一种基于角色权限分配及访问控制模型.docVIP

一种基于角色的权限分配及访问控制模型 　　摘 要：提出了一种基于角色的权限分配及访问控制模型，并在政府采购系统中实现了该模型。该系统在用户角色分配的基础上加入了权限裁减机制，有效地解决了政府采购系统中错综复杂的访问控制问题，大大降低了系统授权管理的复杂性，提高了权限管理的效率。该系统可配置性强，维护容易。 　　关键词：基于角色的访问控制; 权限裁减; 访问控制; 角色 　　中图法分类号：TP393．08 文献标识码：A 文章编号：1001-3695(2006)10-0183-03 　　 Role??based Permission Assignment and Access Control System 　　WANG Shu??da，LI Tao，YANG Jie，HU Xiao??qin，WANG Dan??dan，HUANG Rui 　　(College of Computer, Sichuan University, ChengduSichuan 610065, China) 　　Abstract:A role??based permission assignment and access control system with for government procurement system is presented. This system adds a permission reduction mechanism into user assignment process. It can figure out the complex access control in government procurement system, and decrease the complexity of the authorization and management of users. This system is configurable and can be maintained easily. 　　Key words：RBAC(Role??Based Access Control);Permission Reduction;Access Control;Roles 　　 　　政府采购系统是一个拥有大量用户和海量数据资源的电子政务信息平台。利用一个健壮高效的权限分配和访问控制机制来保障整个平台的信息安全显得非常重要。 　　基于角色的访问控制（Role??Based Access Control,RBAC）[1,2］技术将用户和它的具体权限分离开来，管理员可将用户的授权和权限的划分分别进行处理，给用户授予角色来实现对用户的授权操作。文献[1,3]的调查研究表明，RBAC降低了安全管理成本和管理复杂性，解决了传统的强制访问控制MAC[8]和自主访问控制DAC[8]的管理难度大的问题。 　　在政府采购系统中，工作人员的职责划分非常灵活。即使同部门的人员，职责范围也会有细微差别，分配的权限也会有所不同。如果采用传统的RBAC模型[4~6]需要对各种权限分配情况定义不同的角色。最坏的情况下，可能需要为每一个用户定义一个角色，从而使权限角色分配（Permission Assignment）[3]成为复杂且繁重的工作，增加了授权管理的负担。 　　针对以上的问题，提出了一种基于角色的权限分配及访问控制模型，并在政府采购系统中实现了该模型。该模型将权限裁减机制引入到用户角色分配(User Assignment)[3]过程中，根据实际情况在授权时对分配给用户的权限进行裁减。这样，既体现了基于角色访问控制的优势，又满足了政府采购系统中授权活动的各种复杂要求，提高了授权管理的效率。 　　 　　1 系统方案模型 　　 　　在政府采购系统的授权活动模型中，定义了标准角色集SR，该集合中的元素为实际政务中标准工作职务或工作资格对应的标准角色，系统为这些角色预先分配了其相应职责范围内的所有权限。同时还定义了裁减权限集，在用户角色分配过程中，利用该集合可对标准角色所对应的权限进行必要的裁减，以适应实际授权活动的需要。基于角色的权限分配及访问控制模型如图1所示。 　　用户集U：{u??1,u??2,…,u??n} ，u??i为第i（1≤i≤n，n为系统中用户的个数）个用户。其中u??i（sn??i），sn??i是用户拥有数字证书的序列号，通过sn??i可以唯一地确定一个CA (认证中心)[7]颁发的数字证书，也就可以唯一地确定拥有该数字证书的用户。 　　标准角色集SR：{sr??1,sr??2,…,sr??m}，sr??i为第i（1≤i≤m，m为系统中标准角色的个数）个标准角色。其中sr??i(name??i，PER?