面向工作流RBAC访问控制模型研究.docVIP

信息安全技术 面向工作流的RBAC访问控制模型的研究 徐宏1 ， 邰伟鹏 2 （1.安徽工业大学教务处 安徽 马鞍山 243002， 2. 安徽工业大学计算机学院 安徽 马鞍山 243002） 摘 要：针对传统的基于角色的访问控制TP309 文献标识码：A Research on Workflow-oriented RBAC Access Control Model XU Hong1，TAI Wei-peng2 (1. Dean’s, Anhui University of Technolog,Anhui.Maanshan 243002, 2. Computer Academy, Anhui University of TechnologyAnhui.Maanshan 243002) Abstract: The problems that the traditional Role-based access control(RBAC) model for access control division of the data object is not clear, such issues as distribution of competences is not flexible enough. Improve the concept of workflow in traditional RBAC access control model. Every data objects is abstracted into a business form, and a workflow is assigned to a business form. Through workflow nodes and the role of nodes to solve the problem of access control of the role of users and data objects permission management. Practice shows that the model achieves a fine-grained control of data instances effectively, and has good practicability and easy to implement, better way to solve then different access control problem of the same role and different data objects. Key words: Workflow-oriented; permission management; role; Business forms; RBAC 0 引言 随着信息化管理系统应用的快速发展，信息管理系统的广泛应用， 建立一套好的权限访问控制模型是保证信息管理系统安全、稳定运行的关键。近20年来，人们在权限控制方面研究取得了很大的成果，并且提出了相关模型。 比较著名的模型有自主访问控制模型(DAC)和强制访问控制模型(MAC)以及基于角色访问控制模型（RBAC）[1][2]。DAC这种模型的缺点在于访问级别的划分不够细致，在同级间缺乏控制机制，灵活性较差；而MAC存在产生安全漏洞隐患，使得客体的所有者最终都不能控制对该客体的所有访问许可，权限扩散和数据分发会导致自主访问控制的安全级别较低。目前比较流行、应用较广泛的访问控制模型是基于角色的访问控制Role-Based Access Control，简称RBAC）。RBAC主要是通过角色来实现对用户权限的授予与取消，系统按照一定的分配规则给角色分配权限。但是RBAC在实际应用中还存在权限分配缺乏灵活性、动态性等缺陷。文献3引入角色方法和角色环境函数对RBAC进行了改进，该方法主要是通过存储过程动态实现角色的动态变化，要与具体的业务系统关联，同时，角色环境函数也是具体到某个业务逻辑。文献4以数据对象作为角色与用户的联系纽带，使得同一用户对不同的数据对象具有不同的访问权限，这种改进可以解决同一角色对相同数据的不同访问的分离。文献5提出一种用户权力限制模型，只在需要时分配，平时回收，很好解决了权限的安全性，但是对数据对象访问的灵活性还不够。文献6引入作用域和权限期的概念解决并发问题。文献7考虑到角色与用户的动态关系，因此在用户与角色之间加上用户属性这一层关系。 针对目前访问控制权限的研究现状，本文讨论一种面向工作流的RBAC访问控制模型。该模型通过工作流与RBAC模型相结合，在原有的RBAC模型的基础上关联具体的工作流，并且对角色进行了分类，实