基于RBAC的扩展权限管理模型①.PDFVIP

计 算 机 系 统 应 用 2012 年 第 21 卷 第 6 期 ① 基于 RBAC 的扩展权限管理模型 金 鑫 1,2，王 晶 1,2，李 炜 1,2 1(北京邮电大学网络与交换技术国家重点实验室，北京 100876) 2(东信北邮信息技术有限公司，北京 100191) 摘 要：本文对基于角色的访问控制（Role-Based Access Control ）模型进行了研究，并针对Web 系统的特点和 安全性等问题，提出了相应的设计原则。最后，对应具体项目，采用 FleaPHP 作为框架，设计并实现了一种专 用的扩展权限管理模型。 关键词：RBAC ；安全；权限管理；FleaPHP Extended Privilege Management Model Based On RBAC JIN Xin1,2, WANG Jing1,2, LI Wei1,2 1(State Key Laboratory of Networking and Switching Technology, Beijing University of Posts and Telecommunications, Beijing 100876, China) 2(EBUPT Information Technology Co. Ltd., Beijing 100191, China) Abstract ：The article researches models based on RBAC, and then introduces several design principles, aiming to solve the security problems of a web system. Finally, the article designs an extended privilege management model in a real project using the structure of FleaPHP. Key words ：RBAC; Security; privilege management; FleaPHP [1] 随着互联网的不断发展，网络安全问题显得日益 ntrol ）模型 。在此之后，Ravi Sandhu 等人又提出了 重要。而基于 Web 的系统，由于资源的开放性和共享 [2] 具有代表性和规范性的 RBAC96 模型 ，由于该模型 性，其系统安全也一直是急需解决的问题。经过人们 实现了用户和权限的分离，使得权限控制更加灵活， 长期的深入研究，提出了许多加密、认证机制。但随 因而得到了广泛的应用。 着系统规模和问题复杂度的不断增加，人们越来越意 本文设计了一种专用的扩展 RBAC 权限管理模 识到，任何单一的安全手段都存在一定的局限性，要 型，并将其应用到实际中。该模型符合基本 RBAC 模 想真正的解决问题，必须依靠多种手段的综合。 型的规范标准，并采用基于用户行为[3] 的方法对用户 传统的访问控制策略包括：自主访问控制（DAC ， 访问进行控制。这一过程中利用的设计原则和方法， Discretionary Access Control ）、强制访问控制（MAC ， 对于其他 Web 系统，具有一定的借鉴意义。 Mandatory Access Control ）等。但是它们都存在一些 缺陷，如 DAC 安全性能较弱，缺乏防止“隐密通道”