基于角色的動(dòng)態(tài)用戶權(quán)限管理的研究與實(shí)現(xiàn)

1、 基于角色的動(dòng)態(tài)用戶權(quán)限管理的研究與實(shí)現(xiàn)金松河 1,2, 陶宏才 1, 黃 敏 2(1. 西南交通大學(xué) 計(jì)算機(jī)與通信工程學(xué)院 , 四川 成都 610031;2. 鄭州輕工業(yè)學(xué)院 計(jì)算機(jī)科學(xué)與工程系 ,河南 鄭州 450002摘 要 用戶權(quán)限管理是管理信息系統(tǒng) (MIS 設(shè)計(jì)中的重要環(huán)節(jié) , 是系統(tǒng)安全運(yùn)行的有力保證 . 簡要介紹了基于角色的權(quán) 限管理 (RBAC , 并提出了一種通用的動(dòng)態(tài)用戶權(quán)限管理方案及實(shí)現(xiàn)方法 .關(guān)鍵詞 MIS ; 權(quán)限管理 ;RBAC ; 角色 ; 菜單項(xiàng)【中圖分類號(hào)】 TP309 【文獻(xiàn)標(biāo)識(shí)碼】 A 【文章編號(hào)】 1672(- , M 員也與日俱增 . , M IS

2、. 為此 , 人們 設(shè)計(jì)了各種各樣的權(quán)限管理模型 , 以確保只有被授 權(quán)的用戶才能訪問某些敏感的數(shù)據(jù)和信息 , 其中基 于角 色 的 權(quán) 限 控 制 (Role-Based Access Control , RBAC 模型得到了越來越廣泛的認(rèn)同 . 本文結(jié)合筆 者開發(fā)網(wǎng)絡(luò) M IS 系統(tǒng)的實(shí)踐 , 論述了如何利用基于 角色的存取控制模型 , 為 M IS 建立相應(yīng)的安全控制 機(jī)制 , 實(shí)現(xiàn)動(dòng)態(tài) 、 安全 、 靈活 、 方便的用戶權(quán)限管理 .1 BRAC 的工作原理用戶所具有的訪問權(quán)限決定了他是否有權(quán)訪問 某一特定資源或執(zhí)行某種特定操作 . 傳統(tǒng)的權(quán)限控 制是通過將訪問權(quán)限直接和用戶對(duì)應(yīng)起來的方

3、式實(shí) 現(xiàn)的 . 但隨著網(wǎng)絡(luò)數(shù)據(jù)庫和分布式數(shù)據(jù)庫的快速發(fā) 展 ,M IS 的規(guī)模日益增大 、 用戶與日俱增 , 并且他們 可訪問的信息資源的結(jié)構(gòu)也日趨復(fù)雜 , 如果還使用 這種傳統(tǒng)的訪問控制機(jī)制 , 那么存取權(quán)限的管理將 會(huì)變的十分復(fù)雜 , 難以滿足現(xiàn)實(shí)的需求 , 由此產(chǎn)生了 RBAC. 下面我們簡單介紹一下 RBAC 中的幾個(gè)重要 概念 . (1 用戶 :對(duì)數(shù)據(jù)對(duì)象進(jìn)行操作的主體 ; (2 權(quán) 限 :對(duì)某一數(shù)據(jù)對(duì)象的可操作權(quán)利 ; (3 角色 :是為用 戶或用戶組定義的一組權(quán)限集 , 用于表明擁有該角 色的用戶所具有的對(duì)數(shù)據(jù)庫對(duì)象 (表 、 視圖 、 存儲(chǔ)過 程 的訪問權(quán)限 . 將這個(gè)概念引入

4、到權(quán)限管理中來 , 就使得角色成為聯(lián)系用戶和權(quán)限的橋梁 . (4 角色層 次 :為了提高效率 , 避免相同權(quán)限的重復(fù)設(shè)置 ,RBAC 提出了 “ 角色層次” 的概念 . 它允許將某一些角色定, 通過角色之間的繼承關(guān)系 , 間接地?fù)碛衅渥咏巧x的權(quán)限 . 在角色層次 關(guān)系圖中 , 處于最上面的角色擁有最大的訪問權(quán)限 , 越下面的角色擁有的權(quán)限越少 . 例如 :當(dāng)角色 A 的權(quán) 限集是另一角色 B 的權(quán)限集的子集時(shí) , 我們只需要 對(duì)角色 A 進(jìn)行權(quán)限授權(quán) , 不須將相同的權(quán)限再次賦 予角色 B. 因?yàn)橥ㄟ^角色的繼承 , 將角色 A 設(shè)置為角 色 B 的子角色就可以了 . 這樣就在最大程度上減

5、輕 了系統(tǒng)管理員的工作負(fù)擔(dān) , 同時(shí)也減少了出錯(cuò)的可 能性 . (5 約束 :通過設(shè)置約束條件 , 可以對(duì)角色授權(quán) 和用戶授權(quán)進(jìn)行必要的限制 , 否則就可能為欺詐行 為創(chuàng)造了機(jī)會(huì) , 給企業(yè)帶來不可預(yù)測的損失 .在 RBAC 的體系中 , 用戶和角色 、 權(quán)限和角色都 是多對(duì)多的關(guān)系 , 即一個(gè)用戶可以被賦予多個(gè)角色 , 一個(gè)角色也可以被賦予多個(gè)用戶 , 一個(gè)角色可以擁 有多項(xiàng)權(quán)限 , 一個(gè)權(quán)限可以分配給多個(gè)角色 .一個(gè)系統(tǒng)用戶可以通過他具有的角色的權(quán)限來 判斷他可以訪問的系統(tǒng)資源和對(duì)該資源可進(jìn)行的操 作 , 這就是 RBAC 最基本的工作原理 .2 RBAC 的特點(diǎn)RBAC 具有很強(qiáng)的靈活性

6、和實(shí)用性 , 其主要特點(diǎn)如下 :(1 簡化數(shù)據(jù)對(duì)象的授權(quán)管理 . DBA 不用每次將 一組權(quán)限賦予個(gè)每個(gè)用戶 . 而只需將此權(quán)限集授予 特定的角色 , 然后再將角色授予應(yīng)該具有該組權(quán)限 集的所有用戶即可 .(2 動(dòng)態(tài)權(quán)限管理 . 一方面 , 當(dāng)數(shù)據(jù)庫對(duì)象的一 組訪問權(quán)限需要改變時(shí) , 只需要改變相應(yīng)的角色的 權(quán)限 , 所有被授予該角色的用戶都將自動(dòng)修改他們收稿日期 :2004-01-07作者簡介 :金松河 (1976 , 男 , 河南人 , 碩士研究生 , 助教 , 主要從事數(shù)據(jù)庫 、 信息安全的研究 .第 13卷第 3期2004年 7月云南民族大學(xué)學(xué)報(bào) (自然科學(xué)版 Journal of Y

7、unnan Nationalities University (Natural Sciences Edition Vol. 13,No. 3J ul. 2004 所具有的權(quán)限 ; 另一方面 , 由于權(quán)限控制是基于角色 的 , 而不是基于用戶的 , 所以如果發(fā)生人員調(diào)動(dòng) , 只 需要給其賦予新的角色即可 , 無須做更多的操作 .這些特點(diǎn)使得 R BAC 非常適合應(yīng)用于大型的企業(yè) 組織 , 而且也符合人們對(duì)現(xiàn)實(shí)世界中事務(wù)的理解習(xí)慣 .3 設(shè)計(jì)思想一個(gè)大型的 M IS 往往建有大量的數(shù)據(jù)對(duì)象 , 與 這些對(duì)象有關(guān)的用戶數(shù)量也極其龐大 , 從用戶權(quán)限 管理工作非常繁重 .在實(shí)際應(yīng)用中 , 用戶提供各項(xiàng)

8、業(yè)務(wù)處理功能 , , . , 將業(yè)務(wù)中的基本子功能作 為基本的菜單項(xiàng) , 然后通過 DBA 的設(shè)置 , 使不同的用 戶執(zhí)行不同的菜單項(xiàng)集 , 但為每一個(gè)用戶維護(hù)其所能 執(zhí)行的全部基本菜單項(xiàng)的工作不是一件輕松的事情 ; 所以 , 需要設(shè)計(jì)出一種通用權(quán)限管理方案 , 以減輕 DBA 的負(fù)擔(dān) . 我們可以根據(jù)各業(yè)務(wù)工作崗位的職能范 圍 , 使每個(gè)工作崗位 (角色 對(duì)應(yīng)一組基本菜單項(xiàng) , 然后再利用角色的繼承性 , 并將某一角色授予某類用戶 , 使該類用戶擁有對(duì)應(yīng)的一系列訪問權(quán)限 . 這樣就 可以大大的降低 DBA 的工作量 , 因?yàn)?, 若某用戶的工 作崗位發(fā)生變化 , 只需要改變該用戶的崗位角色

9、, 其 存取權(quán)限將自動(dòng)改變 ; 若某崗位職能發(fā)生變化 , 也只 需要調(diào)整該崗位角色所包含的基本菜單項(xiàng) , 屬于該崗 位的所有人員的存取權(quán)限也自動(dòng)隨之改變 . 這種處理 方式既符合業(yè)務(wù)上的習(xí)慣 , 又大大降低了操作的復(fù)雜 性 . 系統(tǒng)中各種對(duì)應(yīng)關(guān)系如圖 1所示 .圖 1 對(duì)應(yīng)關(guān)系圖對(duì)于一個(gè)具體的用戶如何判斷是否有權(quán)限訪問 特定的系統(tǒng)資源呢 ? 下面介紹一下判斷流程 .當(dāng)一個(gè)用戶要求訪問系統(tǒng)中的某種資源時(shí) , 首 先判斷該用戶所屬角色是否有權(quán)限訪問該系統(tǒng)資 源 , 如果沒有該項(xiàng)權(quán)限時(shí) , 再判斷該角色是否有子角 色 , 如果沒有 , 就直接拒絕其訪問 ; 否則 , 就去查詢其 子角色是否擁有該權(quán)限

10、 , 只有當(dāng)該角色的所有子角 色以及它的子角色的子角色都沒有訪問權(quán)限的時(shí) 候 , 才拒絕訪問 .4 系統(tǒng)實(shí)現(xiàn). 可以建立如 表 1 用戶信息表 字段名 注釋 User id用戶編號(hào) User name 用戶名 Password 用戶密碼Role id表 2 角色信息表 字段名 注釋 Role id角色編號(hào) Role type是否有子角色表 3 角色層次表 字段名 注釋 Role id1角色編號(hào) Role id2子角色編號(hào)表 4 菜單項(xiàng)與角色關(guān)系表 字段名 注釋 Menuitem id菜單項(xiàng)編號(hào) Role id角色編號(hào)表 5 角色互斥表 字段名 注釋 Role id1角色編號(hào) 1Role id2

11、角色編號(hào) 2表 6 菜單項(xiàng)互斥表字段名 注釋 MenuItem id1菜單項(xiàng)編號(hào) 1MenuItem id2菜單項(xiàng)編號(hào) 2 對(duì)于用戶的權(quán)限控制 , 可以通過以下兩種方式來實(shí)現(xiàn) :(1 在用戶登錄系統(tǒng)的時(shí)候 , 系統(tǒng)主動(dòng)去獲 取該用戶所擁有的功能權(quán)限 . 在用戶進(jìn)入系統(tǒng)后 , 只 顯示那些用戶有權(quán)訪問的功能菜單 , 將那些用戶不 具有訪問權(quán)限的功能菜單設(shè)置為對(duì)該用戶不可見 ; (2 在用戶具體提出訪問某一資源的請求時(shí) , 系統(tǒng)才 去檢查該用戶是否具有訪問該資源的權(quán)限 .(下轉(zhuǎn)第 231頁 722第 3期 金松河 , 等 :基于角色的動(dòng)態(tài)用戶權(quán)限管理的研究與實(shí)現(xiàn) The interface bet

12、ween C/C +and assembler in gcc/g +WAN G Xun 2bao 2,CHEN Fu 2long 1,L I Ming 2dong 3(1. Department Computer Science and Technology ,Anhui Normal University ,Wuhu 241000,China ;2. An 2hui Institute of International Business , Hefei 230051,China ;3. Department Computer Science ,West China Nor 2mal Univ

13、ersity ,Nanchong 637002,China Abstract :Asa low -grade language , assemble language operating system , which can bring to some functions that other languages , between as 2sembler and C/C +program that calls it in gcc/Linux , is analyzed in detail.K ey w ords :gcc;g +; ; (責(zé)任編輯 :楊多立 (上接第 227頁 5 結(jié)束語本文

14、在介紹了 RBAC 的基礎(chǔ)上 , 提出了一種動(dòng)態(tài)用戶權(quán)限管理的實(shí)現(xiàn)方案 . 該方案已在筆者開發(fā)的某公 司生產(chǎn)管理信息系統(tǒng)中得到了實(shí)現(xiàn) , 使用起來方便 、 靈活 、 安全 , 并且還大大地降低了 DBA 的工作負(fù)擔(dān) , 具有 較高的推廣價(jià)值 . 參考文獻(xiàn) :1 何玉潔 , 武欣 , 鄧一凡 . 數(shù)據(jù)庫設(shè)計(jì) M .北京 :機(jī)械工業(yè)出版社 ,2001. 2 劉起原 , 劉怡 . 數(shù)據(jù)庫與信息系統(tǒng)的安全 M .北京 :科學(xué)出版社 ,2000. 3 孫炳旭 , 梁茂盛 . SQL Server 使用管理指南 M .北京 :機(jī)械工業(yè)出版社 ,2000.Research and implementatio

15、n of dynamic user -privilege management based on roleJ IN Song -He 1,2, TAO Hong -Cai 1, HUAN G Min 2(1. School of Computer &Communication Engineering , Southwest Jiaotong University ,ChengDu 610031,China ; 2. Department of C omputer Science &Engineering ,Zhengzhou Institute of Light Industry , ZhengZhou 450002,China Abstract :User-privilege management is very important in design of M IS and is safe assurance of system. This pap