管理信息系統(tǒng)多級訪問控制管理模型

仲華惟

摘要：基于角色的訪問控制在信息管理系統(tǒng)應(yīng)用時缺少對分級授權(quán)的支持。多級訪問控制模型在基于角色的訪問控制模型基礎(chǔ)上，使用角色樹表現(xiàn)角色的層次關(guān)系，將用戶域、角色域和許可域組合為管理域來限定分級授權(quán)的操作范圍，實現(xiàn)了權(quán)限在角色樹上的逐級分發(fā)，支持信息管理系統(tǒng)的分級授權(quán)要求。

關(guān)鍵詞：訪問控制；多級模型；角色樹；管理域；許可

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）22-5167-03

1 概述

訪問控制的目的在于防止非法用戶進(jìn)入系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用[1] 。為達(dá)到這個目的，訪問控制常以用戶身份認(rèn)證為前提，在此基礎(chǔ)上實施各種訪問控制策略來控制和規(guī)范合法用戶在系統(tǒng)中的行為[2]?；诮巧脑L問控制（RBAC）模型及其擴(kuò)展模型是現(xiàn)在應(yīng)用最廣泛的訪問控制模型[3]，簡化了各種環(huán)境下的授權(quán)管理，將訪問權(quán)限分配給角色（Role），用戶擔(dān)任一定角色，角色是相對穩(wěn)定的，角色實際上是與特定工作崗位相關(guān)的一個權(quán)限集。當(dāng)用戶改變時只需要進(jìn)行角色的撤銷和分配。RBAC模型分離了權(quán)限與用戶的耦合關(guān)系，將權(quán)限關(guān)聯(lián)在角色上。用戶通過扮演適當(dāng)?shù)慕巧@得合適的權(quán)限。這樣可以有效簡化權(quán)限管理的內(nèi)容和步驟。

基于RBAC模型作為一種訪問控制方法，在信息系統(tǒng)中得到廣泛應(yīng)用。但是在大型系統(tǒng)中RBAC的管理過程非常復(fù)雜，單純RBAC不能滿足系統(tǒng)的訪問控制分級管理的要求。尤其在信息系統(tǒng)中存儲和管理大量企業(yè)單位的敏感數(shù)據(jù)，一旦這些數(shù)據(jù)被泄露或竊取，會給帶來難以彌補(bǔ)的損失[4]?！?br>