一种基于用户评价值动态访问控制模型.docVIP

一种基于用户评价值的动态访问控制模型 　　摘 要： 针对购物网站中大量信誉等级不同的用户却拥有相同权限的问题，提出一种依据用户评价值进行动态访问控制的模型。该模型将RBAC中权限的授权与用户的评价值相结合，通过综合评估购物网站用户评价值，对角色的权限范围进行动态调整，从而达到动态访问控制的目的。通过应用该模型对一个实例进行分析的结果表明，该访问控制模型能够提高用户评价值的准确性，实现了相同角色不同权限的动态分配，增强了购物网站中资源的安全性和可靠性。 　　关键词： 用户评价值； RBAC； 动态授权； 购物网站 　　中图分类号： TN911?34； TP391 文献标识码： A 文章编号： 1004?373X（2015）08?0077?03 　　Dynamic access control model based on user evaluation value 　　GAO Yan， CHEN Xiao?hui， ZHANG Yong?heng 　　（School of Information Engineering， Yulin University， Yulin 719000， China） 　　Abstract： In consideration of the problem that a lot of different users of the shopping websites have the same permissions though they have different credit rating， a dynamic access control model based on the user evaluation value is proposed. Assess permission authorization in RBAC and user evaluation value are combined in this model. By comprehensive evaluation of user evaluation value for shopping website， the permission scope of user is adjusted dynamically to achieve dynamic access control. The result of analyzing an example by this model shows that this access control model can improve the accuracy of user evaluation value. By the model， the dynamic permission assignment for the same roles with different permission was realized， and safety and reliability of resources in shopping website were enhanced. 　　Keywords： user evaluation value； RBAC； dynamic authorization； shopping website 　　0 引 言 　　访问控制（Access Control）技术是信息安全领域一项十分重要的信息安全技术，可以通过某种途径，显式的准许或限制主体（如用户、服务、进程等）对客体（如文件、系统等）访问能力[1]。通过对系统用户进行授权，使得用户只能依据授权约束规则对信息资源进行访问。有效地防止了非法用户的入侵或合法用户可能的越权行为或操作不当，从而保证整个系统资源的安全，实现资源的可控访问[2]。 　　从访问控制技术出现一直到今天，无数的学者对其进行了研究，并推出了大量的访问控制模型。早期出现的模型主要从系统的角度对系统资源进行保护，其中具有代表性的模型有自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）模型[3]。然而随着新兴技术的兴起与发展，又涌现出了许多新的访问控制模型。例如针对Web Services，引入主体信任值的概念，构造出基于信任的动态Web Services访问控制模型[4]；针对工作流技术，引入任务的概念，构造出面向工作流的访问控制模型[5]；针对云计算技术，引入用户行为信任值的概念，构造出基于用户行为信任的访问控制模型[6]，访问控制已经从以系统为中心的被动方式转变到了主动方式。 　　近些年来，购物网站蓬勃发展，淘宝网、京东、卓越、凡客等购物网站已经成为当代人生活中必不可少的一部分。本文针对购