基于组织结构的RBAC 扩展模型及应用
RBAC模型在U型组织结构中的应用与实现
( 西南科技 大 学经济管理 学 院, 四川 绵 阳 611) 200
[ 摘 要]为 了 研究企业组织结构特点对 R A 访问控制模型 实现 的影响 ,针对 U型组织结构 中信 息 系统 的特点 ,引入信 BC
息城和操作域 ,扩展 R A B C访 问控制模型。最后 ,通过将此模型应用于某 U型组织结构下的信息 系统 ,设计 出了符合 企业需 求
[ 中图分类号 ]Tt 9 [ i0 文献标识码 ]B [ 3 文章编号 ]10 02 2 1 )1 07 0 08— 8 1(0 1 0— 13— 5
Ap l a in n I pe n a o fRBAC o e n Untd Or a ia o tu t e pi t c o a d m lme tt n o i M d li ie g nz t n S r cur i
特点 、复杂性 可控的 实现访问控制的功能模块 。结果证明,本文所提 出的方法能够对资源的访 问 限进行有效地控制o 权
[ 关键词]R A B C模型 ;信 息系统 ;U型组织结构 ;授权控制
[ :0 3 6 /. S . O 3 1 .9 9 ji n 1 8—02 .0 11 .4 OI s 0 8 12 1 .0 0 2
Fe hyn L a mi g iS iig iDu n n
( s t e f cnme n aae et ot et nvrt o Si c dTcn l y i yn 200 h a I tu oo i adM ngm n,Suh s U i sy f c nea eho g ,M a ag61 1,C i ) ni t o E s w e i e n o n n
织结构 特点对 R A B C实现 的影响 ,对 于应 用系统 中角 色和
一种基于扩展RBAC的访问控制模型在SSL VPN系统中的应用
X U Bo.G U O hu q n。 LU i f i S —i M w e
( l g fI f r t n En i e rn Col eo n o ma i g n e ig,Z @ a g Unv r iyo c n lg e o h n ie st fTe h oo y,Ha g h u31 0 2,Chn ) n z o 0 3 ia
第3 9卷 第 2期
21 O 1年 4月
浙 江 工 业 大 学 学 报
J OURNAL OF ZHE I J ANG UNI RSTY VE I OF TECHN0L0GY
V01 9 .3 No. 2 A pr 2 1 . 01
Hale Waihona Puke 一种 基 于 扩 展 R AC 的访 问控 制 模 型 在 B S L VP 系 统 中 的应 用 S N
随着计 算机 网络技 术 的迅 猛 发 展 , 字 信 息化 数 带来 的信息 安全 问题 也 日益 受 到 人们 关 注. 客采 黑 用例 如 I P欺 骗 、 中间人 攻击 _ 、 本漏 洞 、 1脚 ] 钓鱼 式攻 击 等方 法 , 给用户 造 成 了巨 大 的经 济 损 失 . 目前 , 虚
文 献标 识码 : A
文 章 编 号 : 0 64 0 ( 0 1 0 — 1 7 0 1 0 — 3 3 2 1 ) 20 7 - 4
Ap l a in o c es c n r lmo e a e n p i t fa c s o to d lb s d o c o
RBAC 0 S L N t S VP
是 目前 主 流 的 访 问控 制 模 型 之 一 . RBAC模 型 的 基 本 理 论 出发 , 合 S L VPN 系统 访 问控 制 的 从 结 S
基于RBAC的扩展权限管理模型
Ma dtr cesC n o)等 。但 是它们都存在 一些 n a y A cs o t 1 o r 缺 陷,如 DA 安全性能较弱 ,缺乏 防止“ C 隐密通道” 的能力,M C对 于访 问控制严格 ,实现工作量大,不 A 适用 于主体 或者客体经常更新的应用环境 。 在此基 础上,2 0世 纪 9 0年代 D vd F r il a i er o a o和 Rc u n提 出了首个 R A ( oeB sdAces o i Kh k B C R l ae cs C . .
c aR A ) 角色 限制模 型 R A 2 C nt i R AC) hl B C 、 B C ( o sa t B rn 和统一组合模 型 R A 3( o ie B C) B 1 B C C mbndR A 。R AC 和 R A 2都 是建立在 R AC B C B 0模型基 础之上的 ,而 R A 3 R CI R A 2的组合 , B C B C 是 BA 和 B C R A 3模型对 核心 模型引入 了角色继承和约束 限制 ,是一个 相对 完
计 算 机 系 统 应 用
予 由管理员统一管理 ,并授予给角色 ,而用户不直接 与权限关联 ,系统将根据用户在组织 内所拥有 的角色
来做出访 问控制 。
可 以看 出,它主 要 由四个 数 据元 素和 两种 关系
组成 :
四个数据元素包括 :
1 )角色 ( oe :一定数 量 的权 限的集合 ,是粗 R l)
粒度和细粒度 的接 口。角色是一个 引入概念 ,是用户
自身职 能或者对资源操作 能力 的一个 实体。角色可 以
基于本体的RBAC建模及应用研究
基于本体的RBAC建模及应用研究张宇一;张保稳【期刊名称】《通信技术》【年(卷),期】2017(050)001【摘要】访问控制技术是保护企业信息安全的重要手段,其中基于角色的访问控制技术RBAC 的使用最为广泛。
于是,提出一种新的针对RBAC 的建模方法,即通过本体来描述RBAC 模型。
相比于常见的XACML、Ponder 等语言框架,本体能更好地表述RBAC 中的继承、限制等概念,并具有良好的可扩展性与推理能力。
具体的,着重介绍如何通过本体论软件protégé来表述RBAC 中的主体、客体、资源、角色以及它们之间的继承和限制关系,并通过案例验证来展示所建立模型的可用性与合理性。
%Access control technology is an important means to protect the information of enterprises. And RBAC(Role-Based Access Control) model is the most frequently used in among all the access control technologies. This article proposes a new method to model RBAC, that is,to describe RBAC model via ontology. Compared with the traditional frameworks such as XACML and Ponder, ontology has a better performance in expressing the concepts of inheritance and constraint of RBAC, and is of fairly good extendibility and reasoning capability. This article discusses how to express the subject, object, resource and role in RBAC via ontology-based software–protégé, including the inheritance and constraint relationship of among them. Finally some cases are used to verify the availability and reasonability of this model.【总页数】7页(P102-108)【作者】张宇一;张保稳【作者单位】上海交通大学电子信息与电气工程学院,上海200240;上海交通大学电子信息与电气工程学院,上海200240【正文语种】中文【中图分类】TP391【相关文献】1.基于本体的上下文建模与应用研究 [J], 陈立;宋自林;郑世明2.基于本体的图书智能检索系统的建模与应用研究 [J], 房巍;李万龙3.物联网技术在冶金炼焦过程的建模应用——评《基于本体与物联网的冶金炼焦过程语义化及建模应用研究》 [J], 黄保斐4.本体理论及在农业文献检索系统中的应用研究——以花卉学本体建模为例 [J], 李景;孟连生5.本体理论及在农业文献检索系统中的应用研究——以花卉学本体建模为例 [J], 李景;孟连生因版权原因,仅展示原文概要,查看原文内容请购买。
基于RBAC的扩展访问控制模型
!!!!!’
其中 $! 表示某固定域中的所有对象与操作的对应 $ 而 !!
!’ 表示所有可能的对象和操作之间的对应 $ 由于对象包含操
作 $ 而操作不能独立于对象存在 $ 所以有 &
;*<+6 的框架模型图 $ 并对各个模块进行具体分析 %
工作流权限 #!$%" 权限约束 6 !# "
"%(#!’ $$%G !% $%( "#!!!’H
引言
权限管理是信息系统的重要环节 " 其安全性和效率将会非
+’()* ! +67M5’3405(6702 )88077 *31/934 % " 综 合 了 ’()* 和 +()* 的特点 " 更 大 程 度 上 实 现 了 权 限 的 灵 活 控 制 和 管 理 的 简
化 " 但是仍然存在着很多的问题 " 比如权限管理员的负担过重 " 不 便 实 现 管 理 权 限 的 下 放 "权 限 约 束 定 义 的 缺 少 等 等 *在 文 献
’()* 和 +()* 基础上进行改进 " 比如在文献 V&W 和 VXW 中 提 到 的
基金项目 & 国家 %X! 高技术研究发展计划 , 网络化集成开发项目管理方法研究及工具实现 -! 编号 &:$$&))&#!#:$ % 作者简介 & 王振江 !#S%:5 %" 男 " 河南淇县人 " 硕士生 " 主要研究领域为软件工程 " 项目管理 $ 刘强 !#SX!5 %" 女 " 副教授 " 主要研究领域为软件工程 " 项 目管理 $
科技项目管理的RBAC--BLP模型设计与应用
科技项目管理的RBAC--BLP模型设计与应用科技项目管理的 RBACBLP 模型设计与应用在当今科技飞速发展的时代,科技项目管理的重要性日益凸显。
有效的项目管理不仅能够提高项目的成功率,还能够优化资源配置,确保项目按时、按质完成。
在众多的项目管理方法和模型中,基于角色的访问控制(RBAC)和贝尔拉帕杜拉模型(BLP)的结合为科技项目管理提供了一种全新的思路和解决方案。
一、RBAC 与 BLP 模型概述RBAC 模型是一种通过定义角色,并为角色分配相应权限来实现访问控制的方法。
在这种模型中,用户不是直接被赋予权限,而是通过被分配到特定的角色来获取权限。
这样的设计大大简化了权限管理的复杂性,提高了管理效率。
BLP 模型则是一种用于保护机密性的访问控制模型。
它基于安全级别和访问规则来控制主体对客体的访问,确保信息不会从高安全级别流向低安全级别,从而保证信息的保密性。
二、科技项目管理中的需求与挑战在科技项目管理中,涉及到众多的人员、资源和信息。
不同的人员在项目中扮演着不同的角色,需要访问不同的资源和信息。
同时,由于科技项目往往涉及到机密技术和敏感信息,如何保证这些信息的安全成为了一个重要的挑战。
例如,项目的研发人员需要访问相关的技术资料和实验数据,而项目的管理人员则需要了解项目的进展和预算情况。
此外,在项目合作中,可能会涉及到与外部合作伙伴的信息共享,如何在保证信息安全的前提下实现有效的合作也是一个需要解决的问题。
三、RBACBLP 模型在科技项目管理中的设计为了应对科技项目管理中的需求和挑战,我们可以将 RBAC 和 BLP 模型进行结合,设计出一种适用于科技项目管理的访问控制模型。
首先,根据科技项目的特点和需求,定义不同的角色,如项目经理、研发人员、测试人员、质量管理人员等。
每个角色都有其明确的职责和权限范围。
然后,为每个角色分配相应的安全级别。
例如,项目经理可能具有较高的安全级别,能够访问项目的所有信息;而研发人员则根据其参与的具体项目模块,被分配不同的安全级别,只能访问与其工作相关的部分信息。
RBAC模型的扩展及其应用
1引言分布开放系统的安全是一个重要问题,对此也进行了许多研究,提出了一些重要的安全管理模型,特别是访问安全模型,如早期的MAC和DAC[1],直到最近的RBAC模型[2]。
在RBAC中,操作访问权限被关联到角色,用户通过角色映射成为一定角色的成员,从而间接地获得一定的权力。
角色是RBAC中的一个十分重要的概念,与组织管理的一般认知模型相一致,容易理解和应用。
角色的丰富多样性及角色的层次分类体系为角色的灵活管理提供了有效组织手段。
用户通过角色而间接获得授权,因而提供了访问控制管理的灵活性。
然而角色如何被配置到用户,却是与用户要承担的业务职责、与组织系统的管理政策和管理制度相关联,RBAC模型本身并不能够解决这一问题。
另外RBAC模型研究中,主要关注模型本身的一些元素及其关系特性,而对RBAC模型如何建立这一问题还缺乏比较明晰的研究成果。
对于这后一个问题,一些关于角色工程的研究为此提供了一些基本的成果。
文献[3]从RBAC模型中角色继承可能引起的问题出发,提出了一些角色的分类、聚类等措施,对角色层次体系与组织层次体系的融合或建立映射关系进行了分析。
文献[4]在关于agent的研究中,从目标分解的角度,提出了agent的角色定义框架。
但该框架里的角色定义完全是基于逻辑形式的,与RBAC模型中的操作性角色概念不同。
对于第一个问题,即如何把RBAC模型直接与组织的业务过程模型融合,从而建立安全可信的组织协同业务管理模型的研究尚未见报道。
本文从RBAC模型出发,通过义务的方式来描述角色之间的业务协同,从而扩展RBAC模型为RBAO(RoleBasedAccessandObligation)模型。
为促进角色的义务履行,进一步引入奖罚机制,为开放式组织业务系统的可信履行提供更好的保障。
另外,对如何分析建立RBAO模型的方法也进行了初步的探讨,并以具体实例来说明其应用。
本文其余内容组织如下:在第2章,对RBAC模型及其基本要素进行概述;第3章讨论RBAC模型的扩充模型RBAO;第4章介绍RBAO模型分析与建立的基本方法步骤;第5章以一个具体的实例来阐述基于RBAO模型的应用开发方法;最后是结束语。
针对基于多父角色RBAC模型的研究与应用
2008年9月September 2008—183—计 算 机 工 程Computer Engineering 第34 第17期Vol 卷.34 No.17 ·安全技术·文章编号:1000—3428(2008)17—0183—03文献标识码:A中图分类号:TP309针对基于多父角色RBAC 模型的研究与应用史永昌,鲁书喜(平顶山学院计算机科学与技术学院,平顶山 467000)摘 要:针对基于角色的访问控制(RBAC)模型中由于继承关系产生的子角色不能拥有私有权限问题进行了研究。
当前的解决方案在表示同一机构或相同业务性质的角色共有特定权限方面存在不足,也不能满足多父角色权限继承的要求。
对RBAC 模型进行了扩展,给出一种基于域和域权限的解决方案,并结合实际项目具体分析系统实现权限管理的方法,提出多父角色权限继承的算法,解决了多父角色权限继承问题,在系统的安全管理中实现了基于角色和域的访问控制。
关键词:RBAC 模型;角色;权限;访问控制;域Research and Application on Multi Father Role Based RBAC ModelSHI Yong-chang, LU Shu-xi(Institute of Computer Science and Technology, Pingdingshan University, Pingdingshan 467000)【Abstract 】A problem that child role cannot obtain private permissions because of inherited relation in the Role-Based Access Control(RBAC)model is researched. The specific permission of the roles in same department or similar business, is not discussed in the past solutions, and the permission cannot be inherited by multi father role. Thus a new solution with domain and domain’s permission is presented. The method of permission management is analyzed, an algorithm to inherit permissions from one child for multi father roles is provided, and the question of inheritance is solved. The access control theory based on role and domain in the application system is realized. 【Key words 】Role-Based Access Control(RBAC) model; role; permission; access control; domain访问控制是安全技术的重要部分,而基于角色的访问控制(Role-Based Access Control, RBAC)作为目前主流的访问控制模型,成为研究的热点。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于组织结构的RBAC 扩展模型及应用
摘要:针对传统的基于角色的访问控制模型所存在的问题,提出了一种基于组织结构的rbac扩展模型,该模型引入组织结构和用户组,有效地解决了目前rbac权限管理存在的问题,满足大型企业对权限管理的精细化管理要求。
关键词:基于角色的访问控制;组织结构;访问控制模型;角色;用户组
中图分类号:tp311 文献标识码:a 文章编号:1009-3044(2013)03-0497-03
在信息系统安全机制中,主流的访问控制策略有自主访问控制dac、强制访问控制mac和基于角色的访问控制rbac。
目前,基于rbac的访问控制策略一直是信息系统安全机制的研究热点[1],也得到了很好的应用[2-3]。
rbac将用户与角色联系起来,简化了权限管理。
中国石油兰州石化公司是中国西部重要的炼化生产基地,近年来,兰州石化信息化建设和应用取得了良好的成效,随着企业规模的日益扩大和信息化建设水平的提高,信息系统和用户数量不断增长,对信息安全管理提出了新的挑战,现有的系统访问控制策略在部分功能上并不能完全满足公司对于信息安全的精细化管理要求。
传统的nist标准rbac模型由4个部件模型组成,其核心对象模型设计由用户、角色等构成,但在大型企业应用中存在角色授权复杂、授权工作量大等问题。
国内外学者对此都有相关的研究。
本文
提出一种基于组织结构的rbac扩展模型,并介绍该模型在兰州石化公司信息系统中的应用情况。
1 相关研究
1.1 pmi角色模型
华中科技大学的徐兰芳研究了用权限管理基础设施pmi的角色模型实现基于角色的访问控制的相关问题,提出了一种改进pmi角色模型[4]。
pmi角色模型实质上仍然是基于rbac的思想,与传统的rbac模型相比,简化了对用户的管理,用xml文件表达策略,能够解决rbac中的约束问题,通过远程和本地证书库,提高了健壮性和证书查询效率。
1.2 基于角色和用户组的扩展访问控制模型
中南大学邢汉发等人针对传统的rbac所存在的问题[5],提出了基于角色和用户组的扩展访问控制模型,改进后的扩展模型e-rbac 应用在某信息管理系统中的访问控制模块,并使用模拟数据进行了验证。
该模型在一定程度上解决了因用户岗位变动而引起的权限变更,增强了对权限管理的灵活性。
1.3 基于组织结构模型
张瑞卿等人针对传统rbac模型存在的问题,提出了一种改进的基于组织结构的io-rbac模型[6]。
在该模型中,角色必须结合特定的组织机构才能进行授权,其权限则划分为公共权限和私有权限两部分,公共权限可以被继承,而私有权限不能被继承;同时组织结构上下级之间存在权限继承关系,即上级具有继承下级的权限。
同时还可以根据需要对特殊用户进行直接临时授权,大大降低了角色数量和维护工作量。
2 os-erbac模型
2.1 基本思路
1)用户与组织机构结合
大型企业通常存在大量的同构部门,传统的方法将权限定义为对客体集合进行特定操作集合的权力,需要的角色管理工作量非常庞大。
为了减少角色维护工作量,实现权限分配粒度精细化,可以将用户与部门层级联系起来,角色控制信息资源与功能操作的可访问性,而用户控制部门层级数据的可访问性,角色和用户分别独立设计,从而可以更好地支持责任分离原则。
2)角色和用户组混合授权
为了使系统适合于分散式权限管理,可以加入用户组这一概念。
如果用户属于同一个组织机构或者岗位对系统的权限要求相同/相似,则可以创建一个用户组进行统一管理,将这些用户添加到用户组中,再对用户组进行角色授权,使用户组中所有用户获得权限。
当需要改变权限时,只需要修改用户组所属角色即可。
2.2 os-erbac模型描述
在os-erbac模型中,访问控制授权方式仍然符合标准rbac的模型,先按照要求创建所需角色,并对角色进行授权,然后根据需要将不同用户分配到不同的角色中去,使用户获得相应权限。
os-erbac模型中用户对数据资源对象的个性化访问权限是通过
用户所在的部门层级来管理的,部门层级按照组织机构定义为树形结果,当用户访问数据时,系统将根据用户部门层级自动过滤数据,从而实现用户对数据资源的个性化访问。
图1 是os-erbac权限控制模型示意图。
os-erbac权限控制模型的授权方式如下:用户u对对象o具有的访问权限记为p(u,o),则用户u所具有的权限可以表示为如下关系:
其中,其中,of表示功能对象,or表示资源对象;[pr(r(u),of)]表示角色r对of的访问权限,角色r中包含用户u;[pg(g (u),of)]表示用户组g对of的访问权限,用户组g中包含用户u;[ps(s(u),or)]表示组织机构s对or的访问权限,用户u
属于组织机构s;p(u,o)表示用户u的最终权限,最终体现为角色权限、用户组权限以及组织机构权限之和。
从权限控制模型的描述中可以发现,权限管理是按照用户组织机构或者用户岗位职责进行管理的。
在本模型中,组织机构可以看做是一个单独的层级管理节点集合,每个层级对应着一个组织机构,节点层级存在上下级关系,对应着组织机构的上下级关系;上层节点自动继承下层节点对组织机构的访问权限,但不一定继承对访问对象和功能的权限,从而使得本模型的控制粒度更加精细,授权方式更加简单灵活。
3 os-erbac实现和应用
根据os-erbac模型的描述和授权的流程,将所用的信息存于关
系数据库中,其概念数据模型如图2所示。
笔者以microsoft visual studio 2010为开发工具,数据库为oracle 9i,设计实现了兰州石化某大型信息管理系统中的权限管理功能,目前该系统已经在稳定运行。
该系统的用户涉及公司各主要处室、各主要分厂和所有车间,用户数量大,涉及的组织机构复杂,同时部分岗位变动频繁,部分人员承担的临时工作较多。
本文根据工作中实际需求,设计了os-erbac模型,该模型继承了标准rbac的特点,并实现了按照用户与组织机构结合、角色和用户组混合授权的思路;同时在实际的信息系统中得到了应用。
该模型符合大型信息管理系统中的权限管理功能的特点,有效解决了权限管理复杂、工作量大等问题,增加了系统功能变化的灵活性。
该权限管理模块作为独立子系统,具有很好的可重用性,可以方便地应用于其它信息系统。
4 结论
os-erbac在兰州石化某大型信息系统中应用,经测试和使用实践,该模型实现的权限管理模块较好地实现了授权功能,通过对用户、用户组、角色的混合授权,以及对组织机构层级节点的授权,有效地解决了目前rbac权限管理存在的问题,满足大型企业对权限管理的精细化要求,在实际应用系统中取得了良好的效果。
参考文献:
[1] 丁胜,陈建勋.基于rbac模型的安全访问机制建模研究[j].计算机应用与软件.2005,22,115-117.
[2] 廖尔崇,徐晓飞,刘旭东,等.扩展的角色访问控制模型及其应用[j].计算机工程与设计,2008,29(7):1608-1611. [3] 李帆,郑纬民.基于角色与组织的访问控制模型[j].计算机工程与设计,2005,26(8):2136-2140.
[4] 龙勤,刘鹏,潘爱民.基于角色的扩展可管理访问控制模型研究与实现[j].计算机研究与发展,2005,42(5):868-876. [5] 邢汉发,许礼林,雷莹.基于角色和用户组的扩展访问控制模型[j],计算机应用研究,2009,26(3):1098-1010.
[6] 张瑞卿,舒坚,蔡柯,刘琳岚.改进的基于组织结构的rbac 模型[j],计算机工程与设计,2009,30(23):5340-5343.。