基于角色存取控制技术在电子商务安全中的应用研究

[摘要] 本文给出了改进的DBSS模型。通过对传统RBAC模型中角色概念的扩展，提出一种基于应用程序层的RBAC模型。定义了不同的角色关系和操作权限集，给出了角色控制模块中功能层的权限管理，以及数据库访问权限管理的实施方法。

[关键词] 电子商务安全 数据库系统安全 RBAC 角色

一、引言

安全问题是电子商务（EC）实施中的瓶颈之一。数据库是电子商务的核心，数据库是否安全直接影响着电子商务正常运营。笔者针对传统数据库安全（DBSS）模型存在的弊端，提出了改进的DBSS模型和基于应用程序层的角色存取控制（RBAC）模型和相应的解决方案。

二、数据库系统安全模型

在原有DBSS模型的基础上，通过扩展其安全模块DBSS以增强其安全性。身份认证模块采用基于对称与非对称加密体制相结合的改进Kerberos认证协议；通过对角色概念的扩展，增加了角色存取控制的可控性；通过同态数据库加密技术，保障了数据的安全性与完整性。改进后的DBSS模型如图1所示。

图1 改进后的DBSS模型

DBSS模块主要有两部分构成：DBSS的管理程序和具体业务处理模块。DBSS的管理程序负责整个系统的协调调度，具体业务交给各个相应功能模块去处理。具体业务处理模块主要包括身份认证模块、角色存取控制模块、日志记录模块、数据加密模块。

管理程序把请求者的身份提交给身份认证模块来处理；若是合法身份就允许进入角色存取控制授权模块检查来访者的权限，否则拒绝进入，并把请求的明文数据返回给数据加密模块；数据加密模块对明文数据进行加密，最后把明文数据或密文数据发送给客户端；日志记录模块记录来访者的身份认证结果、角色存取控制授权结果和数据加密模块处理结果等。

三、基于应用程序层的RBAC模型

模型中角色权限分配是将应用程序层系统功能项的操作权限分配给角色，而不是将访问数据库权限分配给角色；角色通过操纵系统的功能项来操纵数据库资源，而不是通过访问数据库的权限来操纵数据库资源，如图2所示。

图2 基于应用程序层的RBAC模型

图2中的模型包含两个基本层次：一是对应用系统功能层的访问权限管理。二是对数据库访问权限的管理。将前端的“功能权限控制管理”和后台的“数据存取权限管理”融合，进一步加强了系统安全管理的性能。

1.功能层访问权限管理

数据库系统客户端的权限控制应包括以下几部分：操作员用户标识、操作员用户对系统模块的执行权限、操作员用户对数据库数据的操作权限。

(1)角色划分

从系统管理的层面上考虑，将操作员用户按照权限级别由高到低划分为系统管理员、子系统管理员、子系统的录入员、一般用户四类。从用户访问的角度考虑，角色划分类似于单位的组织结构。不同角色的权限可用单重或多重继承来实现。角色之间具有偏序关系，偏序关系满足反身性、传递性和非对称性。

(2)权限管理

系统权限分为系统模块控制权限和数据库的操作权限两部分。定义如下四个关系元组来实现权限控制。操作员用户用二元组标识，其中U表示用户名，P表示密码。

定义1：权限级别二元组PC< P, C>，其中P表示存取控制属性，C表示可能取值的集合。表示一个属性P作为数据存取控制属性，该属性取值为一个集合C。

定义2：关系权限控制集合X{(R, P)}，其中R表示关系，P表示R上的一个属性。表示任何用户要对R进行操作，必须先进行以P为分类的权限级别检查。

定义3：用户权限级别集合Y{(U, R, P, C1)}，其中U表示操作员用户，R表示关系，P表示R上的一个属性，C1表示属性值集合C的子集。它表示U可处理的关系元组，其值属于C1。

定义4：关系元组，其中R表示关系，P表示R上的一个属性，G表示R上一个元组，V表示G在P上的值。

权限检查算法为：对一个U和一个R如果存在X，对R的一个元组G，对于X中每个属性P，都有VC1时，操作员用户拥有G元组的存取权限。

2.数据库访问权限管理

管理员用户在前台进行用户角色的可操作功能项的设置后，后台DBMS进行相应数据存取权限管理，根据前端对角色功能项的指派，将有关功能项对应的数据库对象的存取权限授予角色写入后台数据库中的系统关系数据表中，创建前台设置的新角色，同时完成对用户的功能角色授权，将相应功能编码数据项写入后台中程序员建立的数据库关系表中，从而实现前后台安全控制的一致性。

四、结论

电子商务安全问题是一个综合性的管理问题，应通过对电子商务安全技术及管理的研究，推动电子商务进一步发展。本文提出的DBSS模型已应用于某公司电子商务系统中。目前，该系统运行正常，安全性能良好。

参考文献:

[1]王卓:对电子商务安全技术体系结构的研究.计算机安全,2008,07

[2]张文丽:电子商务中的数据加密技术初探.技术与市场,2008,7

[3]张旭珍等:电子商务安全技术的研究.计算机与数字工程,2008,5