您的位置:360文档中心› 基于扩展角色访问控制模型的应用研究

基于扩展角色访问控制模型的应用研究

合集下载

扩展式基于角色的访问控制模型的研究

扩展式基于角色的访问控制模型的研究
王 悦 , 高 虎 明
( 津财 经 大 学 管理 信 息 系统 系,天 津 3 0 2 ) 天 0 2 2
摘 要 : 企 业 规 模 不 断 扩 大 的 背 景 下 , 在 面对 用 户 数 量 庞 大 、 限 分 配 粒 度 要 求 较 高 的 大型 系统 , 统 的 R C模 型 存 在 的 权 传 BA
企 业 级 系 统 应 用 中用 户 数 量 庞 大 , 员职 责 划 分 非 常 复 杂 、 人 灵 活 且 权 限 分 配 粒 度 要 求 较 高 。 若 直 接 运 用 R AC模 型 , 创 B 需
大 型 企 业 级 系 统 中 有 待 解 决 的 问 题 , 出 一 种 基 于 R AC的 提 B
准 委 员 会 ( I s接 纳 为 A IN IS 5.04标 准 [ R AC I T) Nc NS I C T 3 92 0 3 B 1 。 引入 角 色 为 中介 , 公 认 较 适 合 在 大 型 网 络 应 用 系 统 或 数 据 被 管 理 系 统 中 实 施 的 安 全 访 问 控 制 机 制 。然 而 ,目前 很 多 大 型
扩展式方 案 E B R AC, R AC模 型 进 行 的 扩 展 主 要 包 含 以 下 对 B 3个 方 面 :
() 合 传 统 的 访 问 控 制 , R A 模 型 的基 础 上 增 加 用 1结 在 B C
户. 限 分 配 。 权
建 的角 色 数 量 巨大 , 多角 色 对 应 的用 户 却很 少 甚 至 惟 一 , 许 这
me t h o l f x e s e u d n n u oiai n a e n v o e s le e t e e BA ( l-a e c s n s e r be o e c si r e t r t n ,t p ms vb o a h z o ma g me t a e t e n e ov d f c v l wh n h n b r e i y R C r eb s d c es o a c nr1 mo e i a p i . A R AC (xe d drl-a e c e s o t 1 mo e b sdo BA r sne , a da lme t ot ) o d ls p l d e nE B e tn e eb s da c s cn o) o r d l ae n R C i p ee t s d n i e n n mp

基于角色的访问控制模型研究

基于角色的访问控制模型研究

NIT) 美 国 国 家 信 息 技 术 标 准 委 员 会 ( S 和 Amei n Na r a — c
t n l tn ad n t ue 简称 ANS ) 步 制 定 出来 。表 i a S a d r sI si t , o t I逐
1为 RB AC标 准 的主 要 事 件 。

技 术 也 取 得 了 一 定 的 成 绩 , 出 了一 些 W e 提 b应 用 当 中 基 于 角 色 的 访 问 控 制 机制 , UsrP l、 ev rP l等 。 如 e— ulS r e— ul 国 内对 访 问 控 制技 术 也 进 行 了广 泛 的研 究 , 要 集 中 主 在高校及科研单位当中 , 大部 分 研 究 成 果 都 是 建 立 在 传 统 的访 问控 制 模 型 的 基础 之 上 , 目前 仍 然 没 有 成 熟 的 商 业 化
却 是 第 一 次 以 RB AC命 名 的文 章 , 此 RB 从 AC访 问控 制
模型被正式提出 , 来出现 了一系列 关于该 领域 的研究 、 后 应 用 论 文 , AC模 型 从 此受 到 了访 问控 制 领 域 的 广 泛 关 RB
2 R A B C模 型
( ) 户 ( e) 1用 Us r 。指 系 统 的 主 体 , 系 统 各 项 功 能 的 即 直接使用者 , 户 可以是人 、 程 、 算 机等 系统实 体 , 用 进 计 在 信 息 系 统 当 中 , 统 的用 户 一 般 指 的是 人 。 系 ( ) 限 ( emis n 。指 用 户 在 使 用 系 统 某 项 功 能 2权 P r si ) o 的过 程 中必 须 获 得某 种 许 可 , 比如 用 户 对 于 系 统 文 件 的查 看 、 除 、 改 , 者使 用 系统 当 中某 个 功 能 模 块 、 用 某 删 修 或 引 个 实 体 对 象 等 , 果 用 户 拥 有 该 项 功 能 的 操 作 许 可 , 们 如 我 就称用户拥有该项功能的权限。 ( ) 色 ( l) 3角 Roe 。指 系 统 当 中 的 多 个 权 限 的 集 合 体 , 这 个 权 限集 合 可 以满 足 用 户 实 际 职 责 当 中 的 所 有 工 作 需 求 。 角色 对 应 于 实 际 工 作 环 境 当 中 的 某个 职 能 岗位 , 秘 如

一种基于任务和角色的访问控制模型及其应用

一种基于任务和角色的访问控制模型及其应用

收稿日期:2005-05-13基金项目:江苏省高校指导性项目(Q2118042)作者简介:景栋盛(1981—),男,江苏苏州人,硕士研究生,研究方向为计算机安全、CSCW ;杨季文,教授,研究方向为中文信息处理等。

一种基于任务和角色的访问控制模型及其应用景栋盛,杨季文(苏州大学计算机科学与技术学院,江苏苏州215006)摘 要:近年来RBAC (Role -Based Access Control )及TBAC (Task -Based Access Control )模型得到广泛的研究。

文中比较了一些现有访问控制模型的各自特点和适用范围,针对现有模型的不足,为了提高系统的安全性、通用型和实用性,通过结合RBAC 及TBAC 模型各自的优点,提出了一个新型的访问控制模型T -RBAC (Task -Role Based Access Control )。

描述了T -RBAC 模型结构和特点,阐述了模型对最小权限原则、职权分离原则、数据抽象原则及角色层次关系的支持,给出了模型在协同编著系统中的一个应用和将来工作的主要目标。

关键词:基于角色的访问控制;基于任务的访问控制;基于任务和角色的访问控制中图分类号:TP309 文献标识码:A 文章编号:1005-3751(2006)02-0212-03A Model of T ask -RoleB ased Access Control and Its ApplicationJ IN G Dong 2sheng ,YAN G Ji 2wen(Computer Dept.of Suzhou University ,Suzhou 215006,China )Abstract :The research work of RBAC (role -based access control )and TBAC (task -based access control )is greatly emphasized in re 2cent years.This paper compares the characteristics and applicability spectrum of some recent models.To the deficiency of the existing model ,in order to improve the security ,compatibility and practicability of application systems ,through combining the advantages of RBAC and TBAC model ,a new -type model ,T -RBAC (-role based access control ),is discussed.The configuration and character 2istics of the model is described.The support of least privilege ,separation of duties ,data abstraction and roles hierarchies in the model is explained.An application of the model in computer supported cooperative system and the main goal of future research is presented.K ey w ords :RBAC ;TBAC ;T -RBAC0 引 言访问控制在ISO74982里是网络安全服务5个层次中的重要一层。

基于RBAC的扩展访问控制模型

基于RBAC的扩展访问控制模型
世纪 O$ 年代开始 " 先后有人提出了 (0445P6J62C46 模 型 "Q’D 模型 "+6M05R961/ 模型 "(AL6 模型等众多的访问控制模型 " 但是 都没有从根本上解决问题 ) #SS: 年 T0996A343 和 UC>1 提出了基 于角色的访问控制模型 ’’3405(6702 )88077 *31/934 "’()* # "
!!!!!’
其中 $! 表示某固定域中的所有对象与操作的对应 $ 而 !!
!’ 表示所有可能的对象和操作之间的对应 $ 由于对象包含操
作 $ 而操作不能独立于对象存在 $ 所以有 &
;*<+6 的框架模型图 $ 并对各个模块进行具体分析 %
工作流权限 #!$%" 权限约束 6 !# "
"%(#!’ $$%G !% $%( "#!!!’H
引言
权限管理是信息系统的重要环节 " 其安全性和效率将会非
+’()* ! +67M5’3405(6702 )88077 *31/934 % " 综 合 了 ’()* 和 +()* 的特点 " 更 大 程 度 上 实 现 了 权 限 的 灵 活 控 制 和 管 理 的 简
化 " 但是仍然存在着很多的问题 " 比如权限管理员的负担过重 " 不 便 实 现 管 理 权 限 的 下 放 "权 限 约 束 定 义 的 缺 少 等 等 *在 文 献
’()* 和 +()* 基础上进行改进 " 比如在文献 V&W 和 VXW 中 提 到 的
基金项目 & 国家 %X! 高技术研究发展计划 , 网络化集成开发项目管理方法研究及工具实现 -! 编号 &:$$&))&#!#:$ % 作者简介 & 王振江 !#S%:5 %" 男 " 河南淇县人 " 硕士生 " 主要研究领域为软件工程 " 项目管理 $ 刘强 !#SX!5 %" 女 " 副教授 " 主要研究领域为软件工程 " 项 目管理 $

基于角色的访问控制模型研究

基于角色的访问控制模型研究
制。
为 了 提 高 效 率 ,避 免 相 同 权 限 的重 复 设 置 ,
RA B C采用 了 “ 角色继承”的概念 ,定义了这样的

些 角 色 ,它们 有 自己 的属性 ,但 可能还 继 承其 他
角色 的属 性和 权 限 。角 色继 承把 角 色组织 起来 ,能
够很 自然 地反 映组 织 内部人 员 之 问 的职权 、 责任关
则 , 分 清 用户 的工作 内容 ,确定 执 行该 项 工 作 的 需
最 小 权 限 集 ,然 后 将 用 户 限 制 在 这 些 权 限范 围之 内。在 R AC中 ,可 以根 据 组织 内 的规 章制 度 、职 B
员 的分 工 等设 计 拥 有不 同权 限 的角 色 , 只有 角 色需
具有 以下 一些 特点 :
2 1 以角色作 为访 问控 制 的主体 .
对于 自主访 问控 制 ( 一种 最简 单 的访 问控 制策
略) 。它的基本思想是由客体所有者 自主地来决定
各 个 主体 对 客体 的访 问 权 限 。 它 的不 足 主要 表 现 在:系统管 理员 难 以确定 哪 些用 户对 哪些 资源有 访 问权 限 ,不利 于 实现 统一 的全 局访 问控制 , 在着 存 用户 滥用 职权 的 问题 , 户 间的关 系不 能在 系统 中 用
用 户 以什 么样 的角 色对 资 源进 行访 问 , 定 了 决 用 户 拥 有 的 权 限 以及 可 执 行 何 种 操 作 。 因 此 在 R A B C中 ,访 问 的主体 变成 了角 色 。
22 角 色 继 承 -
体现 出来 ,不 易管 理 ,信息 容易 泄露 ,不 能抵御 特 洛伊木 马 的攻击 ;对 于强 制访 问控 制 , 不足 主要 体 现在 以下几 个方 面 :数 据 共享 机制 不灵 活 , 应用 领 域 比较 窄 , 用 代价 高 ,完整 性方 面控 制不 够 ;所 使 以 ,本 文重 点讨 论 第 三 种— — 基 于 角 色 的访 问控

基于角色的访问控制框架的研究与实现

基于角色的访问控制框架的研究与实现
Abstr act: A framework of Role- Based Access Control and its implementation mechanism and principle are introduled in detail in this paper. Role- Based Access Control (RBAC) is an abstract model on authorization management. It is more flexible, secure and easy to maintain, compared with the traditional authorization strategies. This framework of Role - Based Access Control extends the conception of the basic moddel of the RBAC. A concept on more minute granular re- source and a mechanism of authorization judgment are presented, in order to fulfill the requirements of the authorization management of large- scale data resource. Key wor ds: RBAC, Resource class, Static resource, Dynamic resource, Role including, Judge on triple
资源通常是应用相关的, 即资源属于某个应
102
微电子学与计算机
2005 年第 22 卷第 11 期

一种扩展的基于角色的访问控制模型

a sg m e . e n w d li h rt l e iso a ii n lRBAC n C s d i he s se o r lo s i n nt Th e mo e n e i alm rt ft t d to a s he r a d a be u e n t y tm fwo kf w n
t ed f c l f s estes p o rd n mi emiso h i ut o sg igp r si ewe n rlsa dp r sin n f r h u p a f y a cp r sin i y a m o m o
( srt nr cs C nrlD Di ei ayAces ot , AC)强制访 问控制 c o o 、 ( n a r cs C nrlMAC) Madty Aces ot , o o 和基 于 角 色 的访 问控 制 ( oeB sdAcesC n o,B R l ae cs ot lR AC) r 。其 中 ,
t e c n  ̄ i to o d t n . td v d s t e p r s i n d r c l n t a ft e ca sf  ̄i n o l s wh c e u e h o s a n fc n i o s I i i e e miso ie t i se d o l s i c o fr e , ih r d c s i h y h i o
tn e l sdAc e sCo t l ERB e d d RoeBa e c s n o ( r AC) whc r vd st efn t n o e ce rp r t n o emi in a d , ih p o ie u ci ft la at i fp r s o n h o h io s

基于角色的访问控制的.课件

允许被授权的主体对某些客体的访问 拒绝向非授权的主体提供服务
主要模型
传统模型:自主访问控制(DAC),强制访问控制(MAC) 新模型:基于角色的访问控制(RBAC)
硕士论文答辩
4
基于角色的访问控制
背景
主体和客体的数量级增大,传统模型很难适用 Web上的访问控制成为主流研究课题
基本思想
硕士论文答辩
角色名称 company/1manager company/1filiale/1manager company/1manager/2developer company/1filiale/1manager/2developer company/1manager/2salesman company/1filiale/1manager/2salesman company/1manager/2developer/2employee company/1filiale/1manager/2developer/2employee
在RBAC模型内部实现缓存机制 独立于外部应用程序 可实现缓存自动更新和细粒度更新 可以缓存细粒度的内容
缓存用户权限对应 缓存用户指派 缓存权限指派 缓存角色继承关系
硕士论文答辩
30
RBAC模型内缓存 (3)
缓存用户权限对应
类似于RBAC模型外缓存
可实现细粒度缓存更新
缓存自动更新
分层的RBAC基本模型
RBAC0: 含有RBAC核心部分 RBAC1: 包含RBAC0,另含角色继承关系(RH) RBAC2: 包含RBAC0,另含限制(Constraints) RBAC3: 包含所有层次内容,是一个完整模型
硕士论文答辩
6
RBAC主流模型——RBAC96 (2)

一种扩展角色访问控制模型的研究与实现

[收稿日期]20060710 [作者简介]樊银亭(1975),男,2002年大学毕业,讲师,现主要从事计算机网络与信息处理方面的教学与研究工作。

一种扩展角色访问控制模型的研究与实现 樊银亭,王春清,周德祥 (河南工业大学信息科学与工程学院,河南郑州450007)[摘要]针对传统的角色访问控制(RBAC)模型的不足,对角色权限及角色层次关系进行了分析,提出了一个改进的角色访问控制模型———ERBAC 。

应用实例说明,新模型在描述同样的角色关系时角色数量比传统模型要少,因而比传统模型更加简化和直观,特别适合于管理信息系统的应用。

[关键词]安全管理控制;角色;访问控制;控制模型;权限[中图分类号]TP311[文献标识码]A [文章编号]16731409(2006)03006003角色访问控制[1~3](Rol e 2Ba sed Access Cont rol ,RBAC)作为目前流行的安全管理控制方法,近年来得到广泛的研究,并以其灵活性、方便性和安全性在大型数据库系统的权限管理中得到普遍应用。

RBAC 的基本思想是将访问许可权分配给角色,用户通过赋予不同的角色获得角色所拥有的访问许可权,即具有相同角色的用户具有相同的权限。

由于在实际的系统应用中,处于不同部门同一级别的用户常常具有相同性质的工作,如果直接按照该模型创建用户角色,则这样创建的角色比较多,而每个角色所含的用户少而使该模型失去优势。

为此,对该模型作了一些适当的修改扩展,形成扩展角色访问控制ERBAC (Ext ended R ole 2Based Access C ontrol )模型。

在该模型中,把部门和角色结合起来取代以前的角色,新角色关联具有相同性质的对象集合和职位相同的用户集合,结合用户所在部门,分配不同的权限。

1 扩展角色的访问控制模型111 ERBAC 模型中的基本元素在ERBA C 模型中,其组成元素有:①用户(User s):可以是人,也可以是计算机等;②部门(Depart ment s ):用户所在工作单位;③角色(Role s ):如经理、采购员等;④业务对象(Object s ):用户访问控制的客体;⑤操作(Operat io ns ):对业务对象的访问控制;⑥权限(Per mi ssions ):表示对系统中的客体进行特定模式访问的操作许可,包括授予、未定和拒绝;⑦规则(Rul es):对业务对象的外加约束控制。

基于角色的访问控制在ASP.NET200中的应用研究

(ntuefEet ncTcn l yI om t nE gneigU iri Z egh u4 00 Hea C ia Isit o l r i eh oo ,f rai nier n esy,hnzo 50 4, nn,hn ) t co g n o n v t
A bsr c ta t Se urt s a mp ra s c ha n ue c st e eo m e fW e c i i n i o tnta pe tt tif n e he d v l p ntO b.Thec r r b e i e e urt sa c s o to n y l o e p o l m n W b S c iyi c e sc n rla d
基 于 角 色 的访 问控 制在 AS . E . P N T 2 0中的 应 用 研 究
周 靖 张红旗 张 斌
( 信息工程大学 电子技术学院 河南 郑州 4 00 ) 5 0 4
摘 要
安全是影响 We b发展的重要方 面, 问控制和 授权是 We 访 b安全 的核心 1 ' 7题。介 绍 了基于角 色 的访 问控制 ( B C 模 RA )
ato zt n nti pp rtnrdcsa dl f oebsdA cs cnr R A ) teapiao f B Ci S . E . td uhr ai .I s ae iit ue e o l—ae ces ot l( B C , h p l t no A nA P N T2 0i s — i o h o mo R o ci R s u
用形式之 一。We b上包含 了大量 的 、 种类丰富 的资源 , 为资源在 世界 范围内的共享提供了一个开放 的平 台。We b开发 日益成为 当前软件 开发 中的重要 形式 , 出现 了各种 功能强 大 的面向 We b 的开发框架 如 JP A P A P N T等等 。然而 , S 、S 、S . E 安全 问题仍是制 约 We b发展 的一个重要方面 , 如何控制对资源 的访 问是 We 安 b
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
12 E A 模 型原 理 . RB C
基于 扩展 角色权 限管 理模 型是 在传统 R A 基础 上发 展起来 。在 用户 和角 色之 间设 置 了一个新 的实 BC 体 即部 门 , 门作 为 中问媒介 把用 户 集合 和角 色 集合 联 系起 来 , 户结 合部 门通 过 角 色间 接地 访 问系统 部 用
维普资讯
第 02年 8 月 2 1 卷第 4期 06
江 苏 技 术 师 范 学 院 学 报
J 0URNAL J ANGS TEACHERS UNI 0F I U VERSI TY OF TECHNOLOGY
Vo . 2 N . 11 . o 4 Au , 2 06 g. 0
表 示 对 业 务 对 象 的 访 问权 限 ( betXPr i i s,对 业 务 对 象 中 的操 作 的执 行 权 限 ( 4et × O jcs ems o ) sn O es P ri in) 构成 的权 限许可 集合 和访 问控制 规则 集合 ( u s。 ems os所 s Rl )
基于扩展角色访 问控制模 型 的应用研究
樊 银 亭, 春 清 , 德 祥 王 周
( 河南工业大学 信息科学与X 程学院, - 河南 郑州 4 00 ) 5 0 7

要: 针对传统的R A 模型的不足 , B C 对角 色权 限及角色层次关 系进行 了分析 , 提出了一个改进 的角色访 问控
制模 型一 R A 。应用实例说 明, EB C 新模 型在描述同样的角色关 系时角色数量 比传统模型要少 , 因而 比传统模型更
此 ,有 必要 对该 模型作一 些适 当的修改扩展 ,形成扩展角色访 问控制E B C ( x ne o —ae R A E t dd R l B s e e d A cs C n o) ces ot 1 r 模型。在该模型 中, 把部门和角色结合起来取代以前的角色, 新角色关联具有相 同性质的 对象集合和职位相同的用户集合 , 结合用户所在部门, 分配不同的权限。
加简化和直观 , 特别适合于管理信息系统的应用 。 关键词 : R A R A 访问控制 ; E B C; B C; 角色 ; 权限
中图 分 类 号 : P 1 T31 文献标识码 : A
0 引 言
R A ( o — ae cesC nr1作 为 目前 流行 的安 全 管 理控 制方 法 , B C R l B sd A cs ot ) e o 近年 来 得 到广 泛 的研 究 , 并 以其 灵活性 、 便性 和安 全性在 大 型数据 库 系统 的权 限管 理 中得到普 遍应 用 。R A 的基 本思想 是 : 方 BC 将访 问许 可 权分 配给 角 色 , 户通 过 赋予 不 同的角 色 获得 角色 所拥 有 的 访 问许可 权 , 用 即具有 相பைடு நூலகம்同角 色 的用 户 具有 相 同 的权 限 。 实 际的 系统应用 中 , 在 处于 不 同部 门 同一级 别 的用户常 常具有 相 同性质 的工 作 。 果直 如 接 按照 该模 型创 建用 户角 色 , 需创 建 的角色 比较 多 , 个角 色所 含 的用 户 少 , 而使 该模 型 失去 优势 。 因 每 从
操 作 ( prt n)对 业务 对象 的访 问控制 。 O eaos: i 权 限(enl i s : Pr ‘ o )表示 对系 统 中的客体 进行 特定模 式访 问的操 作许 可 , lsn s 包括授 予 、 未定 和拒 绝 。
规则( u s: R l )对业务对象的外加约束控制。 e
收 稿 日期 : 0 60 —0 修 回 日期 :20 —63 2 0 —53 ; 0 60 —0 基金项 目: 河南 省教育厅“ 计算机 网络基础” 网络课程项 目( 8 1) 作者简 介 : 樊银 亭( 95 )男 , 17 一 , 河南 内乡人 , 讲师 , 工学硕士 , 研究方 向为计算机 网络 与信息处理 、 数据挖掘 、 入式系 嵌 统 ; 春清( 9 3 ) 男, 王 16 一 , 湖北荆 门人 , 副教授 , 工学硕 士 , 研究方 向为信息安全 、 软件 工程与 自动化 ; 周德祥
(9 5 )男, 17 一 , 河南光 山人 , 师 , 讲 研究方向为实 时控制 、 嵌入式 系统 。
维普资讯
1 6










第 1 卷 2
为简单 起 见 , u 、 R、 用 D、 P分 别代 表 系统 中的 四个 主要 元 素 : 户 , 门 , 色 , 用 部 角 授权 P C A P×D× R, P A是授 权到 角色 的多对 多的关 系 。u U XDX R, 用 户到 角色 的多 对多 的关 系 , A U A是 在这 里 , P
资源 。一个角色与权限关联可 以看作是该角色拥有一组权限的集合 , 与用户关联又可以看作是若干具有 相同级别 的用户的集合。 在该模型中, 用户和部门 、 用户和角色 、 权限和角色之间都是多对多的关系, 但是 用 户和角 色并 不是 直接 连接 , 必须 与部 门相结 合 。对于 关联 同一个 角 色的用 户 , 他们 的权 限 未必相 同 , 只
有 相 同部 门的用 户才 具有相 同的权 限 。一 个登 陆到 系统 中的用 户 , 以通 过部 门和所拥 有角 色 的权 限来 可
1 扩展角色的访 问控 制模 型
11 E AC 型 中的基本 元素 . RB 模
在E B C 型 中 , R A模 其组成 元 素:
用户( s s : U e )可以是人 , r 也可以是计算机等。 部 门( ea m n )用户所在工作单位 。 D pr et : t s 角色( o s : R l )如经理 、 e 采购员等。 业务对象( b c )用户访问控制的客体 。 Ojt : es
相关文档
最新文档