基于角色访问控制模型改进研究.docVIP

基于角色访问控制模型改进研究 　　摘要：在对传统RBAC模型深入研究的基础上，针对课题中出现的访问控制管理问题，在角色（Role）中引入“部门”属性，对传统的RBAC模型进行了改进。与传统的RBAC模型方法相比，大大减少了角色抽象的数量，简化了系统在访问控制管理上的复杂性。 　　关键词：访问控制；访问控制模型；用户权限 　　中图分类号：TP302 文献标识码：A 文章编号文章编号2014）001003202 　　作者简介作者简介：郑宇（1981—）男，硕士，贵州财经大学信息学院讲师，研究方向为软件工程、信息安全。 　　0 引言 　　随着信息技术的发展，信息系统的规模越来越大，结构越来越复杂，信息系统中的访问控制也随之变得繁琐。而传统的访问控制模型，如：自主访问控制（DAC）、强制访问控制（MAC）等，由于其安全性和实施性方面的缺陷，不利于在大型信息系统中使用。基于角色的访问控制模型（RBAC）在用户和权限之间加入角色，不再直接将权限与用户相连，而是通过将权限赋予角色，再将角色分配给用户这一过程来对用户进行访问控制。这样能够大大简化访问控制的复杂度，减少在大型信息系统中访问控制的工作量，同时符合人们在日常工作中的习惯，易于理解。 　　在RBAC模型的实际应用中，通常以组织机构中的工作岗位作为抽象角色的主要依据，这样的抽象方式符合人们在工作中的习惯，既使得系统使用者能够快速理解，又简化了角色设置的工作。但是，在目前组织机构规模不断扩大，分支机构纷纷设立等情况下，按照工作岗位来设定角色的方式，不但不能很好地对角色进行抽象、归类，反而造成了角色的极大冗余，加大了访问控制管理的工作量。针对上述问题，本文对传统RBAC模型进行了改进，解决了角色设置的冗余问题，减少了传统RBAC模型的工作量，简化了访问控制的复杂性。 　　1 传统RBAC模型概述 　　随着社会对人才需求的不断提高和高等教育的不断发展，在高等院校中，各个专业之间的交叉越来越大。高校在各个专业的课程设置上，也开始充分考虑学生综合素质的培养，在各个专业开设公共基础课、专业通识课等。数学、外语、计算机等级等基础课程的掌握情况和考试通过率，既是对各个专业培养人才的基本要求，也成为评价学生基础素质的重要指标。 　　针对一个高校的某一个教学分院，传统的RBAC模型就可以很好地满足访问控制要求。但对整个学校而言，承担数学、外语、计算机等基础课程或通识课程的教学单位需要对所有课程成绩进行比较，以便对教师的教学情况进行综合测评，掌握学生的学习情况，分析各专业学生的特点，从而优化教师配置，改进教学方法，提高各专业学生的学习质量和教师的教学效果。同时，没有承担公共基础课、通识课的教学单位，也需要了解其它教学单位相同课程的掌握情况，以便找出差距，及时整改。因此，从学校全局来看，一个教学分院的教学管理人员（如：分管教学院长，教务办主任等）不仅要对自己分院的教学工作进行访问控制，对其它学院的教学工作也应具有一定的操作权限。 　　图1 某高等院校教学单位组织机构 　　某高等院校的教学单位组织机构如图1所示。若采用传统的RBAC模型根据岗位抽象出角色，图1中的计算机学院至少需要抽象出院长、教学副院长、教务办主任、教务办科员、系主任、系副主任、任课教师7个角色。对于具有几十个教学分院的高等院校而言，必须抽象出几百个角色，这给角色管理、权限设置和角色分配等访问控制带来了不便。由图1可知，各教学分院内部的岗位设置基本一致，各个教学分院相同角色的基本权限和角色访问的客体（Object）也几乎一致，不同的只是RBAC模型中所抽象的主题（Subject）和客体（Object）所属部门，但对于不同部门的相同岗位必须在系统中设置成两个不同的角色。因此，在本文所研究的课题中，即便使用了RBAC模型，也难以提高访问控制管理效率。 　　2 改进的RBAC模型方法 　　为了解决传统RBAC模型中出现的问题，达到提高访问控制效率的目的，本文提出了一种在传统RBAC模型基础上改进的RBAC模型，将RBAC模型中的角色（Role）抽象方法在传统方式的基础上进行了改进，在传统的Role抽象方式上加入了“部门”属性，通过增加的“部门”属性来得到更为灵活和简单的访问控制方式。 　　在本课题中，每一个用户和客体（学生、成绩等）都具有部门属性。在用户申请访问某个客体时，经过改进的访问控制模型首先获取该用户所属角色和所属部门的属性，并把该用户的部门属性值赋给该用户角色。然后，比较此时该用户角色的部门属性和用户申请访问的客体部门属性值是否相等，若相等，则设置布尔变量（flag）的值为1，否则设置该布尔变量的值为0，根据当前角色的部门属性值和客体部门属性值是否相同（即flag为1或者为0），得到该当前