摘 要：在知識(shí)管理系統(tǒng)中，特別是文檔管理系統(tǒng)中，為方便指派管理，多采用把用戶分為用戶組的方式進(jìn)行用戶-角色指派和權(quán)限組進(jìn)行權(quán)限-角色指派，但其中的用戶組和權(quán)限組在RBAC中無(wú)對(duì)應(yīng)概念。ARBAC模型包含3個(gè)子模型，其中的RRA可實(shí)現(xiàn)對(duì)用戶和權(quán)限的分組管理。為了與RBAC統(tǒng)一，可采用RRA實(shí)現(xiàn)對(duì)用戶和權(quán)限的分組管理。
 關(guān)鍵詞：知識(shí)管理；訪問控制；RBAC RRA

　　知識(shí)文檔管理是知識(shí)管理系統(tǒng)的重要組成部分。文檔訪問控制管理主要解決不同人對(duì)不同文檔的訪問權(quán)限問題,完善的訪問控制體制能確保文檔管理的高度安全性，保障知識(shí)文檔信息的完整性和可靠性。由于文檔管理系統(tǒng)中存在大量文檔，系統(tǒng)中能夠訪問文檔的用戶數(shù)量龐大，因此如何有效地實(shí)現(xiàn)針對(duì)文檔的訪問控制是一個(gè)重要問題。本文主要針對(duì)文檔管理中的用戶和權(quán)限管理，探討如何通過(guò)有效方便的用戶管理，實(shí)現(xiàn)對(duì)文檔的有效管理。
　　基于角色的訪問控制技術(shù)——RBAC，作為信息完全領(lǐng)域的一種新技術(shù)，正不斷受到重視。在RBAC96[1]中與用戶管理相關(guān)的是RRA97[2]。RRA97引入了3種角色概念：Abilities、Groups、UP-Roles，分別稱為能力角色、組角色和混合角色。其成員分別由權(quán)限或其他能力角色、用戶或其他組角色、權(quán)限和用戶以及其他混合角色構(gòu)成。3種角色可分別記做A、G和UPR。
 RRA定義了兩種指派操作：can-assigna和can-assigng[3]。can-assinga比照PRA定義的能力角色和權(quán)限之間的關(guān)系，實(shí)質(zhì)就是將不可分割的權(quán)限組織成一個(gè)整體；can-assigng是比照URA定義的組角色和用戶之間的關(guān)系，對(duì)用戶進(jìn)行分組。相應(yīng)地，定義了各自的revoke操作。參考文獻(xiàn)[5]涉及了如何對(duì)用戶進(jìn)行分組和對(duì)用戶組管理。
1 RRA的實(shí)現(xiàn)
1.1 RRA基本操作
　　RRA中，通過(guò)將用戶和權(quán)限進(jìn)行分組，分別指派給組角色和能力角色實(shí)現(xiàn)對(duì)用戶和權(quán)限的分組管理。本文將實(shí)現(xiàn)RRA中的以下問題：用戶-組角色指派與撤銷、權(quán)限-能力角色指派與撤銷、組角色-角色指派與撤銷、能力角色-角色指派與撤銷、組角色管理、能力角色管理。
　　用戶-組角色指派與撤銷過(guò)程的實(shí)質(zhì)是將用戶分配到合適的組角色中，并將用戶從組角色中刪除，實(shí)現(xiàn)用戶的分組管理。借用URA定義，可將其過(guò)程定義為：
　　定義1 用戶-組角色指派關(guān)系can-assignUGAR×CR×2^G。其中，AR、CR含義同URA，G為組角色。CR中的角色也為組角色。
　　定義2 用戶-組角色撤銷關(guān)系can-revokeUGAR×2^G。其中，AR、G含義同定義1。
 用戶-組角色指派過(guò)程中存在指派先決條件，因而需要在RRA實(shí)現(xiàn)中體現(xiàn)出來(lái)，本文將考慮該因素。
 權(quán)限-能力角色指派與撤銷過(guò)程實(shí)質(zhì)是將權(quán)限進(jìn)行分組管理，通過(guò)將不可分離的權(quán)限組織成一個(gè)權(quán)限組來(lái)方便角色-權(quán)限指派。借用PRA可將其關(guān)系定義為：
　　定義3 權(quán)限-能力角色指派關(guān)系can-assignPAAR×CR×2^A。其中，AR、CR含義同URA，A為能力角色。CR中的角色也為能力角色。
 　   定義4 權(quán)限-能力角色撤銷關(guān)系can-revokePAAR×2^A。其中，AR、A含義同定義3。
　　定義5 組角色-角色指派關(guān)系can-assignGAR×CR×2^R。組角色-角色撤銷關(guān)系can-revokeGAR×2^R。其中，AR、CR含義同URA，R為角色。
　　定義6 能力角色-角色指派關(guān)系can-assignAAR×CR×2R。組角色-角色撤銷關(guān)系can-revokeAAR×2^R。其中，AR、CR含義同URA，R為角色。
　　組角色更多的是反映用戶的組織結(jié)構(gòu)，因而存在著組角色之間的上下級(jí)和包含關(guān)系，為了和RBAC統(tǒng)一，可將這種關(guān)系看作繼承關(guān)系。
　　定義7 組角色G之間的繼承關(guān)系GHG×G為組角色G之間的偏序關(guān)系。
　　相應(yīng)地，能力角色之間也存在著上下包含關(guān)系，同樣可用繼承關(guān)系定義。
　　定義8 能力角色A之間的繼承關(guān)系A(chǔ)HA×A為能力角色A之間的偏序關(guān)系。
　　在實(shí)際應(yīng)用中，組角色、能力角色的創(chuàng)建與維護(hù)由系統(tǒng)管理員完成。
1.2 主要表結(jié)構(gòu)及其之間的關(guān)系
1.2.1 用戶-組角色及組角色-角色之間的關(guān)系
　　用戶、組角色及組角色、角色之間的關(guān)系如圖1所示。其中，各表的含義分別為：

   　 User：用戶基本信息，主要是用戶編號(hào)、用戶名和密碼。
 　   Role：角色基本信息，主要包括角色編號(hào)、角色名。
　　UserRoleAssignment：用戶-角色指派關(guān)系，主要是用戶編號(hào)和角色編號(hào)之間的對(duì)應(yīng)關(guān)系。
　　UserGroupAssignment：用戶-組角色指派關(guān)系，主要是用戶編號(hào)和組角色編號(hào)之間的關(guān)系。
　　GroupRoleAssignment：組角色-角色指派關(guān)系，主要是組角色編號(hào)和角色編號(hào)之間的關(guān)系。
　　GroupRole：組角色基本信息，主要是組角色編號(hào)，組角色名和組角色之間的繼承關(guān)系。
　　URA-CR：用戶-角色指派時(shí)應(yīng)當(dāng)滿足的指派先決條件。
　　UGA-CR：用戶-組角色指派時(shí)應(yīng)當(dāng)滿足的指派先決條件。
1.2.2權(quán)限-能力角色及能力角色-角色之間的關(guān)系
　　權(quán)限、能力角色及能力角色、角色之間的關(guān)系，如圖2所示。其中，各表的含義分別為：
 Permission：權(quán)限基本信息，主要是權(quán)限編號(hào)、權(quán)限名、該權(quán)限對(duì)應(yīng)的操作和針對(duì)的對(duì)象。
 Role：角色基本信息，同上小節(jié)。

　　PermissionRoleAssignment：權(quán)限-角色指派關(guān)系，主要是權(quán)限編號(hào)和角色編號(hào)之間的關(guān)系。
　　PermissionAbilityAssignment：權(quán)限-能力角色指派關(guān)系，主要是權(quán)限編號(hào)和能力角色編號(hào)之間的關(guān)系。
　　AbilityRole：能力角色基本信息，主要是能力角色編號(hào)、能力角色名和能力角色之間的繼承關(guān)系。
　　AbilityRoleAssignment：能力角色-角色指派關(guān)系，主要是能力角色編號(hào)和角色編號(hào)之間的關(guān)系。
　　PRA-CR：權(quán)限-角色指派先決條件，字段含義同上小節(jié)。
　　PAA-CR：權(quán)限-能力角色指派先決條件，字段含義同上小節(jié)。
　　PRA-CR，PAA-CR表中數(shù)據(jù)的關(guān)系同UGA-CR和URA-CR表。
2 實(shí)際應(yīng)用
　　在規(guī)劃局的知識(shí)管理系統(tǒng)中實(shí)現(xiàn)了利用RRA實(shí)現(xiàn)對(duì)用戶和權(quán)限的分組管理。系統(tǒng)結(jié)構(gòu)如圖3所示。

2.1 用戶分組管理
　　由于系統(tǒng)中用戶較多，同一科室的工作人員的權(quán)限稍有不同。由于RBAC本身要求在進(jìn)行角色設(shè)置時(shí)(此處的角色指PRA過(guò)程中的角色）盡量減少角色數(shù)量，以便簡(jiǎn)化角色繼承關(guān)系的管理，而在本系統(tǒng)中的角色設(shè)置時(shí)考慮到用戶實(shí)際組織結(jié)構(gòu)的設(shè)置、角色名與職位名相同。在實(shí)際工作中，某些工作人員可能暫時(shí)具有不屬于該科室的權(quán)限。此時(shí)可先建立一個(gè)用戶組角色，為該組角色指派相應(yīng)的角色，然后將該組角色指派給多個(gè)工作人員。由于用戶組角色不進(jìn)入角色繼承系統(tǒng)，因而對(duì)原有角色繼承關(guān)系不需要修改。同時(shí)利用組角色進(jìn)行用戶-角色指派，由于對(duì)多個(gè)工作人員只需要進(jìn)行一次用戶-用戶組角色的指派操作，而不需要進(jìn)行多次用戶-角色的指派操作，因而當(dāng)用戶組中用戶較多時(shí)，此法可減少用戶-角色指派操作數(shù)量。
2.2 權(quán)限分組管理
　　該系統(tǒng)中，用戶具有對(duì)知識(shí)管理系統(tǒng)中操作文檔的權(quán)限，而操作權(quán)限可進(jìn)一步細(xì)分為查詢、錄入、修改、打印等權(quán)限，需將這些權(quán)限作為一個(gè)整體指派給角色，不宜分開指派。此時(shí)可將這類不能分開的權(quán)限指派給能力角色，再將能力角色指派給角色即可。將權(quán)限指派給能力角色后，不同能力角色之間可形成繼承關(guān)系。  
　　針對(duì)知識(shí)文檔管理系統(tǒng)中，通過(guò)將用戶和權(quán)限進(jìn)行分組，方便地實(shí)現(xiàn)用戶-角色指派和權(quán)限-角色指派管理。對(duì)用戶-組角色指派、權(quán)限-能力角色指派和撤銷關(guān)系作了定義。設(shè)計(jì)了實(shí)現(xiàn)RRA需要的表，并給出了表之間的關(guān)系。同時(shí)，實(shí)現(xiàn)了指派先決條件的表示和存儲(chǔ)，該指派先決條件可實(shí)現(xiàn)角色之間的互斥約束關(guān)系。最后，給出了一個(gè)具體的例子說(shuō)明RRA的應(yīng)用。  
參考文獻(xiàn)
[1] RAVI S. Role-based access control models[J]. IEEE Computer，1996，29(2):38-47.
[2] RAVI S，VENKATA B. The ARBAC97 model for rolebased administration of roles[J].TISSEC，1999，2(1):105-135.
[3] RAVI S，QAMAR M. The RRA97 model for role-based admini stration of role hierarchies[C]. In Procee-dings of 13th Annual Com puter Security Application Conference，Scottsdale，AZ， December 7-11，1998.
[4] 何海云，張春，趙戰(zhàn)生.基于角色的訪問控制模型分析[J].計(jì)算機(jī)工程，1999，(8):39-44.
[5] OSBORN S. GUO Y.Modeling users in role-based access control[M]. ACMRBAC,2000.