用戶權(quán)限方案——RBAC模型通用權(quán)限管理系統(tǒng)方案(數(shù)據(jù)模型)擴(kuò)展

1、個人資料整理僅限學(xué)習(xí)使用1RBAC模型訪問控制是針對越權(quán)使用資源的防御措施。基本目標(biāo)是為了限制訪問主體 <用戶、進(jìn)程、服務(wù)等）對訪問客體<文件、系統(tǒng)等）的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么1。企業(yè)環(huán)境中的訪問控制策略一般有三種：自主型訪問控制方法、強(qiáng)制型訪問控制方法和基于角色的訪問控制方法<RBAC ）。其中，自主式太弱，強(qiáng)制式太強(qiáng)，二者工作量大，不便于管理1 ?；诮巧脑L問控制方法是目前公認(rèn)的解決大型企業(yè)的統(tǒng)一資源訪問控制的有效方法。其顯著的兩大特征是： 1. 減小授權(quán)管理的復(fù)雜性，降低管理開銷； 2. 靈活

2、地支持企業(yè)的安全策略，并對企業(yè)的變化有很大的伸縮性。NIST<The National Institute of Standards and Technology，美國國家標(biāo)準(zhǔn)與技術(shù)研究院）標(biāo)準(zhǔn)RBAC 模型由 4 個部件模型組成，這4 個部件模 型 分 別 是 基 本 模 型RBAC0<CoreRBAC ） 、 角 色 分 級 模 型RBAC1<HierarchalRBAC ） 、 角 色 限 制 模 型RBAC2<ConstraintRBAC ）和統(tǒng)一模型RBAC3<CombinesRBAC ）1 。 RBAC0 模型如圖1所示。a. RBAC0定義了能構(gòu)成一

3、個RBAC 控制系統(tǒng)的最小的元素集合。在 RBAC 之中 ,包含用戶 users(USERS> 、角色 roles(ROLES> 、目標(biāo)objects(OBS> 、操作operations(OPS>、許可權(quán)permissions(PRMS>五個基本數(shù)據(jù)元素，權(quán)限被賦予角色,而不是用戶，當(dāng)一個角色被指定給一個用戶時，此用戶就擁有了該角色所包含的權(quán)限。會話sessions是用戶與個人資料整理僅限學(xué)習(xí)使用激活的角色集合之間的映射。RBAC0與傳統(tǒng)訪問控制的差別在于增加一層間接性帶來了靈活性，RBAC1、 RBAC2、 RBAC3都是先后在RBAC0上的擴(kuò)展。b. RBA

4、C1引入角色間的繼承關(guān)系，角色間的繼承關(guān)系可分為一般繼承關(guān)系和受限繼承關(guān)系。一般繼承關(guān)系僅要求角色繼承關(guān)系是一個絕對偏序關(guān)系，允許角色間的多繼承。而受限繼承關(guān)系則進(jìn)一步要求角色繼承關(guān)系是一個樹結(jié)構(gòu)。c. RBAC2模型中添加了責(zé)任分離關(guān)系。RBAC2的約束規(guī)定了權(quán)限被賦予角色時,或角色被賦予用戶時,以及當(dāng)用戶在某一時刻激活一個角色時所應(yīng)遵循的強(qiáng)制性規(guī)則。責(zé)任分離包括靜態(tài)責(zé)任分離和動態(tài)責(zé)任分離。約束與用戶 -角色 -權(quán)限關(guān)系一起決定了RBAC2模型中用戶的訪問許可。d. RBAC3 包含了 RBAC1 和 RBAC2 ，既提供了角色間的繼承關(guān)系，又提供了責(zé)任分離關(guān)系。2 核心對象模型設(shè)計(jì)根據(jù) R

5、BAC 模型的權(quán)限設(shè)計(jì)思想，建立權(quán)限管理系統(tǒng)的核心對象模型.對象模型中包含的基本元素主要有：用戶<Users ）、用戶組 <Group ）、角色 <Role ）、目標(biāo) <Objects ）、訪問模式 <Access Mode ）、操作 <Operator ）。主要的關(guān)系有：分配角色權(quán)限PA<Permission Assignment）、分配用戶角色UA<Users Assignmen描述如下：a . 控制對象：是系統(tǒng)所要保護(hù)的資源<Resource ），可以被訪問的對象。資源的定義需要注意以下兩個問題：個人資料整理僅限學(xué)習(xí)使用1. 資源具有

6、層次關(guān)系和包含關(guān)系。例如，網(wǎng)頁是資源，網(wǎng)頁上的按鈕、文本框等對象也是資源，是網(wǎng)頁節(jié)點(diǎn)的子節(jié)點(diǎn)，如可以訪問按鈕，則必須能夠訪問頁面。2. 這里提及的資源概念是指資源的類別<Resource Class），不是某個特定資源的實(shí)例<Resource Instance）。資源的類別和資源的實(shí)例的區(qū)分，以及資源的粒度的細(xì)分，有利于確定權(quán)限管理系統(tǒng)和應(yīng)用系統(tǒng)之間的管理邊界，權(quán)限管理系統(tǒng)需要對于資源的類別進(jìn)行權(quán)限管理，而應(yīng)用系統(tǒng)需要對特定資源的實(shí)例進(jìn)行權(quán)限管理。兩者的區(qū)分主要是基于以下兩點(diǎn)考慮：一方面，資源實(shí)例的權(quán)限常具有資源的相關(guān)性。即根據(jù)資源實(shí)例和訪問資源的主體之間的關(guān)聯(lián)關(guān)系，才可能進(jìn)行資源

7、的實(shí)例權(quán)限判斷。例如，在管理信息系統(tǒng)中，需要按照營業(yè)區(qū)域劃分不同部門的客戶，A區(qū)和 B區(qū)都具有修改客戶資料這一受控的資源，這里“客戶檔案資料 ”是屬于資源的類別的范疇。如果規(guī)定A 區(qū)只能修改 A 區(qū)管理的客戶資料，就必須要區(qū)分出資料的歸屬，這里的資源是屬于資源實(shí)例的范疇?？蛻魴n案<資源）本身應(yīng)該有其使用者的信息<客戶資料可能就含有營業(yè)區(qū)域這一屬性），才能區(qū)分特定資源的實(shí)例操作，可以修改屬于自己管轄的信息內(nèi)容。另一方面，資源的實(shí)例權(quán)限常具有相當(dāng)大的業(yè)務(wù)邏輯相關(guān)性。對不同的業(yè)務(wù)邏輯，常常意味著完全不同的權(quán)限判定原則和策略。b. 權(quán)限：對受保護(hù)的資源操作的訪問許可(Access Perm

8、ission>，是綁定在特定的資源實(shí)例上的。對應(yīng)地，訪問策略<Access Strategy）和資源類別相關(guān)，不同的資源類別可能采用不同的訪問模式<Access Mod個人資料整理僅限學(xué)習(xí)使用e）。例如，頁面具有能打開、不能打開的訪問模式，按鈕具有可用、不可用的訪問模式，文本編輯框具有可編輯、不可編輯的訪問模式。同一資源的訪問策略可能存在排斥和包含關(guān)系。例如，某個數(shù)據(jù)集的可修改訪問模式就包含了可查詢訪問模式。c. 用戶：是權(quán)限的擁有者或主體。用戶和權(quán)限實(shí)現(xiàn)分離，通過授權(quán)管理進(jìn)行綁定。d. 用戶組：一組用戶的集合。在業(yè)務(wù)邏輯的判斷中，可以實(shí)現(xiàn)基于個人身份或組的身份進(jìn)行判斷。系統(tǒng)弱化了用戶組的概念，主要實(shí)現(xiàn)用戶<個人的身份）的方式。e. 角色：權(quán)限分配的單位與載體。角色通過繼承關(guān)系支持分級的權(quán)限實(shí)現(xiàn)。例如，科長角色同時具有科長角色、科內(nèi)不同業(yè)務(wù)人員角色。f. 操作：完成資源的類別和訪問策略之間的綁定。g. 分配角色權(quán)限 PA ：實(shí)現(xiàn)操作和角色之間的關(guān)聯(lián)關(guān)系映射。h. 分配用戶角色 UA ：實(shí)現(xiàn)用戶和角色之間的關(guān)聯(lián)關(guān)系映射。該對象模型最終將訪問控制模型轉(zhuǎn)化為訪問矩陣形式。訪問矩陣中的行對應(yīng)于用戶，列對應(yīng)于操作，每個矩陣元素規(guī)定了相應(yīng)的角色，對應(yīng)于相應(yīng)的目標(biāo)被準(zhǔn)予的訪問許可、實(shí)施行為。按