Web統(tǒng)一用戶權(quán)限控制模型的研究與設(shè)計.pdf

1、基于角色的訪問控制從上世紀90年代開始出現(xiàn)，其基本思想是:把對資源的訪問權(quán)限分配給角色，根據(jù)用戶的職能和責任把適當?shù)慕巧x予用戶，角色在資源和用戶之間起到橋梁作用。它支持最小特權(quán)、責權(quán)分離和數(shù)據(jù)抽象等安全原則，在大型應(yīng)用系統(tǒng)中應(yīng)用廣泛。在學術(shù)界，基于角色的訪問控制也是一個研究熱點，其中以美國George Macron大學的Sandhu等人提出的基于角色的訪問控制模型(RBAC96、ARBAC97、ARBAC99等)影響較大。 盡

2、管目前已有的基于角色的訪問控制模型可以解決一般的權(quán)限問題，但是也存在一些不完善之處，比較難于在大企業(yè)和組織的管理信息系統(tǒng)中使用：比如很多模型的具體實現(xiàn)只能控制業(yè)務(wù)權(quán)限，對數(shù)據(jù)權(quán)限的控制很弱或者不好控制；權(quán)限控制的粒度太粗，不能做到細粒度、精致的控制；很多權(quán)限系統(tǒng)實現(xiàn)效率太低，每次權(quán)限驗證都需要多次訪問數(shù)據(jù)庫，對系統(tǒng)響應(yīng)時間影響較大；RBAC96模型中角色只能集中式管理，不適應(yīng)大組織和企業(yè)中的非集中式管理和分級授權(quán)要求；以及RBAC系列模

3、型不支持動態(tài)權(quán)限，對工作流中產(chǎn)生的動態(tài)角色無法進行細致的控制權(quán)限等等。 論文借鑒了RBAC96、ARBAC97模型和TBAC模型的核心思想和優(yōu)點，并進行了改進，引入了管理域的思想進行分級授權(quán)，并使用規(guī)則策略實現(xiàn)主體和客體的關(guān)聯(lián)以及對動態(tài)權(quán)限、上下文相關(guān)權(quán)限的支持，提出了基于管理域和規(guī)則策略的角色管理模型，即DR-ARBAC模型，很好的解決了上述問題。 針對Web應(yīng)用中的管理信息系統(tǒng)的特點，結(jié)合實驗室科研項目中國某極地研究

4、所極地科學數(shù)據(jù)庫系統(tǒng)和上海某學院數(shù)字校園項目的具體需求,論文分析并給出了DR-ARBAC模型的具體實現(xiàn)，透明的應(yīng)用于新開發(fā)的系統(tǒng)，實現(xiàn)了權(quán)限的非集中式管理，在不同組織機構(gòu)中保證權(quán)限控制相對統(tǒng)一,同時又不相互影響，對于數(shù)據(jù)權(quán)限、動態(tài)權(quán)限和工作流中的動態(tài)角色也提供了支持；對于模型實現(xiàn)中的效率和靈活性問題，也給出了具體的解決方案。 在擴展性和靈活性方面，DR-ARBAC模型本身也提供模型的擴展點，通過規(guī)則策略中自定義不同的策略，并在上