操作两个维度。其中,访
问对象主要受地域范围约束,访问操作主要受行政职责约束。
3) 访问控制灵活性
随着国内外石油市场不断变化,我国成品油行业监管不断
调整和优化,行业审批权限呈现下放的趋势,新政策的应用试点
也在酝酿中。在行业政策调整过程中,各级监管主体的权限会发
生迁移现象,这要求访问控制模型具备灵活调整“权限- 角色”
映射关系的能力。
3.2 概念定义
定义1 地域范围E 定义为基本地域集合D 的幂集上的
一个子集,表示具有层次性结构的地域区划范围。若且
,则称为的上级区划范围, 为的下级区划范
围。
定义2 角色R 定义为一个有限集合,表
示组织中的一个具有某种职责的权力/ 责任集合。
定义3 二元角色定义为一个二元组的有限
集合。其中, ,分别表示角色的地域管辖属性和职
责属性。
定义4 权限P 定义为集合,
表示对特定客体的特定访问操作模式的许可。其中,
,表示访问对象的集合;
,表示访问操作的集合。
定义5 二元权限定义为集合
,表示特定地域范
围s 约束下的特定客体的特定访问操作模式的许可。其中,
,表示在地域范围e 约束下的访问对象的集
合,满足; ,表示访问
操作的集合。
定义6 访问许可函数定义为,
,其中,表示二元角色拥有二元
权限,则函数值为真( ),否则为假( )。
3.3 模型描述
成品油协同监管二元访问控制模型继承了RBAC96 的基本
元素定义,以协同监管实际需求为导向,引入二元角色和二元权
限的概念,实现了范围和操作维度的分离访问控制,增强了访问
控制的灵活性和适用性,为成品油协同监管服务提供了有力的
基础模型支撑。基于RBAC 的二元访问控制模型如图4 所示。
图4 基于RBAC 的二元访问控制模型
Fig.4 Two dimension access control model based on
RBAC
上述模型继承了传统RBAC96 中的用户、会话、约束、权限
等概念,包含了地域范围、二元角色、二元权限和访问许可矩阵
等核心组件。
1) 地域范围
根据成品油协同监管体系框架的层级设定,建立覆盖全
国的国家、省、地市的三级地域范围组件。设基本地域集合
,其中是某地市级地域。地域范围定义
为地市级地域集合D 的幂集上的一个子集,其中包含的元素
分为国家、省、地市三个层次级别。
地市级元素定义为,表示地市级别的地域范围。国家级
元素定义为全集D,表示全国地域范围。省级元素定义为D 的一
个子集。省级元素集合满足:
,且。
2) 二元角色
二元角色是二元组的有限集合, 分
别表示角色的地域管辖属性和职责。地域管辖属性既体
现了该二元角色可访问信息资源的地域范围约束,也体现了该
二元角色职责的管理级别(国家级、省级、地市级)。
3) 二元权限
二元权限表示某个地域范围e 约束下的信息资源访问
范围和访问操作。二元权限定义为。其中,
,表示地域范围约束下的可访问资源集合;
,表示访问操作的集合。
4) 访问许可矩阵
访问许可矩阵G 表示二元角色和二元权限之间是否具有分
配关系,用访问许可函数量化表示。
色不拥有权限。G 满足以下约束:
a) 地域范围约束
设二元权限, , 设
二元角色, 的必要条件是: 。地
域范围约束表示某个二元权限仅能被具有该权限的地域属性或
上级地域属性的二元角色所拥有。
b) 权限互斥约束
在访问许可矩阵G 中,对于任意一个,所有的访问许可
函数中有且仅有一个访问许可函数的值
为真( )。权限互斥约束表示某个二元权限(主要是行政审
批类权限),仅被赋予单一的二元角色。
4 应用
为保障国家能源安全、加强我国成品油流通市场的健康、稳
定运行和发展,国家行业主管部门会同相关管理部门开展基于
物联网技术的成品油协同监管关键技术研究和平台建设。平台
建设基于“纵贯三级商务主管部门,横联其他相关管理部门”的
成品油协同监管服务体系框架,以“基于RBAC 的二元访问控制
模型”为核心模型支撑,实现不同职责的不同角色之间的信息资
源访问控制和协同监管行为。
作为成品油协同监官服务平台的重要应用支撑系统,二元
访问控制模型以国家、省、地市三级地域范围组件为基础,以二
元角色(地域约束下的经办、主管处长、司领导和部领导等)和
二元权限(地域约束下的材料接收、初审、终审、发证、辅助决策
等)为核心,以访问许可矩阵及变换为重点,实现了地域范围和
操作权限两个维度的分离访问控制。成品油协同监官平台的二
元访问控制模型实现模型(实体- 联系模型)如图5 所示。
以行业主管部门对成品油协同监管服务的实际需求为导
向,针对协同监管中的安全性、高效性、灵活性和适用性等方面
要求,基于RBAC 的二元访问控制模型能够较好的以较低成本
和简洁的配置实现成品油协同监管中的信息资源访问控制,“范
围- 操作”维度上的二元访问控制模式使得协同监管具备了极
大的灵活性,满足了调整和优化进程中的协同监管业务的柔韧
性需求。特别是针对应用示范和业务调整过程中的职责下放等
职能主体调整等业务规则变化,通过配置访问控制矩阵或进行
简单矩阵元素运算的方式,实现了业务协同监管规则调整条件
下的“随需而变”。
5 结束语
基于对成品油协同监管存在的问题和解决模式的深入分
析,提出访问范围和访问操作维度分离的二元访问控制模型,应
用于成品油协同监管服务平台的建设和实施中,在访问控制系
统的需求适用性、业务灵活性和操作便捷性方面取得了良好的
社会经济效益。石油作为我国重要的战略性能源,其流通市场监
管需求和模式具有普适性。对于具有地域层级性特征和业务柔
韧性需求的其他领域,二元访问控制模型经过少量特化或改进,
可满足更多协同监管以及其他类型的访问控制业务需求,具有
进一步推广和研究的潜力和价值。
参考文献
[1] 李晓辉,王炯,蔡啸. 成品油协同监管平台部署模式研究与
设计[J]. 电子测试,2013,179(17):62-67.
[2] 国佳. 信息生态系统下的企业信息协同模式研究[D]. 吉林:
吉林大学,2009.
[3] 吴波,王晶. 基于基本RBAC 模型的权限管理框架的设计与
实现[J]. 计算机系统应用,2011,20(4):50-54.
[4] FERRAIOLO D F,SANDHU R,GUIRILA S,et al.Proposed
NIST standard for role-based access control[J].
ACM Trans on Information and System Security,
2001,4(3):224-274.
[5] 胡迎松,李光军. 基于角色与向量矩阵的访问控制模型[J].
计算机工程,2005,31(1):111-112.
