RBAC扩展模型在WEB应用中的研究与实现.pdfVIP

全国信息与电子工程第四届暨四川省电子学会曙光分会第十五届学术年会论文集 RBAC扩展模型在WEB应用中的研究与实现幸 李立清+余容程铮 (中国工程物理研究院计算机应用研究所四川 绵阳621900) 摘要针对WEB信息系统的特点，在基于角色的访问控制模型(RBAC)模型的基础上，将 WEB应用的表示层和业务逻辑层进行合理的划分，进一步定义了权限与页面、权限与操作之间的对应 关系，将访问控制从WEB信息系统的表示层和业务逻辑层中分离出来，提出了RBAC扩展模型 ERBAC，实现访问控制的集中管理，解决了传统WEB应用系统中繁琐的页面和控制逻辑，并在实际 的系统中采用面向方面编程(AOP)技术进行了实现，取得了较好的效果。 关键词RBAC模型扩展RBAC模型web应用权限控制AOP 1 引言 基于角色的访问控制模型RBAC在用户和访问权限之间引入了角色的概念，将用户和角色联系 起来，通过用户角色指定和角色权限分配简化了安全策略的实施，RBAC由于其特有的优点在实际 工程中得到了广泛的应用。 近年来，基于B／S结构的WEB信息系统得到了越来越广泛的应用，Web系统中拥有多层次的 功能页面，访问控制体现在表示层和业务逻辑层两个方面，对RBAC模型的简单应用不能满足WEB 信息系统中复杂的权限管理要求。本文针对WEB信息系统的特点，提出了RBAC扩展模型 ERBAC～ExtendedRBACModel，并采 用面向方面编程(AOP)技术进行了 RH 角色缓次 实现，取得了较好的效果。 l 2基于角色的访问控制RBAC 基于角色的访问控制模型KBAC (RoleBasedAccessContr01)主要定 义了：用户(User)、角色(Role)、权 限(Permission)、会话(Session)四 个主要实体，以及角色层次(Role hierarchy)、用户角色(user assignment)、角色权限(permission 图l RBAC访问控制模型 assignment)和约束(Constraint)的概 ’基金项目：中国工程物理研究院科学技术发展基金资助(2008A0403019)；中国工程物理研究院科学技术发展基金资 助(201080403062)。 ’作者简介：李立清(1971．2．)，女(汉族)，PqJJl绵mA，研究员，主要从事计算机软件设计开发、软件工程。通信 地址：四川绵阻信息分箱，邮政编码：621900：电话：08162495748e_mail：!!g坠垒旦Q：堂：塑。 全国信息与电子工程第四届暨四川省电子学会曙光分会第十五届学术年会论文集 念及其之间的关系【lJ。RBAC模型如图1所示： RBAC访问控制模型在用户和访问权限之间引入了角色的概念，将用户和角色联系起来，通过 对角色的授权来控制用户对系统资源的访问，同时提供角色分级和约束机制。 在RBAC模型中，角色是一个相对稳定的概念，是根据企业内为完成各种不同的任务需设置的， 根据用户在企业中的职权和责任来设定他们的角色，用户与角色之间是多对多的关系，并且这一关 系可以迅速变化，即用户所“扮演”的角色可以经常发生变化。角色与权限之间也是多对多的关系，角 色所拥有的权限相对稳定，一旦权限设置好后，就不需要进行大的调整。 当用户访问系统资源时，就激活了一个会话(Session)。用户是一个静态的概念，会话则是一个 动态的概念，是用户与被激活角色集合之间的映射集合，有效地控制角色之间的冲突。每个会话都 是动态产生的，从属于一个用户，在一个会话内可能激活的角色集合是该用户全部角色的一个子集， 因此用户可以在每次会话中激活不同的角色来获得不同的访问权限。 RBAC的最大优势在于它极大地简化了授权管理，通过用户角色指定和角色权限分配简化了安 全策略的实施。通过RBAC能够很容易地将组织的安全策略映射到信息系统中，由于实现了用户与 访问权限的逻辑分离，RBAC在实际工程中得到了极广泛的应用。 3 Web应用模式下的扩展RBAC(ERBAC)模型 近年来随着信息技术的发展，B／S应用模式的系统迅速增加并成