基于RBAC模型的細粒度權限訪問控制研究

摘 要：隨著企業(yè)組織規(guī)模的不斷擴大，信息化程度的不斷提高，訪問控制模塊就成了企業(yè)信息系統(tǒng)的一個重要組成部分。本文通過對訪問控制理論的研究針對其不足并結合現(xiàn)代企業(yè)信息管理系統(tǒng)的特點，提出了一種基于自治域的RBAC訪問控制模型AD_RBAC，在此基礎上設計開發(fā)了一個通用的細粒度訪問控制框架FGACF，對FGACF框架設想實現(xiàn)的訪問控制粒度進行了定義；充分利用自定義標簽技術和AOP技術的優(yōu)點，加速系統(tǒng)的實現(xiàn)、測試、維護和升級。

關鍵詞：RBAC；訪問控制；自治域；組

中圖分類號：TP311.52

1 研究背景

企業(yè)信息化的發(fā)展需要盡可能的共享資源，這就不可避免的會出現(xiàn)關鍵數(shù)據(jù)被非法破壞和竊取的情況。RBAC訪問控制技術比較靈活同時易于擴展，有效的克服了傳統(tǒng)訪問控制技術存在的問題。如能進一步改善現(xiàn)有的角色訪問控制模型，提出一種細粒度的訪問控制框架，對企業(yè)信息資源進行分散管理，減輕系統(tǒng)管理人員的工作負擔，提高企業(yè)信息資源的安全性具有重要的研究價值。

2 基于RBAC模型的自治域訪問控制模型

在基于角色權限控制系統(tǒng)里邊，將擁有自主權限分配的組織單元作為一個自治域，該自治域的單元擁有對用戶的添加、用戶的角色的分配、用戶權限的分配、用戶權限的撤銷、角色的刪除等。在企業(yè)信息內(nèi)部，另外一部分的單元內(nèi)部，他們沒有權限和角色的分配及撤銷的權力，在基于角色的權限控制系統(tǒng)里邊，稱之為普通域。

基于自治域的角色訪問控制模型（Autonomy Domain-based RBAC，AD_RBAC）的授權機制在兩個層次為用戶授權，第一個是在企業(yè)信息系統(tǒng)的系統(tǒng)級對用戶分配角色或者權限，第二個是在企業(yè)信息系統(tǒng)的自治組或者普通組的級別上為用戶分配角色或者權限。在組級授權管理模塊中，只有自治組具有管理本組及其所包含的組的能力。

AD_RBAC模型利用上層控制下層的管理機制將職責進行了有效分離。與傳統(tǒng)的RBAC管理模型相對比，AD_RBAC模型存在的優(yōu)勢：擴展了組（Group）的概念—管理組和普通組的劃分，使組的表達能力得到了增強，前者有權分配和撤銷用戶角色/權限，后者則無此權限；最大程度簡化了系統(tǒng)管理員的用戶授權管理工作—在AD_RBAC模型中，系統(tǒng)管理員放權給組管理員，由組管理員負責組內(nèi)用戶的授權，同時指定下層組的權限，極大的減輕了系統(tǒng)管理員的負擔；能準確反映企業(yè)的組織結構和人事管理模式，并直觀模擬企業(yè)權限層層下放的授權管理模式；用戶授權更靈活更可控—AD_RBAC模型首先通過組的形式輕松授權用戶，其次是使高層組擁有更加靈活的授權能力，可以對底層組的權限范圍進行調(diào)節(jié)以控制底層組管理員的授權能力，另外組管理員通過對用戶活動和信息的清晰把握使得其授權更加準確。

3 基于RBAC模型的細粒度訪問控制框架設計及實現(xiàn)

基于自治域的角色權限管理模型采用一種新的分組的策略。在基于自治域的角色權限管理模型中，采用在系統(tǒng)管理員級和自治組一級為用戶分配角色和權限，是一種樹形的多級用戶授權策略。

基于RBAC模型的細粒度訪問控制框架（FGACF）依據(jù)不同的受訪問的客體資源的特點，采用與每一類訪問客體資源相匹配的訪問控制方法，實現(xiàn)一種所見即所得的配置組件。細粒度訪問控制框架模型以角色訪問控制模型為基礎，在該模型里邊，包含了權限的設置、角色的設計、資源管理及分配、用戶組的管理、用戶角色授權的管理以及資源的訪問控制實現(xiàn)

訪問控制模型是細粒度訪問控制模型的核心功能模塊。它提供了可被客戶程序調(diào)用的各類接口和資源類型，保證實現(xiàn)了統(tǒng)一資源定位符、標簽元素、給類普通方法和靜態(tài)方法、業(yè)務數(shù)據(jù)、文件等各類資源的使用安全，使得用戶能夠安全的使用客體資源。下面我們將闡述和展示各種資源的訪問控制的具體實現(xiàn)：（1）URL資源的訪問控制實現(xiàn)。細粒度訪問控制框架模型采取了過濾器技術來實現(xiàn)URL；（2）標簽元素的訪問控制。粒度訪問控制模型采用定制自定義標簽來實現(xiàn)Java Web信息系統(tǒng)中頁面內(nèi)子元素的訪問控制；（3）方法資源的訪問控制實現(xiàn)。根據(jù)是否牽涉業(yè)務數(shù)據(jù)資源，方法資源的操作可分兩類：方法中不包含對受保護的業(yè)務數(shù)據(jù)的操作；方法調(diào)用的參數(shù)或返回值是系統(tǒng)中受保護的業(yè)務數(shù)據(jù)資源。

細粒度訪問控制框架采用面向切面編程（AOP）技術實現(xiàn)方法資源的訪問控制，本文采用比較流行的Spring AOP框架。

4 結束語

本文通過對訪問控制理論的研究，分析了傳統(tǒng)RBAC模型的結構，針對其不足并結合現(xiàn)代企業(yè)信息系統(tǒng)的特點提出了一個基于自制域的RBAC訪問控制模型（AD_RBAC），在改進后的AD_RBAC模型基礎上，設計開發(fā)了一個通用的細粒度訪問控制框架，在設計和實現(xiàn)過程中充分利用了自定義標簽技術和AOP技術的優(yōu)點，使得系統(tǒng)的實現(xiàn)、測試、維護和升級更加方便，并且能夠快速移植到其它系統(tǒng)中。

參考文獻：

[1]鄒林.基于RBAC的網(wǎng)絡訪問控制系統(tǒng)建模與實現(xiàn)[D].上海交通大學，2009.

[2]孔浩，全曉松，顧慶傳.基于Java EE的權限控制模型的分析和設計[J].昭通師范高等?？茖W校學報，2011（05）.

[3]宋曉麗.基于B/S模式的現(xiàn)代學院OA辦公系統(tǒng)的設計與實現(xiàn)[D].南昌大學，2010.

[4]劉文蕊.基于B/S的自學考試考籍系統(tǒng)的設計與實現(xiàn)[D].電子科技大學，2010.

作者簡介：趙曉宇（1982-），女，河南洛陽人，講師，碩士，主要從事計算機軟件方向的教學與研究；孫育（1982-），男，河南南陽人，講師，主要從事教務管理和計算機應用技術的教學與研究。

作者單位：鄭州財經(jīng)學院管理系，鄭州 450044；鄭州財經(jīng)學院教務處，鄭州 450044