基于角色的訪問控制方法研究

【摘 要】基于角色的訪問控制是一種新型的訪問控制模型，它的基本思想是將權限與角色聯系起來，在系統中根據應用的需要為不同的工作崗位創建相應的角色，同時根據用戶職能和責任指派合適的角色，用戶通過所指派的角色獲得相應的權限實現對文件的訪問。

【關鍵詞】訪問控制 角色 自主

【中圖分類號】TP399 【文獻標識碼】A 【文章編號】1674－4810（2011）10－0028－01

一 引言

訪問控制的定義是指經過身份驗證的主體依據約定的規則集合，控制對客體合法行使訪問權限的過程。這里的主體是指訪問的進程、設備或進行訪問的人，客體是指將要被訪問到的數據。訪問控制可以簡單地表示成為一個三元組：AC＝{ subject ， permission ， rule—set }。當前基于角色訪問控制正在信息管理系統中逐漸被推廣和應用，構成了信息管理系統安全機制的一個重要組成部分。如何設計一個構建靈活、操作安全、管理分布的基于角色訪問控制系統，已成為實現信息管理系統安全機制的重要課題。

計算機網絡的發展與普及使信息系統的安全問題日益突出，系統的安全技術也成為人們研究的熱點，訪問控制是實現既定安全策略的系統安全技術，它管理所有資源訪問請求，即根據安全策略的要求，對每一個資源訪問請求做出是否許可的判斷，能有效地防止非法用戶訪問系統資源和合法用戶非法使用資源。美國國防部的可信計算機系統評估標準（TESEC）把訪問控制作為評價系統安全的主要指標，訪問控制對提高系統安全性的重要性不言而喻。

二 基于角色訪問控制方法在BBS中的應用

1．數據庫中的角色控制

數據庫中的用戶表（見表1），體現了用戶的基本信息。其中UserName字段表示的是用戶名，UserPass表示的是用戶登錄密碼，Menbercode是數字類型，代表的是用戶權限類型，其值從0～5分別表示為0游客，1普通會員，2嘉賓會員，3版主，4管理員，5社區區長。UserHome表示的是個人主頁，PasswordQuestion表示的是密碼提示問題。PasswordAnswer表示的是密碼提示答案。

2．角色關系的設計

角色關系圖，見圖1。圖中闡釋了角色權限關系的設置。系統將功能權限以普通用戶權限和高級管理用戶權限的形式分別發放給低級角色和高級角色，其中高級管理用戶權限不包括普通用戶權限，其只從事用戶和論壇的管理。然后高級角色也可以通過設置獲取低級角色的權限，從而具備普通用戶權限，可以從事對論壇的瀏覽和發帖、回帖等功能。另外高級用戶中也可以自行獲取權限，比如：社區的社長有添加刪除管理員的權限，另外也可以獲取管理員的管理權限和低級角色的普通權限。

3．角色權限的設計

用戶進入論壇后，對其后臺的角色賦予權限的操作。首先，當一個用戶登入論壇時，系統會通過調用數據庫來獲取其用戶的角色，并通過當前的角色來判定其直接權限，并且判定是否能夠對其授權。如果其直接權限能夠授權，就允許訪問。如果其直接權限不授權的話，那么就要開始去判定其間接權限了。系統通過其角色的級別來判定是否達到訪問的角色級別，如果沒有達到，系統會對其用戶實施拒絕訪問的操作，如果其用戶的角色級別大于訪問級別的話，系統就會幫這個用戶調用當前需求的角色權限，使其能夠授權訪問。

4．處理角色互斥

以下是處理角色互斥的算法，ARBAC97模型中定義的角色互斥是由虛擬角色維上定義的虛擬角色互斥通過直積而得到的。因此，本文給出添加虛擬角色互斥算法的偽碼表示，算法添加和刪除給定角色維上的角色互斥，然后管理員可以通過指定不同的角色互斥策略來生成系統角色集上的角色互斥定義。

Algorithm:AddVirtual Mutual Exclusion

Input:Virtual Role vr1，vr2

Output:Bool

Description:Return true if successfully，Add Virtual Mutual Exclusion

Begin IF Is Virtualinherit(vr1，vr2)OR

Is Virtualinherit(vr2，vr1)

Then:Return 1

End if:IF Mutual Exclusion(vr1，vr2)

Then:Add(vr1，vr2)into current VRME

End if:RETURN true

End

三 小結

隨著基于角色訪問控制技術的深入研究，系統的安全訪問是通過用戶認證和用戶權限管理來實現的。各類系統的整個體系結構上要設計成安全可靠、配置靈活、易擴展的安全控制模塊。

參考文獻

［1］Kusatsu Kohei Tsuda and Ruck Thawonmas，Keyword Discovery by Measuring Influence Rates on Bulletin Board Services［M］. Shiga 525～8577， Japan

〔責任編輯：王以富〕

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文