資源描述:
《基于rbac模型的細(xì)粒度權(quán)限訪問控制研究》由會員上傳分享�����,免費在線閱讀��,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫�。
1、基于RBAC模型的細(xì)粒度權(quán)限訪問控制研究摘要:隨著企業(yè)組織規(guī)模的不斷擴大��,信息化程度的不斷提高����,訪問控制模塊就成了企業(yè)信息系統(tǒng)的一個重要組成部分。本文通過對訪問控制理論的研究針對其不足并結(jié)合現(xiàn)代企業(yè)信息管理系統(tǒng)的特點��,提出了一種基于自治域的RBAC訪問控制模型AD_RBAC�,在此基礎(chǔ)上設(shè)計開發(fā)了一個通用的細(xì)粒度訪問控制框架FGACF,對FGACF框架設(shè)想實現(xiàn)的訪問控制粒度進(jìn)行了定義;充分利用自定義標(biāo)簽技術(shù)和AOP技術(shù)的優(yōu)點��,加速系統(tǒng)的實現(xiàn)�、測試、維護(hù)和升級��。關(guān)鍵詞:RBAC�����;訪問控制��;自治域����;組中圖分
2、類號:TP311.521研究背景企業(yè)信息化的發(fā)展需要盡可能的共享資源�,這就不可避免的會出現(xiàn)關(guān)鍵數(shù)據(jù)被非法破壞和竊取的情況。RBAC訪問控制技術(shù)比較靈活同時易于擴展���,有效的克服了傳統(tǒng)訪問控制技術(shù)存在的問題�����。如能進(jìn)一步改善現(xiàn)有的角色訪問控制模型�,提出一種細(xì)粒度的訪問控制框架,對企業(yè)信息資源進(jìn)行分散管理���,減輕系統(tǒng)管理人員的工作負(fù)擔(dān)�,提高企業(yè)信息資源的安全性具有重要的研究價值����。2基于RBAC模型的自治域訪問控制模型5在基于角色權(quán)限控制系統(tǒng)里邊����,將擁有自主權(quán)限分配的組織單元作為一個自治域,該自治域的單元擁有對用
3��、戶的添加�����、用戶的角色的分配�、用戶權(quán)限的分配、用戶權(quán)限的撤銷���、角色的刪除等��。在企業(yè)信息內(nèi)部����,另外一部分的單元內(nèi)部,他們沒有權(quán)限和角色的分配及撤銷的權(quán)力����,在基于角色的權(quán)限控制系統(tǒng)里邊,稱之為普通域�。基于自治域的角色訪問控制模型(AutonomyDomain-basedRBAC����,AD_RBAC)的授權(quán)機制在兩個層次為用戶授權(quán),第一個是在企業(yè)信息系統(tǒng)的系統(tǒng)級對用戶分配角色或者權(quán)限�����,第二個是在企業(yè)信息系統(tǒng)的自治組或者普通組的級別上為用戶分配角色或者權(quán)限����。在組級授權(quán)管理模塊中,只有自治組具有管理本組及其所包含的組
4����、的能力。5AD_RBAC模型利用上層控制下層的管理機制將職責(zé)進(jìn)行了有效分離����。與傳統(tǒng)的RBAC管理模型相對比���,AD_RBAC模型存在的優(yōu)勢:擴展了組(Group)的概念―管理組和普通組的劃分,使組的表達(dá)能力得到了增強�����,前者有權(quán)分配和撤銷用戶角色/權(quán)限�,后者則無此權(quán)限�����;最大程度簡化了系統(tǒng)管理員的用戶授權(quán)管理工作―在AD_RBAC模型中���,系統(tǒng)管理員放權(quán)給組管理員�����,由組管理員負(fù)責(zé)組內(nèi)用戶的授權(quán)�,同時指定下層組的權(quán)限�����,極大的減輕了系統(tǒng)管理員的負(fù)擔(dān);能準(zhǔn)確反映企業(yè)的組織結(jié)構(gòu)和人事管理模式�,并直觀模擬企業(yè)權(quán)限層層下
5、放的授權(quán)管理模式�;用戶授權(quán)更靈活更可控―AD_RBAC模型首先通過組的形式輕松授權(quán)用戶,其次是使高層組擁有更加靈活的授權(quán)能力��,可以對底層組的權(quán)限范圍進(jìn)行調(diào)節(jié)以控制底層組管理員的授權(quán)能力��,另外組管理員通過對用戶活動和信息的清晰把握使得其授權(quán)更加準(zhǔn)確�。3基于RBAC模型的細(xì)粒度訪問控制框架設(shè)計及實現(xiàn)基于自治域的角色權(quán)限管理模型采用一種新的分組的策略。在基于自治域的角色權(quán)限管理模型中���,采用在系統(tǒng)管理員級和自治組一級為用戶分配角色和權(quán)限��,是一種樹形的多級用戶授權(quán)策略�����?;赗BAC模型的細(xì)粒度訪問控制框架(FG
6�����、ACF)依據(jù)不同的受訪問的客體資源的特點��,采用與每一類訪問客體資源相匹配的訪問控制方法,實現(xiàn)一種所見即所得的配置組件��。細(xì)粒度訪問控制框架模型以角色訪問控制模型為基礎(chǔ)��,在該模型里邊���,包含了權(quán)限的設(shè)置�����、角色的設(shè)計���、資源管理及分配�、用戶組的管理、用戶角色授權(quán)的管理以及資源的訪問控制實現(xiàn)5訪問控制模型是細(xì)粒度訪問控制模型的核心功能模塊��。它提供了可被客戶程序調(diào)用的各類接口和資源類型����,保證實現(xiàn)了統(tǒng)一資源定位符、標(biāo)簽元素����、給類普通方法和靜態(tài)方法�、業(yè)務(wù)數(shù)據(jù)�����、文件等各類資源的使用安全�,使得用戶能夠安全的使用客體資源。下
7��、面我們將闡述和展示各種資源的訪問控制的具體實現(xiàn):(1)URL資源的訪問控制實現(xiàn)��。細(xì)粒度訪問控制框架模型采取了過濾器技術(shù)來實現(xiàn)URL���;(2)標(biāo)簽元素的訪問控制����。粒度訪問控制模型采用定制自定義標(biāo)簽來實現(xiàn)JavaWeb信息系統(tǒng)中頁面內(nèi)子元素的訪問控制�����;(3)方法資源的訪問控制實現(xiàn)���。根據(jù)是否牽涉業(yè)務(wù)數(shù)據(jù)資源�����,方法資源的操作可分兩類:方法中不包含對受保護(hù)的業(yè)務(wù)數(shù)據(jù)的操作��;方法調(diào)用的參數(shù)或返回值是系統(tǒng)中受保護(hù)的業(yè)務(wù)數(shù)據(jù)資源��。細(xì)粒度訪問控制框架采用面向切面編程(AOP)技術(shù)實現(xiàn)方法資源的訪問控制�,本文采用比較流行的
8、SpringAOP框架��。4結(jié)束語本文通過對訪問控制理論的研究��,分析了傳統(tǒng)RBAC模型的結(jié)構(gòu)��,針對其不足并結(jié)合現(xiàn)代企業(yè)信息系統(tǒng)的特點提出了一個基于自制域的RBAC訪問控制模型(AD_RBAC)�,在改進(jìn)后的AD_RBAC模型基礎(chǔ)上,設(shè)計開發(fā)了一個通用的細(xì)粒度訪問控制框架�����,在設(shè)計和實現(xiàn)過程中充分利用了自定義標(biāo)簽技術(shù)和AOP技術(shù)的優(yōu)點��,使得系統(tǒng)的實現(xiàn)�、測試����、維護(hù)和升級更加方便�,并且能夠快速移植到其它系統(tǒng)中�。參考文獻(xiàn):[1]鄒林.基于RBAC的網(wǎng)絡(luò)訪問控制系統(tǒng)建模
