基于RBAC用户权限管理研究与实现.docVIP

基于RBAC用户权限管理研究与实现 　　摘要：随着计算机网络信息技术的不断发展，用户权限管理已经成为一个日益突出的问题。该文针对基于传统的RBAC模型在权限管理中存在的一些不足，分析了目前用户权限管理结构的设计，并以学校办公自动化管理系统中的用户权限设计为例，给出了一种基于角色的用户权限管理的新权限管理方法的设计与实现，实践证明此方法在办公自动化管理系统的适用性、可操作性及安全性等方面都有很大提高。 　　关键词：RBAC；用户权限；安全；模块 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2013）07-1487-04 　　随着计算机和网络技术的发展及应用的日益普及，全球正在向大数据道路上发展，尤其是近年来数字信息化技术的飞速发展，信息数据量也呈爆炸性增长态势。在这种态势的影响下，企业、政府、教育机构等各行各业越来越注重办公自动化系统的应用。然而办公自动化系统的应用为工作带来信息资源共享等各种便利的同时也带来了种种的安全隐患，所以必须要加强系统的用户权限管理机制，既要充分保证合法用户在权限范围内访问系统，又要阻止非法用户的入侵确保系统安全。 　　网络为信息的传播、交换和共享提供了快捷有效的方法，但是由于B/S（Browser/Server）模式具有分布性的特点，用户工作界面主要是通过浏览器来实现的。在B/S模式下，每个客户端都只需安装浏览器，通过浏览器来访问数据库服务器中的数据，如果缺少有效地用户权限检测机制，B/S 系统中就会面临非法访问的危险，存在严重的安全隐患。因此，B/S模式下必须建立一个或多个用户权限检测系统，以实现合法用户的正常权限授权功能，同时将非法入侵者拒之门外。该文基于角色的访问控制模型-RBAC的基本思想，设计出一种新的用户权限检测控制方法，实践证明此方法在办公自动化管理系统的适用性、可操作性及安全性等方面都有很大提高。 　　1 RBAC模型概述 　　基于角色管理权限的思想早在70年代就已经出现，但是第一个RBAC（Role-Based Access Control）模型是美国国家标准化和技术委员会（National Institute of Standards and Technology， NIST）的Ferraiolo和Kuhn在1992年提出的[1]。 　　角色代表了访问主体所具有的职权和责任，系统管理员负责将访问许可权分配给一定的角色，每个用户可以扮演不同的角色，这样就使得每一个用户都能够获得所扮演角色所拥有的访问许可权。例如，学校中有辅导员、教师、学生及各种管理职员等角色，教师角色具有上传成绩、评价学生，查询成绩等权限，学生角色具有查询成绩、自我评价、反馈意见等权限。在实际应用中，通常一个角色会拥有多个访问许可权限同时也可以由多个用户来扮演，同一个权限可以授权给多个角色，一个用户也可以扮演多个角色，如一个用户同时扮演教师和教务管理人员两个角色。RBAC模型中，角色是其核心，它从控制主体的角度出发，由系统管理员依据管理中相对稳定的职权和责任对角色进行划分，将访问权限与角色紧密联系，一旦用户被指定扮演某个角色，那么该用户就可以完成该角色所拥有的全部职能[2]。 　　图1描述了RBAC模型的基本框架，RBAC模型将整个系统的访问控制分两步实现：第一步首先对角色进行分配，将用户与角色联系起来，通过角色将用户与访问权限从逻辑上分离开；然后指定权限，将角色与访问权限联系起来[3]。 　　 　　图1 RBAC模型基本框架 　　2 用户权限控制子系统的设计与实现 　　2.1 用户权限设计方案 　　通过上面对RBAC模型特点的分析可以看出，系统为了实现广泛的适用性、良好的可伸缩性及较高的安全性，必须从新的角度审视用户权限问题。一种思路是将系统中的所有功能权限与用户独立进行设置，这样设计的优点是对于每个用户，系统管理员都可以分别进行设置，使其可以拥有系统功能模块的细微权限。同时，这种设计在第一次使用系统时又存在很大的缺陷，它需要对所有的用户进行权限设置，这是一项大量的、不必要的重复性工作。 　　本文基于角色的访问控制模型-RBAC的基本框架，设计出一种新的用户权限检测控制方法，利用了直接授权和间接授权两种方式对用户权限进行管理控制。直接授权方法直接将系统中具体的功能权限赋予指定用户，例如将成绩录入权限定义为独立的功能模块或功能按钮，授权给扮演教师角色的某用户；间接授权法只对用户分配某个特定的角色，而不直接授予权限。由于角色即是权限的集合，它代表了访问主体所具有的职权和责任，所以用户根据其职能和责任被授权后，即可享有相应角色所拥有的所有权限。 　　在实际应用中，由系统管理员对具有不同职能和责任的用户进行判断、分类，构造出各类角色，将直接授权法与间接授权法结