RBAC细粒度组权限管理模型分析与设计.docVIP

RBAC细粒度组权限管理模型分析与设计 　　摘要： 把基于角色访问控制RBAC（role based access control）模型中的组细化成单位和部门，并且单位和部门之间存在组成关系，则可以构造一个完整的权限体系。对RBAC细粒度组的权限管理模型进行研究和探讨，提出RBAC细粒度组的权限管理的数据模型设计，能够高效地解决系统开发中的权限管理问题。 　　关键词： RBAC；细粒度组；权限管理 　　中图分类号：TH 文献标识码：A 文章编号：1671－7597（2011）0310065－02 　　 　　0 引言 　　基于角色访问控制RBAC（role based access control）模型是目前国际上流行的安全访问控制方法。权限管理系统中，如果在创建每个用户的时候要求每个用户属于某个单位以及这个单位的某个部门。这样单位是树型结构，同时每个单位内部部门也构成树型结构。即要求在权限系统中默认存在一个系统管理员角色，该角色拥有所有资源的访问权限。每个单位有一个单位管理员角色。系统管理员只负责创建单位管理员角色，单位管理员拥有本单位所有资源的访问权，负责添加属于本单位的部门或普通员工角色并对其进行权限配置。如果把基于角色访问控制（role based access control，RBAC）模型中的组细化成单位和部门，并且单位和部门之间存在组成关系，则可以构造一个完整的权限体系。基于此本文对RBAC细粒度组的权限管理模型进行了研究和探讨。 　　1 基于角色的权限管理的原理 　　企业环境中的访问控制策略一般有三种：自主型访问控制方法、强制型访问控制方法和基于角色的访问控制方法。其中，自主式太弱，强制式太强，二者工作量大，不便于管理。基于角色的访问控制方法是目前公认的解决大型企业的统一资源访问控制的有效方法。美国国家标准与技术研究院NIST标准RBAC模型由4个部件模型组成，这4个部件模型分别是基本模型RBAC0、角色分级模型RBAC1、角色限制模型RBAC2和统一模型RBAC3。RBAC0定义了能构成一个RBAC控制系统的最小元素集合，包含用户、角色、对象、操作、许可权5个基本元素。基于RBAC0模型，先后派生出如下模型： 　　① RBAC1，即角色分层模型，它引入了角色间的继承关系； 　　② RBAC2，即角色约束模型，它添加了约束，即规定了权限被赋予角色时，或角色被赋予用户时，以及当用户在某一时刻激活一个角色时所应遵循的强制性规则； 　　③ RBAC3统一模型，包含RBAC1和RBAC2既提供了角色间的继承关系，又提供了约束。 　　2 权限管理的分析 　　2.1 一般权限管理总体设计思路 　　一般权限管理总体设计思路是将系统划分为组权限管理、角色权限管理、用户权限管理、组织管理和操作日志管理五部分。其中组权限管理包括包含用户、所属角色、组权限资源和组总权限资源四部分。组和角色都具有上下级关系，所以下级的组或角色的权限只能在自己的直属上级的权限中选择，下级的组或者角色的总的权限都不能大于直属上级的总权限。角色权限管理包括包含用户、组和角色权限三部分。用户权限管理包括所属角色、所属组、用户权限、用户总权限资源和组织管理五部分。组织管理即对用户所属的组织进行管理，组织以树形结构展示，组织管理具有组织的增、删、改、查功能。操作日志管理用于管理本系统的操作日志。 　　2.2 RBAC细粒度组的权限管理模型的分析 　　随着市场的全球化和公司的多地域性，管理信息系统的权限管理一般都包括单位管理、部门管理、用户管理、角色管理、用户角色管理、角色权限分配等，不同的是对系统对象或资源的管理，因此，设计通用的权限管理就需要对管理信息系统中的对象或资源进行统一的描述和管理，然后动态地为系统中的角色分配相应的权限，最后将用户与角色关联，以实现用户对系统中特定对象或资源的访问许可。在一般权限管理的基础上，对组权限管理进行细粒度的划分就显得很有必要。具体而言，RBAC细粒度组的权限管理的通用权限管理主要需要实现以下功能： 　　1）单位管理：包括单位的增加、修改、删除。 　　2）部门管理：包括部门的增加、修改、删除，为部门添加、移除人员，为部门分配相应的角色。 　　3）用户管理：包括用户的增加、编辑、删除，角色分配以及用户所属部门管理等。 　　4）角色管理：包括角色的增加、修改、删除以及实现角色的继承等。角色的划分方法可以根据实际情况划分，也可以按部门或机构进行划分。 　　5）模块管理：对系统中特定对象或资源的管理，具体而言，是对管理信息系统中的页面进行管理。 　　6）权限管理：权限管理需要实现2部分的功能，一是设置权限，将系统中的模块与具体的操作通过权限进行关联，二是分配权限，为角色分配相应的权限。这样我