电子政务的访问控制研究.pdfVIP

电子政务的访问控制研究 电子政务的访问控制研究 刘培冯新勇 蒲波何佳 邓小晶 四川省国家保密局徕密技术检查检测中心 摘要：分析了基于角色的访问控制RBAC96模型，提出了一种对RBAC3模 型的扩展方法，使之更适合电子政务系统。通过对电子政务中的访 问控制目标、用户权限构成进行分析，有针对性的对RBAC3模型进 行了扩展。在RBAC3模型中引入了工作流、任务的概念。 关键词：电子政务访问控制RBACRBAC96角色 1 引言 电子政务[1]是一国的各级政府机关或有关机构借助电子信息技术而进行的政务活 动，其实质是通过应用信息技术转变政府传统的集中管理、分层结构运行模式，以适应 数字化社会的需要。电子政务主要由政府部门内部的数字化办公、政府部门之间通过计 算机网络而进行的信息共享和实时通信、政府部门通过网络与公众进行的双向信息交流 三部分组成。 电子政务在可能带来高效率和便利的同时，其信息交换过程也附带着比传统模式更 大的风险。尤其是政府职能部门在一个国家中所处的特殊地位，使得它的安全性更值得 重视。目前电子政务的安全应用方案尚无定论，随着电子政务的规模化发展，安全问题 也就成了电子政务发展的一个瓶颈。因此，基于角色的访问控制系统在电子政务中的实 现，对于解决电子政务安全的访问控制将会有着重要的学术和现实意义。 2电子政务安全体系及访问控制模型概述 2．1 电子政务安全体系 电子政务系统安全体系模型是建立在“三网一库”的体系结构上。其网络环境是采 型的基础上建立起来的，参照1S07498--2给出的信息安全体系结构，并根据电子政务 体系结构的特点，电子政务安全体系模型[23应该包括以下几个构成部分：安全管理保障 ·127· 第十七届全国信息保密学术会议(IS2007)论文集 一 …一一…—■黼——■■■—■■瞄■—■—曙———飘瞄_■……一一…——一一～’～ …一一… 体系、安全技术支撑平台、响应与恢复机制。如图1所示。 图1 电子政务安区体系模型 结构图表明：整个安全体系必须置于统一的安全管理保障体系之下，而安全技术支 撑体系由物理安全、网络安全、应用安全和数据安全四层组成。从上到下，其中下层为 上层的基础，只有保证了以下各层的安全，才能在真正意义上谈论上层的安全，进而才 能保证整个电子政务系统的安全。响应与恢复机制保证电子政务系统能从意外事故中恢 复并持续进行。 应用安全主要包括用户身份认证、访问控制、安全审计及日志、安全技术及应用四 个部分。在电子政务系统中，需要指定各个应用层次中的每一个用户所能够访问的业务 资源和系统资源，也即访问控制和权限分配策略。 这里的权限不但包括用户能否访问的业务范围、业务数据、数据的访问方式、操作 类型等，还包括电子政务系统相关的系统资源等。一般的，电子政务系统中的权限按照 角色进行分配，即对所有权限进行分组，一个角色将对应于一个权限的组合。这样在对 用户进行权限分配的时候，只需要直接赋予用户不同的角色即可。 2．2 RBAC96模型 基于角色的访问控制的概念是从20世纪70年代对在线的多用户、多应用系统的 统所必须的最小要求；RBACl模型在RBACo的基础上加入了角色层次的概念； 是对RBACl和RBAC2的集成，它不仅包括角色层次，还包括约束关系。 3基于角色的电子政务研究 由于电子政务系统是基于工作流的，而传统的基于角色的访问控制模型不包括工作 流程部分，无法表示有关任务的信息，就无法对灵活性较大的工作流进行很好的访问 ·128· 电子政务的访问控制研究 控制。 RBAC96在创建角色后即把权限分配给角色，此后权限在角色的整个生命周期都 有效；而工作流是动态的流程，角色只有在执行任务时才需要权限，在其余时间这些权 限都是多余的。采用上述的授权方式后，则会造成角色权限的冗余和数据访问的不安 全性。 因此，需要将工作流划分成任务，将访问控制的安全模型和电