Web統(tǒng)一用戶權(quán)限控制模型的研究與設(shè)計(jì).pdf

1、基于角色的訪問(wèn)控制從上世紀(jì)90年代開(kāi)始出現(xiàn)，其基本思想是:把對(duì)資源的訪問(wèn)權(quán)限分配給角色，根據(jù)用戶的職能和責(zé)任把適當(dāng)?shù)慕巧x予用戶，角色在資源和用戶之間起到橋梁作用。它支持最小特權(quán)、責(zé)權(quán)分離和數(shù)據(jù)抽象等安全原則，在大型應(yīng)用系統(tǒng)中應(yīng)用廣泛。在學(xué)術(shù)界，基于角色的訪問(wèn)控制也是一個(gè)研究熱點(diǎn)，其中以美國(guó)George Macron大學(xué)的Sandhu等人提出的基于角色的訪問(wèn)控制模型(RBAC96、ARBAC97、ARBAC99等)影響較大。 盡

2、管目前已有的基于角色的訪問(wèn)控制模型可以解決一般的權(quán)限問(wèn)題，但是也存在一些不完善之處，比較難于在大企業(yè)和組織的管理信息系統(tǒng)中使用：比如很多模型的具體實(shí)現(xiàn)只能控制業(yè)務(wù)權(quán)限，對(duì)數(shù)據(jù)權(quán)限的控制很弱或者不好控制；權(quán)限控制的粒度太粗，不能做到細(xì)粒度、精致的控制；很多權(quán)限系統(tǒng)實(shí)現(xiàn)效率太低，每次權(quán)限驗(yàn)證都需要多次訪問(wèn)數(shù)據(jù)庫(kù)，對(duì)系統(tǒng)響應(yīng)時(shí)間影響較大；RBAC96模型中角色只能集中式管理，不適應(yīng)大組織和企業(yè)中的非集中式管理和分級(jí)授權(quán)要求；以及RBAC系列模

3、型不支持動(dòng)態(tài)權(quán)限，對(duì)工作流中產(chǎn)生的動(dòng)態(tài)角色無(wú)法進(jìn)行細(xì)致的控制權(quán)限等等。 論文借鑒了RBAC96、ARBAC97模型和TBAC模型的核心思想和優(yōu)點(diǎn)，并進(jìn)行了改進(jìn)，引入了管理域的思想進(jìn)行分級(jí)授權(quán)，并使用規(guī)則策略實(shí)現(xiàn)主體和客體的關(guān)聯(lián)以及對(duì)動(dòng)態(tài)權(quán)限、上下文相關(guān)權(quán)限的支持，提出了基于管理域和規(guī)則策略的角色管理模型，即DR-ARBAC模型，很好的解決了上述問(wèn)題。 針對(duì)Web應(yīng)用中的管理信息系統(tǒng)的特點(diǎn)，結(jié)合實(shí)驗(yàn)室科研項(xiàng)目中國(guó)某極地研究

4、所極地科學(xué)數(shù)據(jù)庫(kù)系統(tǒng)和上海某學(xué)院數(shù)字校園項(xiàng)目的具體需求,論文分析并給出了DR-ARBAC模型的具體實(shí)現(xiàn)，透明的應(yīng)用于新開(kāi)發(fā)的系統(tǒng)，實(shí)現(xiàn)了權(quán)限的非集中式管理，在不同組織機(jī)構(gòu)中保證權(quán)限控制相對(duì)統(tǒng)一,同時(shí)又不相互影響，對(duì)于數(shù)據(jù)權(quán)限、動(dòng)態(tài)權(quán)限和工作流中的動(dòng)態(tài)角色也提供了支持；對(duì)于模型實(shí)現(xiàn)中的效率和靈活性問(wèn)題，也給出了具體的解決方案。 在擴(kuò)展性和靈活性方面，DR-ARBAC模型本身也提供模型的擴(kuò)展點(diǎn)，通過(guò)規(guī)則策略中自定義不同的策略，并在上