工礦企業(yè)信息系統(tǒng)訪問控制方法的研究及應(yīng)用.pdf

1、隨著網(wǎng)絡(luò)和信息技術(shù)的飛速發(fā)展，信息系統(tǒng)在工礦企業(yè)中的應(yīng)用越來越廣泛，系統(tǒng)所具有的開放性和資源的共享性，極大的方便了使用者，大大提高了工礦企業(yè)的工作效率和工作質(zhì)量，但是如何保證對(duì)系統(tǒng)資源的合理使用并防止非法用戶的使用及破壞，是企業(yè)越來越關(guān)注的重要問題，訪問控制技術(shù)就是解決這個(gè)問題的有效方法。
　　本文對(duì)自主訪問控制(DAC)、強(qiáng)制訪問控制(MAC)和基于角色的訪問控制(RBAC)方法進(jìn)行了分析和比較，重點(diǎn)對(duì)基于角色的訪問控制方法及應(yīng)

2、用進(jìn)行了詳細(xì)的研究。
　　本文針對(duì)工礦企業(yè)信息系統(tǒng)的特點(diǎn)和傳統(tǒng)RBAC在當(dāng)前工礦企業(yè)信息系統(tǒng)應(yīng)用中的不足，對(duì)傳統(tǒng)RBAC模型進(jìn)行了改進(jìn)和擴(kuò)展，給出了一個(gè)適合工礦企業(yè)信息系統(tǒng)的訪問控制基本模型。該模型與傳統(tǒng)RBAC模型相比主要進(jìn)行了以下的改進(jìn)：
　　（1）加入了部門實(shí)體，可以按部門進(jìn)行分級(jí)授權(quán)，避免了傳統(tǒng)模型中由一個(gè)系統(tǒng)管理員進(jìn)行集中授權(quán)的不足；
　?。?）在角色-權(quán)限授權(quán)的基礎(chǔ)上引入了用戶-權(quán)限授權(quán)方式，可以把一些特殊

3、權(quán)限直接指派給用戶或者用戶把自己的權(quán)限臨時(shí)指派給其他用戶，增加了權(quán)限分配的靈活性；
　?。?）細(xì)化了權(quán)限配置的粒度。與傳統(tǒng)粗粒度的權(quán)限劃分不同的是，論文中根據(jù)對(duì)象的不同把權(quán)限分成了功能權(quán)限和數(shù)據(jù)權(quán)限，并且把功能權(quán)限按一般工礦企業(yè)信息系統(tǒng)的功能結(jié)構(gòu)進(jìn)一步細(xì)分，對(duì)數(shù)據(jù)權(quán)限配置了數(shù)據(jù)訪問控制規(guī)則，可以實(shí)現(xiàn)用戶的個(gè)性化訪問，而且還把資源的安全級(jí)別分成了一般、秘密、機(jī)密三個(gè)等級(jí)，根據(jù)權(quán)限安全級(jí)別的不同，給出了不同強(qiáng)度的身份認(rèn)證方法，增強(qiáng)了系

4、統(tǒng)的安全性和權(quán)限控制的靈活性；
　?。?）擴(kuò)展了各種約束，在授權(quán)中加入了時(shí)間約束，一定程度上實(shí)現(xiàn)了角色和權(quán)限的自動(dòng)回收。
　　論文還對(duì)所給出的工礦企業(yè)信息系統(tǒng)的訪問控制基本模型的具體應(yīng)用問題作了進(jìn)一步的探討，給出了用戶、角色、權(quán)限、授權(quán)和約束的劃分的具體實(shí)現(xiàn)方法。提出了可以從對(duì)特權(quán)用戶權(quán)限分散化，按功能或數(shù)據(jù)的共享級(jí)別劃分角色，對(duì)不同安全級(jí)別的權(quán)限采用不同的認(rèn)證方式這些方面來從不同角度提高系統(tǒng)訪問控制的安全性和實(shí)用性。論文的