工矿企业信息系统访问控制方法的研究及应用-计算机应用技术专业论文.docx

Research on Access Control Method and its Application in Information System of Industrial and Mining Enterprises A Dissertation submitted in fulfillment of the requirements of the degree of MASTER OF ENGINEERING SCIENCE from Shandong University of Science and Technology by DongYe shengna Supervisor: Researcher Li Dengdao College of Information Science and Engineering May 2009 2 声 明 本人呈交给山东科技大学的这篇硕士学位论文，除了所列参考文献和世所公认的文 献外，全部是本人在导师指导下的研究成果。该论文资料尚没有呈交于其它任何学术机 关作鉴定。 硕士生签名： 日 期： AFFIRMATION I declare that this dissertation, submitted in fulfillment of the requirements for the award of Master of Engineering Science in Shandong University of Science and Technology, is wholly my own work unless referenced of acknowledge. The document has not been submitted for qualification at any other academic institute. Signature: Date: 山东科技大学硕士学位论文摘要 山东科技大学硕士学位论文 摘要 PAGE PAGE 1 摘 要 随着网络和信息技术的飞速发展，信息系统在工矿企业中的应用越来越广泛，系统 所具有的开放性和资源的共享性，极大的方便了使用者，大大提高了工矿企业的工作效 率和工作质量，但是如何保证对系统资源的合理使用并防止非法用户的使用及破坏，是 企业越来越关注的重要问题，访问控制技术就是解决这个问题的有效方法。 本文对自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)方 法进行了分析和比较，重点对基于角色的访问控制方法及应用进行了详细的研究。 本文针对工矿企业信息系统的特点和传统 RBAC 在当前工矿企业信息系统应用中的 不足，对传统 RBAC 模型进行了改进和扩展，给出了一个适合工矿企业信息系统的访问 控制基本模型。该模型与传统 RBAC 模型相比主要进行了以下的改进： （1）加入了部门实体，可以按部门进行分级授权，避免了传统模型中由一个系统管 理员进行集中授权的不足； （2）在角色-权限授权的基础上引入了用户-权限授权方式，可以把一些特殊权限直 接指派给用户或者用户把自己的权限临时指派给其他用户，增加了权限分配的灵活性； （3）细化了权限配置的粒度。与传统粗粒度的权限划分不同的是，论文中根据对象 的不同把权限分成了功能权限和数据权限，并且把功能权限按一般工矿企业信息系统的 功能结构进一步细分，对数据权限配置了数据访问控制规则，可以实现用户的个性化访 问，而且还把资源的安全级别分成了一般、秘密、机密三个等级，根据权限安全级别的 不同，给出了不同强度的身份认证方法，增强了系统的安全性和权限控制的灵活性； （4）扩展了各种约束，在授权中加入了时间约束，一定程度上实现了角色和权限的 自动回收。 论文还对所给出的工矿企业信息系统的访问控制基本模型的具体应用问题作了进一 步的探讨，给出了用户、角色、权限、授权和约束的划分的具体实现方法。提出了可以 从对特权用户权限分散化，按功能或数据的共享级别划分角色，对不同安全级别的权限 采用不同的认证方式这些方面来从不同角度提高系统访问控制的安全性和实用性。论文 的最后给出了煤炭生产物资保障信息系统中的访问控制的应用实例及应用的效果说明， 从实践上进一步证明了本文所给出的访问控制基本模型在工矿企业信息系统中的实用性 和可行性。 关键字：信息系统，访问控制基本模型，特权用户，共享级别，认证 ABSTRACT With the fast development of the Internet and information technology, information systems have gotten more and more widely used in