返回
管理信息系统多级访问控制管理模型

管理信息系统多级访问控制管理模型

ID:42100060

大小:51.05 KB

页数:10页

时间:2019-09-08

管理信息系统多级访问控制管理模型_第1页
管理信息系统多级访问控制管理模型_第2页
管理信息系统多级访问控制管理模型_第3页
管理信息系统多级访问控制管理模型_第4页
管理信息系统多级访问控制管理模型_第5页
资源描述:

《管理信息系统多级访问控制管理模型》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、管理信息系统多级访问控制管理模型摘要:基于角色的访问控制在信息管理系统应用时缺少对分级授权的支持。多级访问控制模型在基于角色的访问控制模型基础上,使用角色树表现角色的层次关系,将用户域、角色域和许可域组合为管理域来限定分级授权的操作范围,实现了权限在角色树上的逐级分发,支持信息管理系统的分级授权要求。关键词:访问控制;多级模型;角色树;管理域;许可中图分类号:TP311文献标识码:A文章编号:1009-3044(2014)22-5167-031概述访问控制的目的在于防止非法用户进入系统和合法用户对系统资源的非法使用[1]o为达到这个

2、目的,访问控制常以用户身份认证为前提,在此基础上实施各种访问控制策略来控制和规范合法用户在系统中的行为[2]。基于角色的访问控制(RBAC)模型及其扩展模型是现在应用最广泛的访问控制模型[3],简化了各种环境下的授权管理,将访问权限分配给角色(Role),用户担任一定角色,角色是相对稳定的,角色实际上是与特定工作岗位相关的一个权限集。当用户改变时只需要进行角色的撤销和分配。RBAC模型分离了权限与用户的耦合关系,将权限关联在角色上。用户通过扮演适当的角色获得合适的权限。这样可以有效简化权限管理的内容和步骤。基于RBAC模型作为一种访

3、问控制方法,在信息系统中得到广泛应用。但是在大型系统中RBAC的管理过程非常复杂,单纯RBAC不能满足系统的访问控制分级管理的要求。尤其在信息系统中存储和管理大量企业单位的敏感数据,一旦这些数据被泄露或窃取,会给带来难以弥补的损失[4]。传统的委任全局的、单一的、完全可信的系统管理员来管理整个系统的访问控制,会致使系统安全存在隐患。同时在企业运营中常需要对组织部门和人员工作调整,相应地需要修改系统中访问控制主体和权限的关系。而系统管理员不可能了解调整内容,相应的授权工作就要滞后,而且修改后也不一定能准确反映调整状态,常需要多次补充修

4、改,这导致授权效率较低,影响正常的业务工作进程。该文在RBAC模型基础上进行扩展,建立有效地分级授权管理机制,从技术和效率两方面加以考虑,满足信息访问控制管理要求。2访问控制管理随着企业信息化水平的提高,大量数据纳入信息系统管理的范畴,访问控制是保证数据的一致性和安全性的基础。如何对访问控制的主体、客体和授权进行管理,尤其是进行分级授权,即由上级领导对下级员工进行访问控制的管理成为必须的功能。ARBA在RBAC模型基础上定义独立的“管理角色”实施RBAC的管理操作。SARBACE5]在角色层级基础上定义了'‘管理范围”来界定管理角色

5、的控制范围。但是由于引入新的管理角色,除了维护原有系统角色,还要在对管理角色进行控制,这实际将权限管理问题变得更为复杂oLi[6]建立UARBAC模型提出“RBAC管理RBAC”的方式,将用户和角色看作客体,使用统一的方式描述访问权限和管理权限,明确操作的管理域,有利于通过委托实现分散授权。刘伟[7]指出由于隐式授权导致UARBAC管理操作存在缺陷,角色层次是隐式授权产生的一个因素。上述的访问控制模型和方法满足了信息系统对访问控制中主客体多样性的管理要求,但是由于增加了授权主体和客体的种类,相对增加了管理的复杂性,实际应用中虽然方法

6、可行,但管理效率较低。对于信息统访问控制模型的分级管理方面,还缺少有效的模型和方法。3多级访问控制管理模型为了解决信息系统中访问控制管理的问题,适当简化授权工作量,提高权限管理效率,该文提出了基于角色的多级授权管理模型(Multi-HierarchiesRole-BasedAccessControl,MH-RBAC)oMH-RBAC在尽量减少引入新的建模元素、简化应用的前提下,完善了访问主体的层次结构,支持多级权限管理关系,增强了信息系统访问控制的适应性。3.1MH-RBAC定义MH-RBAC模型结构如图1所示。各部分定义如下:・用

7、户([U]),角色([R]),操作([OPS]),许可([P])和关系[UA],[PA]的定义与NISTRBAC标准模型一致。•[TR?RXR]:角色树(RoleTree)表示角色集合上的一个树形关系。•[ASr=]:管理域(AdministrateScope),定义了一个能够被角色[r]的用户管理的角色、用户和权限许可的集合。其中[US]、[RS]、[PS]分别称为用户域、角色域和许可域。•[AOPS]:管理操作(AdministrateOperation)授权管理操作的集合,包括[TR]和[AS]的维护等操作。•[PA]:管理许

8、可(AdministratePermission),进行管理操作所需要的权限许可集合,[PAWP]。3.2MH-RBAC层次模型3.2.1角色树在RBAC模型中访问主体包括角色和用户两种粒度,授权只针对角色进行。角色层次定义了角色之间

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。