信息項(xiàng)目監(jiān)理系統(tǒng)中訪問控制模型的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、“訪問控制”是一種保護(hù)資源免遭未授權(quán)訪問的安全機(jī)制。目前最流行的基于角色的訪問控制模型(RBAC)是繼自主訪問控制(DAC)和強(qiáng)制訪問控制(MAC)之后出現(xiàn)的訪問控制模型。在RBAC中，用戶與權(quán)限的分離極大地簡化了權(quán)限管理，與傳統(tǒng)的訪問控制模型相比，RBAC是一個(gè)策略中性的模型，可通過配置實(shí)現(xiàn)強(qiáng)制訪問和自主訪問控制；同時(shí)，RBAC具有應(yīng)用無關(guān)的良好特性。正是由于RBAC的上述特點(diǎn)，因此在理論和實(shí)踐中受到了越來越多的重視。 盡管R

2、BAC是現(xiàn)在應(yīng)用最為廣泛的訪問控制標(biāo)準(zhǔn)，但是當(dāng)系統(tǒng)變得特別龐大(包含數(shù)以百計(jì)的角色)，尤其是當(dāng)運(yùn)行多個(gè)應(yīng)用系統(tǒng)時(shí)，信息量成倍增加，再加上企業(yè)組織結(jié)構(gòu)、人力資源的頻繁變動，導(dǎo)致權(quán)限管理工作復(fù)雜繁瑣。因此，在保證系統(tǒng)安全的前提下，簡化各個(gè)系統(tǒng)的權(quán)限管理工作，具有重要的現(xiàn)實(shí)意義。 本文針對一個(gè)企業(yè)中多系統(tǒng)訪問控制管理困難問題，借鑒了Composite RBAC模型的思想，提出了一個(gè)擴(kuò)展的RBAC模型-ERBAC(extended ro

3、le based access control)。該模型把應(yīng)用系統(tǒng)分為“組織結(jié)構(gòu)層次”和“系統(tǒng)層次”；與Composite RBAC模型不同的是，本文通過在“組織結(jié)構(gòu)層次”中引入崗位、組織這2個(gè)元素，使“組織結(jié)構(gòu)層次”對現(xiàn)實(shí)組織機(jī)構(gòu)進(jìn)行映射；而“系統(tǒng)層次”只對各個(gè)應(yīng)用子系統(tǒng)的角色和權(quán)限進(jìn)行管理。這樣既降低了開發(fā)的難度和工作量又便于系統(tǒng)的維護(hù)。當(dāng)企業(yè)的組織層次結(jié)構(gòu)發(fā)生變動的時(shí)候，只需要對“組織結(jié)構(gòu)層次”中的元素進(jìn)行相關(guān)調(diào)整即可適應(yīng)變化；當(dāng)