2023年基于RBAC的信息系统权限访问控制模型设计.docx

基于RBAC的信息系统权限访问控制模型设计 翻开文本图片集 摘 要：本文比照传统权限管理的访问控制模型，研究了RBAC的权限访问技术，提出了权限管理子系统解决方案，并设计了一个基于RBAC的权限管理系统，从而在信息系统中实现使用者即操作员对整个系统的统一管理。 【关键词】权限管理 RBAC 模型 随着信息工业的迅猛开展，信息系统在当今社会中的作用越来越重要，其应用也越来越广泛。尤其是在与分布式技术结合之后，信息系统的开展前景更是不可限量。在信息系统日益开展成熟的过程中，社会分工的细化使其向专业化的纵深方向开展，而且，由于信息系统总体框架的日益成熟与稳定，也导致了许多类似的结构或功能的出现。那么，现在这些系统所共同关心的问题是如何保证“合法〞的用户能正确的操作这些信息，而“非法〞的用户那么不能访问。在这种需求背景下，权限管理应运而生了。作为信息系统的一局部，权限管理负责识别信息系统中的人员、数据以及功能是否具有访问和操作的“合法性〞。 在传统权限管理的访问控制模型中是通过直接为用户授予相关操作权限来实现用户对数据资源的存取，当用户的职责发生变化时，就需要管理员来修改用户的权限，这是一种低层次的平安管理方式，用户权限不能根据企业组织的结构形式来进行划分，而基于角色访问控制〔RBAC〕那么是通过用户角色控制用户权限的改变，能够在较高的层次上实现权限的平安管理。RBAC是根据整个企业组织结构中不同岗位职责进行角色划分的，而并非针对具体的某个用户划分权限，即资源的访问许可是通过角色来获取的，利用角色层次结构将用户与权限联系起来，当用户成为其相应角色的成员时便可以获得该角色所拥有的权限，从而在很大程度上简化了用户与权限的管理。图1即为传统访问控制与RBAC的比照： 在RBAC中，在用户和访问许可权之间引入角色〔role〕的概念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可权相联系，角色可以根据实际的工作需要生成或取消，而用户可以根据自己的需要动态地激活自己拥有的角色，防止了用户无意中危害系统平安。 当今社会中大型信息系统应用于社会的各个方面，RBAC技术由于引进了对角色和层次化的管理，针对用户数量庞大，系统功能不断扩充的大型信息系统特别适用，为大型可扩展信息系统的提供了平安管理方案。 1 基于RBAC的权限访问技术应用 RBAC模型作为一个较新的权限访问技术，通过角色配置用户和权限，增加了灵活性；支持多管理员的分布式管理；支持由简到繁的层次模型，适合各种平安需要；完全独立于其它平安手段，是策略中立的。 实践是检验真理的唯一标准，RBAC模型自产生以来一直应用于各种信息系统，经受住了实用性的检验。首先，企业结构可以很直观地通过角色和角色层次映射到信息系统中，非常简洁而且易于应用。其次，一旦权限初始化设置好以后，就不需要再做大幅度的调整与修改。因为直接与权限相对应的是角色，而非用户，企业内部的人员可能会调动频繁，但是岗位职责本身却是很少变化的。由于权限控制是基于岗位职责的而不是基于职员的，所以权限控制机制不会随着人员的调动而产生太多的影响。而且，由于RBAC模型支持访问权限的委托机制，使得其更加适用于企业。例如，当系统管理员需要请假时，他只需要简单地将系统中管理员这个角色转授于其他用户，即可将他所拥有的管理权限临时交给另一个职员来代理，而无需其他繁琐的步骤就能完成，十分方便。这些特点使RBAC模型非常适合应用于大型的企业信息系统。 2 权限管理子系统的解决方案 权限管理系统的目标就是要将权限管理独立出来，在RBAC模型上，建立起新的权限管理系统，外部应用只要通过调用系统提供的接口，来实现权限管理的通用性。同时，本系统更要考虑到可扩充性。为此，系统内部要实现以下功能： 2.1 权限主体的管理 系统要能够管理用户，例如添加新的用户，能查询用户的信息，对于用户还要实现删除和修改等。在用户的权限方面，要能实现有效的管理。 2.2 资源管理 系统必须要能做好资源的配置，因为外部应用各种各样，因而资源的管理要做到具有很好的可扩展性。 2.3 角色管理 角色别离了权限管理和权限，必须能很好的定义角色，同时要能实现角色的诸多操作。 2.4 权限管理 要建立起用户对资源的访问机制，实现可靠、并可扩充的权限管理功能。 为了提高整个系统的平安性，需要限定可以系统的人员范围，同时对于可以的人员需要限定其可见的菜单和数据范围。权限系统即是否可以满足这个需求。权限管理系统的功能如下： 验证用户信息，确定其是否可以系统。确定职员可见的业务系统菜单和数据范围。提供职员的属性信息给业务系统。职员，角色等信息的维护。记录系统操作日志并提供查询功能。 用户向框架提出申请，框架通过权限系统对职员的用户名密码等信息进行验证，权限系统向框架返回验证结果，同时确定人员的权限范围。成功后，权限系统向业务系统提供认证及其它数据信息。权限系统和框架及其他业务系统之间的关系如图2所示。 3 基于RBAC的权限管理系统设计 权限管理系统的物理设计是包括人员管理、权限管理、角色管理、功能管理和日志管理五个局部。 3.1 人员管理模块 本模块管理职员信息，包括增加、修改、删除、查询、权限微调、密码恢复、权限及查看功能。人员管理模块操作员表结构表1所示。 3.2 日志查询模块 本模块用于操作日志查询。 提供的查询条件包括菜单，起始时间，终止时间，职员账号，描述。通过页面提供的区域树和菜单树选择查询的区域范围和菜单，选择起始时间和终止时间确定查找的时间范围，查询结果列表信息包括：职员账号，操作时间，系统菜单，功能菜单，按钮。系统提供查看详细信息的功能，详细信息包括：操作人员工号、操作人员姓名、登陆时间、退出时间、登陆主机IP地址、操作类型、操作对象、操作动作、操作结果，详细信息描述等。 日志管理模块工作记录表结构如表2所示。 3.3 权限管理模块 在系统中添加，修改，删除，查询系统的功能信息，如子系统，菜单，按钮，页面组件等信息。 这项功能在系统升级时会用到，但通常的系统升级会有功能信息的初始化数据直接写表。所以该功能在系统维护时用的也比拟少，查询用到的比拟多，查询功能的详细。 权限管理模块账户权限微调表结构如表3所示。 3.4 角色管理模块 本模块完成对功能角色的维护，包括功能角色的查询，增加，修改，删除〔先修改角色状态为无效〕，角色合并，查看权限和对角色的赋权。 角色管理模块角色表结构如表4所示。 3 结束语 RBAC模型是目前国际上流行的平安访问控制方法，本文基于RBAC构建一个通用的、完善的、平安的、易于管理的、有良好的可移植性和扩展性的权限管理系统。在今后的应用中，随着用户对信息系统平安控制要求的不断提高和细化，权限的管理和控制还有待进一步的研究和探讨。 参考文献 [1] 孙群.多组织多用户条件下基于角色的访问控制[D].[硕士论文].济南：山东大学，2022. [2] 孔小萌.基于RBAC多层集中式信息授权管理系统设计[J].南通航运职业技术学院学报，2023，8〔1〕： 93-96. [3] 黄箐，马德山，项链.基于角色的平安框架设计与实现[J].西北民族大学学报〔自然科学版〕，2023，29〔1〕：33-39. 作者单位 辽宁省大连东软信息学院 116023