《基于角色管理的系统访问控制》由会员分享,可在线阅读,更多相关《基于角色管理的系统访问控制(11页珍藏版)》请在金锄头文库上搜索。
1、-基于角色管理的系统访问控制1. 引言introduction1.1. 关键词定义definitions有关定义说明如下:平安管理:计算机技术平安管理的围很广,可以包括网络平安性、数据平安性、操作系统平安性以及应用程序平安性等。很多方面的平安性管理大都已经有成熟的产品了,我们只需根据自己需要有选择性的使用就可到达自己的目的了。本文中有关关涉及平安管理一词均只针对本公司推出的应用中有关对象与数据而言围有限。主体:即可以象应用系统发出应用请求任何实体,包括各种用户、其它与本系统有接口的应用程序、非法入侵者。系统必须具有识别主体的能力,接口实际上也是由用户登记的,故主要问题是校验用户身份的合法性,系
2、统应建立用户鉴别机构以验证用户身份。用户:用户就是一个可以独立访问计算机系统中的数据或者用数据表示的其它资源的主体,我们用users表示一个用户集合。用户在一般情况下是指人。权限:权限是对计算机系统中的数据或者用数据表示的其它资源进展访问的许可。我们用permission表示一个权限集合。可分为对象访问控制和数据访问控制两种。对象访问控制:用一个二元组来表示:控制对象,访问类型。其中的控制对象表示系统中一切需要进展访问控制的资源。我们将引入一套完整的资源表示方法来对系统中出现的各类资源进展定义和引用详见后述。访问类型是指对于相应的受控对象的访问控制,如:读取、修改、删除等等。数据访问控制:如果
3、不对数据访问加以控制,系统的平安性是得不到保证的,容易发生数据泄密事件。所以在权限中必须对对象可访问的数据进展按不同的等级给予加密保护。我们同样用一个二元组来表示:控制对象,谓词。权限最终可以组合成如下形式:控制对象,访问类型,谓词。角色:角色是指一个组织或任务中的工作或位置,它代表了一种资格、权利和责任。我们用roles表示一个角色集合。用户委派:用户委派是users与roles之间的一个二元关系,我们用u,r来表示用户u被委派了一个角色r。权限配置:权限配置是roles与permission之间的一个二元关系,我们用r,p来表示角色r拥有一个权限p。2. 需求分析根据我们在本行业多年积累下
4、来的经历,参考了其它同行的成功经历整合了先进的思想,我们有能力为我们自己的应用系统开发一套功能完善而且又灵活方便的平安管理系统。使开发人员从权限管理重复劳动的负担中解放出来,专心致力于应用程序的功能上的开发。通过收集公司从事mis工程开发经历丰富的软件工程师对在各种情况下的对应系统的安性提出的需求做出了如下的总结。本系统在平安管理方面要考虑如下几个方面问题。2.1. 角色与用户需求:角色由用户(这个用户与下一行的用户应该不是同一个定义,客户好似适宜一些不错,此处的用户确是有些偏于指向我们合同意义的客户,但是我认为与下面定义的用户不存在什么本质上的区别,因为客户最终也是以在系统中登记的用户身份来
5、使用本系统,用户所能完成的功能也就是客户的需求。两者之间的细微区别读者可自己通过上下文加区分)自行定义,根据业务岗位不同可以定义多个角色。登录系统,首先需要向系统申请注册,同一个用户只能在系统中登记一次。用户是登录系统的楔子,角色是用户权限的根底。用户可以扮演多个角色。将*一角色授予*一用户时,权限不能超越该角色权限,但可以小于该角色权限。用户口令与数据库访问口令加密分析说明每个用户在系统中由一个唯的userid标识。 用户通过系统登录界面登录系统,系统通过加密算法验证用户身份和判断用户是否已经登录系统。如果登录成功通知application preference service和平安管理系统
6、保存用户登录信息。 角色由用户根据自己的设想的组织机构进展添加设置,提供一个专门的模块用来设置组织机构,用户通过组织机构(定义部门机构还是后面提到的机构是实现和执行各种策略的功能的集合)方便地进展角色管理。例如:用户可以通过部门机构来进展角色的管理,部门采用编号分层的方式,编号的每两位为一个层次。例如一级部门编号为两位,二级部门编号为四位依此类推下去直到将全厂部门机构建立树状构造图。这类数据仅为方便用户管理角色而存在,在系统的其他方面不存在任何意义。 每个角色在系统中也是由一个唯一角色编号来标识,同时必须保存用户所设置的机构信息,一般来说每个角色只需要保存自己所在机构的代码即可。 2.2. 菜
7、单控制需求此菜单乃系统业务功能菜单。由业务功能模块列表和用户菜单定制共同组成。每个用户可以拥有自己的菜单,也可以直接采用角色缺省菜单当用户同时充当多个角色并且权限重复时,重复的权限仅一次有效分析说明为了方便用户进展权限组织管理,需要在系统中建立一业务功能模块列表,在用户界面上表示为树状分层构造。 业务功能模块以用户定制菜单来表达,仍然采用编号分层方式,编号的每两位为一个层次。并标明一个层次是子菜单还是业务模块,子菜单只有一种可否被访问的权限设置,业务模块权限由系统管理员或授权用户进展设置。对每个业务模块设置它的对象控制、记录增删改控制和记录集控制。当用户拥有对业务模块的*一权限时,必需对处于它
8、上级的子菜单有可被访问的权限。删除*一个级子菜单时将提示用户他的下级菜单与功能模块都将被删除掉。 当用户同时充当多个角色并且权限重复时,重复的权限仅一次有效,用户拥有他充当的所有角色的权限的并集。 用户与角色拥有的系统权限查询时以业务功能模块列表的树状构造显示出来。 2.3. 对象控制需求对象是指应用系统窗口中的可视对象,如菜单项、按钮、下拉列表框、数据编辑控件及数据编辑控件的字段等。对象控制通过角色与用户授权来实现。对象控制包括对对象属性的控制可对数据编辑控件中的数据记录的维护权限:对象属性:使能/制止、可视/屏蔽 记录维护:增加、删除、修改的组合 分析说明将每个业务模块可进展属性设置的对象
9、由程序员事先设定或由售后技术支持工程师指导用户参加。 在系统管理员或授权用户进展设置业务模块的每种权限时,设置用户在拥有该业务模块这种权限时的对象属性。没有设置属性的对象在保存对象信息的时候,用户权限信息中不被保存。 2.4. 记录集控制需求记录集的控制是通过条件设置来实现,因此,需要控制记录集的数据库表需要设置专门的记录集筛选字段,而筛选条件由用户根据岗位自进定义,建立过滤表,统一管理。分析说明在对用户设置业务模块权限时,同时在过滤表中设置本模块的数据编辑控件的数据筛选条件,筛选条件是组成sql语句的where条件子句迫使当前访问的模块根据筛选条件对数据编辑控件的sql语句进展重组,并检索数
10、据。 当存在需要从数据库中多个表取数据的情况时,过滤表中存在多条记录,每一条记录记录一个数据编辑控件取数的筛选条件。 sql语句的where子句的生成与校验可以通过的sql语法分析效劳,利用对象所提供的函数分析sql语句,截取where条件子句,校验新组合的sql语句的合法性。 2.5. 权限分布管理需求上述提到的权限管理容应该满足既可集中管理,也可分散管理的目标。分析说明权限管理由系统管理员集中管理,系统管理员工作负担过大,难对所有岗位的分工有全面和具体的了解,对权限作出标准细致的划分,对于大型的管理系统适合于把一局部设置权限的交由一些比较高级的用户来进展,有利于各岗位细致协调的工作。这就是
11、权限的分散管理。 要实现权限的分散管理,就须对授权模块进展一些授权管理,这要求整个系统的授权平安管理工作要做到细致,不要出现权限的漏洞使一些高级用户拥有过大的权限。 3. 方案设计3.1. 平安保护策略从上面各方面的需求分析来看,我们需要一套既行之有效,又方便灵活的平安管理方案。要采用各种控制机构和密码保护技术。平安保护策略是设计平安可靠系统的准则,通常涉及以下几个方面:区分平安策略与平安机构。 策略是信息平安性的高级指导,策略出自对用户要求,设备环境、机构规则、法律约束等方面的详细研究。策略重要性在于指导作用。而机构是实现和执行各种策略的功能的集合。完善的机构是实施正确平安策略的物质根底。故
12、一般要求机构能实现不同的策略,以便策略变动时无需要更换平安机构。平安策略:企业信息管理系统是一个大型的分布式数据资源管理系统,它包括信息量巨大以及不同程度的信息敏感度,各种有访问需求的用户,使得其平安管理非常复杂。基于角色的系统平安控制模型是目前国际上流行的先进的平安管理控制方法。我们的平安管理系统也根据自身的需要有选择性的吸收其局部思想。其特点是通过分配和取消角色来完成用户权限的授予和取消,并且提供了角色分配规则和操作检查规则。平安管理人员根据需要定义各种角色,并设置适宜的访问权限,而用户根据其责任和资历再被指派为不同的角色。这样,整个访问控制过程就分成两个局部,即访问权限与角色相关联,角色
13、再与用户关联,从而实现了用户与访问权限的逻辑别离,如以下列图所示,角色可以看成是一个表达访问控控制策略的语义构造,它可以表示承担特定工作的资格。由于实现了用户与访问权限的逻辑别离,基于角色的策略极大的方便了权限管理。例如,如果一个用户的职位发生变化,只要将用户当前的角色去掉,参加代表新职务或新任务的角色即可。研究说明,角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,并且委派用户到角色不需要很多技术,可以由行政管理人员来执行,而配置权限到角色的工作比较复杂,需要一定的技术,可以由专门的技术人员来承担,但是不给他们委派用户的权限,这与现实中情况正好一致。除了方便权限管理之外,基于角色的
14、访问控制方法还可以很好的地描述角色层次关系,实现最少权限原则和职责别离的原则。平安保护机构:本系统的平安保护机构根本上是于上面的平安策略相互适应的,系统保护的总体构造示意如下:保护机构应负责阻止一切物理破坏和用户可能的操作破坏,后者归结为主体可用何种方式访问哪些对象。主体、访问类型、对象是我们要讨论的保护机构主要成分 平安管理的职责:平安管理有集中管理与分散管理两种。前者意指一切权利都由负责系统平安工作的专职人员或小组组掌握,他(们)决定用户的访问权利,控制系统平安一切方面。后者是指不同的管理员控制着系统平安的不同方面,管理系统的不同局部,决定不同用户的访问权利,甚至允许对象所有者转让访问对象
15、的权利,集中管理,平安可靠但不灵活;分散管理则应考虑防止漏洞和协调一致的问题。本系统因是针对大的集团企业管理的产品权限分配比较复杂,故采用了集中管理与分散管理相结合的形式。 访问控制策略。它提供决定用户访问权利的依据。其中最重要的一个普遍的原则是需者方知策略(the need-to-know)。也就是说,只有一个工作需要的,才是他应该知道的。它从原则上限制了用户不必要的访问权利,从而堵截了许多破坏与泄露数据信息的途经。按照这一原则授予用户的权利,是用户能完成工作的最小权利集合,故也称之为最少特权策略。 信息流动控制。只限制用户的访问权利而不考虑数据流动是极其危险的。例如,在考勤时各部门的主管只
16、能为自己部门的职员考勤,人事部可以提取全部数据,因此在提取数据时一定要加以限制。控制数据流动以防止无权用户在数据流动后获得访问权利。 密码变换。对于非常数据可变换为密码存贮,使得不知道密码的入侵者无法破译所得到的数据密码。密码变换能防止泄密,但不能保护数据信息不被破坏。 软硬结合保护。这是平安保护的根本策略,许多硬保护功能是软件难以实现的,有些即使能实现,效率也不高。 对平安遭到破坏的响应。各种保护机构都有可能遭到破坏,因此系统必须制订检测破坏手段与处置措施。 3.2. 平安管理机构分析3.2.1. 功能框架示意图部总体功能框架图外调用的功能框架示意图3.2.2. 主要功能组件的职责3.2.2
