基于RBAC的扩展权限管理模型的设计与实现.docVIP

  基于 RBAC 的扩展权限管理模型的设计与 实现# 金鑫1,2，王晶1，李炜1* 5 10 15 20 25 30 35 （1. 北京邮电大学网络与交换技术国家重点实验室，北京 100876； 2. 东信北邮信息技术有限公司，北京 100191） 摘要：本文对基于角色的访问控制（Role-Based Access Control）模型进行了研究，并针 对 Web 系统的特点和安全性等问题，提出了相应的设计原则。最后，对应具体项目，采用 FleaPHP 作为框架，设计并实现了一种专用的扩展权限管理模型。 关键词：RBAC；安全；权限管理；FleaPHP 中图分类号：TP311 Design and Implementation of Extended Privilege Management Model Based On RBAC Jin Xin1,2, Wang Jing1, Li Wei1 (1. State Key Laboratory of Networking and Switching Technology,Beijing University of Posts and Telecommunications, Beijing 100876; 2. EBUPT Information Technology Co. Ltd., Beijing 100191) Abstract: The article researches models based on RBAC, and then introduces several design principles, aiming to solve the security problems of a web system. Finally, the article designs an extended privilege management model in a real project using the structure of FleaPHP. Keywords: RBAC; Security; Privilege Management; FleaPHP 0 引言 随着互联网的不断发展，网络安全问题显得日益重要。而基于 Web 的系统，由于资源 的开放性和共享性，其系统安全也一直是急需解决的问题。经过人们长期的深入研究，提出 了许多加密、认证机制。但随着系统规模和问题复杂度的不断增加，人们越来越意识到，任 何单一的安全手段都存在一定的局限性，要想真正的解决问题，必须依靠多种手段的综合。 传统的访问控制策略包括：自主访问控制（DAC，Discretionary Access Control）、强制 访问控制（MAC，Mandatory Access Control）等。但是它们都存在一些缺陷，如 DAC 安全 性能较弱，缺乏防止“隐密通道”的能力，MAC 对于访问控制严格，实现工作量大，不适用 于主体或者客体经常更新的应用环境。 在此基础上，20 世纪 90 年代 David Ferraiolo 和 Rick Kuhn 提出了首个 RBAC（Role-Based Access Control）模型[1]。在此之后，Ravi Sandhu 等人又提出了具有代表性和规范性的 RBAC96 模型[2]，由于该模型实现了用户和权限的分离，使得权限控制更加灵活，因而得到了广泛的 应用。 本文设计了一种专用的扩展 RBAC 权限管理模型，并将其应用到实际中。该模型符合 基本 RBAC 模型的规范标准，并采用基于用户行为[3]的方法对用户访问进行控制。这一过程 基金项目：国家自然科学基金（No.60902051）；国家 973 计划项目（No. 2012CB315802）； 中央高校基本科研业务费专项资金（BUPT2009RC0505）；国家科技重大专项（No. 2011ZX03002-001-01， 移动互联网总体架构研究）. 作者简介：金鑫，(1984-)，男，硕士研究生，研究方向为业务网络智能化。 E-mail: realbupter@ 通信联系人：王晶，(1974-)，女，副教授，业务网络智能化。E-mail: wangjing@ -1-   中利用的设计原则和方法，对于其他 Web 系统，具有一定的借鉴意义。  40 45 50 55  1 RBAC 模型介绍 1.1 基本思想 RBAC 的基本思想是在用户和权限之间引入角色的概念，将用户和角色联系起来，并通 过对角色的授权来控制用户对资源的访问。RBAC 对访问权限的授予由管理员统一管理，并 授予给角色，而用户不直接与权限关联，系统将根据用户在组织内所拥有的角色来做出访问 控制。