本文是一篇計(jì)算機(jī)網(wǎng)絡(luò)類論文范文，選自期刊《青島理工大學(xué)學(xué)報(bào)》。計(jì)算機(jī)網(wǎng)絡(luò)論文發(fā)表期刊推薦《網(wǎng)絡(luò)安全與技術(shù)應(yīng)用》，本刊成立于2003年，先由中華人民共和國公安部主管、中國人民公安大學(xué)出版社主辦。從2009年起，本刊改由中華人民教育部主管， 北京大學(xué)出版社主辦，是國內(nèi)網(wǎng)絡(luò)安全技術(shù)與應(yīng)用領(lǐng)域行業(yè)指導(dǎo)性科技月刊，國內(nèi)外公開發(fā)行。
　　摘要：本文介紹了基于WEB模式下RBAC模型，并根據(jù)在實(shí)際應(yīng)用過程中RBAC出現(xiàn)的一些缺點(diǎn)和不足，引用用戶組概念對(duì)RBAC進(jìn)行擴(kuò)展。在用戶原有權(quán)限不變的基礎(chǔ)上增加了用戶所在部門的權(quán)限，并給出了一個(gè)基于擴(kuò)展RBAC模型的應(yīng)用，增強(qiáng)了用戶授權(quán)的靈活性和管理性，使ERBAC模型具有較高的安全性。

　　關(guān)鍵詞：RBAC模型,用戶,角色,權(quán)限,ERBAC模型

　　1引言

　　隨著網(wǎng)絡(luò)技術(shù)的迅速普及和網(wǎng)絡(luò)應(yīng)用的快速發(fā)展，如何保證網(wǎng)絡(luò)應(yīng)用的安全性成為網(wǎng)絡(luò)管理者必須要解決的問題。解決網(wǎng)絡(luò)安全的方法和措施有很多，而訪問控制技術(shù)便是有效解決方法之一。它是計(jì)算機(jī)網(wǎng)絡(luò)安全中重要的安全機(jī)制，而且可以和用戶身份認(rèn)證、數(shù)據(jù)加密等其他相關(guān)技術(shù)相互配合，以保護(hù)網(wǎng)絡(luò)信息資源不被非法使用和訪問，是保證網(wǎng)絡(luò)安全應(yīng)用的一種重要手段和措施。

　　基于角色訪問控制（Role-BaseAccessControl）是近年來較為流行的一種安全訪問控制方法，因其具有靈活性、安全性、方便性在用戶權(quán)限管理中得到了廣泛的應(yīng)用。但是RBAC會(huì)隨著網(wǎng)絡(luò)用戶數(shù)量的不斷增加和信息資源結(jié)構(gòu)的日益復(fù)雜難以滿足實(shí)際的安全需求，擴(kuò)展性差。因此，需要對(duì)RBAC進(jìn)行改進(jìn)和擴(kuò)展。通過增加用戶組的方式設(shè)計(jì)了一種新型的ERBAC模型，方便了管理員對(duì)用戶權(quán)限的管理。

　　2角色訪問控制模型

　　20世紀(jì)90年代，通過對(duì)多用戶、多系統(tǒng)不斷深入研究，逐漸產(chǎn)生了角色的概念，形成了基于角色為中心的訪問控制模型RABC。在RABC模型中包括三個(gè)實(shí)體：角色、用戶和權(quán)限。

　　用戶：一個(gè)可以訪問計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其他資源主體。

　　權(quán)限：用戶訪問計(jì)算機(jī)資源的許可。

　　角色：是一個(gè)或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。

　　角色是RBAC模型的核心，能夠完成一定的功能。系統(tǒng)管理員可以根據(jù)用戶的職責(zé)和需求進(jìn)行角色的創(chuàng)建、給用戶指定權(quán)限和分配角色等。RBAC的思想核心是將權(quán)限和角色進(jìn)行關(guān)聯(lián)，通過賦予用戶相應(yīng)的角色來完成授權(quán)任務(wù)。用戶和角色的關(guān)系是多對(duì)多的關(guān)系，即一個(gè)用戶可以擁有多個(gè)角色，一個(gè)角色也可以分配給多個(gè)用戶。角色和權(quán)限的關(guān)系也是如此。用戶通過扮演某些角色來獲取相應(yīng)的訪問權(quán)限。因此，角色成為連接用戶和權(quán)限之間的**。用戶所具有的權(quán)限是該用戶擁有的所有角色的權(quán)限集合的并集，角色之間可以有繼承、限制等邏輯關(guān)系，并通過這些關(guān)系影響用戶和權(quán)限的實(shí)際對(duì)應(yīng)①。角色的增加可以實(shí)現(xiàn)用戶和權(quán)限在邏輯上分開。角色的變化是相對(duì)比較穩(wěn)定的，當(dāng)用戶權(quán)限改變時(shí)只需要給用戶重新分配角色即可，極大的方便了權(quán)限管理。對(duì)于用戶數(shù)量不斷增加、功能不斷完善的管理信息系統(tǒng)來說，RBAC降低了應(yīng)用系統(tǒng)訪問控制的難度，是一種高效、安全的解決方案。RBAC訪問控制模型如圖1所示。

　　3RBAC模型的擴(kuò)展

　　在實(shí)際應(yīng)用過程中，RBAC模型的應(yīng)用還存在著一定程度的不足。在許多應(yīng)用系統(tǒng)中由于部門、人員眾多以及業(yè)務(wù)的繁雜，使訪問控制模型中的角色定義變得比較復(fù)雜，并且管理員對(duì)每個(gè)用戶授權(quán)的工作量也非常大。如：對(duì)不同部門具有相同權(quán)限的同一級(jí)別用戶，仍需要分別創(chuàng)建各自的角色，而每個(gè)角色所包含的用戶量又比較少，因此對(duì)整個(gè)應(yīng)用系統(tǒng)的權(quán)限管理來說工作量比較大。特別是當(dāng)訪問控制應(yīng)用系統(tǒng)規(guī)模逐漸擴(kuò)大以及業(yè)務(wù)需求的不斷變化時(shí)，角色的創(chuàng)建必須要跟著部門、人員、業(yè)務(wù)需求關(guān)系的變化而發(fā)生改變。在一個(gè)企業(yè)級(jí)的應(yīng)用系統(tǒng)中角色的數(shù)量可能會(huì)成百上千，管理員必須根據(jù)角色的變化手動(dòng)逐個(gè)更新用戶所擁有的權(quán)限。因此，RBAC無法滿足復(fù)雜情況變化的需要，難以進(jìn)行高效的權(quán)限管理。必須要對(duì)角色模型進(jìn)行一定的改進(jìn)，擴(kuò)展RBAC模型，提高管理效能。

　　3.1ERBAC模型

　　針對(duì)傳統(tǒng)的RBAC模型所存在的問題，引入用戶組進(jìn)行改進(jìn)。在RBAC模型原有角色授權(quán)的基礎(chǔ)上，增加了用戶組對(duì)數(shù)據(jù)資源進(jìn)行授權(quán)，使用戶所擁有的權(quán)限變?yōu)橛脩羲鶎俳巧�的功能�?quán)限和用戶所屬組的資源權(quán)限之和，如圖2所示。改進(jìn)后的用戶訪問控制擴(kuò)展模型（ERBAC）不僅有效解決了角色定義、用戶職責(zé)、權(quán)限和資源等動(dòng)態(tài)變化時(shí)系統(tǒng)數(shù)據(jù)更新困難的問題，而且加強(qiáng)了用戶授權(quán)的靈活性和管理性，在實(shí)際項(xiàng)目中得到了廣泛的應(yīng)用。當(dāng)對(duì)用戶進(jìn)行權(quán)限授權(quán)后，用戶要求訪問系統(tǒng)某模塊的功能時(shí)，系統(tǒng)不僅判斷該用戶所屬角色而且也要判斷用戶所在用戶組，同時(shí)判斷角色所擁有的功能權(quán)限和用戶組擁有的資源權(quán)限，此時(shí)用戶就可得到兩者所全部擁有的功能和資源權(quán)限。

　　3.2用戶組

　　管理系統(tǒng)在實(shí)際應(yīng)用過程中，由于部門、人員較多，在對(duì)用戶授權(quán)時(shí)就顯得比較混亂和繁瑣。為了簡化授權(quán)工作，采用樹型結(jié)構(gòu)方式將各個(gè)部門按照一定的組織關(guān)系進(jìn)行編排，授權(quán)工作就會(huì)變得一目了然。組是指一群用戶的集合①。而且當(dāng)某些用戶職能相同時(shí)，通過創(chuàng)建一個(gè)角色并授予整個(gè)組，這個(gè)組的所有用戶都可以取得同樣的權(quán)限。當(dāng)角色的權(quán)限發(fā)生變化時(shí)，整個(gè)用戶組的權(quán)限也發(fā)生了相應(yīng)地變化，使授權(quán)管理工作變得更加簡化。

　　當(dāng)用戶組內(nèi)所有用戶的權(quán)限相同時(shí)，用戶組可以代替角色。當(dāng)同一用戶組內(nèi)所有用戶權(quán)限不同時(shí)，再以用戶組的方式進(jìn)行授權(quán)，用戶組內(nèi)有的用戶權(quán)限就會(huì)被放大，對(duì)整個(gè)系統(tǒng)的安全會(huì)構(gòu)成一定的威脅。角色和用戶組在某些時(shí)候有相似之處，但兩者之間有著本質(zhì)的區(qū)別：組是用戶的集合，而不是權(quán)限的集合。角色作為用戶和權(quán)限的連接體既可以是用戶集合，也可以是權(quán)限的集合。所以，用戶組的功能是無法頂替角色的。

　　4ERBAC模型的實(shí)現(xiàn)

　　4.1ERBAC設(shè)計(jì)思想

　　ERBAC的核心思想是：在用戶的角色之間增加一個(gè)中間用戶組。通過新建立的用戶組—用戶關(guān)系表、用戶組—角色關(guān)系表，實(shí)現(xiàn)用戶與功能權(quán)限、資源建立聯(lián)系。用戶組資源的分配可以通過用戶組—資源關(guān)系表來實(shí)現(xiàn)，用戶組中用戶的增加可以通過用戶組—用戶關(guān)系表來實(shí)現(xiàn)，用戶角色的授予可以通過用戶—角色關(guān)系表來實(shí)現(xiàn)，角色功能的分配可以通過角色—功能關(guān)系表來實(shí)現(xiàn)。

　　4.2數(shù)據(jù)庫設(shè)計(jì)

　　根據(jù)ERBAC的設(shè)計(jì)思想，將用戶按部門分類進(jìn)行不同權(quán)限的授權(quán)。用戶的各種信息及各表之間的關(guān)系如圖3所示。

　　它的優(yōu)點(diǎn)是用戶和角色的管理和維護(hù)相對(duì)獨(dú)立，當(dāng)一方發(fā)生變化時(shí)另一方不會(huì)被干擾。當(dāng)然兩者之間也可以動(dòng)態(tài)的建立對(duì)應(yīng)關(guān)系。這樣管理員對(duì)數(shù)據(jù)庫設(shè)計(jì)和管理就可以更加方便和靈活。而角色—功能、用戶—資源之間的也可以進(jìn)行同樣的設(shè)

　�、傧挠転I，宣明付.基于RBAC的統(tǒng)一權(quán)限管理系統(tǒng)研究[J].微計(jì)算機(jī)信息，2006（30）：114-146

　　計(jì)。當(dāng)用戶、角色、功能發(fā)生變化時(shí)，管理員不用手動(dòng)來更新相關(guān)的數(shù)據(jù)，系統(tǒng)會(huì)自動(dòng)動(dòng)態(tài)更新，減輕了管理員的工作負(fù)擔(dān)和減少了出錯(cuò)的概率，更易于數(shù)據(jù)庫的維護(hù)。

　　4.3訪問控制模塊設(shè)計(jì)

　　在訪問控制模塊中，系統(tǒng)會(huì)根據(jù)用戶組的用戶訪問權(quán)限的不同顯示不同的數(shù)據(jù)資源和功能。在用戶登錄界面中輸入用戶名和密碼，服務(wù)器中的數(shù)據(jù)庫對(duì)輸入的用戶名和密碼進(jìn)行驗(yàn)證。若用戶名或密碼輸入錯(cuò)誤或者是非法用戶，系統(tǒng)轉(zhuǎn)至出錯(cuò)提示頁。若為合法用戶進(jìn)入系統(tǒng)。系統(tǒng)會(huì)根據(jù)存放在數(shù)據(jù)庫中用戶與角色數(shù)據(jù)表、角色與功能數(shù)據(jù)表、用戶組與資源數(shù)據(jù)表中的相關(guān)數(shù)據(jù)加載相關(guān)頁面、按鈕和資源。對(duì)于每個(gè)頁面的各個(gè)按鈕能否使用系統(tǒng)會(huì)根據(jù)用戶的角色進(jìn)行判斷，不能使用的按鈕為灰色。擁有相應(yīng)權(quán)限的用戶能夠在頁面中使用和瀏覽相關(guān)資源或數(shù)據(jù)。用戶訪問控制流程如圖4所示。

　　5結(jié)束語

　　ERBAC作為RBAC的擴(kuò)展和完善，在一定程度上彌補(bǔ)了RBAC授權(quán)的不足和缺陷，實(shí)現(xiàn)了系統(tǒng)權(quán)限方便、靈活和有效的管理。并且該模型具備很好的移植性和通用性，能夠滿足不同企事業(yè)單位管理信息系統(tǒng)的安全訪問控制，增強(qiáng)了系統(tǒng)數(shù)據(jù)資源的安全性。

轉(zhuǎn)載請(qǐng)注明來自：http://www.jinnzone.com/jisuanjiwangluolw/25287.html