基于角色的访问控制方法研究与应用.pdfVIP

基于角色的访问控制方法研究与应用8 张国乎张孝天 中国石油大学计算机与通讯工程学院，东营257061 摘要：在大型企业数据管理系统中，由于进行数据库访问的用户量较大，用户管理成为一个复杂 问题，直接对用户授权的模式已经难以适应企业的发展。基于角色的访问控制(RBAc)模型强化了对客 体的授权访问控制，解决了系统中犬用户和权限分配的管理复杂性问题。本文通过在基于角色访问控 制模型RBAC96中引入“工作组”，有效地解决了授权管理繁琐的问题，并成功地运用在“采油厂数据 库管理系统”项目中。 关键词：角色数据库安全访问控制工作组 1引 言 RBAC模型在国外已逐渐成熟，但是仍有许多亟待研究解决的问题。理论上由于引入角色作为主体和 客体的中介，角色的语义十分模糊，而且没有在模型中给出具体解释：应用上如何将角色理论模型应用于 实际系统中并实现高效的访问控制，一直都是很难也是业界很关心的问题‘”。本文通过分析RBAC96桃0．特 点，引入了工作组，成功地运用到‘巧匠油厂数据库管理系统”项目中，有效地解决了授权管理繁琐的问题。 2基于角色的访问控制 Access 常用的访问控制策略，主要有自主访问控制(Discretionary Mas∞大学sandIIu教授提出的RBAc96模型家族‘“。 最具有代表性的是美国c耙orge 2．1RBAC0模型介绍 围1 RBAC96模型 2．1．1 RBAC0模型(基础模型) +作者简介。张国平(1970一)男(汉族)，河北省人，硕士，副教授，主要研究方向是Web数据库，Java计算环境。 278 计算机技术与应用进展-2006 权限被赋予角色，而不是用户，当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的权限。 而带来了灵活性，RBACl、RBAC2、RBAC3都是在RBAC0上的扩展。 RBACO模型中的定义； (1)若干实体集：u、R、P、S(用户集，角色集，权限集，会话集)； (2)PA廿×R(权限角色分配，是权限到角色的多对多的关系)： (3)UAcUxP．(用户角色分配，是用户到角色的多对多的关系)； (4)Users：S-÷u，(每一个会话s。对应单一用户user(Si)的映射)； 的授权为urE roles(Si){pl(p，r)∈PAl。 RBAC0模型指明用户、角色、访问权限和会话之间的关系。每个角色至少具备一个权限，每个用户至 少扮演一个角色；可以对两个完全不同的角色分配完全相同的访问权限；会话由用户控制，一个用户可以 创建会话并激活多个用户角色，从而获取相应的访问权限，用户可以在会话中更改激活角色，并且用户可 以主动结束一个会话。 2．1．2RBACl模型(层次模型) RBACl引入角色间的继承关系，角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关 系仅要求角色继承关系是一个绝对偏序关系，允许角色间的多继承。而受限继承关系则进一步要求角色继 承关系是一个树结构。 RBACI模型中的定义： (I)U，R，P，S，PA，UA与RBAC0的相同。 (2)RHc,R×R是关于R的偏序关系： (3)Roles：S一28，(其中roles(Si)￡{rI 置(r’盘)【(p，r’)∈PA】l。 2．1．3 RBAC2模型(约束模型) 约束一般有返回值“接受”或“拒绝”，只有拥有有效值的元素才可被接受。约束有多种．主要包括： ·互斥角色：同一用户只能分配到一组互斥角色集合中至多一个角色，支持职责分离的原则。 ·基数约束：一个角色被分配的用户数量受限；一个用户可拥有的角色数目受限，同样一个角色对应 的访问权限数目也应受限，以控制高级权限在系统中的分配。 ·先决条件角色：可以分配角色给用户仅当该用户已经是另一角色的成员；对应的可以分配访问权限 给角色，仅当该角色已经拥有