基于角色的访问控制研究
时间:2022-10-21 02:22:48
摘 要 基于角色的访问控制是信息系统权限控制中最常见的访问控制模型。RBAC从控制主体的角度出发,根据管理中相对稳定的职权和责任来划分角色,将访问权限与角色相联系。阐述实用的机房管理系统在权限管理功能上应具备的特点,对RBAC进行了一些改进和创新。
关键词 角色访问 权限控制 RBAC技术
中图分类号:TP273 文献标识码:A
美国国家技术标准委员会(National Institute of standardsand Technology,NlsT)于20世纪90年代初提出的基于角色的访问控制RBAC(Role~ BasedAccessControl)模型成为近来研究的最为热门的存取控制模型。
在RBAC中,角色是用户和权限之间的数据中间层,是连接用户与权限的桥梁,一方面权限与角色相关联,另一方面,用户作为角色的成员。通过用户――角色,角色――权限的关联,RBAC与直接的用户――权限关联的访问控制模型相比,简化了授权的管理,减少了授权管理工作量和复杂度
机房管理系统涉及到的用户、角色,为了方便系统的权限管理员的权限的配置和管理,本文采用基于角色的访问控制模型。由于机房管理的复杂性,机房管理系统所管理的信息的多样性,一个高效、灵活、实用的机房管理系统在权限管理功能上应具备以下几个特点:
(l)授权方式要灵活。不但要支持单个用户对单一数据对象的授权操作,还能支持角色等一组用户对单个用户或一批数据对象的授权操作。
(2)有动态管理权限的功能。权限控制要考虑到控制客体的状态变化,一旦受控对象的状态发生变化,用户的权限也要有相应的改变,才能更好地保证机房数据资料的安全。
(3)有动态角色管理的功能。例如某个管理员的职位调整,管理其它子系统,那么他的角色就要发生变化,系统管理员就要对他的角色做出变更,给予相应的权限。
(4)权限设置操作应方便。管理人员应能方便、快捷地进行人员组织的定义和用户权限的设置,可以提供缺省权限设置以减少权限设置的工作量。
针对当前机房管理系统在权限控制方面的需求和RBAC技术的不足,基于RBAC技术,利用其优点,建立了本文的基于RBAC思想的机房管理系统的权限控制体系,在RBAC技术基础上进行了进一步的改进和创新,主要改进和创新点如下:
(l)对用户增加了动态约束,增加授权的灵活性,进一步限制用户的相关权限,体现了RBAC技术动态职责分离原则。
(2)角色权限配置增加优先级约束,区分同一对象冲突权限的优先级别,以便于给角色授予相应权限。所谓冲突权限即对象相同而权限相反的权限,例如权限1规定对象a有可以打印的权限,权限2规定对象a有不可以打印的权限,则权限1、2为一对冲突权限。
(3)角色继承增加了了优先级约束,实现多个继承、多层继承同时很好的避免越权操作和冲突权限的继承,符合RBAC技术角色继承的原则。所谓优先级即规定一种可以用数字或字符表示的级别,根据数字或字符的不同来确定优先级别的高低。
(4)根据对象不同进行了详细划分,并配置相应的权限,实现对一个数据单元的权限控制,大大增加了授权的粒度。
通过本文这样的设计,可以实现一种高效、安全、Control授权灵活明确的权限管理机制,使授权粒度更加的精细,从而很好的解决权限管理中出现的权限规定模糊、不明确、越权操作责任不明的问题,有效地保证不同用户对数据的合法安全访问,保证企业数据的安全。从而建立授权严格灵活、权限配置粒度细、管理方便、严格保证数据安全的机房管理系统中的权限控制体系。
借助基于角色的访问控制的基本模型,进行了进一步的改进和完善,本文的权限控制体系可以达到以下目标:
(1)职权分明。
(2)进一步限制用户的权限,给用户分配合法权限的同时,通过动态约束限制用户对某些对象不同状态的权限,随时保证数据的安全。
(3)给角色灵活配置权限的同时,通过继承减少某些角色的权限重复授予,减少权限管理人员的工作量:通过优先级字段避免冲突权限的授予,从而很好地避免越权操作。
(4)对具体客体对象配置权限时,通过增加优先字段约束,可以明确冲突权限的优先级别,更方便给角色授予合适权限,从而避免给用户配置冲突权限。
通过对客体对象的详细分类并根据对象不同进行不同的权限配置,大大增加了权限配置的粒度;同时通过对行集、列集对象的权限配置,可以实现对一个数据单元的权限控制,大大细化了权限配置的精细度,方便权限管理人员对不同权限更详细的权限授予,大大增加对数据访问的安全性,高度保证数据的安全。在机房管理方面即增加了安全性又方便了管理,有较好的实用前景。
参考文献
[1] 陈怡,耿国华,李品.动态访问控制技术的研究与应用[M].计算机技术与发展,2006,16(2).
[2] 丁仲,左春.用于RBAc权限管理的面向对象框架[J].计算机工程与应用,2005(17).
[3] 卢学东.ERP系统中的可视化权限管理技术[J].中山大学研究生学刊(自然科学、医学版),2003,24(l).
