摘 要：在知識管理系統(tǒng)中，特別是文檔管理系統(tǒng)中，為方便指派管理，多采用把用戶分為用戶組的方式進行用戶-角色指派和權限組進行權限-角色指派，但其中的用戶組和權限組在RBAC中無對應概念。ARBAC模型包含3個子模型，其中的RRA可實現(xiàn)對用戶和權限的分組管理。為了與RBAC統(tǒng)一，可采用RRA實現(xiàn)對用戶和權限的分組管理。
 關鍵詞：知識管理；訪問控制；RBAC RRA

　　知識文檔管理是知識管理系統(tǒng)的重要組成部分。文檔訪問控制管理主要解決不同人對不同文檔的訪問權限問題,完善的訪問控制體制能確保文檔管理的高度安全性，保障知識文檔信息的完整性和可靠性。由于文檔管理系統(tǒng)中存在大量文檔，系統(tǒng)中能夠訪問文檔的用戶數(shù)量龐大，因此如何有效地實現(xiàn)針對文檔的訪問控制是一個重要問題。本文主要針對文檔管理中的用戶和權限管理，探討如何通過有效方便的用戶管理，實現(xiàn)對文檔的有效管理。
　　基于角色的訪問控制技術——RBAC，作為信息完全領域的一種新技術，正不斷受到重視。在RBAC96[1]中與用戶管理相關的是RRA97[2]。RRA97引入了3種角色概念：Abilities、Groups、UP-Roles，分別稱為能力角色、組角色和混合角色。其成員分別由權限或其他能力角色、用戶或其他組角色、權限和用戶以及其他混合角色構成。3種角色可分別記做A、G和UPR。
 RRA定義了兩種指派操作：can-assigna和can-assigng[3]。can-assinga比照PRA定義的能力角色和權限之間的關系，實質就是將不可分割的權限組織成一個整體；can-assigng是比照URA定義的組角色和用戶之間的關系，對用戶進行分組。相應地，定義了各自的revoke操作。參考文獻[5]涉及了如何對用戶進行分組和對用戶組管理。
1 RRA的實現(xiàn)
1.1 RRA基本操作
　　RRA中，通過將用戶和權限進行分組，分別指派給組角色和能力角色實現(xiàn)對用戶和權限的分組管理。本文將實現(xiàn)RRA中的以下問題：用戶-組角色指派與撤銷、權限-能力角色指派與撤銷、組角色-角色指派與撤銷、能力角色-角色指派與撤銷、組角色管理、能力角色管理。
　　用戶-組角色指派與撤銷過程的實質是將用戶分配到合適的組角色中，并將用戶從組角色中刪除，實現(xiàn)用戶的分組管理。借用URA定義，可將其過程定義為：
　　定義1 用戶-組角色指派關系can-assignUGAR×CR×2^G。其中，AR、CR含義同URA，G為組角色。CR中的角色也為組角色。
　　定義2 用戶-組角色撤銷關系can-revokeUGAR×2^G。其中，AR、G含義同定義1。
 用戶-組角色指派過程中存在指派先決條件，因而需要在RRA實現(xiàn)中體現(xiàn)出來，本文將考慮該因素。
 權限-能力角色指派與撤銷過程實質是將權限進行分組管理，通過將不可分離的權限組織成一個權限組來方便角色-權限指派。借用PRA可將其關系定義為：
　　定義3 權限-能力角色指派關系can-assignPAAR×CR×2^A。其中，AR、CR含義同URA，A為能力角色。CR中的角色也為能力角色。
 　   定義4 權限-能力角色撤銷關系can-revokePAAR×2^A。其中，AR、A含義同定義3。
　　定義5 組角色-角色指派關系can-assignGAR×CR×2^R。組角色-角色撤銷關系can-revokeGAR×2^R。其中，AR、CR含義同URA，R為角色。
　　定義6 能力角色-角色指派關系can-assignAAR×CR×2R。組角色-角色撤銷關系can-revokeAAR×2^R。其中，AR、CR含義同URA，R為角色。
　　組角色更多的是反映用戶的組織結構，因而存在著組角色之間的上下級和包含關系，為了和RBAC統(tǒng)一，可將這種關系看作繼承關系。
　　定義7 組角色G之間的繼承關系GHG×G為組角色G之間的偏序關系。
　　相應地，能力角色之間也存在著上下包含關系，同樣可用繼承關系定義。
　　定義8 能力角色A之間的繼承關系AHA×A為能力角色A之間的偏序關系。
　　在實際應用中，組角色、能力角色的創(chuàng)建與維護由系統(tǒng)管理員完成。
1.2 主要表結構及其之間的關系
1.2.1 用戶-組角色及組角色-角色之間的關系
　　用戶、組角色及組角色、角色之間的關系如圖1所示。其中，各表的含義分別為：

   　 User：用戶基本信息，主要是用戶編號、用戶名和密碼。
 　   Role：角色基本信息，主要包括角色編號、角色名。
　　UserRoleAssignment：用戶-角色指派關系，主要是用戶編號和角色編號之間的對應關系。
　　UserGroupAssignment：用戶-組角色指派關系，主要是用戶編號和組角色編號之間的關系。
　　GroupRoleAssignment：組角色-角色指派關系，主要是組角色編號和角色編號之間的關系。
　　GroupRole：組角色基本信息，主要是組角色編號，組角色名和組角色之間的繼承關系。
　　URA-CR：用戶-角色指派時應當滿足的指派先決條件。
　　UGA-CR：用戶-組角色指派時應當滿足的指派先決條件。
1.2.2權限-能力角色及能力角色-角色之間的關系
　　權限、能力角色及能力角色、角色之間的關系，如圖2所示。其中，各表的含義分別為：
 Permission：權限基本信息，主要是權限編號、權限名、該權限對應的操作和針對的對象。
 Role：角色基本信息，同上小節(jié)。

　　PermissionRoleAssignment：權限-角色指派關系，主要是權限編號和角色編號之間的關系。
　　PermissionAbilityAssignment：權限-能力角色指派關系，主要是權限編號和能力角色編號之間的關系。
　　AbilityRole：能力角色基本信息，主要是能力角色編號、能力角色名和能力角色之間的繼承關系。
　　AbilityRoleAssignment：能力角色-角色指派關系，主要是能力角色編號和角色編號之間的關系。
　　PRA-CR：權限-角色指派先決條件，字段含義同上小節(jié)。
　　PAA-CR：權限-能力角色指派先決條件，字段含義同上小節(jié)。
　　PRA-CR，PAA-CR表中數(shù)據的關系同UGA-CR和URA-CR表。
2 實際應用
　　在規(guī)劃局的知識管理系統(tǒng)中實現(xiàn)了利用RRA實現(xiàn)對用戶和權限的分組管理。系統(tǒng)結構如圖3所示。

2.1 用戶分組管理
　　由于系統(tǒng)中用戶較多，同一科室的工作人員的權限稍有不同。由于RBAC本身要求在進行角色設置時(此處的角色指PRA過程中的角色）盡量減少角色數(shù)量，以便簡化角色繼承關系的管理，而在本系統(tǒng)中的角色設置時考慮到用戶實際組織結構的設置、角色名與職位名相同。在實際工作中，某些工作人員可能暫時具有不屬于該科室的權限。此時可先建立一個用戶組角色，為該組角色指派相應的角色，然后將該組角色指派給多個工作人員。由于用戶組角色不進入角色繼承系統(tǒng)，因而對原有角色繼承關系不需要修改。同時利用組角色進行用戶-角色指派，由于對多個工作人員只需要進行一次用戶-用戶組角色的指派操作，而不需要進行多次用戶-角色的指派操作，因而當用戶組中用戶較多時，此法可減少用戶-角色指派操作數(shù)量。
2.2 權限分組管理
　　該系統(tǒng)中，用戶具有對知識管理系統(tǒng)中操作文檔的權限，而操作權限可進一步細分為查詢、錄入、修改、打印等權限，需將這些權限作為一個整體指派給角色，不宜分開指派。此時可將這類不能分開的權限指派給能力角色，再將能力角色指派給角色即可。將權限指派給能力角色后，不同能力角色之間可形成繼承關系。  
　　針對知識文檔管理系統(tǒng)中，通過將用戶和權限進行分組，方便地實現(xiàn)用戶-角色指派和權限-角色指派管理。對用戶-組角色指派、權限-能力角色指派和撤銷關系作了定義。設計了實現(xiàn)RRA需要的表，并給出了表之間的關系。同時，實現(xiàn)了指派先決條件的表示和存儲，該指派先決條件可實現(xiàn)角色之間的互斥約束關系。最后，給出了一個具體的例子說明RRA的應用。  
參考文獻
[1] RAVI S. Role-based access control models[J]. IEEE Computer，1996，29(2):38-47.
[2] RAVI S，VENKATA B. The ARBAC97 model for rolebased administration of roles[J].TISSEC，1999，2(1):105-135.
[3] RAVI S，QAMAR M. The RRA97 model for role-based admini stration of role hierarchies[C]. In Procee-dings of 13th Annual Com puter Security Application Conference，Scottsdale，AZ， December 7-11，1998.
[4] 何海云，張春，趙戰(zhàn)生.基于角色的訪問控制模型分析[J].計算機工程，1999，(8):39-44.
[5] OSBORN S. GUO Y.Modeling users in role-based access control[M]. ACMRBAC,2000.