企业信息集成平台电子文档安全存储管理技术.PDFVIP

2003年5月 重庆 大学学报 Mav 2003 第26卷第5期 Journal of Chongqing University Vol_26 No．5 文章编号：1000—582X(2003)05-0055一o4 企业信息集成平台电子文档安全存储管理技术 王成 良 ，曾 德2 (1．重庆大学软件学院，重庆 400044；2．重庆大学计算机学院，重庆 4oo044) 摘 要：对企业中产生的重要敏感电子文档进行数据库管理，在安全性问题日益突出的今天，将具 有重要意义。电子文档进行数据库管理后，运用基于用户一角色的授权访问机制进行访问虽然可行，但 由于企业电子文档的动态生成特性，需要不断地进行授权维护，从而不能提供授权灵活性。提出了一种 自主访问控制的实体授权关系的树模型，将其同用户一角色机制相结合简化了授权的复杂性，大大提高 了企业电子文档授权管理的灵活性，使其更加符合企业的实际需求。 关键词：基于角色的访问控制；自主访问控制；电子文档；授权访问；实体授权 中图分类号_-TP3l1．11 文献标识码：A 在企业信息化过程中，将会产生大量有关企业在 活性。 管理、产品设计、制造、销售等各个环节的各类电子文 1 基于角色的访问控制(RBAC) 档。将企业电子文档采用数据库方式进行管理除了具 有查询快速方便；防止误删除；不会受病毒感染等优点 RBAC是近年来研究最多，思想最成熟的一种数 外，对于企业重要、敏感文档通过数据库系统授权访问 据库权限管理机制。RBAC的基本思想是根据企业组 控制可提高其访问安全性，防止被窃取或遭到 织视图中不同的职能岗位划分不同的岗位角色，岗位 破坏 一 。 角色就是在一个信息系统上具有相同操作权限的用户 目前对于数据库管理系统的安全访问一般采用基 组，不同的岗位角色只能享有由系统管理员或子系统 于角色的访问控制(RBAC)来进行授权管理，对不同 管理员分配的操作权限【5 J。它将整个系统的操作权 级别的用户授予不同的角色，每个角色都具有一组各 限根据系统的菜单项划分成不同的功能原权限，功能． 不相同的系统操作权限。这种方式虽然简化了系统授 权管理又保证了系统的安全性，但却无法满足企业电 原权限就是指不可再分的对系统的操作权限，在系统 子文档管理的特点。作为企业电子文档，它在企业各 上表现为某一具体菜单项，而所有这些原权限构成一 部门内、各部门间流动共享是不可避免的，是保证企业 个功能原权限集合。分配给岗位角色的权限就是同工 内部协同工作的基础，对电子文档的授权应根据企业 作岗位的职能相对应的功能原权限集合的子集，各个 各部门内、部门问合作关系的变化而变化，而这种变化 子集合彼此不相等，对所有子集合进行集合并运算得 往往是动态的、是事先无法预知的，因此对电子文档的 到的集合为原权限集合。每个用户根据需要可对应一 授权机制应是一种动态的授权机制，而不是相对固定 个或几个岗位角色。同时在授予用户岗位角色时必须 的基于用户一角色的授权机制。 满足基本安全原则HJ，即1)最小特权原则，指用户拥 ’针对电子文档的动态授权特性，采用了一种将基 有的权限不能超出能