一种基于岗位和角色访问控制模型研究.docVIP

一种基于岗位和角色的访问控制模型研究 　　 (大连理工大学 管理学院 信息与决策技术研究所， 辽宁 大连 116024) 　　?? 　　摘要： 　　在RBAC模型的基础上，提出一种基于岗位和角色的两级访问控制模型――PRBAC。该模型将岗位从角色的一个属性中独立抽象出来，使角色和岗位共同决定主体对客体的访问权限。实践证明，该模型可以降低授权操作难度和工作量，保证整个授权管理体制的条理性和一致性，使得整个授权过程流程清晰，易于实现。 　　?す丶?词：角色； 访问控制； 岗位； 权限 　　?ぶ型挤掷嗪牛?TP309文献标志码：A 　　文章编号：1001?B3695(2009)03?B1084?B02 　　?? 　　Research on access control model based on post and role 　　?? 　　WANG Tao, WANG Yanzhang 　　?? 　　（Institute of Information Decision Technology, School of Management, Dalian University of Technology, Dalian Liaoning 116024, China） 　　?? 　　Abstract: 　　On the basis of RBAC model, this paper put forward a new model PRBAC, which was a twolevel model based on the post and role. It made the post independent from an attribute of the role. Post and role could jointly determine the access authority of subject to the object. In practically, it can reduce the workload and the difficulty of authorization operation, and insuring security and consistency of the authority system. Contemporarily, it makes the authority process clear and easy to reality. 　　??Key words：role; access control; post; authority 　　?お? 　　随着网络技术的发展和网上应用的日益增加，信息安全问题研究日益受到关注，而访问控制则是其中的焦点。访问控制技术起源于20世纪70年代，当时是为了满足管理大型主机系统上共享数据授权访问的需要。但随着计算机技术和应用的发展，特别是网络应用的发展，这一技术的思想和方法迅速应用于信息系统的各个领域。在近30年的发展过程中，先后出现了多种重要的访问控制技术，主要包括自主访问控制(DAC)[1]、强制访问控制（MAC）[1]、基于角色的访问控制(RBAC)[2,3 ]以及一些基于任务的访问控制[4~6]等。 　　在基于角色的访问控制模型中，通常将岗位和角色混为一体，使岗位成为角色的一个属性，这样就不能够很好地满足现实世界中等级式权限管理的需要。虽然在RBAC96模型的RBAC1中，依靠的是角色之间的继承关系来构筑现实世界中的等级式权限机制，这样实施会带来多余授权，不符合最小特权分配的权限分配准则[7]，并且在进行权限管理时也会带来很多不便。为此，本文在RBAC模型的基础上提出一种基于角色和岗位的两级访问控制模型PRBAC，将岗位从角色的一个属性中独立抽象出来，使角色和岗位共同决定主体对客体的访问权限，并在此思想的基础上实施授权管理和权限验证。 　　1基本定义 　　定义1用户集User(Su)。用户是可以对系统资源进行访问的独立主体。用Su表示用户集合，则有u∈Su。 　　定义2权限集Perm(Se)。权限是用户对系统资源（客体）进行访问的许可。用Se表示权限集合，则有e∈Se。 　　定义3岗位集Post(Sp)。岗位是在组织或部门中具有一定职务、责任和权力的集合，用于控制角色的实施范围。用Sp表示岗位集合，则有p∈Sp。 　　定义4角色集Role(Sr)。角色是一个业务系统的一个职能对应的操作功能集，用于控制操作功能的范围。用Sr表示角色集合，则有r∈Sr。 　　定义5数据操作集(Sm)。操作是对数据库内数据或客体资源数据可执行的各种操作，如增加、修改、删除、查询等。用Sm表示数据操作集，则有m∈Sm。