基于角色的访问控制方法研究

基于角色的访问控制方法研究

伍爱宝骆寅

伍爱宝骆寅江西蓝天学院

【摘要】基于角色的访问控制是一种新型的访问控制模型，它的基本思想是将权限与角色联系起来，在系统中根据应用的需要为不同的工作岗位创建相应的角色，同时根据用户职能和责任指派合适的角色，用户通过所指派的角色获得相应的权限实现对文件的访问。

【关键词】访问控制角色自主

【中图分类号】F224-39【文献标识码】A【文章编号】1674－4810（2011）10－0028－01

一引言

访问控制的定义是指经过身份验证的主体依据约定的规则集合，控制对客体合法行使访问权限的过程。这里的主体是指访问的进程、设备或进行访问的人，客体是指将要被访问到的数据。访问控制可以简单地表示成为一个三元组：AC＝{subject，permission，rule—set}。当前基于角色访问控制正在信息管理系统中逐渐被推广和应用，构成了信息管理系统安全机制的一个重要组成部分。如何设计一个构建灵活、操作安全、管理分布的基于角色访问控制系统，已成为实现信息管理系统安全机制的重要课题。

计算机网络的发展与普及使信息系统的安全问题日益突出，系统的安全技术也成为人们研究的热点，访问控制是实现既定安全策略的系统安全技术，它管理所有资源访问请求，即根据安全策略的要求，对每一个资源访问请求做出是否许可的判断，能有效地防止非法用户访问系统资源和合法用户非法使用资源。美国国防部的可信计算机系统评估标准（TESEC）把访问控制作为评价系统安全的主要指标，访问控制对提高系统安全性的重要性不言而喻。

二基于角色访问控制方法在BBS中的应用

1．数据库中的角色控制

数据库中的用户表（见表1），体现了用户的基本信息。其中UserName字段表示的是用户名，UserPass表示的是用户登录密码，Menbercode是数字类型，代表的是用户权限类型，其值从0～5分别表示为0游客，1普通会员，2嘉宾会员，3版主，4管理员，5社区区长。UserHome表示的是个人主页，PasswordQuestion表示的是密码提示问题。PasswordAnswer表示的是密码提示答案。

表1用户信息表

2．角色关系的设计

角色关系图，见图1。图中阐释了角色权限关系的设置。系统将功能权限以普通用户权限和高级管理用户权限的形式分别发放给低级角色和高级角色，其中高级管理用户权限不包括普通用户权限，其只从事用户和论坛的管理。然后高级角色也可以通过设置获取低级角色的权限，从而具备普通用户权限，可以从事对论坛的浏览和发帖、回帖等功能。另外高级用户中也可以自行获取权限，比如：社区的社长有添加删除管理员的权限，另外也可以获取管理员的管理权限和低级角色的普通权限。

3．角色权限的设计

用户进入论坛后，对其后台的角色赋予权限的操作。首先，当一个用户登入论坛时，系统会通过调用数据库来获取其用户的角色，并通过当前的角色来判定其直接权限，并且判定是否能够对其授权。如果其直接权限能够授权，就允许访问。如果其直接权限不授权的话，那么就要开始去判定其间接权限了。系统通过其角色的级别来判定是否达到访问的角色级别，如果没有达到，系统会对其用户实施拒绝访问的操作，如果其用户的角色级别大于访问级别的话，系统就会帮这个用户调用当前需求的角色权限，使其能够授权访问。

4．处理角色互斥

以下是处理角色互斥的算法，ARBAC97模型中定义的角色互斥是由虚拟角色维上定义的虚拟角色互斥通过直积而得到的。因此，本文给出添加虚拟角色互斥算法的伪码表示，算法添加和删除给定角色维上的角色互斥，然后管理员可以通过指定不同的角色互斥策略来生成系统角色集上的角色互斥定义。

Algorithm:AddVirtualMutualExclusion

Input:VirtualRolevr1，vr2

Output:Bool

Description:Returntrueifsuccessfully，AddVirtualMutualExclusion

BeginIFIsVirtualinherit(vr1，vr2)OR

IsVirtualinherit(vr2，vr1)

Then:Returnfalse

Endif:IFMutualExclusion(vr1，vr2)

Then:Add(vr1，vr2)intocurrentVRME

Endif:RETURNtrue

End

三小结

随着基于角色访问控制技术的深入研究，系统的安全访问是通过用户认证和用户权限管理来实现的。各类系统的整个体系结构上要设计成安全可靠、配置灵活、易扩展的安全控制模块。

参考文献

［1］KusatsuKoheiTsudaandRuckThawonmas，KeywordDiscoverybyMeasuringInfluenceRatesonBulletinBoardServices［M］.Shiga525～8577，Japan