基于角色与权限继承的访问控制模型解决方案.docVIP

基于角色与权限继承的访问控制模型解决方案 　　摘要：基于对RBAC模型及相关模型中角色继承规则，引入权限组等概念，提出了一个改进的角色与权限层次关系模型。在此模型上进行访问控制应用的设计，集成活动目录技术作为统一的人员库，形成了一个较为完善的访问控制解决方案，使基于角色的访问控制更为灵活与利于理解。 　　关键词：访问控制；基于角色的访问控制；角色继承；权限继承；活动目录 　　中图分类号：TP311文献标识码：A文章编号：1009-3044(2011)04-0838-04 　　Access Control Solution with Inheritable Role and Permission Model 　　CHEN Qi 　　(Department of Computer Science and Technology, Tongji University, Shanghai 201804, China) 　　Abstract: Based on the RBAC model and related role inheritance rules, concepts such as permission group and an improved role hierarchy and permission hierarchy model are introduced. Based on this model and integration with Active Directory as a unified user database, a more comprehensive access control solution is formed. It enables role-based access control more flexible and conducive to understanding. 　　Key words: access control; RBAC; role inheritance; permission inheritance; active directory 　　1 概述 　　企业中越来越多的业务需要各种软件的支撑。随着软件使用的不断增长，对如何有效、安全地对用户权限进行管理是发展中需要解决的一个问题。与此同时，在不同的软件中使用不同的用户登录方式等，将带来繁琐与冗余问题的产生，降低管理效率。访问控制作为计算机网络信息安全管理的主要策略，通过某种途径显式地允许或限制用户、组或角色对信息资源的访问能力及范围。 　　常用的自主访问控制(DAC)和强制访问控制(MAC)方法由主体与访问权限直接发生关系，根据主客体的所属关系或主客体的安全级来决定主体是否具有对客体的访问权。当访问用户的种类繁多、数量巨大并动态变化时，使用传统的访问控制方法变得非常困难[1]。基于角色访问控制RBAC(Role Based Access Control) 是一种已经被广泛应用于大型企业的计算机网络中实施访问控制的访问控制技术，Sandhu等提出的RBAC96 模型得到了学术界的广泛认可[2]。 　　RBAC96模型包括了RBAC0、RBAC1、RBAC2、RBAC3四个模型。 　　RBAC0包含四个基本要素：用户、角色、会话和访问权限。用户在一次会话中激活所属角色的一个子集，获得一组访问权限，即可对相关客体执行规定的操作，任何非显式授予的权限都是被禁止的。 　　RBAC1是对RBAC0的扩充，在RBAC0的基础上加入了角色层次关系，根据组织内部权力和责任的结构来构造角色与角色之间的层次关系。 　　RBAC2也是RBAC0的补充，但与RBAC1不同的是RBAC2加进了约束的概念。RBAC2中的约束规则主要有：最小权限、互斥角色、基数约束与角色容量、先决条件、等级间的互斥角色等。而RBAC3模型是对RBAC1和RBAC2的集成，包括角色的层次关系与约束关系。 　　基于角色访问控制方法引入角色的概念作为中介，管理员根据需要定义各种角色, 并设置合适的访问权限, 而用户根据其责任再被指派为不同的角色。这样, 整个访问控制过程就分成了两部分, 即访问权限与角色相关联, 角色再与用户相关联, 从而实现了用户与访问权限的逻辑分离。基于该关系模型，将职责分离原则用于了系统权限管理中，通过利用角色与权限之间较为稳定的变化来简化权限管理，提高了权限管理的效率。 　　在该关系模型中，能够通过角色的继承关系进行子角色权限与父角色权限的继承，并通过引入私有角色这一定义来限制权限的继承。如果通过增加新的私有角色来保留所需要的权限不被继承，那么将会增加角色的数量，且角色关系的继承与实际管理中的角色继承之间的对应关系