基于RBAC与LDAP的权限管理系统研究.pdfVIP

基于RBAC 和LDAP 的权限管理系统研究1 张伟 北京邮电大学网络与交换国家重点实验室，北京（100876 ） E-mail：zhangwei_bupt@ 摘 要：本文在基于角色的访问控制模型和轻量级目录访问协议LDAP 进行研究的基础上， 提出了一个权限管理系统。 关键词：权限管理；LDAP；RBAC 中图分类号：TP309 1. 引 言 计算机技术和网络的发展，使网络安全变得至关重要。大型业务管理系统功能复杂、用 户众多，存储了大量的数据资源。传统的大型网络资源访问权限管理面临巨大的挑战，主要 体现在资源和业务系统的复杂性而带来的管理低效率和安全管理隐患。传统的安全管理采用 的技术是给每个用户独立地分配一套访问资源的列表，只提供简单的用户身份认证，因此费 用较为昂贵而且容易出错。 由于基于角色的访问控制技术（RBAC ）降低了大型网络应用中安全管理的复杂性和花 费，所以自从出现至今，已经成为高级访问控制的主要模型。 近几年，随着LDAP （Light Directory Access Protocol，轻量级目录访问协议）技术的兴 起和应用领域的不断扩展，目录服务技术成为许多新型技术实现信息存储、管理和查询的首 选方案。 本文介绍的权限管理系统就是以LDAP 作为存储平台，使用RBAC 作为参考模型设计 的。这样的一个安全管理系统 2. 相关技术 2.1 基于角色的访问控制技术RBAC 权限问题实质是Who 、What 、How 的问题，三者构成了访问权限三元组，也就是“Who 对What 进行了How 的操作” 。这里，Who 是权限的拥有者，代表了可以向应用系统发出应 用请求的任何实体。What 是权限针对的对象或者资源，How 是具体的权限[1] 。 RBAC （Role Based Access Control ，基于角色的访问控制技术）引入了角色将用户和访 问权限分开，首先根据需要为用户设置角色，并对角色授予相应的访问权限，然后再为用户 分配角色，并通过会话激活角色。RBAC 的基本模型如图所示。模型是由用户、角色、权限 和会话四个部分组成的。用户是信息系统的使用者，可以是人、计算机或者网络。角色对应 于组织结构中一定的职能岗位，也可以是只具有某种逻辑意义的岗位，一般是权限的集合。 权限是基本操作的集合，即用户对系统中的对象进行特定访问的权限。UA ，即用户分配， 指根据需要给用户赋予相应的角色，体现了用户和角色之间多对多的关系。PA ，即权限分 配，指指定某种角色访问数据资源的权限，体现了角色和权限之间多对多的关系。角色之间 [2] 可以通过RH （角色继承）来完成权限的重用。 1本课题得到教育部高等学校博士点专项科研基金（20040013002 ）的资助。 - 1 - 权限集 PA UA 用户集 角色集 角色层次 1 n n m 会话集 图1 RBAC 访问控制模型 2.2 轻量级目录访问协议（LDAP ） LDAP （Lightweight Directory Access Control，轻量级目录访问协议）是基于X.500 标准 的，但是简单得多并且可以根据需要定制。LDAP 解决的是信息存储和访问问题。当然，