扩展用户和角色的 RBAC 模型研究.doc
《扩展用户和角色的 RBAC 模型研究.doc》由会员分享,可在线阅读,更多相关《扩展用户和角色的 RBAC 模型研究.doc(7页珍藏版)》请在三一文库上搜索。
1、精品论文大集合扩展用户和角色的 RBAC 模型研究武 体大连理工大学电信学院,大连 (116023)E-mail:摘要:基于角色访问控制 RBAC 是近年来研究和应用最广泛的访问控制技术,用角色的概念 把用户和权限联系起来,简化了访问控制策略的制定和实施。本文在研究分析 RBAC96 模型的基础上给出了一个扩展的 RBAC 模型,该模型引入用户组、角色组的概念,从用户、角色和权限三个方面对 RBAC 模型进行了扩展。应用 RBAC 扩展模型可以大大提高授权的灵活性、减 少授权工作量。关键词:访问控制;RBAC;用户组;角色组0 引言基于角色的访问控制(RBAC)是目前被广为接受的一种访问控制模
2、型。它引入角色这个中 介,将权限和角色相关联,通过给用户分配适当的角色以授予用户权限,实现了用户和访问权 限的逻辑分离,极大简化了权限管理。RBAC 在许多应用系统中得到广泛应用,然而在这些应用过程中,RBAC 暴露出一些问题, 主要有三方面:(l)当用户量比较大时,RBAC 模型要为每个用户个体分配角色,工作量很大,而且授权 时容易误操作。用户本身具有地域性、工作部门或工作性质归属等社会属性,用户本身还具 有一定的组织特性,在 RBAC 模型中这些属性没有很好地得到利用。(2)当角色数量庞大、角色关系复杂时。RBAC 模型典型的做法是引入角色层次关系,引 入角色层次关系后具体实现是利用私有权
3、限和公有权限,或者利用公有角色和私有角色。但 是角色间层次关系较多时,公有权限、私有权限或公有角色、私有角色划分起来比较复杂, 并且描述和把握这种角色间的关系和定义角色的职能权限也比较复杂,不便于角色的管理。(3) RBAC 中对权限作了简单定义3,对权限的识别和管理没有详细说明。 针对上述问题,在 RBAC96 模型基础上提出了一种扩展的角色访问控制模型。该模型引入用户组、角色组的概念,从用户、角色和权限三个方面对 RBAC 模型进行了扩展。应用 RBAC 扩展模型可以大大提高授权的灵活性、减少授权工作量。1 基于角色访问控制的 RBAC96 模型RBAC96 模型是美国 R. Sandhu
4、 等人于 1996 年提出的一个 RBAC 模型簇,由于全面系统地 描述了 RBAC 多方面、多层次的意义而得到了广泛的认可。RBAC96 模型包括 4 个不同层次,分别为 RBAC0、RBAC1、RBAC2、RBAC31。RBAC0 模型定 义了支持 RBAC 最小需求,如用户、角色、权限、会话等概念;RBAC1 模型在 RBAC0 的基础上 加入了角色继承关系,可以根据组织内部权力和责任的结构来构造角色与角色之间的层次关 系;RBAC2 模型在 RBAC0 的基础上加入用户与角色之间、角色与角色之间、角色与权限之间 的约束关系,如角色互斥、角色最大成员数、前提角色、前提权限等;RBAC3
5、模型是对 RBAC1 和 RBAC2 的集成,它不仅包括角色的层次关系,还包括约束关系2。RBAC 模型如图 1 所示:- 7 -2 扩展RBAC模型图 1RBAC 模型RBAC96 模型为构造其他基于角色的模型提供了基本框架,也为在系统中实现基于角色访问控制提供了准则。但当其应用到大型系统时,总难以很好地反映实际情况,扩展 RBAC 模型正是针对这一现状提出的。扩展 RBAC 模型是在 RBAC 模型的基础上,结合实际应用的要 求而提出的。如果应用领域的用户的数量庞大,随着系统的不断扩展,角色和用户的数目还 会不断增长,如此必然使得“用户角色”授权管理的复杂性和工作量越来越大,进而加大 管理
6、员工作的难度、降低基于角色的访问控制的效率针对上述情况,本文提出一种扩展 RBAC模型如图 2 所示:图 2 扩展 RBAC 模型RBAC 扩展模型是在 RBAC 模型的基础上给出的一种访问控制模型。在该模型中,根据用户被授予的角色集合设置用户组,以减少授权管理员从用户到角色授权分配的次数;根据角 色被授予的公共权限集合设置角色组,以减少授权管理员从角色到访问权限分配的次数:并 且在用户组和权限继承中引入层次的概念,使得用户中用户组与用户组之间具有继承关系, 权限中也具有继承关系。通过扩展,理顺各个实体之间的关系,对各个实体内部进行准确划分和分类,这在一定程度上进一步降低了授权管理的复杂度,减
7、少了授权管理中的失误,便于模拟现实生活中的组织管理结构。利用扩展方式简化授权工作,符合现实中的实际应用。2.1 用户扩展用户是一个访问计算机系统中数据或者用数据表示的其它资源的主体。在一个企业中, 普通员工数量多,且具有许多相同权限,若采用 RBAC 基本模型为每个员工分配角色,工作 量很大,而且授权时容易误操作。为解决这些问题,可以把这些具有相同权限的员工组成一个用户组,然后为用户组分配角色。如图 2.1 所示。图 2.1 用户、用户组、角色关系图用户组是具有某一类共同特征的若干用户组成的集合。用户可以不隶属于任何用户组, 也可以隶属于一个或多个用户组。用户组之间存在相交关系和隶属关系,如果
8、两个用户组中 存在部分相同用户,则称两个用户组具有相交关系;如果一个用户组是另外一个用户组的子 集,则称该用户组隶属于另一个用户组。在授权过程中,主要利用用户组之间的隶属关系。 为某一用户组分配角色,原有用户与角色间的关系保持不变,且该用户组内的所有元素(子 用户组和用户)通过继承得到该用户组拥有的角色。对一个用户授权的时候,该用户既可以 集成所在用户组的角色,同时也可以单独被授予其某些角色。利用用户组,可以获得灵活多 变的权限控制组合;利用用户和用户组的权限继承关系,通过为用户组授权,减少一些公共 权限授予时的工作量。图 2.1 中,用户 1、用户 2 隶属于用户组 1,用户组 1、用户组
9、2 隶属于用户组 O。用户 组 1、用户组 2 都包含用户 2,则二者具有相交关系。如果为用户组 0 分配角色 4,那么用 户组 1、用户组 2、用户 1、用户 2 和用户 3 均具有角色 4。引入用户组前后工作量发生较大 的变化,用户组内用户量越多,减少工作量的优势越明显。如表 2.1 所示用户 X授予 n 个相同角色时的操作次数引入用户组前引入用户组后用户 0、用户 1、用户 2、用户 34nn用户 1、用户 22nn用户 2、用户 32nn用户 0nn用户 1、用户 32n2n表 2.1 引入用户组前后授权次数比较为用户 0、用户 1、用户 2、用户 3 都分配相同的 n 个角色时,引入
10、用户组之前需要 4n次,引入用户组之后只需为用户组 0 分配这 n 个角色一次即可。2.2角色扩展角色是指一个组织或任务中的工作或位置,它代表了一种资格、权利和责任4。所谓的 角色组是根据组织内为完成某类相关任务需要而设置的角色的集合。角色隶属于某一级角色 组,角色组之间具有层次性,角色组可以进行权限设置并把权限以共享的方式传递给下级角 色组和角色。角色组继承是和角色继承是有区别的:角色继承是指角色不仅具有直接为其分配的权 限,还可以继承其他角色的权限。角色继承是上级角色继承下级角色的权限,下级角色权限 向上级角色进行权限集聚(图 2.2)。而角色组继承是下级角色组继承上级角色组的权限,上 级
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 扩展用户和角色的 RBAC 模型研究 扩展 用户 角色 模型 研究
链接地址:https://www.31doc.com/p-3624600.html