基于RBAC的限制约束在权限控制中的实现.pdfVIP

电子发烧友 电子技术论坛 基于 RBAC 的限制约束在权限控制中的实现 基于 RBAC 的限制约束在权限控制中的实现* Realization of RBAC-Based Limit Constraint for Privilege Control (华南理工大学 广东省计算机网络重点实验室) 陈啟泓，邹杜，艾飞，张凌 (Communication Computer Network Lab of Guangdong, South China University of Technology, China) Chen Qi-hong, Du Zou, Ai Fei, Zhang Ling 摘 要：本文针对当前权限控制框架在权限控制和数据保护方面存在的问题，提出 一种新的权限控制解决方案——基于 RBAC 的限制约束扩展。文章重点描述了限制 约束功能的原理与实现，并对限制约束扩展应用时出现的限制冲突和限制共享问 题，提出了解决方法。 关键词：RBAC; 权限控制; 限制约束; 中图分类号:TP309 文献标识码:A Abstract: The paper analyses the problems which exist in the privilege control and data protection of the current privilege control framework and makes an extension on the privilege control frame, which is limit constraint support based on RBAC. The paper describes in detail on how to realize the limit constraint support in the current system. Finally we solve the problems on the limit conflicts and limit share, which are caused by the application of the limit constraint support. Key words: RBAC; privilege control; limit constraint; 1 研究现状 [1] 目前主流的访问控制策略有三种 ：自主型访问控制(DAC)、强制型访问控制(MAC) 和基于角色的访问控制(RBAC)[2] 。自主式和强制式访问控制策略的工作量大，而且不 便于管理，而基于角色的访问控制是目前公认的解决统一资源访问控制的有效方法。 当前企业系统普遍采用基于角色的授权控制模型，系统管理员根据企业的需要，设立 具有不同系统操作权限的角色，用户通过继承不同的角色获得相应的操作权限。 但是目前大部分权限控制系统都缺乏对限制约束的支持，在权限控制方面缺乏灵 活性。因为灵活多变的业务需要，企业系统实际使用中在某些特定条件下要求增加约 束条件限制或禁止某些功能的使用，例如用户在某段时间后不再拥有使用该系统的权 利，这就要求用户权限具有时效性。除此之外，某些系统功能的使用要求用户满足某 前提条件，如当前用户的账户余额必须大于 1000元。因此，本文要解决的问题是如何 实现权限控制对限制约束的支持，提高权限控制的灵活性。 另外，限制约束的支持还可以应用于数据权限保护。在企业系统中，日益增多的 业务数据处理使数据权限变得更加重要。而目前较成熟的数据保护机制有 ACL 机制 （Access Control List, 访问控制列表）。每个 ACL 由一组 ACL规则组成，用来设置 单一主体或一组主体对客体的访问权限[3] 。在一些权限控制组件中，如 Acegi，保护 数据的 ACL 机制主要根据当前用户对域对象的权限过滤业务方法返回的域对象。ACL 机制的优点是对数据对象的保护通过 ACL 列表即可实现。但是，ACL 配置繁琐不利于 系统的维护与管理，而且 ACL 在某些情况下效率不高，如用户有权访问的记录数可能 会远小于实际数据模块返回的记录数——过滤效率偏低将大大增加系统开销和影响用 * 基金项目名称：可信任的互联网安全体系结构和安全监控理论研究；申请人：张凌； 编号：2003CB3148