返回
基于规则的授权管理系统设计与实现

基于规则的授权管理系统设计与实现

ID:41729689

大小:73.93 KB

页数:9页

时间:2019-08-30

基于规则的授权管理系统设计与实现_第1页
基于规则的授权管理系统设计与实现_第2页
基于规则的授权管理系统设计与实现_第3页
基于规则的授权管理系统设计与实现_第4页
基于规则的授权管理系统设计与实现_第5页
资源描述:

《基于规则的授权管理系统设计与实现》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于规则的授权管理系统设计与实现李伟平I魏明欣2(1•长春吉人正元信息技术股份有限公司长春1300122.吉林省政府发展研究小心130021)摘要:本文主要分析了采用RBAC模型的授权管理系统中,传统的用户-角色指派方法的发展和应用情况,并分析在分布环境下,由于用户数量巨大、指派关系复杂,其传统的用户-角色指派方法存在的问题会变得相当复杂。为此,本文继续对RB-RBAC模型分析的基础上,分析了一种角色自动指派的方法,并对该自动指派方法规则进行深入剖析和讨论,在此基础上,本文提出了独特的基于规则的授权管理系统设计和实现方法。关键词:RBAC、URA、角色指派、规则、授权管理、自动化1.引言信

2、息技术的飞速发展,加速了信息系统向网络化和分布式发展的历程,由于网络信息技术发展本身存在的技术缺陷,促使信息安全技术发展迫在眉睫,尤其是访问控制技术作为保护资源、防止非法访问的手段,已经成为信息安全不可缺少的基本方法。在分布式、大用户量、以及分级管理的环境下,基于传统访问控制模型设计的授权管理系统,已经越来越不能满足安全访问管理的要求。近年来,基于角色的访问控制RBAC(RoleBaseAccess)作为访问控制模型的理想候选,近年来得到了广泛的研究,并以其灵活性、方便性和安全性在许多系统中得到普遍应用,在用户数量较小的情况下,基于角色的访问控制模型不但可以有效地管理信息的存取,而且简化了

3、数据授权与维护的管理程序,提升了数据的安全性,但是,随着网络应用业务复杂度的增加和应用范围的持续扩大,用户和角色数量快速增加,关系变得十分复杂,给用户-角色指派管理提出了巨大挑战。一个有吸引力的解决方案是:根据规则自动指派用户的角色。这个自动指派过程应当基于用户已拥有的属性进行。本文将在对RBAC参考模型分析的基础上,指出其存在的局限性,介绍一种RBAC扩展模型,并对这种可管理的基于角色的访问控制模型进行详细说明后,给出该模型应用的示例及基于该模型设计的授权管理系统的架构。2.基于角色的访问控制技术美国国防部1985年发布的可信计算机系统评估准则(TCSEC)中描述了两种典型的访问控制策略

4、:自主访问控制(DAC)和强制访问控制(MAC)。在计算机应用系统中,信息不属于系统的某个用户而是属于某个机构或部门,访问控制要基于主体在机构中的职能,DAC不适用于这类需求,另外DAC授权管理繁琐,必须处理级联授权和每一个主体客体访问关系;而MAC在控制粒度上不满足最小特权原则,因为具有一定安全级别的主体可以访问与其安全级别相匹配的所有客体!此外,计算机系统的用户种类繁多,数量巨大,访问权限动态变化,因而使用DAC和MAC进行系统的安全管理变得很困难。另外,随着对象的数量的增加,跨应用程序查询授予特定组或角色的访问权限会变得越来越困难。为了精确地确定给用户或组授予了何种权限,管理员必须检

5、查每一个对象上的权限。虽然继承功能看起来简化了这方面的工作,但是每个对象都避免继承权限的能力仍使得有必要查看每个对象,以完全理解授权策略。由于有太多的对象需要查询,所以有时就很少检验关于特定组或用户的访问控制状态。基于角色的访问控制(RBAC)简化了访问控制管理,并且允许根据用户工作角色来管理权限,从而在组织中提供了更好的可管理性。NISTRBAC参考模型在用户和访问权限之间引入了角色的概念,它的基本特征是根据安全策略划分角色,对每个角色分配操作许可;为用户指派角色,用户通过角色间接地对信息资源进行访问。UK1I)巾色层次■OFA)权限指派操作v►H标I权限图一:NISTRBAC参考模型在

6、RBAC模型中权限与角色相关联,用户通过取得适当的角色从而获得合适的权限。这可以有效的简化权限管理。在新的应用中同一角色可以授予新的权限,当需要时应用权限可以从角色上被撤销,而不需要修改用户的角色,同样可修改用户的角色,使其具有复杂的权限,而不需要修改角色权限。通常,企业安全长官依据企业的安全策略手动将用户与角色进行绑定。基于角色的访问控制试图允许管理员根据公司的组织结构来指定访问控制。RBAC通过创建称为角色(Role)的新对象来达到此目的。您可以给用户分派执行某种工作职能的角色。在RBAC模型中,管理员使用角色来管理权限和分派。例如,公司可能创建一个称为销售经理(SalesManage

7、r)的角色,销售经理需要这个角色来满足他们的工作需要。当雇佣销售经理时,就给他们分派销售经理角色,而他们可以立即具有这份工作所需的全部权限。当他们离开销售经理的职位时,就会被从销售经理角色中删除,并且不再具有销售经理的访问权限。由于角色使得可以根据公司的组织模型来授予访问权限,所以对于管理员来说,指定访问控制更显得直观和自然。图二标识了角色、用户和权限之间的关系。在这个模型中,角色是授予权限的对象,而且给用户分派了角色。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。