Web应用系统中RBAC模型的研究与实现.pdfVIP

第 28 卷 第 3 期 武 汉 纺 织 大 学 学 报 Vol.28 No.3 2 0 1 5 年 0 6 月 J O U R N A L O F W U H A N T E X T I L E U N I V E R S I T Y J u n . 2 0 1 5 Web 应用系统中 RBAC 模型的研究与实现 黄秀文 （武汉纺织大学 信息技术中心，湖北 武汉 430074 ） 摘 要：访问控制是Web系统中安全防范和保护的主要策略，传统的访问控制已不能满足日益增长的安全性需求。 本文在web应用系统中，使用基于角色的访问控制（RBAC ）模型，通过引入角色的概念，将用户映射为在一个组 织中的某种角色，将访问权限授权给相应的角色，根据用户在组织内所处的角色进行访问授权与控制，从而提高 了在web系统中权限分配和访问控制的灵活性与安全性。 关键词 ：Web系统；RABC；权限管理 中图分类号：TP393.08 文献标识码：A 文章编号：2095 －414X(2015)03 －0090 －05 随着信息管理系统朝着多用户、多应用的发展，用户可访问的数据资源结构越来越复杂，规模越来越 大，各种信息系统都面临着如何对数据资源进行有效安全管理的难题。因此，资源的访问控制在大型信息 系统的设计与开发中所占的地位日益重要。访问控制作为系统底层的技术，必须防止非法用户对系统的访 问和满足不同用户对不同数据资源的需求。 基于角色的访问控制（Role-Based Access Control ，RBAC ）具有传统访问控制安全策略的部分特点， 又符合现代企业的管理模式。RBAC 借助于角色这个主体，把原来大量的用户抽象成角色，用户通过角色 来访问数据资源。通过建立这种映射关系，基于角色的访问控制策略可以大大提高管理效率，减少授权管 理的复杂工作，减少管理的开销，并且还能为管理员提供一个很好的管理安全的环境。 1 RBAC 模型概述 RBAC 模型是在 20 世纪 70 年代提出的，后来在 Sandu 等人的提倡和推动下得到了很大的发展。2001 年 8 月美国国家技术与标准局（NIST ）发表了RBAC 建议标准。此建议标准综合了该领域众多研究者的共 识，主要包括两个部分：第一部分是 RBAC 参考模型，它定义了 RBAC 的通用术语和模型构件并且界定了 标准所讨论的 RBAC 领域范围；第二部分是功能规范，它定义了 RBAC 的管理操作，可以分为管理功能， 系统支持功能，审查功能等三类。 RBAC 参考模型由核心 RBAC ，层次型 RBAC ，约束型 RBAC 这 3 个模型组成。核心 RBAC 模型为基 本模型，规定了 RBAC 系统所必须满足的最小要求，其结构模型如图 1 所示。 图 1 核心 RBAC 结构模型 由上图可知，核心 RBAC 模型由用户(user)、角色(roles)、对象(objects)、操作(operations)、许可(permissions) 等五个基本要素组成。 用户代表任何直接使用计算机系统的实体，通常指人，也可以是 Agent 等智能程序。 ________________________________ 作者简介 ：黄秀文 （1969- ），女， 中级，研究方向：计算机信息管理系统. 第 3 期 黄