基于规则的RBAC在Web信息系统中的实现.pdfVIP

第6期 李岳埘等：基于规则的船AC在web信息系统中的实现 1275 到对象的一组操作组成，基于角色访问控制的核心是角色．在一个互斥的信息系统中，一个角色可以拥有一 个或多个用户，但同一个用户最多只能被分配给一个角色；一个角色可以拥有一个或多个权限，但同一个权 限最多只能分配给一个角色． 图1 R＆缸》6模型 Fig．1RBAC96model 展各种不同的尉擒C访问控制模型，并使用UNIx，Omcle，windo吣NT机制加以实现． 1．2扩展RBAC模型 色与用户的映射关系非常明确．面对数量及类型众多的web用户，管理员人工地分配和修改用户角色，为 大量的用户维持最新的用户角色分配信息将是一项复杂、开销极大的工作；当用户人数众多并且角色的分配 在不断变化时，人工操作通常会发生错误．web应用系统中要求在用户登录页面时能动态地将用户与角色 出一种基于规则的Ⅺ狐C访问控制模型(RBRBAC)，并对规则进行了约束． 系统；在实现RB．瑚3AC模型的系统被触发为用户分配角色之前，用户应提供身份鉴别；用户属性可通过身 份鉴别信息或数据库等方式获得．心RBAC模型如图2所示． 图2 I之BRl]AC模型 Fig．2RBRBACm。dd 1276 四川大学学报(自然科学版) 第43卷 扩展的粼模型各元素描述是：用户，直接与计算机系统作用的人类用户的集合；角色，企业内部用 来描述用户权利和职责的工作职能集合；权限，用户对web资源授权关系的一组操作；规则，通过对用户属 性的抽象，将用户与角色进行匹配，实现动态角色分配的表达式集合；约束，对用户、角色、规则以及它们之间 分配关系的一组限制条件，使模型满足最小权限、责任分离、数据抽象这3条安全原则；会话，用户与角色之 间的通道，当用户的属性满足规则表达式时，会话激活角色集，根据规则将用户与角色进行匹配． 与砒认C96模型相比，在扩展融认C模型中，用户与角色之间增加了授权规则，每条规则看作是满足用 户属性特征的表达式，它根据用户的权利与职责，将用户的身份属性进行抽象，当用户属性特征与规则表达 式匹配时，系统就根据规则动态地为用户分配相应的角色．在这个过程中，系统管理员无需参与角色的分 配，只要用户在登陆系统时提供相应的身份属性信息，一旦属性特征满足规则表达式，系统就为用户分配角 色，同时用户获得与角色关联的权限，实现对Web资源的访问．根据规则实现用户到角色的动态分配，不仅 户不断增多而需要根据用户属性变化动态改变用户角色的需求，提高了角色分配的效率，同时也减少了在人 工分配过程中产生不合法的用户角色分配． 有3类． (1)责任分离约束：是针对避免欺诈和错误的授权约束的主要类别，要求对于特定的事务集，不允许单独 的个人执行事务集中的所有事务．一个典型的例子，例如采购员和出纳员这两个角色，同一个人不能同时属 于这两个角色． (2)基数约束：限制了一个角色所能容纳成员的最大数．当一些角色只能分配给确定数量的用户时，该 约束非常有用． (3)首要必备角色约束：用户要想成为角色B的成员，他必须首先是角色A的成员． 我们主要讨论责任分离约束在心Ⅺ狐C模型中对规则及规则分配的一些限制，而对用户、会话、角色 以及用户分配和权限分配的约束与I：c13—气凹6模型类似．责任分离约束分为静态和动态两种．一个用户需要 被同时分配互斥角色A和角色B，只是在一次会话中不能同时以角色A和角色B进入系统，简单地通过静 态责任分离约束是不能实现的，需要通过动态责任分离对规则进行约束来实现动态的角色分配．一条规则 可以有多个用户满足，而同一个用户最多只能满足一条规则，当用户满足规则A并分配与之匹配的角色时， 系统不能为用户分配与规则B匹配的角色，只有当规则A失效时，才能激活规则B并分配角色． 2实现对web资源的访问控制 企业提供web服务不仅要面向内部员工，还要面向合作伙伴和企业外部用户．结合web服务的特点， 利用IB龇模型实现对大型Web信息系统的访问控制，满足了动态角色分配的要求． 2．1胁黼模型在Web资源访问控制中的工作原理 根据用户提供的属性信息，从数据库中提取相应