資源描述:
《基于RBAC的訪問控制機(jī)制研究.doc》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1��、基于RBAC的訪問控制機(jī)制研究?科技創(chuàng)新論文基于RBAC的訪問控制機(jī)制研究(國(guó)網(wǎng)技術(shù)學(xué)院���,山東濟(jì)南250002)【摘要】基于角色的訪問控制(RBAC)是一種可以解決統(tǒng)一資源訪問控制的方法�,能夠更好地適應(yīng)不同信息系統(tǒng)特定的安全策略�,簡(jiǎn)化對(duì)信息系統(tǒng)訪問控制的授權(quán)與管理。本文通過(guò)對(duì)RBAC模型構(gòu)件分析��,對(duì)其特點(diǎn)及應(yīng)用優(yōu)勢(shì)進(jìn)行了總結(jié)和研究。關(guān)鍵詞RBAC;角色�����;授權(quán);信息系統(tǒng)����;用戶權(quán)限;訪問控制在一般管理信息系統(tǒng)中,訪問控制方法一般有三種形式:一�����、自主型�����,這種訪問控制方法主要借助于訪問控制列表實(shí)現(xiàn)訪問控制��;二�、強(qiáng)制型,這種訪問控制方法用于軍事應(yīng)用等對(duì)安全級(jí)別要求較高的系統(tǒng)�����;三�、基
2����、于角色的訪問控制方法(Role-BasedAccessControl)z下文主要對(duì)這種方法進(jìn)行介紹和研究�����。作為目前公認(rèn)的可以解決統(tǒng)一資源訪問控制的方法,RBAC的設(shè)計(jì)理念是:權(quán)限與角色相關(guān)聯(lián)�����,用戶通過(guò)成為適當(dāng)角色的成員而得到這些角色的權(quán)限����。這就極大地簡(jiǎn)化了信息系統(tǒng)權(quán)限的管理。這里所說(shuō)的角色與現(xiàn)實(shí)生活中角色的概念有所不同����,它是一組操作的集合�����,不同的角色具有不同的操作集,這些操作由系統(tǒng)管理員分配給角色���。用戶的授權(quán)是指系統(tǒng)管理員賦予用戶一個(gè)角色����,只要用戶屬于某個(gè)角色那么他就具備這個(gè)角色的所有操作許可,即該角色所擁有的權(quán)限���。系統(tǒng)中的某一個(gè)用戶可以被賦予不同的角色�,也就是說(shuō)用戶與角
3�����、色是多對(duì)多的關(guān)系��,即一個(gè)用戶可以有多個(gè)角色����,一個(gè)角色可以被賦予多個(gè)用戶。應(yīng)用RBAC機(jī)制的信息系統(tǒng)中授權(quán)管理的靈活性得到很好的體現(xiàn):1)減少授權(quán)管理的復(fù)雜操作��,降低系統(tǒng)管理開銷;2)可以靈活地適應(yīng)信息系統(tǒng)特定安全策略的制定與修改��。1RBAC模型構(gòu)件分析我們對(duì)該模型定義如下:U,R,P,S:用戶�,角色,權(quán)限�,會(huì)話;PA?聞P*R:權(quán)限分配,多對(duì)多的關(guān)系;UA?爹LTR:用戶分配��,多對(duì)多關(guān)系;User:S?U,每一個(gè)會(huì)話S對(duì)應(yīng)單一用戶user⑸的映射;Roles:會(huì)話S到角色集合role(s)?W{r
4����、(user(s)/r)GPA}易見:該模型由三個(gè)實(shí)體組成,分別是:用戶(U
5��、L角色(R)����、權(quán)限(P)。其中用戶指自然人�����,角色就是組織內(nèi)部一件工作的功能或工作的頭銜���,表示該角色成員所授予的職責(zé)的許可�����,系統(tǒng)中擁有權(quán)限的用戶可以執(zhí)行相應(yīng)的操作���。角色權(quán)限分配PA和用戶角色分配UA是多對(duì)多的關(guān)系��,即一個(gè)用戶可以擁有多個(gè)角色,一個(gè)角色也可被多個(gè)用戶所擁有����。同樣的,一個(gè)角色擁有多個(gè)權(quán)限,—個(gè)權(quán)限能被多個(gè)角色所擁有���。用戶建立會(huì)話從而對(duì)資源進(jìn)行存取���,每個(gè)會(huì)話S將一個(gè)用戶與他所對(duì)應(yīng)的角色集中的一部分建立映射關(guān)系,這個(gè)角色會(huì)話子集稱為會(huì)話激活的角色集。于是�����,在這次會(huì)話中��,用戶可以執(zhí)行的操作就是該會(huì)話激活的角色集對(duì)應(yīng)的權(quán)限所允許的操作��。2RBAC特點(diǎn)2.1信息系統(tǒng)訪問權(quán)
6���、限與角色相關(guān)聯(lián)��,不同的角色有不同的權(quán)限用戶以什么樣的角色對(duì)信息系統(tǒng)進(jìn)行訪問�����,決定了用戶擁有的權(quán)限以及可執(zhí)行何種操作��。在RBAC中,用戶就是一個(gè)可以獨(dú)立訪問信息系統(tǒng)資源的主體�。角色是指信息系統(tǒng)中的任務(wù)或者位置,它代表了一種權(quán)利�、資格和責(zé)任。許可(特權(quán))就是允許對(duì)一個(gè)或多個(gè)客體執(zhí)行的操作���。一個(gè)用戶可經(jīng)授權(quán)而擁有多個(gè)角色,一個(gè)角色可由多個(gè)用戶構(gòu)成���;每個(gè)角色可擁有多種許可,每個(gè)許可也可授權(quán)給多個(gè)不同的角色��。每個(gè)操作可施加于多個(gè)客體(受控對(duì)象),每個(gè)客體也可以接受多個(gè)操作�。系統(tǒng)中主要設(shè)計(jì)如下表格記錄相關(guān)信息:用戶表(USERS)包括用戶標(biāo)識(shí)、用戶姓名�、用戶登錄密碼。用戶表是系統(tǒng)中的
7�����、個(gè)體用戶集����,隨用戶的添加與刪除動(dòng)態(tài)變化。角色表(ROLES)包括角色標(biāo)識(shí)����、角色名稱、角色基數(shù)��、角色可用標(biāo)識(shí)����。角色表是系統(tǒng)角色集,由系統(tǒng)管理員定義角色���?�?腕w表(OBJECTS)包括對(duì)象標(biāo)識(shí)����、對(duì)象名稱����。客體表是系統(tǒng)中所有受控對(duì)象的集合���。操作算子表(OPERATIONS)包括操作標(biāo)識(shí)��、操作算子名稱��。系統(tǒng)中所有受控對(duì)象的操作算子構(gòu)成操作算子表��。許可表(PERMISSIONS)包括許可標(biāo)識(shí)��、許可名稱�����、受控對(duì)象����、操作標(biāo)識(shí)。許可表給出了受控對(duì)象與操作算子的對(duì)應(yīng)關(guān)系��。角色/許可授權(quán)表包括角色標(biāo)識(shí)����、許可標(biāo)識(shí)。系統(tǒng)管理員通過(guò)為角色分配或取消許可管理角色/許可授權(quán)表���。用戶/角色分配表包括用戶標(biāo)
8���、識(shí)�����、角色標(biāo)識(shí)。系統(tǒng)管理員通過(guò)為用戶分配角色���、取消用戶的某個(gè)角色等操作管理用戶/角色分配表�。用戶/角色授權(quán)表包括用戶標(biāo)識(shí)����、角色標(biāo)識(shí)、可用性�����。2.2角色與角色之間存在繼承關(guān)系為了提高系統(tǒng)工作效率,避免相同權(quán)限的重復(fù)設(shè)置,RBAC采用了〃角色繼承〃的概念�����。角色繼承把角色組織起來(lái)���,能夠很自然地反映系統(tǒng)內(nèi)部人員之間的職權(quán)���、責(zé)任關(guān)系����。角色之間可能有互相重疊的職責(zé)和權(quán)力,屬于不同角色的用戶可能需要執(zhí)行一些相同的操作�。2.3角色限制角色限制包括角色互斥與角色基數(shù)限制。對(duì)于某些特定的操作集����,某一個(gè)用戶不可能同時(shí)獨(dú)立地完成所有這些操作。角色互斥可
