基于RBAC 的成品油协同监管访问控制模型*
基于RBAC 的成品油协同监管访问控制模型*
李晓辉,贺 冬,王 炯,彭本辉
(国富通信息技术发展有限公司, 北京,100176)
摘要:石油流通市场的有效监管对于维护该市场的健康、平稳发展有着重要意义。针对成品油协同监管过程中的访问控制问
题进行分析,提出基于RBAC 模型的二元访问控制模型。该模型作为核心应用支撑,被应用于成品油协同监管服务平台的建设
中,实现了信息资源在访问范围和访问操作维度上的分离控制,提高了访问控制的有效性、便捷性、安全性和灵活性。
关键词:协同监管;RBAC ;二元访问控制模型
随着我国政治体制改革不断深入,我国政府管理模式逐渐
趋向“大社会小政府”模式,政府职能从“管制型政府”向“服务
型政府”不断转变,以进一步适应和推动具有中国特色社会主义
国家的经济、社会、文化、政治和生态的可持续发展。石油作为国
家重要战略性能源,其市场监管呈现协同化、动态化和层次化特
征。
为保证全国成品油流通市场的健康稳定运行和发展,国家
石油行业主管部门特立项建立基于物联网技术的成品油协同监
管大型应用服务平台,为我国成品油市场监管提供信息化支撑。
针对成品油协同监管访问控制中的协同性、柔化性等方面问题,
基于RBAC 模型建立以二元访问模式为核心的访问控制模型,实
现了信息资源在范围和操作两个控制维度的上的分离控制,提
高了协同监管访问控制的适用性和灵活性。
1 成品油协同监管
1.1 协同监管体系
随着中国经济的快速稳步发展,各生产、生活领域对于石油
产品,特别是成品油的需求量不断增大。成品油作为重要的战略
性能源,对社会经济的影响不断加强。我国成品油市场监管中,
存在监管主体多元化、监管内容重叠化、监管流程协同化和监管
政策灵活化等方面特征。我国成品油市场主管部门主要包括商
务部及各级地方商务主管部门、发改委,行业管理的其他相关管
理部门还包括质检、工商、税务等部门。
我国成品油协同监管以商务部及各级地方商务部门为主
线,形成了纵贯国家、省、地市三级商务管理部门,横联发改委、
质检、工商等相关管理部门的协同监管体系框架。该体系框架如
图1 所示。
图1 成品油协同监管体系框架
Fig.1 Refined oil synergetic management framework
上述体系框架中,根据协同监管主体之间的职能划分关系,
协同监管行为分为内部协同监管行为和外部协同监管行为两
类。内部协同监管行为是指同一政务职能领域内的不同层级监
管主体之间的协同监管。在内部协同监管中,各监管主体之间的
监管行为呈强耦合和互斥关系,并呈现层次性、范围化等特征。
外部协同监管行为是指不同政务职能领域的同级监管主体之间
的协同监管。在外部协同监管中,各监管主体的监管行为相对比
较独立,呈松耦合关系。
1.2 协同监管平台
结合国家、省、地市各级商务管理部门和其他相关行业管理
部门对成品油市场发展和监管的需求,商务部特立项建立基于
物联网技术的成品油协同监管大型应用服务平台—成品油协同
监管服务平台,被列为科技部国家科技支撑计划重点项目(课题
编号2011BAH17B03)。成品油协同监管服务平台的系统架构如
图2 所示。
图2 成品油协同监管服务平台系统架构
F i g . 2 S y s t e m a r c h i t e c t u r e o f r e f i n e d o i l
management platform
在建立科学、有效的监管指标体系基础上,该项目重点研究
协同监管、动态数据采集、智能决策分析等方面关键技术,构建
纵向贯通国家、省、地市三级商务管理部门,横向协同发改委、税
务等相关部门的国家级成品油协同监管平台。成品油协同监管
平台面向各级商务主管部门、相关部委及成品油企业,基于物联
网技术实时采集成品油存量数据,建立存量库、企业库、预警库
和法规库等数据库,提供存量预警、辅助决策、监管服务、门户服
务、审批许可、公共服务等协同监管服务。
2 RBAC 访问控制模型
2.1 RBAC 概述
访问控制(Access Control)是在存在多个信息干系主体
的系统中,根据各信息干系主体的功能身份,对系统信息资源
进行授权、控制和统一管理的规定和机制。目前国际通用的访
问控制模型主要为三种:自主访问控制模型(Discretionary
Access Control, DAC)、强制访问控制模型(Mandatory
Access Control, MAC)和基于角色的访问控制模型(Roles
based Access Control, RBAC)。
RBAC 模型作为一种能够有效实施系统权限的访问控制方
式,引入角色的概念,真实地反映了系统的授权和责任,能够较
好的保障系统信息资源的可控访问。自从1992 年RBAC 模型提
出以来,经过了不断地发展和改进,其中比较有代表性的RBAC
模型包括RBAC96、ARBAC97 和ARBAC02 等。RBAC96 模型是一
种应用广泛的基础访问控制模型,该模型提出了RBAC 访问控制
的最小规则集合,定义了用户、角色、会话、访问权限及其映射
关系等模型基本要素,并在角色继承、继承约束等方面进行了扩
展。基于RBAC96 模型,提出了一种用RBAC 管理RBAC 的模型,
称为ARBAC97 模型。该模型的主要特点是利用RBAC 思想管理
用户- 角色、权限- 角色、角色关系三组指派关系,相应地定义
URA97、PRA97 和RRA97 三个子模型,实现了RBAC 模型管理的
自包含特性。ARBAC02 是ARBAC97 的一种改进模型,该模型通
过引入组织结构、用户池、权限池等概念,提高了指派的效率和
安全性。
2.2 RBAC96 模型
RBAC96 模型是RBAC 的基础模型,定义了基于角色访问控
制的基本要素和控制思想,是本文成品油协同监管协同访问控
制模型的改进基础。
RBAC96 模型确定了RBAC 的核心思想:在用户和权限之
间引入角色的概念,权限首先被赋予角色,为用户赋予相应
的角色,通过角色授权来控制用户对系统信息资源的可控访
问。RBAC96 模型按照其演进路径,被分为四个模型—RBAC0、
RBAC1、RBAC2、RBAC3。其中,RBAC0 是核心基础模型,定义了
用户、角色、操作、权限和客体等要素和“用户- 角色”、“权限-
角色”两组授权关系。RBAC1 和RBAC2 分别基于RBAC0,从角色
继承和约束两个角度对模型进行扩展,二者改进部分是独立的。
RBAC3 整合RBAC1、RBAC2 的改进特征,建立统一模型。RBAC96
模型框架如图3(a)所示,RBAC96 模型如图3(b) 所示。
上述RBAC96 模型中的主要组件定义如下:
● 定义为有限集,分别表示用户、角色、权限和会
话集合。
● 定义为一个P 和R 上的二元关系,表示权
限和角色之间的多对多分配关系。
● 定义为一个U 和R 上的二元关系,表示用
户和角色之间的多对多分配关系。
● 定义为一个R 上的偏序关系,表示角色之
间的继承关系。
● 定义为一个S 到U 的函数映射,每一个会
话对应单一的用户。
● 定义为一个S 到幂集的函数映射,一
个会话对应角色。
3 成品油协同监管二元访问控制模型
3.1 问题分析
成品油协同监官服务平台的研究和设计中,访问控制组
件作为信息协同模型的核心组件,针对关键性业务问题,基于
RBAC96 模型进行扩展,建立具备良好业务适应性、灵活性和科
学性的成品油协同监官服务访问控制模型。
在深入充分调研的基础上,重点分析和研究了成品油协同
监管服务实施中的访问控制主客体、访问控制映射模式和访问
控制灵活性等方面问题。
1) 访问控制主客体
成品油协同监管服务中,实施访问控制的客体是各地区的
成品油企业信息、法规信息、存量信息和决策信息。访问控制客
体具有明显的地域层次性,按照全国、省、地市三级进行地域归
属。成品油协同监管主体主要包括国家、省、地市三级商务管理
部门,其访问权限与其行政职责对应,同时受其所辖地域范围约
束,具有地域层次性和行政层次性的两重性特征。
2) 访问控制映射模式
访问控制映射关系主要包括“用户- 角色”和“权限- 角色”
两类,而“权限- 角色”映射关系的设计是成品油协同监管访问
控制的关键所在。成品油协同监管服务受协同主体两重性影响,
其访问控制内容也包括访问对象和访问操作两个维度。其中,访
问对象主要受地域范围约束,访问操作主要受行政职责约束。
3) 访问控制灵活性
随着国内外石油市场不断变化,我国成品油行业监管不断
调整和优化,行业审批权限呈现下放的趋势,新政策的应用试点
也在酝酿中。在行业政策调整过程中,各级监管主体的权限会发
生迁移现象,这要求访问控制模型具备灵活调整“权限- 角色”
映射关系的能力。
3.2 概念定义
定义1 地域范围E 定义为基本地域集合D 的幂集上的
一个子集,表示具有层次性结构的地域区划范围。若且
,则称为的上级区划范围, 为的下级区划范
围。
定义2 角色R 定义为一个有限集合,表
示组织中的一个具有某种职责的权力/ 责任集合。
定义3 二元角色定义为一个二元组的有限
集合。其中, ,分别表示角色的地域管辖属性和职
责属性。
定义4 权限P 定义为集合,
表示对特定客体的特定访问操作模式的许可。其中,
,表示访问对象的集合;
,表示访问操作的集合。
定义5 二元权限定义为集合
,表示特定地域范
围s 约束下的特定客体的特定访问操作模式的许可。其中,
,表示在地域范围e 约束下的访问对象的集
合,满足; ,表示访问
操作的集合。
定义6 访问许可函数定义为,
,其中,表示二元角色拥有二元
权限,则函数值为真( ),否则为假( )。
3.3 模型描述
成品油协同监管二元访问控制模型继承了RBAC96 的基本
元素定义,以协同监管实际需求为导向,引入二元角色和二元权
限的概念,实现了范围和操作维度的分离访问控制,增强了访问
控制的灵活性和适用性,为成品油协同监管服务提供了有力的
基础模型支撑。基于RBAC 的二元访问控制模型如图4 所示。
图4 基于RBAC 的二元访问控制模型
Fig.4 Two dimension access control model based on
RBAC
上述模型继承了传统RBAC96 中的用户、会话、约束、权限
等概念,包含了地域范围、二元角色、二元权限和访问许可矩阵
等核心组件。
1) 地域范围
根据成品油协同监管体系框架的层级设定,建立覆盖全
国的国家、省、地市的三级地域范围组件。设基本地域集合
,其中是某地市级地域。地域范围定义
为地市级地域集合D 的幂集上的一个子集,其中包含的元素
分为国家、省、地市三个层次级别。
地市级元素定义为,表示地市级别的地域范围。国家级
元素定义为全集D,表示全国地域范围。省级元素定义为D 的一
个子集。省级元素集合满足:
,且。
2) 二元角色
二元角色是二元组的有限集合, 分
别表示角色的地域管辖属性和职责。地域管辖属性既体
现了该二元角色可访问信息资源的地域范围约束,也体现了该
二元角色职责的管理级别(国家级、省级、地市级)。
3) 二元权限
二元权限表示某个地域范围e
中国论文网(www.lunwenchina.cn),是一个专门从事期刊推广、论文发表、论文写作指导的机构。本站提供一体化论文发表解决方案:省级论文/国家级论文/核心论文/CN论文。
投稿邮箱:lunwenchina@126.com
在线咨询:189308598(QQ)
联系电话:15295038855(徐编辑)