基于角色权限代理模型及其实现.docVIP

基于角色权限代理模型及其实现 　　（兰州交通大学数理与软件工程学院， 兰州 730070） 　　?? 　　摘 要： 　　提出了一种基于角色的授权代理模型――SBDM，讨论了SBDM的基本思想、体系结构、组成要素以及权限代理约束和判定，并提供了一种有参考价值的实现权限代理模型的设计思路，它将在大型分布式网络、工作流管理系统中有广泛应用。 　　?す丶?词：访问控制； 角色； 代理； 约束； 基于角色的访问控制 　　?ぶ型挤掷嗪牛?TP309 文献标志码：A 　　 文章编号：1001-?B3695(2009)02-?B0730-?B03 　　?? 　　Role-based delegation model and realization 　　?? 　　ZHANG Li-ming, LI Yu-long 　　??(School of Mathematics, Physics Software Engineering, Lanzhou Jiaotong University, Lanzhou 730070, China) 　　?? 　　Abstract:Presented a SPC-based delegation model (SBDM). Discussed its main idea, architecture constitutes, delegation constraint, functions of delegate. Also, introduced the method and design idea to realize SBDM. It would be used in distributed network and workflow management. 　　??Key words：access control; role; delegation; constraint; RBAC 　　?オ? 　　在基于角色的权限管理系统中，授权管理集中统一由管理员来实施，一般用户不具有授权管理的权限。然而在大规模分布式环境下，完全依赖管理员集中式管理会给管理工作带来很大的困难。在基于角色的权限管理模型中，引入权限代理的思想后[1]，允许一般用户将自己所拥有的权限再转授给其他用户，使系统授权管理分散实施，这在某种程度上类似于自主访问控制的授权模式。与集中式权限管理相比，在权限代理模型中，这种具有自主特性的授权模式给系统带来了很大的灵活性，基于角色的权限代理技术为在分布式系统中实现RBAC提供了一种有效的手段。?? 　　权限代理(delegation)的基本思想是用户将自己的权限转授给其他用户，让接受授权的用户代表发出授权的用户执行某些任务。权限代理技术将权限的集中式管理工作分散实施，使权限的管理更加灵活方便，是一种提高分布式系统伸缩性的重要技术[2]。?? 　　1 相关工作?? 　　现有的基于角色的权限代理模型主要有RBDM0[3]、RDM2000[4]和PBDM[5]。其中，RBDM0模型是最早提出的一个建立在RBAC96[6]扁平模型之上的权限代理模型，它首次将角色引入权限代理模型中，实现用户―用户的权限代理；但它不支持角色层次关系，也不支持代理约束。RDM2000模型是RBDM0的扩展模型，支持角色层次关系和多步代理。与RBDM0一样，RDM2000模型的代理粒度也是角色，不支持部分角色（许可）的代理，这一点不符合权限管理的最小特权原则。为了克服这方面的不足，Zhang Xun-wen 等人提出了基于许可的代理模型PBDM。PBDM建立在RBAC96模型之上，支持部分角色权限代理，满足最小权限原则，为权限的管理提供了更大的灵活性；但PBDM模型非常复杂，存在着角色名空间爆炸等缺点。?? 　　虽然RBAC已在某些系统中得到应用，但是在一些大型的信息系统或分布式系统中，权限的委托代理比较复杂，需要RBAC具有完备的基于角色的权限代理策略、模型和实施机制。目前现有的权限代理模型很难实现或不能满足系统安全的需求。本文拟在RBAC96模型基础上提出一个综合模型――SBDM，以满足复杂系统的权限代理。?? 　　2 SBDM模型?? 　　2. 1 模型的提出?? 　　授权约束是基于角色的访问控制模型中一个非常重要的部分。基于角色的权限代理模型是建立在RBAC模型基础之上，用户在进行权限代理时也应该受到系统的约束。在现有的基于角色的权限代理模型中，角色的指派和撤销只考虑了约束初始用户所拥有的角色，而不约束系统中代理用户拥有的角色，因而会引起授权的冲突，存在严重的缺陷。基于系统先决条件的权限代理模型(SPC-based delegation model，SBDM)提出了系统先决条件(s