基于角色和用户组扩展访问控制模型.docVIP

基于角色和用户组扩展访问控制模型 　　（1.中南大学 测绘与国土信息工程系， 长沙 410083； 2.国家基础地理信息中心， 北京 100044) 　　?? 　　摘 要：针对传统的RBAC模型所存在的问题，引入用户组进行了改进：除了RBAC模型的角色授权外，增加了用户组对数据资源进行授权，使用户所拥有的权限变成用户所属角色的功能权限和用户所属部门的资源权限之和。改进后的混合授权的扩展模型(ERBAC)不仅有效解决了角色定义、用户职责、功能和资源等动态变化对系统所带来的问题,更增强了对用户授权的灵活性和可维护性，并且在实际项目中得到了应用。 　　?す丶?词：访问控制模型； 角色； 用户组 　　?ぶ型挤掷嗪牛?TP393.08 文献标志码：A 　　 文章编号：1001?B3695(2009)03?B1098?B03 　　?? 　　Extended access control approach based on role and group 　　?? 　　XING Hanfa1,2, XU Lilin2, LEI Ying2 　　?? 　　（1.Dept. of Geomatics, Central South University, Changsha 410083, China; 2. National Geomatics Center of China, Beijing 100044, China） 　　?? 　　Abstract: During further anglicizing RBAC, this paper pointed out its shortcoming. This paper proposed an improved model named ERBAC. One way to grant user privilege was using role based on RBAC, another way was using user group that introduced above. The improved mix granting method solved the mentioned problem and was very convenient, as well as made the system’s authority limitation management easier. Meanwhile, it improved the safety of system. It had been used in some projects successfully. 　　??Key words：access control model; role; user group 　　?お? 　　在信息系统安全机制中，访问控制是一项重要机制，有着许多重要应用。访问控制或权限管理系统是当前计算机应用系统重复开发率最高的模块之一。在企业中,不同的应用系统几乎都拥有一套独立的权限管理系统,不同的权限管理系统在数据存储、权限访问和访问控制机制等方面都可能不一样。近年来，访问控制的研究发展很快，有许多访问控制模型被提出[1~3]。建立规范的访问控制模型是实现严格访问控制策略所必需的，因此，访问控制模型的研究具有十分重要的现实意义。 　　目前, 基于角色访问控制模型(rolebased access control,RBAC)一直是系统安全管理的研究热点，在应用系统中也得到了很好的应用[4~6]。但是，笔者发现在目前大多数RBAC的实际应用中，属于相同角色的用户对功能对象都具有相同的访问权限，而属于同一角色的不同用户对数据或资源对象的访问权限却是不同的。其对资源的权限控制往往是根据实际访问控制要求，直接以用户为对象授予权限，将用户对数据或资源部分的访问权限用数据库中的某些业务数据来表示。在授权时预先将这些数据手工从相关业务表中抽取出来，以静态形式存储于资源权限表中，查权时再通过查表方法来确定用户所拥有的资源权限。但是，由于这些权限数据中包含了大量的业务数据，随着用户角色或职能的变动，系统管理员必须手工更新大量对应的权限数据，这样不但增加了他们的工作负担而且极易造成数据的不一致。针对以上问题，本文在RBAC基础上加入用户组，使用户的功能和资源权限由角色和用户组共同来确定。 　　1 基于角色的访问控制模型 　　传统的访问控制，如自主访问控制(discretionary access control)和强制访问控制(mandatory access control)是以用户为基本对象授予权限，这使得大型复杂系统的授权管理繁杂，且容易出错。随着对多用户、多系统的研究不断深入，角色的概