基于 RBAC 的中粒度访问控制模型及应用.pdfVIP

电子发烧友 电子技术论坛 基于 RBAC 的中粒度访问控制模型及应用 张 苏 ，张晓艳 （苏州市职业大学计算机工程系，苏州 215104 ） 摘要：通过分析分布式 Web 应用系统的特点，研究了 NIST RBAC 模型客体、操作、权限组 件的实现，对该模型进行了扩展，提出了基于功能项和功能节点的中粒度访问控制模型，给 出了扩展模型的定义并介绍了其具体应用。 关键词：中粒度；访问控制；分布式 Web 应用系统 中图法分类号：TP309 文献标识码：A Moderate Access Control Model based on RBAC and Its Application ZHANG Su , ZHANG Xiao-yan (Computer Engineering Dept, Suzhou Vocation University, Suzhou 215104) Abstract: By analyzing the characteristic of distributed web applications and studying the implement of the object, operation and permission of the NIST RBAC model, this paper proposed an extended moderate access control model which bases on functional items and functional nodes, defines the extended model and describes its implemental instance. Key words: Moderate grain ；Access control ；Distributed web applications 1 引 言 随着网络技术的飞速发展，企业内部网的业务处理模式已经向基于全球互联网的分布 式业务处理模式发展。要在互联网环境中提供一套高效、安全的信息处理系统，必须建立一 套高效的访问控制机制。基于角色的访问控制模型 RBAC （role-based access control ）是近年 来访问控制研究的热点。根据 NIST RBAC 建议标准[1]，用户通过被授予的角色获得相应的 权限，角色和权限之间是相对稳定的映射关系，不同时期用户根据实际情况被授予不同的角 色，进而获得不同的权限范围。通过对于最小特权原理和职责分离原理的支持，RBAC 机制 不仅大大简化了权限管理的复杂程度，而且提供了较为完善的安全性支持。 RBAC 在访问控制方面的作用已经得到了广泛的认同，但是在实际系统的开发中， RBAC 的应用方法仍然有很大的不确定性，其中原因之一是权限的定义非常宽泛，由此带来 了访问控制的层次问题，即访问控制需要控制到哪一个层面，如何来界定访问控制的范围。 本文在 NIST RBAC 模型的基础上，提出一个基于功能项的中粒度访问控制方法，同时 基于分布式 Web 应用系统的应用特点，提出基于功能项的节点层次管理机制，文中给出了 该方法的应用实例。该方法主要是对原模型客体、操作和权限部分做了进一步的扩展。 2 NIST RBAC 模型概述 [2] 1996 年 Sandhu 发布了包括四个概念模型的 RBAC 家族模型，称之为 RBAC96 模型 。 2001 年 8 月NIST 发表了 RBAC 建议标准，该标准包含了 RBAC 参考模型和功能规范２部 分[3]，其中参考模型定义了 RBAC 的通用术语和模型基本结构组成，分为４个组件：核心 RBAC 、层次RBAC 、静态职责分离和动态职责分离。 核心 RBAC 的基本思想是通过角色和会话建立用户和权限的多对多关系，用户根据当 电子发烧友 电子技术论坛 前会话所包含的角色获得相应权限。权限指主体在客体上执行某一操作的许可。层次 RBAC ， 是在核心 RBAC 的基础上增加角色间的继承关系，角色层次是一个严格意义上的