基于角色的权限管理策略在企业信息系统中的应用.docVIP

基于角色的权限管理策略在企业信息系统中的应用 　　摘要：对权限管理及RBAC模型进行简要描述，在此基础上提出了基于角色并具体应用于Web开发模式下的权限管理体系，文中对于权限管理的具体实现进行了较为详细的描述。实践证明这种权限管理架构使得权限管理更加灵活、高效，具有一定的普遍适用性。 　　关键词：访问控制；基于角色的访问控制；权限管理； 架构；B/S 　　中图分类号：TP311文献标识码：A文章编号：1009-3044(2008)35-2329-03 　　Apply the RBAC strategy to enterprise Information Systems 　　LI Ting 　　(Zhenjiang Electrical and Mechanical Higher Vocational Technical School, Zhenjiang 212016, China) 　　Abstract: This article briefly introduced privilege management and role based access control model. The paper gave a kind of privilege management framework which based on RBAC model, and it can be applied to WEB applications. Through the concrete implementation of the project, it has proved that this method is simple, flexible, efficient and universal applicable. 　　Key words: access control; RBAC; privilege management; framework; B/S 　　 　　1 引言 　　 　　访问控制是网络安全防范和保护的主要核心策略，它的主要任务是保证网络资源不被非法使用和访问。访问控制涉及的领域很广，方法也很多，通常访问控制策略可以划分为自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）三种[1-2]，这些策略都有各自适用的领域。 　　访问控制的基本概念有：1) 主体（Subject）。主体是指主动的实体，是访问的发起者，它造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。2) 客体（Object）。客体是指包含或接受信息的被动实体，客体在信息流动中的地位是被动的，是处于主体的作用之下，对客体的访问意味着对其中所包含信息的访问。3) 访问（Access）。访问（Access）是使信息在主体（Subject）和客体（Object）之间流动的一种交互方式。4) 访问许可（Access Permissions）。访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。 　　RBAC模型能妥善的解决权限管理中的动态分配与回收问题，近年来受到学术界和业界的普遍关注[1-2]，并逐渐成为企业信息系统应用中处理访问控制的主要方法。本文是在简要介绍RBAC模型的基础上，通过具体企业信息系统讨论了基于RBAC模型的实现问题。 　　 　　2 基于角色的访问控制策略 　　 　　美国George Mason大学信息系统和系统工程的R.Sandhu等人在对RBAC进行深入研究的基础上，于1996年提出了一个基于角色的访问控制参考模型，对于角色访问控制产生了重要影响，被称为RBAC96模型[3-5]。RBAC96模型系统全面的反映了RBAC多个方面的特点，将RBAC的几个主要方面全部包括了进去。同时RBAC96模型包含了四个相互关联的子模型，分别为RBAC0、RBAC1、RBAC2及RBAC3模型，这四种子模型具有较强的层次感，并以此很好的表现出了RBAC本身的多层次性。图1所示为RBAC3模型，即统一模型，这种模型所涉及的应用较广。 　　RBAC3模型的核心关系包括： 　　1) USERS、ROLES、OPERATIONS和OBJECTS分别表示用户、角色、操作和对象的集合； 　　2) UA#8838;USERS × ROLES为一个用户和角色间分配的多对多关系； 　　3) （r:ROLES）→2USERS表示把角色r分配给一组用户； 　　4) PERMISSIONS=2(OPERATIONS x OBJECTS)为许可的集合； 　　5) PA#8838;PERMISSIONS × ROLES为许可到角色的多对多分配关系； 　　6) （r:ROLES）→2PE