基于角色的访问控制（RBAC）研究与应用.pdfVIP

基于角色的访问控制(RBAC)研究与应用 张艳华、王新华、夏明俊 上海远程教育集团 摘 要：基于角色的访问控制 RBAC 是一种方便、安全、高效的访问控制机制。本文针对教 育资源用户信息量庞大、种类多等特点，运用基于角色的用户权限管理参考模型，详细研究 和分析了该模型的构成和相关技术，给出了其在上海教育资源库项目中的应用。 关键词：角色 权限 用户 教育资源库  1． 引言 随着计算机应用的日益普及，特别是网络的迅速发展，如何在发展和推广网络应用的同 时进一步提高访问控制的安全与效率，已经成为目前网络界所必须研究和解决的课题。针对 不同的应用，需要根据项目的实际情况和具体架构，在维护性、灵活性、完整性等 N 多个 方案之间比较权衡，选择符合的方案。对于在企业环境中的访问控制方法，一般有三种：  1、自主型访问控制方法。目前在我国的大多数的信息系统中的访问控制模块中基本是借助 于自主型访问控制方法中的访问控制列表(ACLs)。  2、强制型访问控制方法。用于多层次安全级别的军事应用。  3、基于角色的访问控制方法 （RBAC）。是目前公认的解决大型企业的统一资源访问控制的 有效方法。其显著的两大特征是：1.减小授权管理的复杂性，降低管理开销。2.灵活地支持 企业的安全策略，并对企业的变化有很大的伸缩性。  2． 上海教育资源库项 目用户角色管理概述  2.1 总体描述 上海教育资源库项目根据其项 目的特点，选用了基于角色的用户访问控制(RBAC)。访 问控制系统可以为应用系统建立一个高安全强度， 更易维护管理， 扩展能力极强的访问控制 环境，并能够有效的控制管理的复杂性，提供标准化和可以不断延伸授权平台。访问控制系 统的体系结构设计保证了用户能按照应用规模和数量快速地建立访问控制体系。 完全基于策 略思想设计的权限管理控制系统作为构建访问控制体系的基石， 它能使用户已建立的访问控 制体系不断满足演化的应用权限需求，如支持新应用、支持新的权限、增加用户数量、增加 用户类型、增加策略数量等。 上海教育资源库系统在用户访问控制管理中引入了角色的概念， 即在系统中提供若干个 角色，每个角色的权限可以任意定制，在每一个角色下可以包含若干个用户，用户只能够使 用本角色允许使用的系统功能，对用户无权使用的系统功能可以设置其状态为不可见或隐 藏。管理员可以首先分配好各个角色的权限，然后将系统的用户分配到各个不同角色中，即 可以完成用户权限的设定，而不用逐个的去设定用户的使用权限。  2．2 角色的概念 在现实生活中经常提到某人扮演了什么角色。在基于用户角色的用户权限管理中，角色 与实际的角色概念有所不同。在这里角色可以看作是一组操作的集合，不同的角色具有不同 的操作集，这些操作有系统管理员分配给角色。 用户的授权是通过授予用户一个角色来实现的，即赋予用户一个角色，一个用户可以承 担不同的角色，从而实现授权的灵活性。只要某用户属于某个角色那么他就具备这个角色的 所有操作许可，即该角色所拥有的权限。用户与角色是多对多的关系。即一个用户可以属于 多个角色之中，一个角色可以包括多个用户。  2.3 RBAC模型构件分析 角色等级 用户角色分配 角色权限分配 用户 角色 权限 会话 限制 图 3.3 RBAC 模型 我们对该模型定义如下： 　 U，R，  P，S：用户；角色，权限，会话； 　 PA⊆P*R：权限分配，多对多的关系； 　 UA⊆U*R：用户分配，多对多关系； 　 User:S­U,每一个会话 s 对应单一用户 user(s)的映射； 　 Roles:会话 s 到角色集合 role(s)  ⊆{r|(user(s),r)∊PA}  易见：该模型由三个实体组成，分别是：用户 （U）、角色（R）、权限(P)。其中用户指 自然人；角色就是组织内部一件工作的功能或工作的头衔，表示该角色成员所授予的职责的 许可，系统中拥有权限的用户可以执行相应的操作。 用户