- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
基于角色的访问控制模型在数字认证平台中的应用
摘要:提出了某数字证书管理系统中基于RBAC模型的权限管理模块的设计和实现方案。阐述了RBAC模型的设计思想,并讨论了权限管理系统的核心面向对象设计模型,以及权限访问和权限控制等关键技术。
关键词:权限管理;角色;访问控制;RBAC模型
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)34-1609-03
The Application of RBAC Model on Digital Certificates Management System
WANG Na1, WANG Tian-hua2
(1.The Computer and Information Department, the Second Industrial University, Shanghai 201209, China;2.CA Center in Shanghai, Shanghai 200040, China)
Abstract:The article advances the design and implementing schema of the authority management module based on RBAC in some digital certificate management system. Explains on the design idea of RBAC model, discusses the central OOP model of authority management system and such pivotal technology as authority accessing and controlling.
Key words: authority management; role; access control; RBAC model
1 前言
当下的信息系统是一个复杂的人机交互系统,其中每个具体环节都可能受到安全威胁。构建强健的权限管理系统,保证管理信息系统的安全性是十分重要的。权限管理系统是管理信息系统中可代码重用性最高的模块之一。任何多用户的系统都不可避免的涉及到相同的权限需求,例如,访问控制服务要求系统根据操作者已经设定的操作权限,控制操作者可以访问哪些资源,以及确定对资源如何进行操作。
访问控制是针对越权使用资源的防御措施。基本目标是为了限制访问主体(如用户)对访问客体(如文件)的访问权限,从而使计算机系统在合法范围内使用;决定用户能做什么。基于角色的访问控制方法是目前公认的解决大型企业的统一资源访问控制的有效方法。其显著的两大特征是:减小授权管理的复杂性,降低管理开销;灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
NIST标准RBAC模型由4个部件模型组成,这4个部件模型分别是基本模型RBAC0、角色分级模型RBAC1、角色限制模型RBAC2和统一模型RBAC3。RBAC0模型如图1所示。
RBAC0定义了能构成一个RBAC控制系统的最小的元素集合。在RBAC之中,包含用户users(USERS)、角色roles(ROLES)、目标 objects(OBS)、操作operations(OPS)、许可权permissions(PRMS)五个基本数据元素,权限被赋予角色,而不是用 户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。会话sessions是用户与激活的角色集合之间的映射。RBAC0与传统访问控制的差别在于增加一层间接性带来了灵活性,RBAC1、RBAC2、RBAC3都是先后在RBAC0上的扩展。
2 权限管理模块的整体设计
本系统的权限管理模块,可实现较强的访问控制,使得不同用户在同一系统中实现不同的操作, 方便系统管理员维护该管理系统,避免了重复劳动。
2.1 对象模型
该对象模型中包含的基本元素主要有:用户、角色、资源、操作、权限。主要的关系有:分配角色权限、分配用户角色。
1) 用户:是权限的拥有者或主体。用户和权限实现分离,通过授权管理进行绑定。 该系统中的用户也成为操作员。
2) 角色:权限分配的单位与载体。角色通过继承关系支持分级的权限实现。例如,系统管理员角色同时具有管理员角色、读者角色。
3) 权限:对受保护的资源操作的访问许可,是绑定在特定的资源实例上的。对应地,访问策略和资源类别相关,不同的资源类别可能采用不同的访问模式。
4) 操作:完成资源的类别和访问策略之间的绑定。
5) 分配角色权限PA:实现操作和角色之间
文档评论(0)