資源描述:
《信息系統(tǒng)中基于RBAC模型的訪問控制模塊設(shè)計與實(shí)現(xiàn)》由會員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫�。
1、第45卷增刊大連理工大學(xué)學(xué)報Vol.45,Suppl.2005年10月JournalofDalianUniversityofTechnologyOct12005校園信息化文章編號:100028608(2005)S2S284203Web信息系統(tǒng)中基于RBAC模型的訪問控制模塊設(shè)計與實(shí)現(xiàn)12王興偉,王宇(1.東北大學(xué)CERNET東北地區(qū)網(wǎng)絡(luò)中心,遼寧沈陽110004;2.東北大學(xué)網(wǎng)絡(luò)中心,遼寧沈陽110004)摘要:介紹了各類訪問控制技術(shù),特別是基于角色的訪問控制(role2basedaccesscontrol,
2����、RBAC)模型,同時根據(jù)Web信息系統(tǒng)的特點(diǎn)提供了一個基于RBAC模型的訪問控制模塊的實(shí)現(xiàn).RBAC訪問控制實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離,減少了授權(quán)管理的復(fù)雜性,降低了管理開銷.關(guān)鍵詞:RBAC;權(quán)限;訪問控制;web信息系統(tǒng)中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A0引言統(tǒng)的安全問題,但會使系統(tǒng)的安全管理很復(fù)雜,應(yīng)用系統(tǒng)的安全性也不足.隨著信息技術(shù)的不斷發(fā)展,用戶可訪問的數(shù)據(jù)為了解決傳統(tǒng)訪問控制技術(shù)的不足,出現(xiàn)了基資源的結(jié)構(gòu)日益復(fù)雜,規(guī)模日益增大,各類信息系統(tǒng)于角色的訪問控制(role2basedaccessc
3、ontrol,簡稱都面臨著對數(shù)據(jù)資源進(jìn)行有效安全管理的難題.資RBAC)和基于任務(wù)的訪問控制(task2basedaccess源的訪問控制在大型的專業(yè)數(shù)據(jù)庫管理信息系統(tǒng)的[2]control,簡稱TBAC)等新的訪問控制技術(shù).設(shè)計與開發(fā)中占有越來越重要的地位;作為系統(tǒng)底RBAC將整個訪問控制過程分成兩部分,即訪問權(quán)層的技術(shù),訪問控制需要滿足不同用戶對不同數(shù)據(jù)限與角色相關(guān)聯(lián),角色再與用戶相關(guān)聯(lián),從而實(shí)現(xiàn)用的需求.戶與訪問權(quán)限的邏輯分離,減少了授權(quán)管理的復(fù)雜訪問控制權(quán)限的構(gòu)建主要是決定一個用戶是否性,降低了管理開
4��、銷,為管理員提供了一個比較好的有權(quán)對某一特定的數(shù)據(jù)資源執(zhí)行某種操作;其實(shí)質(zhì)實(shí)現(xiàn)安全政策的環(huán)境.TBAC則是以任務(wù)為中心,是解決“who2what2how”這一問題公式,即建立用對訪問權(quán)限控制不是靜止不變的,而是隨著執(zhí)行任務(wù)戶�、角色、資源及資源的操作之間的映射關(guān)系集合,滿足系統(tǒng)對資源控制的需求.傳統(tǒng)的訪問控制方法的上下文環(huán)境發(fā)生變化,在任務(wù)處理的過程中提供動主要分為自主型訪問控制(discretionaryaccesscon2態(tài)�、實(shí)時的安全管理,是動態(tài)授權(quán)的主動安全模型.trols,DAC)和強(qiáng)制型訪問控制(m
5、andatoryaccess1RBAC訪問控制技術(shù)[1]controls,MAC)兩種.自主訪問控制是訪問控制技術(shù)中最常見的一種方法,允許資源的所有者自主RBAC的基本模型及概念結(jié)構(gòu)對應(yīng)關(guān)系包含了地在系統(tǒng)中決定可存取其資源客體的主體.而強(qiáng)制四類實(shí)體:用戶(user)�����、角色(role)��、權(quán)限(permis2[1]訪問控制是主體的權(quán)限和客體的安全屬性都是固定sion)�����、會話(session).RBAC的基本模型如圖1的,由管理員通過授權(quán)決定一個主體對某個客體能所示.否進(jìn)行訪問.無論是DAC還是MAC都是主體和訪(
6����、1)用戶集(users),表示可以獨(dú)立訪問信息系問權(quán)限直接發(fā)生關(guān)系,根據(jù)主體/客體的所屬關(guān)系或統(tǒng)中的數(shù)據(jù)或用數(shù)據(jù)表示的其他資源的主體集合,主體/客體的安全級別來決定主體對客體的訪問權(quán).用戶是對數(shù)據(jù)對象進(jìn)行操作的主體,可以是人���、計算兩種訪問控制技術(shù)雖然在一定程度上解決了應(yīng)用系機(jī)等,反映在系統(tǒng)中的是一個賬號.收稿日期:2005208220.作者簡介:王興偉(19682),男,博士,教授,博士生導(dǎo)師,E2mail:wangxw@mail.neu.edu.cn.;王宇(19782),男,助理工程師,E2mail:wa
7、ngy@mail.neu.edu.cn.增刊王興偉等:Web信息系統(tǒng)中基于RBAC模型的訪問控制模塊設(shè)計與實(shí)現(xiàn)S285訪問網(wǎng)絡(luò)上的web服務(wù)器上的頁面集合.對數(shù)據(jù)庫的訪問都是通過應(yīng)用程序完成的,用戶在客戶端沒有機(jī)會訪問到后臺的數(shù)據(jù)庫服務(wù)器.因而訪問控制大多是針對web服務(wù)器上的資源和數(shù)據(jù)庫中的數(shù)據(jù)資源,并在web服務(wù)器上具體實(shí)現(xiàn).web服務(wù)器上的資源,主要包括服務(wù)器上的文件資源和系統(tǒng)的服務(wù)資源.數(shù)據(jù)庫中的數(shù)據(jù)資源,包括數(shù)據(jù)信息�����、數(shù)據(jù)圖1RBAC訪問控制基本模型訪問日志等.Web信息系統(tǒng)中的訪問控制也大多是Fi
8���、g11Coremodelofrole2basedaccesscontrol針對這些資源而構(gòu)建的.(2)權(quán)限集(permissions),表示能夠?qū)δ硞€客2.2Web信息系統(tǒng)中基于RBAC的訪問控制模型體進(jìn)行訪問的權(quán)限操作集合,權(quán)限是對某一資源對對資源的訪問控制作為信息系統(tǒng)的底層功能,象的可操作權(quán)利,如對數(shù)據(jù)庫數(shù)據(jù)的添加�����、修改��、刪需要根據(jù)系統(tǒng)的實(shí)際需求進(jìn)行設(shè)計,因而在實(shí)際構(gòu)除等操作,系統(tǒng)文件的創(chuàng)建與修
