信息系统权限管理新方法及实现.pdf

2003 年ll 月 重 庆 大 学 学报 NOV. 2003 第26 卷第ll 期 JOurnaI Of ChOngging UniVersity VOI. 26 NO. ll 文章编号：l000 - 582X（2003 ）ll - 009l - 04 信息系统权限管理新方法及实现＊ 祖 峰，熊 忠 阳，冯 永 （重庆大学 计算机科学与技术学院，重庆 400044 ） 摘 要：提出了一种新的以基于角色的权限管理方法为主的信息系统权限管理方法（DERBAC ），解 决了现有权限管理方法存在适用情况限制的问题，使之比基于角色管理的模型具有更高的灵活性，弥补 了基于角色管理的模型在系统规模较小时显得比较繁琐的不足，也克服了自主访问控制方法给系统规 模扩大造成的不便。当信息系统规模发生变化时，能很好地提供有效的应用级权限管理。同时，还详细 讨论了如何利用关系数据库来实现的方法。 关键词：信息系统；基于角色访问控制；自主访问控制；权限管理 TP309 . 2 文献标识码：A 中图分类号： 随着计算机的普及和信息浪潮的冲击，将计算机 统的扩大，它的规模成几何级数增长，使系统变得异常 引入到相关领域来提高效率已成为很多有识之士的共 复杂。当系统复杂时，对用户权限的修改变得复杂。 识。于是，很多信息系统被开发出来用于处理机关、学 这样维护系统将耗费大量的人力，而且正确性难于得 ［l］ 校、工厂每天都有的、越来越复杂的信息。但是，一个 到保证 。 信息系统仅仅能处理这些信息是远远不够的，它还必 3 ）基于角色的访问控制（ROIe - Based Access COn- 须有可靠的控制管理机制，也就是通过对用户的权限 trOI ）。它主要由3 个实体构成：用户、角色和权限。角 进行管理，来防止信息的外泄和被破坏，使信息系统信 色跟用户之间是一个多对多的关系，权限跟角色之间也 息更安全。一个信息系统的用户权限管理有两个层 是一个多对多的关系。用户跟权限之间没有直接的关 次：一个是系统级，是由系统软件进行保障；另一个是 系。角色是根据一个组织内工作性质的不同来设定的， 应用级，就是开发信息系统时应该考虑解决的。 用户根据所负的责任被赋予某种角色，因而也就拥有了 相应的权限，用户可以通过被赋予不同的角色，而拥有 l 用户权限管理的常用方法 不同的权限。如果有新的内容加入，角色能被赋予新的 用户权限管理通常有3 种方法： 权限。权限既能赋予也能撤销。如图l［2 ］所示。 l ）强制访问控制（MandatOry Access COntrOI ）。它 是系统强制主体服从事先制定的访问控制政策。它预 先定义了用户的级别，以及信息的级别，通过比较这两 者的级别来进行合法性的验证。其缺点是这种事先的 权限划分与现实可能存在一定的差距。同级的数据之 间缺乏控制机制。而且，整个体系是事先制定的。要 ［l］ 修改对一类信息的级别时比较繁琐 。 2 ）自主访问控制（DiscretiOnary Access COntrOI ）。 它是在确认主体身份及所属组的基础上，对访问进行 限定的一种控制策略，访问控制策略保存在一个矩阵 图l RBAC 模型 中，矩阵的每个元素表示一个主体对一个客体的访问 图l 中用户跟角色之