基于T＆RBAC访问控制模型的改进方法研究.pdfVIP

第 34卷 第 4期 燕山大学学报 Vol_34NO．4 2010年 7月 JournalofYanshanUniversity July 2010 文章编号：1007-791X (2010)04-0331—05 基于TRBAC访 问控制模型的改进方法研究 赵 静 (燕山大学 里仁学院，河北 秦皇岛 066004) 摘 要：针对传统的基于任务一角色的访问控制模型无法为不同数据对象分配不同权限以及角色继承方法不够灵 活的缺点，对其中比较流行的TRBAC模型提出了改进方法和模型的形式化定义。其基本思想是：将数据对象 从任务一权限模型中分离出来作为权限分配的独立部分，分别与用户和角色建立联系；同时普通用户可以将任务 委托给下层用户，从而减轻系统管理员权限分配的难度，为普通用户分配权限提供了更强的灵活性。 关键词：角色；权限；基于任务和角色的访 问控制；数据对象；访 问控制 中图分类号：TP309 文献标识码：A DOl：10．3969／j．issn．1007-791X．2010．04．010 0 引言 了动态职责分离。2009年李昌国等提出了一种基 于动态 目录树、权限匹配码的权限管理模型 ，规 访 问控制权限管理 已经在信息系统中占有越 避了两种方法的局限性，拓展了权 限访问控制的表 来越重要的位置，就其发展而言，目前的方法主要 现形式。就 目前 已有的将角色和任务相结合的权限 有基于角色的权限访 问控制 (RBAC，role—based 控制方式而言还存在一些不足：1)在 目前大多数 accesscontro1)…模型和基于任务的权限访问控制 的管理系统中，用户访问的数据对象往往不同，而 (TBAC，task—basedaccesscontro1) 模型。RBAC 已有的基于任务一角色相结合的权限控制方式中将 模型通过赋予用户相应的角色来实现对用户的授 数据固定在系统中，或是隐含在功能权限中，没有 权，但角色不能主动控制任务执行的顺序，无法应 考虑用户对不同数据对象可能对应不同任务角色 对工作流系统的控制要求。TBAC模型的缺点是不 的问题 。2)在用户权限代理过程中，传统的基于 能处理非工作流的相关任务，并且不支持角色的层 任务一角色的权限控制方式是高级角色完全或部分 次关系，不适合组织结构层次和分布式管理 。因 继承低级角色的权限，权限分配由管理员完成，这 此，如何有效结合二者的优缺点使系统更有效的分 使得一般用户无法分配他的角色一权限给子用户， 配权限成为研究的热点。目前就二者的有效结合已 让子用户完成某部分任务。 经有了一些研究成果，如基于任务一角色访问控制 针对上述问题，本文通过研究 目前比较成熟的 模型中的典型方法：RTBAC 方法和 TRBAC TRBAC模型，提出了改进模型，将数据对象作 方法。RTBAC方法基本上没有改变RBAC模型的 为权限划分的一部分，从而解决不同数据对象对应 结构，将任务附加在权限之上，角色同时与任务和 不同任务权限的问题 ，同时改进 了角色继承方式 ， 权限相关联，通过任务限制用户所能使用的权限。 满足了实际需求，提高了用户授权的灵活性。 TRBA