一种一种一种一种多级系统的访问控制模型.docxVIP

一种一种一种一种多级系统的访问控制模型 在现代管理方面，先进的计算机、通信、网络、人工智能等信息技术与系统的科学管理思想和管理模式相结合，实现了管理的科学管理、业务的自动化和信息的数字化。逐步实现数字管理（数字管理）。在数字化管理中,许多系统都是用户多、信息量极大的,特别是基于Client/Server模式或者Internet/Intranet的应用系统是多用户参与的复杂的网络应用系统,不同的用户具有不同的工作角色和权限级别,获取信息、处理信息的需求和职权也不同,这就需要针对用户提出一种管理方法。文献提出了一种基于角色的访问控制管理RBAC (Role Based Access Control),自20世纪90年代以来广泛地应用于大型企业规模的系统管理。本文在RBAC模型的基础上,提出一种基于角色分级(Role Grading)—权限分级(Permission Grading)的用户模型,分析了模型的设计和实现,并实现访问控制(Access Control)。 1 权限和权限 用户(User):用户是系统的使用者,并且是系统相关的各种使用者的集合{u1,…,un},可以是人,计算机等,一般是指操作人员。 角色(Role):角色是已经命名的权限的集合(r1,…,rn),它是一个有序对(N,P), N表示角色名,P就是权限的集合。角色一般对应于组织中的某一个特定的职能岗位,代表特定的任务范畴,如部门主管领导、院系一般管理人员、学生等。 权限(Permission):权限表示对系统中的客体进行特定模式访问的操作许可,权限P是一个有序对(OBJ,OP),其中OBJ表示目标对象的集合{obj1,…,objn},OP表示一个对OBJ的非空操作的集合{op1,…,opn}。因而,权限P是权限的集合{p1,…,pn},也就是P=OP×OBJ。一般情况下,任何一个角色都赋予一定的权限,而且不同的用户应该具有不同的权限。 OBJ表示的对象有多种形式,在数据库系统中,OBJ可以是表、视图、数据项等;在操作系统中,OBJ可以是文件、设备等。OP表示对OBJ的合法的存取方式的集合,比如对于一个文件,对于它的存取方式包括读、写、执行等。 2 用户模型 2.1 用户个人单次使用时长为四个和作为多个角色的用户 对于多用户系统,根据岗位即角色来予以分级,简化系统中用户的管理,从而实现权限分级和访问控制。以高校学生工作为例,鉴于其用户类型较多、数量大,基于角色的不同,把相关用户分为四个级别: Ⅰ级用户(UserⅠ)——学校职能部门(如招生部门、就业部门等); Ⅱ级用户(UserⅡ)——院系学生工作相关部门; Ⅲ级用户(UserⅢ)——学生(包括学生会、学生社团等学生组织); Ⅳ级用户(UserⅣ)——学生家长、其他人员等网络公共用户。 根据互斥的原则,同一个用户仅可分配到一互斥角色集合中至多一个角色,用户一般只属于以上分级中的唯一一个。这样,多用户系统就可以划分为四个具有明显特征的类群。分级后的各级用户可以通过网络在任何级之间进行信息交互。 2.2 用重用户登录技术 采用一个用户一个账号的办法,以上述用户分级的Ⅰ、Ⅱ、Ⅲ、Ⅳ级为基础,为用户注册具有类群特征的帐号。采用Cookie实现用户注册,目前常用的web服务器和浏览器也都支持Cookie。注册用户与角色相一致,同一级用户中的不同部门也要加以区分。 每个帐号均设置口令,以作为登录的必需。系统中设置用户资格审查程序。用户登录系统时,系统对用户帐号进行核对,并依据输入的口令,确认用户登录的有效性,进行下一步的操作。 2.3 功能系统数据库 为了方便多用户系统中数据处理和安全管理,体现用户的类群特性,建立用户数据库user_ management,并建立相应的用户数据表、用户权限表、角色权限表、权限数据表,与系统数据库分开独立。用户数据库中储存各个用户的帐号和口令,包括用户认证和用户管理两大模块。 在用户管理中,通过数据访问接口操作相关的数据,进行用户帐号的增加、删除和改动,修改用户口令,在特定的情况下还可以实现用户权限的修改。 在用户认证中,采用用户ID/口令的身份认证机制,将输入的帐号、口令与数据库中存储的信息予以核对,确定登录是否有效。在整个系统中,用户一次认证通过后就无需再验证帐号、口令,方便用户使用。 3 基于角色分类的访谈控制 3.1 任务结构的最优权限 权限是指针对于系统中一个或多个客体(如文件)进行特定模式访问的操作许可,即用户对于数字化管理中数据、信息的读、写、执行等操作能力。主体访问客体必须是在一个任务结构中,访问权限的授予也是根据主体在任务中所扮演的角色及所需要完成的工作来决定的。一般而言,任何一个用户均被赋予一定的操作权限,但是不同的用户应该被赋予不同的操作权限,在此根据最小权限的原则来赋