《基于角色的访问控制系统设计与实现》由会员分享,可在线阅读,更多相关《基于角色的访问控制系统设计与实现(16页珍藏版)》请在金锄头文库上搜索。
1、XXX大学信息工程学院网络信息安全课程论文基于角色的访问控制系统设计与实现学生姓名XXX学号XXX所属学院信息工程学院专业计算机科学与技术班级计算机XXX指导教师XXX塔里木大学教务处制目录摘要3第1章:绪论31.1 研究背景31.2 课题研究的意义3第2章RBAC访问控制技术发展状况42.1国内外发展状况42.2 RBAC在实际应用方面的意义和价值4第3章基于角色的访问控制系统设计与实现53.1 RBAC的基本概念53.2 权限树的设计与实现63.3 用户管理模块83.4 角色管理模块93.5 权限管理模块103.6 用户角色的授权模块113.7 用户角色的激活模块11第4章系统运行模型12
2、4.1用户认证124.2安全访问控制134.3 测试验证点13第5章实验结果13第6章总结与展望15基于角色的访问控制系统的设计与实现摘要:访问控制就是当系统资源受到未经授权的非法操作时,能够提供适当的保护措施。访问控制实质上是对资源使用的限制,决定主体是否可以对客体执行某种操作。本访问控制系统,通过引入角色的概念,将用户映射为在一个组织中的某种角色,把访问权限授权给相应的角色,根据用户拥有的角色进行访问授权与控制,有效整合了传统访问控制技术的优势,又克服了它们的不足,使得制订和执行保护策略的过程更加灵活,也简化了管理员的管理工作。本访问控制方面采用了基于RBAC97的访问控制模型,提出了角色
3、分级管理算法及授权增量设置原则,为电力通信资源管理系统的用户、业务、底层数据提供授权、访问控制、及权限管理的功能。并提供了一个图形化的角色管理工具来简化管理员的工作;由于本访问控制系统构建于J2EE的MVC模式之上,并基于RMI通信技术,使得它能够作为客户UI层与其他各层的中间件,为业务功能层提供授权与访问控制接口,以实现不同功能的业务视图。为底层数据层提供数据控制接口,以实现对不同数据资源的安全访问功能。关键词:RBAC 权限管理;角色;反射;自定义属性;第1章:绪论1.1 研究背景近年来,随着全球网络化的热潮,计算机网络技术正在日益广泛而深入地被应用到社会各个领域中,并深刻地改变着社会的面
4、貌,同时我们也看到网络安全问题的重要性日益突出,尤其在商业、金融等领域的网络应用中,能否保证网络具有足够的安全性是首先要考虑的问题。由于网络上所传输的信息,往往关系着个人或企业机密,为了保护这些信息不会被非法使用和窃取,必须要采取措施以确保信息网络的安全。所以信息系统出了要确认使用者的身份是否合法外,还需判定某些资源对于该使用者来说是否有权限使用或更改,这便是信息安全的基本功能之一,成为访问控制技术(Access Control)1.2 课题研究的意义基于角色的访问控制策略在网络环境中,能够限制和控制通过通信链路对主机系统和应用的访问。为了达到这种控制,每个想获得访问的实体都必须经过鉴别或身份
5、验证。它被认为是一种更普遍使用的访问控制模型,可以有效表达和巩固特定事物的安全策略,有效缓解传统安全管理处理瓶颈问题。它具有减少授权管理复杂性,降低管理开销,并能提供与综合系统组织结构相一致的安全策略的优势,被公认是大型信息管理应用环境中实现授权管理的最佳方案。第2章RBAC访问控制技术发展状况2.1国内外发展状况RBAC(Role-Based Access Control)是近年来在信息安全领域访问控制方面的研究热点和重点。它和DAC、MAC称为三大访问控制策略。第一次使用RBAC术语,是David Ferraiolo和Rick Kuhn于1992年在美国国家标准技术局的第15届国家计算机安
6、全会议提出来的。之后,出现了各个不同RBAC模型,其中,以Ravi Sandhu等人提出的RBAC96模型最为典型,从而掀起了一股研究RBAC的浪潮。1995年11月召开了第一次ACM-RBAC大会清题为基于角色访问控制的ACM大会),在这次大会中所有专家一致认为基于角色的访问控制和技术非常实用,应该继续深入探讨。在RBAC研究历程中,1996年美国George Mansion Univ.Ravi S.Sandhu教授在IEEE computer上发表的一篇学术论文Role-Based Access Control。在该文中Sandhu教授正式提出了RBAC96模型家族,它对RBAC进一步的深
7、入研究奠定了基础。此后国内外研究者在RBAC96模型家族的基础上提出了许多扩展模型。目前国外RBAC研究机构主要是美国NIST和George Mansion Univ.LIST实验室(Prof.Ravi.Sandhu)。NIST主要是进行RBAC及其相关模型的标准化工作,LIST侧重于对RBAC、RBDM及其扩展模型的创建、形式化描述,评价分析,以及在web中的应用等。国内最早的相关学术论文是1994年华中理工大学马建平的硕士学位论文一种无干扰的访问控制模型。而国内与国外比较,国内主要是学术机构如中国科学院软件研究所和华中科技大学计算机科学与工程系,他们正在对RBAC模型扩展和应用方面进行深入
8、的研究。尚无比较成熟基于角色的访问控制(RBAC)及应用研究的RBAC安全访问控制产品。2.2 RBAC在实际应用方面的意义和价值RBAC模型不可能单一,可以从非常简单到非常复杂,实际上RBAC是一个没有边界的模型。同时,这方面的研究也才刚刚开始,如管理模型、授权和个性化和跨组织分布式系统等等。因此,RBAC还有非常丰富的研究领域。对于一个大型系统,角色的数量成百上千,管理这些角色和它们之间的关系将会是一个可怕的任务,如何有效地管理RBAC则成为一个新的问题。RBAC的最大优势在于它对授权管理的支持。通常的访问控制实现万法,将用户与访问权限直接相联系,当组织内人员新增或有人离开时,或者某个用户
9、的职能发生变化时,需要进行大量授权更改工作。而在RBAC中,角色作为一个桥梁,沟通于用户和资源之间。对用户的访问授权转变为对角色的授权,然后再将用户与特定的角色联系起来。一个RBAC系统建立起来以后,主要的管理工作即为授权或取消用户的角色。RBAC的另一优势在于:系统管理员在一种比较抽象且与企业通常的业务管理相类似的层次上。根据NIST在2002年一月份的一份调查报告 (The Economic Impact ofRole-Based Access Control),分析了RBAC的诸多优点以及实施RBAC所产生的经济效益统计分析,得出如下结论:(1)RBAC从投入到公司/企业应用,到从RBA
10、C带来的好处中获益,根据公司的大小不同,需要1到3个季度:这段期间是RBAC与旧系统的合并与融合期;(2)RBAC的NPV(net present value净产值)是实施RBAC的成本的69倍到158倍;RBAC的IRR(internal rate of return,内部收益率)是39%到90%。从上可以看出,其中蕴藏的商机是巨大的。尤其随着国家电子政务的推行,政府机构的办公自动化程度、企业信息化程度的提高,在政府、金融、信息资源管理等领域,RBAC将有越来越广阔的应用发展前景。第3章基于角色的访问控制系统设计与实现3.1RBAC的基本概念RBAC认为权限授权实际上是Who、What、Ho
11、w的问题。在RBAC模型中,who、what、how构成了访问权限三元组,也就是“Who对What(Which)进行How的操作”。Who:权限的拥用者或主体(如Principal、User、Group、Role、Actor等等)What:权限针对的对象或资源(Resource、Class)。How:具体的权限(Privilege,正向授权与负向授权)。Operator:操作。表明对What的How操作。也就是Privilege+ResourceRole:角色,一定数量的权限的集合。权限分配的单位与载体,目的是隔离User与Privilege的逻辑关系.Group:用户组,权限分配的单位与载体
12、。权限不考虑分配给特定的用户而给组。组可以包括组(以实现权限的继承),也可以包含用户,组内用户继承组的权限。User与Group是多对多的关系。Group可以层次化,以满足不同层级权限控制的要求。RBAC的关注点在于Role和User, Permission的关系。称为User assignment(UA)和Permission assignment(PA).关系的左右两边都是Many-to-Many关系。就是user可以有多个role,role可以包括多个user。凡是用过RDBMS都知道,n:m 的关系需要一个中间表来保存两个表的关系。这UA和PA就相当于中间表。事实上,整个RBAC都是基
13、于关系模型。Session在RBAC中是比较隐晦的一个元素。标准上说:每个Session是一个映射,一个用户到多个role的映射。当一个用户激活他所有角色的一个子集的时候,建立一个session。每个Session和单个的user关联,并且每个User可以关联到一或多个Session.在RBAC系统中,User实际上是在扮演角色(Role),可以用Actor来取代User,这个想法来自于Business Modeling With UML一书Actor-Role模式。考虑到多人可以有相同权限,RBAC引入了Group的概念。Group同样也看作是Actor。而User的概念就具象到一个人。这里
14、的Group和GBAC(Group-Based Access Control)中的Group(组)不同。GBAC多用于操作系统中。其中的Group直接和权限相关联,实际上RBAC也借鉴了一些GBAC的概念。Group和User都和组织机构有关,但不是组织机构。二者在概念上是不同的。组织机构是物理存在的公司结构的抽象模型,包括部门,人,职位等等,而权限模型是对抽象概念描述。组织结构一般用Martin fowler的Party或责任模式来建模。Party模式中的Person和User的关系,是每个Person可以对应到一个User,但可能不是所有的User都有对应的Person。Party中的部门
15、Department或组织Organization,都可以对应到Group。反之Group未必对应一个实际的机构。例如,可以有副经理这个Group,这是多人有相同职责。引入Group这个概念,除了用来解决多人相同角色问题外,还用以解决组织机构的另一种授权问题:例如,A部门的新闻我希望所有的A部门的人都能看。有了这样一个A部门对应的Group,就可直接授权给这个Group。3.2 权限树的设计与实现(一)权限树设计思想在我们的系统中,主要的权限区别来源于不同的业务模块,如告警处理,拓扑处理,数据备份处理,系统安全处理,等。基于此,因此我们采用基于业务流的树形结构设计权限。使所有权限构成一颗具有隶属关系的多叉树。每一个权限既可以是树的一个叶子也可以是某叶子的父节点。这样的业务流权限多叉树,共100个权限椰子节点,14个主干分支,一个超级用户节点。其中的操作根据综合通信资源信息系统各功能模块的权限要求,我们定义了十四类操作,其权限树实现效果如图1所示:图1操作类别显示例图每一类操作下又有相应的分支子操作节点,如图2:图2操作类别中子操作显示例图此操作共构造可供分配的100种操作。这100种操作组合起来可以实现电力通信资源信息系统中各模块大部分权限设计。将这些操作与被控制的
