工礦企業(yè)信息系統(tǒng)訪問控制方法的研究及應(yīng)用.pdf

1、隨著網(wǎng)絡(luò)和信息技術(shù)的飛速發(fā)展，信息系統(tǒng)在工礦企業(yè)中的應(yīng)用越來越廣泛，系統(tǒng)所具有的開放性和資源的共享性，極大的方便了使用者，大大提高了工礦企業(yè)的工作效率和工作質(zhì)量，但是如何保證對系統(tǒng)資源的合理使用并防止非法用戶的使用及破壞，是企業(yè)越來越關(guān)注的重要問題，訪問控制技術(shù)就是解決這個問題的有效方法。
　　本文對自主訪問控制(DAC)、強制訪問控制(MAC)和基于角色的訪問控制(RBAC)方法進(jìn)行了分析和比較，重點對基于角色的訪問控制方法及應(yīng)

2、用進(jìn)行了詳細(xì)的研究。
　　本文針對工礦企業(yè)信息系統(tǒng)的特點和傳統(tǒng)RBAC在當(dāng)前工礦企業(yè)信息系統(tǒng)應(yīng)用中的不足，對傳統(tǒng)RBAC模型進(jìn)行了改進(jìn)和擴(kuò)展，給出了一個適合工礦企業(yè)信息系統(tǒng)的訪問控制基本模型。該模型與傳統(tǒng)RBAC模型相比主要進(jìn)行了以下的改進(jìn)：
　?。?）加入了部門實體，可以按部門進(jìn)行分級授權(quán)，避免了傳統(tǒng)模型中由一個系統(tǒng)管理員進(jìn)行集中授權(quán)的不足；
　?。?）在角色-權(quán)限授權(quán)的基礎(chǔ)上引入了用戶-權(quán)限授權(quán)方式，可以把一些特殊

3、權(quán)限直接指派給用戶或者用戶把自己的權(quán)限臨時指派給其他用戶，增加了權(quán)限分配的靈活性；
　　（3）細(xì)化了權(quán)限配置的粒度。與傳統(tǒng)粗粒度的權(quán)限劃分不同的是，論文中根據(jù)對象的不同把權(quán)限分成了功能權(quán)限和數(shù)據(jù)權(quán)限，并且把功能權(quán)限按一般工礦企業(yè)信息系統(tǒng)的功能結(jié)構(gòu)進(jìn)一步細(xì)分，對數(shù)據(jù)權(quán)限配置了數(shù)據(jù)訪問控制規(guī)則，可以實現(xiàn)用戶的個性化訪問，而且還把資源的安全級別分成了一般、秘密、機密三個等級，根據(jù)權(quán)限安全級別的不同，給出了不同強度的身份認(rèn)證方法，增強了系

4、統(tǒng)的安全性和權(quán)限控制的靈活性；
　　（4）擴(kuò)展了各種約束，在授權(quán)中加入了時間約束，一定程度上實現(xiàn)了角色和權(quán)限的自動回收。
　　論文還對所給出的工礦企業(yè)信息系統(tǒng)的訪問控制基本模型的具體應(yīng)用問題作了進(jìn)一步的探討，給出了用戶、角色、權(quán)限、授權(quán)和約束的劃分的具體實現(xiàn)方法。提出了可以從對特權(quán)用戶權(quán)限分散化，按功能或數(shù)據(jù)的共享級別劃分角色，對不同安全級別的權(quán)限采用不同的認(rèn)證方式這些方面來從不同角度提高系統(tǒng)訪問控制的安全性和實用性。論文的