基于角色訪問的控制系統(tǒng)的研究與實(shí)現(xiàn)

劉 偉

南京鐵道職業(yè)技術(shù)學(xué)院，江蘇南京 210015

基于角色訪問的控制系統(tǒng)的研究與實(shí)現(xiàn)

劉 偉

南京鐵道職業(yè)技術(shù)學(xué)院，江蘇南京 210015

隨著計(jì)算機(jī)和互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)安全問題日漸突出，基于角色訪問的控制系統(tǒng)作為一種安全機(jī)制，已經(jīng)得到了普遍的關(guān)注和應(yīng)用。鑒于此，本文簡(jiǎn)要分析了訪問控制技術(shù)，并討論了基于角色訪問的控制系統(tǒng)的研究與實(shí)現(xiàn)=。

角色訪問控制系統(tǒng)；研究；實(shí)現(xiàn)；網(wǎng)絡(luò)安全技術(shù)

如今，互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展已經(jīng)使信息共享得到了實(shí)現(xiàn)，信息共享為我們的工作和生活帶來了諸多便利，但是，與此同時(shí)，隨著網(wǎng)絡(luò)環(huán)境的日益復(fù)雜，網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)不得不解決的問題。鑒于此，基于角色訪問的控制系統(tǒng)應(yīng)運(yùn)而生，成為網(wǎng)絡(luò)安全技術(shù)的又一重要進(jìn)步，因而設(shè)計(jì)一個(gè)科學(xué)的、有效的、靈活的角色訪問控制系統(tǒng)已經(jīng)成為現(xiàn)有大型信息管理系統(tǒng)的當(dāng)務(wù)之急。

1 訪問控制技術(shù)的研究

訪問控制系統(tǒng)的主要職能是限定合法用戶的網(wǎng)絡(luò)行為，它是網(wǎng)絡(luò)安全信息系統(tǒng)的重要組成部分之一。訪問控制技術(shù)功能包含兩個(gè)層面，一個(gè)是限定合法用戶的行為，一個(gè)是系統(tǒng)根據(jù)用戶的行為應(yīng)作出何種反應(yīng)。

訪問控制機(jī)是以特定途徑表現(xiàn)的允許或限制訪問權(quán)限及訪問范圍的一種機(jī)制，訪問控制機(jī)制的技術(shù)關(guān)鍵是身份認(rèn)證，實(shí)質(zhì)是以限定用戶對(duì)特定網(wǎng)絡(luò)資源的訪問來避免非法用戶對(duì)資源的濫用，以此保證資源不被非法使用；根據(jù)功能的不同，訪問控制策略也有所不同，目前常見的訪問控制策略是基于角色的訪問控制、強(qiáng)制訪問控制和自主訪問控制；其中，由于基于角色的訪問控制在政府、金融、軍事等領(lǐng)域體現(xiàn)出了良好的安全性和可靠性，因而得到了廣泛的運(yùn)用，并成為了訪問控制研究領(lǐng)域的熱點(diǎn)課題。

2 基于角色訪問的控制系統(tǒng)的特點(diǎn)分析

首先，為了認(rèn)清基于角色訪問的控制系統(tǒng)的職能和特點(diǎn)，我們需要了解角色的定義，并了解角色的屬性。

角色在網(wǎng)絡(luò)系統(tǒng)中的定義可以歸納為：一個(gè)（或一群）用戶在組織內(nèi)可執(zhí)行的操作的集合。在一個(gè)組織、一個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)往往會(huì)被劃分為不同的區(qū)域，而只有限定了組織中每個(gè)成員或每組成員的角色，才能更有效地限定其訪問區(qū)域。而往往，為了保證組織或企業(yè)中每個(gè)網(wǎng)絡(luò)區(qū)域的安全性，我們通常采用的是最小特權(quán)原則，也就是說，只有該區(qū)域限定的，可以對(duì)其進(jìn)行訪問的角色，才能對(duì)其進(jìn)行訪問，由此可見，現(xiàn)實(shí)生活中的角色和權(quán)限往往是一對(duì)一的關(guān)系。

角色的屬性：1）角色的數(shù)據(jù)處理對(duì)象具有既定的確切的范圍。由于網(wǎng)絡(luò)系統(tǒng)中訪問數(shù)據(jù)要被劃分為不同的區(qū)域，因而要向角色明確指出其數(shù)據(jù)處理對(duì)象的范圍；2）不同角色對(duì)數(shù)據(jù)的處理權(quán)限不同，例如有的角色可以對(duì)數(shù)據(jù)進(jìn)行修改，有的角色可以向信息系統(tǒng)提交數(shù)據(jù)，而有些角色只能查看數(shù)據(jù)等等；3）角色只屬于擁有一定職能的工作人員才可扮演，扮演各種角色的工作人員，只有被授權(quán)使用其角色后才能行使該角色被賦予的權(quán)限；4）某些角色的一部分權(quán)限具有時(shí)效性，為了保證信息系統(tǒng)訪問權(quán)限管理的科學(xué)性和靈活性，當(dāng)不同崗位工作人員的職能發(fā)生變化時(shí)，角色的部分權(quán)限也要發(fā)生變化，以此來確保信息系統(tǒng)的安全。

由于網(wǎng)絡(luò)安全需求，基于角色訪問的控制系統(tǒng)模型在90年代以來得到了廣泛的關(guān)注，和普遍的應(yīng)用?；诮巧L問控制系統(tǒng)模型的使用充分運(yùn)用了角色的概念，以角色代表了用戶的職責(zé)和權(quán)力，代表了用戶執(zhí)行某項(xiàng)任務(wù)的能力，是信息系統(tǒng)對(duì)于資源存儲(chǔ)、取用權(quán)力的詮釋更加生活化。

在實(shí)際生活中，一個(gè)用戶的角色被限定以后往往不會(huì)頻繁地發(fā)生更改，而在網(wǎng)絡(luò)信息系統(tǒng)中部高，由于一個(gè)組織活動(dòng)、功能和組成常常發(fā)生變化，因而組織中的用戶對(duì)信息資源的權(quán)限也時(shí)常發(fā)生變化，如果讓用戶以其本身身份直接訪問網(wǎng)絡(luò)資源，那么關(guān)于訪問權(quán)限維護(hù)的工作量是難以估量的，角色概念的運(yùn)用，使用戶與信息系統(tǒng)的關(guān)系相對(duì)較為穩(wěn)定和持久，也使信息系統(tǒng)訪問權(quán)限維護(hù)工作更加穩(wěn)定和輕松。

3 基于角色訪問的控制系統(tǒng)在網(wǎng)絡(luò)安全中的應(yīng)用

基于角色訪問的控制系統(tǒng)有兩方面作用：1）可以克服傳統(tǒng)的面向部門后權(quán)限控制過粗的問題；2）可以提高單個(gè)用戶與被訪問信息系統(tǒng)直接掛鉤方式的處理效率。用戶與信息系統(tǒng)之間通過“角色”來連接，一個(gè)角色與權(quán)限關(guān)聯(lián)可以看作是該角色擁有的一組權(quán)限的集合，與用戶關(guān)聯(lián)又可以看作是若干具有相同身份的用戶的集合。也就是說一個(gè)固定的用戶可以擁有多種角色，同樣一個(gè)角色也可以被賦予不同的具體用戶。

除此之外，基于角色訪問的控制系統(tǒng)的運(yùn)用，還把權(quán)限管理這一工作變得更加輕松和靈活。例如，當(dāng)增加新用戶時(shí)，可以根據(jù)針對(duì)該用戶的業(yè)務(wù)性質(zhì)賦予其特定的角色，新用戶將以其擁有的角色形式其訪問權(quán)限，這樣一來就不需要對(duì)新增的用戶進(jìn)行逐一的了解和管理；另外，當(dāng)原有用戶的訪問權(quán)限需要發(fā)生更改時(shí)，只需改變用戶的角色，來重新限定其權(quán)限，而不必對(duì)需要改變權(quán)限的用戶進(jìn)行專門的權(quán)限修改；而當(dāng)一個(gè)組織，如一個(gè)企業(yè)的某些崗位業(yè)務(wù)、職責(zé)或者權(quán)利發(fā)生變化時(shí)，只需要修改其相應(yīng)角色的權(quán)限，而不必針對(duì)這一崗位上的每一位員工更改權(quán)限。

總而言之，基于角色訪問的控制系統(tǒng)已經(jīng)成為信息系統(tǒng)安全管理中一個(gè)科學(xué)、可靠、靈活的重要手段，本文在分析了訪問控制技術(shù)研究成果和現(xiàn)狀，以及對(duì)角色的概念和屬性進(jìn)行了分析的基礎(chǔ)上，對(duì)基于角色訪問的控制系統(tǒng)的特點(diǎn)進(jìn)行了分析，并指出了基于角色訪問的控制系統(tǒng)在網(wǎng)絡(luò)安全控制，尤其是在信息系統(tǒng)管理中的實(shí)現(xiàn)與作用。相信在將來，基于角色訪問的控制系統(tǒng)將憑借其良好的安全性、可靠性和合理性得到更為廣泛的應(yīng)用。

[1]胡長城.基于角色的授權(quán)控制模型.www.javafox.org，2003-12-14.

[2]黃文品.一個(gè)基于角色控制的改進(jìn)模型[D].江西師范大學(xué)碩，2003.

[3]戴宗坤，羅萬伯.信息系統(tǒng)安全[M].北京電子工業(yè)出版社，2001.

[4]韓偉力，陳剛，尹建偉，等.權(quán)限約束支持的基于角色的約束的訪問控制模型與實(shí)現(xiàn)[J].計(jì)算機(jī)輔助設(shè)計(jì)與圖形學(xué)學(xué)報(bào)，2002，14(4)：21-26.

[5]高飛，潘雙夏，馮培恩.信息管理系統(tǒng)安全性定義與方案設(shè)計(jì)[J].計(jì)算機(jī)工程與應(yīng)用，2002(3)：131-134.

TP309

A

1674-6708（2011）51-0163-01