基于角色访问控制技术在PDM系统中应用.docVIP

基于角色访问控制技术在PDM系统中应用摘要：随着网络管理系统在社会各领域应用的不断深入，加强系统访问控制的安全性，提高系统访问控制的灵活性，显得尤为重要。对当前应用十分广泛的基于角色的访问控制的概念、核心思想、优点等进行了详细阐述，并以PDM系统为例，介绍了基于角色的访问控制（RBAC）技术的应用与实现 关键词：角色；访问控制；权限；PDM 中图分类号：TP391.41文献标识码：A文章编号：1672?7800（2011）012?0152?02 作者简介：李早水（1972-），男，江西余江人，硕士，江西鹰潭职业技术学院副教授，研究方向为计算机网络技术和高职教育教学 0引言 当今，企业生产、管理系统的复杂化、立体化对管理系统的安全性提出了新的、更高的要求，传统的安全系统访问控制已跟不上企业对用户管理系统功能需求的提升，因为传统的访问控制机制是对系统中的所有用户进行一维的权限管理，既不能有效适应安全性需求，也难以快速实现访问。基于这种情况，业界人士进行了大量的研究和探索，推出了许多新的思路和技术方法，当前思想最成熟的当属基于角色的访问控制（RBAC） 1几种主流访问控制的比较 访问控制（Access Control）是ISO7498-2定义的5种基本安全服务之一。在网络安全环境中，访问控制意味着限制对系统资源和数据的访问，它的目标在于阻止未授权使用资源（硬件或者软件）以及未授权访问或修改数据 目前已经提出的针对信息系统的主流访问控制模型有三种，包括自主访问控制模型（DAC）、强制访问控制模型（MAC）和基于角色的访问控制模型（RBAC，Role?Based Access Control）。自主访问控制模型和强制访问控制模型是传统的访问控制手段，实现较简单，早期得到了广泛的应用。这两种访问控制的系统，其安全性都取决于管理者对数据安全属性的分配情况，差别在于DAC将分配权交给数据的所有者来确定，MAC将分配权交给系统设计人员或系统管理员来确定。前者自由度高，采用分布式管理，使用方便，但很容易导致安全漏洞；后者比较严格，但管理集中化，使用起来不是很方便。在实际应用中，往往希望能够灵活使用这两种策略，希望将二者的优点结合起来，以满足日益复杂的访问控制需求。RBAC能从系统的安全性和系统使用的便捷性两方面进行考虑，它充分结合了DAC和MAC二者的优点，目前，RBAC在企事业单位的各类管理系统中已得到了普遍使用 2RBAC的核心思想 RBAC（Role?Based Access Control）的访问控制模型的核心思想是使用角色的概念来解决权限分配的问题。用户被分配给角色，权限也被分配给角色，用户通过对应的角色获取权限，实现用户和访问权限的分离。RBAC访问控制模型引入了角色作为中介，管理员只需要为角色设定合适的访问权限，然后再根据用户的不同职责赋予其不同的角色。这样，便实现了用户和访问权限的逻辑分离 RBAC方案可以自由的实现和改变系统中的安全控制策略，可以采用强制控制策略，也可以采用自主控制策略，不倾向于任何一个访问控制策略 RBAC对访问权限的授权由管理员统一管理，RBAC根据用户在组织内所处的角色作出访问授权与控制，授权规定是强加给用户的，用户不能自主地将访问权限传给他人，它是一种非自主型、集中式访问控制方式 3RBAC的优点 (1)灵活配置。RBAC没有指定或倾向于某个特定的安全策略，在这种访问控制系统的生命周期内访问控制策略可以根据不同的配置而进行变化，这使得RBAC可以通过改变策略来满足组织中不断变化的安全需要，从而使RBAC具有极大的灵活性 (2)便于管理。RBAC在定义用户授权的时候，将用户分配给角色，并设定角色的权限，这极大的方便了访问控制管理工作。比如，某公司的设计部的某个人职位发生了变化进入到生产部中，那么系统管理员只需要将用户当前的角色去掉，加入新的职位角色即可。用户/角色关系之间的变化要比角色/权限之间的变化频繁的多，并且分派用户到角色比较简单，可以由公司的人事管理人员来承担；而当在配置权限到角色的工作比较复杂时，则可以让系统管理员参与权限的配置工作 (3)最小权限。实现最小特权原则，需要分清用户的工作职责，确定完成该工作的最小权限集，然后把用户限制在这个权限结合的范围之内。在RBAC中，会话的使用可以让用户在所属角色中动态的选择所需的角色，这样可以让用户使用最小的权限来完成操作，减少具有较大权利角色的用户出现不必要的操作失误和避免潜在的安全问题 (4)任务分离。任务分离是指任何用户都没有特权为了自己的利益而随意的使用系统。例如，设计工程师角色就不能成为审核工程师角色的一员。任务分离可以被静态的或者动态的执行，其中，通过RBAC中