改进基于角色访问控制模型.docVIP

改进基于角色访问控制模型 　　摘要： 在基于角色的访问控制（RBAC）模型的基础上，提出一种多级权限访问控制模型。该模型采用树形结构进行权限的多级分配，细化权限控制粒度，能够更加灵活地对系统进行访问控制，满足大多数系统的访问控制授权方案。 　　关键词： 访问控制；访问控制授权；多级权限；RBAC 　　中图分类号：TM63文献标识码：A文章编号：1671－7597（2011）0620011－01 　　0 引言 　　目前，随着计算机硬件和软件技术的发展，计算机的应用已经遍及我们生活的各个角落，各类计算机系统层出不穷。在一个中小型计算机系统中，其中的用户成百上千，大型的计算机系统中用户更是数以万计。而一个计算机系统中，它囊括了该系统一切用户所需的资源，甚是丰富。为了科学合理地为用户进行资源分配，就涉及到一个访问控制的概念。所谓访问控制（Access Control）就是决定系统用户是否有权对某一系统资源进行访问，从而保障授权用户对资源的正常访问，拒绝非授权用户对资源的非法访问[1，2]。 　　传统的访问控制技术直接将用户与权限进行关联，用户与权限的耦合度极高，使得对用户的权限更改变得异常困难。而基于角色的访问控制 　　（Role Based Access Control）技术提出了角色（Role）的概念，将用户与角色关联，角色再与权限进行关联，解耦了用户和权限的关系。由于角色与权限之间的变化比用户与权限的变化要慢得多，从而减小了访问控制授权的复杂度，降低了管理开销[4，6]。 　　然而，现在的计算机系统规模越来越大，用户越来越多，所包含的资源越来越丰富，从而使得访问控制授权的需求也越来越精细，传统的基于角色的访问控制方法不能满足现实需求。同时，传统的基于角色的访问控制通常需要一名或多名系统管理员来完成整个系统所有用户的访问控制授权工作。然而，系统管理员往往具备丰富的计算机技术，但对系统的业务及工作流程可能并不是很熟悉。针对此情况，本文提出了一种采用树形结构进行访问控制授权的模型，逐层细分整个系统的访问控制授权工作，该模型在实际项目中通过检验。 　　1 相关技术介绍 　　传统RBAC模型包含的基本元素主要有用户（Users）、用户组（Group）、角色（Role）、资源（Resource）、操作（Operator）、权限（Permission）。这些元素之间主要的关系是：分配角色权限（Permission Assignment）、分配用户角色UA（Users Assignment）[3，5]，具体描述如下： 　　用户：使用系统的主体，权限的最终拥有者； 　　用户组：一组用户的集合，满足系统中用户的组织机构的区分； 　　角色：访问控制授权的载体，拥有一个或多个权限的单位； 　　资源：系统中可以被访问的对象。例如系统中生成的报表； 　　操作：用户对系统中资源的访问方式。例如对报表的编辑、浏览、删除等访问方式； 　　权限：对系统资源的操作许可。例如允许对系统中生成的报表进行编辑操作； 　　分配角色权限：实现权限和角色之间进行多对多的关系映射； 　　分配用户角色：实现用户和角色之间进行多对多的关系映射。 　　 　　图1RBAC中用户、角色及权限的多对多关系 　　从图1可以看出，基于角色的访问控制（RBAC）技术实现了用户与角色之间的多对多关系，角色与权限之间的多对多关系，间接地将用户与权限进行关联，实现了整个访问控制的授权操作。 　　2 改进的RBAC模型 　　传统的RBAC模型中引入了角色的概念，间接地将用户与权限进行关联，从而解耦了用户与权限的关联，减小访问控制授权的复杂度，降低管理开销。然而，传统的RBAC模型中引入的角色之间并没有任何关联关系，使得每一个角色都统一由系统管理员来进行创建及访问控制授权。 　　本文按照现实业务中出现的业务分层现象，提出了一种采用树形结构逐层进行访问控制授权的模型，该模型中提出了业务管理员的概念。所谓业务管理是指在整个层次系统业务中，每一层中那些业务能力较强，且具有优秀的管理经验与计算机知识的工作人员，使得其分担原本由系统管理员完成的访问控制授权工作。模型示意图如图2所示： 　　 　　图2改进的RBAC模型示意图 　　从图2中可以看出，改进的RBAC模型大体与传统的RBAC模型一致，但体现了角色与角色之间的继承关系及层次关系。 　　3 具有层次关系及继承关系的角色的技术实现 　　改进的RBAC模型角色与角色之间采用树形结构，体现了角色与角色之间的继承关系及层次关系。本文对此模型的树形结构作如下规定： 　　1）整个模型是一个树形结构； 　　2）除根节点为系统管理员角色以外，其它所有可以创建叶节点的角色均为业务管理员角色； 　　3）所有的叶子节点