基于RBAC信息系统权限访问控制模型设计.docVIP

基于RBAC信息系统权限访问控制模型设计 　　摘 要：本文对比传统权限管理的访问控制模型，研究了RBAC的权限访问技术，提出了权限管理子系统解决方案，并设计了一个基于RBAC的权限管理系统，从而在信息系统中实现使用者即操作员对整个系统的统一管理。 　　【关键词】权限管理 RBAC 模型 　　随着信息工业的迅猛发展，信息系统在当今社会中的作用越来越重要，其应用也越来越广泛。尤其是在与分布式技术结合之后，信息系统的发展前景更是不可限量。在信息系统日益发展成熟的过程中，社会分工的细化使其向专业化的纵深方向发展，而且，由于信息系统总体框架的日益成熟与稳定，也导致了许多类似的结构或功能的出现。那么，现在这些系统所共同关心的问题是如何保证“合法”的用户能正确的操作这些信息，而“非法”的用户则不能访问。在这种需求背景下，权限管理应运而生了。作为信息系统的一部分，权限管理负责识别信息系统中的人员、数据以及功能是否具有访问和操作的“合法性”。 　　在传统权限管理的访问控制模型中是通过直接为用户授予相关操作权限来实现用户对数据资源的存取，当用户的职责发生变化时，就需要管理员来修改用户的权限，这是一种低层次的安全管理方式，用户权限不能根据企业组织的结构形式来进行划分，而基于角色访问控制（RBAC）则是通过用户角色控制用户权限的改变，能够在较高的层次上实现权限的安全管理。RBAC是根据整个企业组织结构中不同岗位职责进行角色划分的，而并非针对具体的某个用户划分权限，即资源的访问许可是通过角色来获取的，利用角色层次结构将用户与权限联系起来，当用户成为其相应角色的成员时便可以获得该角色所拥有的权限，从而在很大程度上简化了用户与权限的管理。图1即为传统访问控制与RBAC的对比： 　　在RBAC中，在用户和访问许可权之间引入角色（role）的概念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可权相联系，角色可以根据实际的工作需要生成或取消，而用户可以根据自己的需要动态地激活自己拥有的角色，避免了用户无意中危害系统安全。 　　当今社会中大型信息系统应用???社会的各个方面，RBAC技术由于引进了对角色和层次化的管理，针对用户数量庞大，系统功能不断扩充的大型信息系统特别适用，为大型可扩展信息系统的提供了安全管理方案。 　　1 基于RBAC的权限访问技术应用 　　RBAC模型作为一个较新的权限访问技术，通过角色配置用户和权限，增加了灵活性；支持多管理员的分布式管理；支持由简到繁的层次模型，适合各种安全需要；完全独立于其它安全手段，是策略中立的。 　　实践是检验真理的唯一标准，RBAC模型自产生以来一直应用于各种信息系统，经受住了实用性的检验。首先，企业结构可以很直观地通过角色和角色层次映射到信息系统中，非常简洁而且易于应用。其次，一旦权限初始化设置好以后，就不需要再做大幅度的调整与修改。因为直接与权限相对应的是角色，而非用户，企业内部的人员可能会调动频繁，但是岗位职责本身却是很少变化的。由于权限控制是基于岗位职责的而不是基于职员的，所以权限控制机制不会随着人员的调动而产生太多的影响。而且，由于RBAC模型支持访问权限的委托机制，使得其更加适用于企业。例如，当系统管理员需要请假时，他只需要简单地将系统中管理员这个角色转授于其他用户，即可将他所拥有的管理权限临时交给另一个职员来代理，而无需其他繁琐的步骤就能完成，十分方便。这些特点使RBAC模型非常适合应用于大型的企业信息系统。 　　2 权限管理子系统的解决方案 　　权限管理系统的目标就是要将权限管理独立出来，在RBAC模型上，建立起新的权限管理系统，外部应用只要通过调用系统提供的接口，来实现权限管理的通用性。同时，本系统更要考虑到可扩充性。为此，系统内部要实现下列功能： 　　2.1 权限主体的管理 　　系统要能够管理用户，例如添加新的用户，能查询用户的信息，对于用户还要实现删除和修改等。在用户的权限方面，要能实现有效的管理。 　　2.2 资源管理 　　系统必须要能做好资源的配置，因为外部应用各种各样，因而资源的管理要做到具有很好的可扩展性。 　　2.3 角色管理 　　角色分离了权限管理和权限，必须能很好的定义角色，同时要能实现角色的诸多操作。 　　2.4 权限管理 　　要建立起用户对资源的访问机制，实现可靠、并可扩充的权限管理功能。 　　为了提高整个系统的安全性，需要限定可以登录系统的人员范围，同时对于可以登录的人员需要限定其可见的菜单和数据范围。权限系统即是否可以满足这个需求。权限管理系统的功能如下： 　　验证登录用户信息，确定其是否可以登录系统。确定登录职员可见的业务系统菜单和数据范围。提供登录职员的属性信息给业务系统。职员，角色等信息的维护。记录系统操作日志