基于角色与权限继承的访问控制模型解决方案.doc

基于角色与权限继承的访问控制模型解决方案 导读：龙源期刊网 基于角色与权限继承的访问控制模型解决方 案作者：陈麒 来源：电脑知识与技术2011 年第 04 期摘要：基于对 RBAC 模型及相关模型中角色继承规则，引入权基于角色的访问控制龙源期刊网 基于角色与权限继承的访问控制模型解决方 案作者：陈麒 来源：电脑知识与技术2011 年第 04 期摘要：基于对 RBAC 模型及相关模型中角色继承规则，引入权限组等概念，提出了一个 改进的角色与权限层次关系模型。在此模型上进行访问控制应用的设计，集成活动目录技术作 为统一的人员库，形成了一个较为完善的访问控制解决方案，使基于角色的访问控制更为灵活 与利于理解。关键词：访问控制；基于角色的访问控制；角色继承；权限继承；活动目录中图分类号：TP311 文献标识码：A 文章编号：1009-3044(2011)04-0838-04Access Control Solution with Inheritable Role and Permission ModelCHEN Qi(Department of Computer Science and Technology, Tongji University, Shanghai 201804, China)Abstract: Based on the RBAC model and related role inheritance rules, concepts such as permission group and an improved role hierarchy and permission hierarchy model are introduced. Based on this model and integration with Active Directory as a unified user database, a more comprehensive access control solution is formed. It enables role-based access control more flexible and conducive to understanding.Key words: access control; RBAC; role inheritance; permission inheritance; active directory1 概述企业中越来越多的业务需要各种软件的支撑。随着软件使用的不断增长，对如何有效、安 全地对用户权限进行管理是发展中需要解决的一个问题。与此同时，在不同的软件中使用不同 的用户登录方式等，将带来繁琐与冗余问题的产生，降低管理效率。访问控制作为计算机网络 信息安全管理的主要策略，通过某种途径显式地允许或限制用户、组或角色对信息资源的访问 能力及范围。常用的自主访问控制(DAC)和强制访问控制(MAC)方法由主体与访问权限直接发生关系， 根据主客体的所属关系或主客体的安全级来决定主体是否具有对客体的访问权。当访问用户的 种类繁多、数量巨大并动态变化时，使用传统的访问控制方法变得非常困难1。基于角色访龙源期刊网 问控制 RBAC(Role Based Access Control) 是一种已经被广泛应用于大型企业的计算机网络中实 施访问控制的访问控制技术，Sandhu 等提出的 RBAC96 模型得到了学术界的广泛认可2。RBAC96 模型包括了 RBAC0、RBAC1、RBAC2、RBAC3 四个模型。RBAC0 包含四个基本要素：用户、角色、会话和访问权限。用户在一次会话中激活所属 角色的一个子集，获得一组访问权限，即可对相关客体执行规定的操作，任何非显式授予的权 限都是被禁止的。RBAC1 是对 RBAC0 的扩充，在 RBAC0 的基础上加入了角色层次关系，根据组织内部权 力和责任的结构来构造角色与角色之间的层次关系。RBAC2 也是 RBAC0 的补充，但与 RBAC1 不同的是 RBAC2 加进了约束的概念。RBAC2 中的约束规则主要有：最小权限、互斥角色、基数约束与角色容量、先决条件、等级间的互斥 角色等。而 RBAC3 模型是对 RBAC1 和 RBAC2 的集成，包括角色的层次关系与约束关系。基于角色访问控制方法引入角色的概念作为中介，管理员根据需要定义各种角色, 并设置 合适的访问权限, 而用户根据其责任再被指派为不同的角色。这样, 整个访问控制过程就分成了 两部分, 即访问权限与角色相关联, 角色再与用户相关联, 从而实现了用户与访问权限的逻辑分 离。基于该关系模型，将职责分离原则用于了系统权限管理中，通过利用角色与权限之间较为 稳定的变化来简化权限管理，提高了权限管理的效率。在该关系模型中，能够通过角色的继承关系进行子角色权限与父角色权限的继承，并通过 引入私有角色这一定义来限制权限的继承。如果通过增加新的私有角色来保留所需要的权限不 被继承，那么将会增加角色的数量，且角色关系的继承与实际管理中的角色继承之间的对应关 系也将变得更为复杂，使得原先引入角色以期简化权限管理的效果降低。角色继承机制与具体 权限分配方法的完善，是该模型的仍需要进行进一步研究的区域。通过对 RBAC 相关的研究与企业实际业务需求的研究，现提出了一个基于 RBAC 模型的 角色继承与权限继承模型。主要特点是增加了权限的许可类型，归纳了角色继承中的权限有效 值计算，以及对权限进行分组，引入权限组及其继承的相关概念，以满足实际系统应用中的现 实权限管理需求，增加角色与权限关系的灵活性。特别地对于快速