基于角色的RBAC模型在保险中介系统中的研究应用.pdfVIP

基于角色的RBAC模型在保险中介系统中的研究应用 魏亮周国祥 合肥工业大学计算机与信息学院，安徽合肥230009 摘要：为了在保险中介业务管理信息系统中设计并实现了基于角色的RBAc模型，对基于角色的 RBAC模型技术进行了分析研究，通过对用户、角色和授权的管理，实现了系统用户的访问权限控制， 用户不能操作其授权之外的菜单项，从而避免了用户的非法操作，保证了系统的安全性。 关键词：访问控制RBAC模型授权 ， l引 言 保险中介系统部门众多，人员组成复杂，要在身份认证的基础上，合理地为合法用户分配数据访问权限， 需要一个严格的认证系统。该认证系统应该拥有合理，高效而灵活的权限管理机制。访问权限控制决定了 一个用户或程序是否有权对某一特定资源执行某种操作，传统的权限控制是通过将访问权限直接和用户对 应起来的方式实现的。随着网络的普及，用户可访问的信息资源的结构日趋复杂，规模日益增大，使用这 种传统的访问权限控制机制，使得对信息的存取权限的管理变得十分复杂和繁重，难以满足现实的要求， 因此．越来越多的计算机信息管理系统采用基于角色的访问控制方法。应用系统的访问权限控制应能根据 具体应用灵活多变。本文计划采用RBAc策略，在保险中介系统中简化系统中的认证和授权管理，完成RBAc 的研究与实现。 2访问存取控制介绍 访问控制是一种关键的机制，能确保信息的机密性和完整性。访问控制限制未经授权的用户，同意授权 用户的访问和限制授权用户在系统里的操作。然而，访问控制本身并不是一个完善的解决方案。当访问控 制结合其他机制如认证和身份认证，系统才受到保护。 访问控制与认证是不同的，访问控制是以用户认证为前提的，限制认证用户或主体对对象的使用。认 caIl 证决定登录用户的身份，即who do。传统上认证系统是基于用户名和密 youare，而授权决定whatyou 码访问计算机系统。 访问控制系统中一般包括：主体、客体和授权。经过近40年的发展，访问控制策略一般有三种：自主 Con仃01)和基于角色 访问控制(DAC：Discretiona巧AccessContr01)，强制访问控制(MAC：M锄dator)，Access Based Access 的访问控制(RBAC：Role Contr01)。 自主访问控制(Discretiona呵AccessCon仃01)是根据访问者和(或)它所属组的身份来控制对客体目标的 授权访问【lJ。它的优点是具有相当的灵活性，但是访问许可的转移很容易产生安全漏洞，所以这种访问控 制策略的安全级别较低。 Conn．01)是基于主体和客体的安全标记来实现的一种访问控制策略。 强制访问控制(Mandator)rAccess 它的优点是管理集中，根据事先定义好的安全级别实现严格的权限管理。因此适宜于对安全性要求较高的 应用环境，但这种强制访问控制太严格，实现工作量太大，管理不方便，不适用于主体或者客体经常更新 的应用环境。 前面两种访问控制模型当主体和客体达到较高的数量级之后，授权工作将非常困难。为了避免将访问 权限直接分配给主体，防止出现管理困难的局面。于是20世纪90年代产生了以角色为中心的访问控制模型 基于角色的访问控制可以有效减少授权的工作量，实现了用户与访问权限的逻辑分离12¨3|，极大地方便了 权限管理，而且能够支持最小权限原则和职责分离原则。在访问控制领域，普遍认为RBAc是DAc和MAc 的理想代替品。RBAC模型为管理大量的资源访问提供了一种灵活的、动态的方法，尤其适合大型企业级 应用系统。 3基于角色的访问控制 相对于强制访问控制和自主访问控制技术，RBAC已成为公认的最有发展潜力的存取控制策略。RBAC 主