資源描述:
《大型網(wǎng)絡(luò)MIS系統(tǒng)中基于角色的權(quán)限管理》由會員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1����、大型網(wǎng)絡(luò)!"#系統(tǒng)中基于角色的權(quán)限管理歐陽星明張華哲華中理工大學(xué)計算機(jī)學(xué)院(武漢$%""&$)摘要該文分析了大型網(wǎng)絡(luò)’()系統(tǒng)的特征,將基于角色的訪問控制模型引入系統(tǒng)權(quán)限管理�����,提出了一種符合企業(yè)管理結(jié)構(gòu)的基于應(yīng)用層的系統(tǒng)訪問控制管理方式。關(guān)鍵詞角色權(quán)限基于角色的訪問控制模型$%&’()*+’,-..’++/%012%&30&*24’!"#5’16%27’,#8+1’9:;8*04<3049304=>*04?;*@>’*+,--./.,0+,1234.5)67.86.9:3;<=,8/>87?.5@74A,0)67.86.;8BC.6=8,-,/A9D3=;8$%""&$E-A+12*.1B
2��、C=7@;5476-.;8;-A@.@4=.25,2.547.@,0-;5/.’()F.4G,5H.B)A@4.1���,7845,B36.@4=.I,-.JK;@.BL66.@@+,845,-1,B.-784,4=.;B1787@45;47,8,0@A@4.1257?7-./.94=.825.@.84@;@A@4.1L66.@@+,845,-1.4=,BM;@.B,84=.L22-76;47,8-;A.5#C=7@1.4=,B;225,257;4.@4=.1;8;/.1.84@4536435.,04=.6,12;8A#C’86%2,+B5,-.�����,257?7-./.,I,-.NK;@.BL66.
3��、@@+,845,-1,B.-O引言就是可以對某一個特定數(shù)據(jù)對象進(jìn)行某一種特定操作的權(quán)訪問控制決定了一個用戶或程序是否有權(quán)對某一特利��。定資源執(zhí)行某種操作��。傳統(tǒng)的訪問控制主要分為自主型訪問控制(PL+)和強(qiáng)制型訪問控制(’L+)兩種�。隨著網(wǎng)絡(luò)的普及,用戶可訪問的信息資源的結(jié)構(gòu)日益復(fù)雜���,規(guī)模日益增大�����,使用這兩種傳統(tǒng)的訪問控制方式對信息的存取權(quán)限進(jìn)行管理就顯得十分復(fù)雜和不安全�。因此,產(chǎn)生了基于角色的訪問控制(I,-.NK;@.BL66.@@+,845,-���,下文中簡稱為IKL+)��。目前對IKL+模型的研究尚不完善��,其中較為深入的為美國Q.,5/.’;@,8大學(xué)的IKL+RS模型和LIKL+R&模型���。
4、雖然還未形成規(guī)范�����,IKL+的部分概念已在許多軟件產(chǎn)品中體現(xiàn)出來���。在商用數(shù)據(jù)庫管理系統(tǒng)中組角色劃分和授權(quán)�,在DDD的信息資源訪問管理系統(tǒng)中����,在一些網(wǎng)絡(luò)應(yīng)圖O用軟件安全管理系統(tǒng)中,都可以看到越來越多的IKL+的特征�。該文主要結(jié)合筆者實(shí)踐論述了一種在大型網(wǎng)絡(luò)’()角色的概念源于實(shí)際工作中的職務(wù)。一個具體職務(wù)代系統(tǒng)借鑒IKL+的基本原理的授權(quán)機(jī)制,從而實(shí)現(xiàn)統(tǒng)一����,安表了在日常工作中處理某些事務(wù)的權(quán)利。把這個概念引入全���,高效的權(quán)限管理�����。授權(quán)管理中�����,則角色作為中間橋梁把用戶和權(quán)限聯(lián)系起來。一個角色與權(quán)限關(guān)聯(lián)可以看作是該角色擁有的一組權(quán)限的!基本原理集合����,與用戶關(guān)聯(lián)又可以看作是若干具有相同身份的用戶這一節(jié)
5、簡單介紹基于角色訪問控制的基本思想��。的集合����。IKL+的基本模型結(jié)構(gòu)如圖O所示。一個用戶可以被賦予若干角色,一個角色也可以被賦IKL+包含了%個實(shí)體:用戶>@.5���,角色I(xiàn),-.和權(quán)限予給若干個具體用戶�����,用戶和角色之間是多對多的關(guān)系����。同T57?7-./.����。樣,一個角色可以具有多項權(quán)限����,一項權(quán)限也可被賦予給多用戶是對數(shù)據(jù)對象進(jìn)行操作的主體,可以是人����,機(jī)器人個不同的角色,角色和權(quán)限之間也是多對多的關(guān)系�。一個登和計算機(jī)等。錄于某系統(tǒng)的用戶��,可以通過他所具有的角色的權(quán)限來判權(quán)限是對某一數(shù)據(jù)對象的可操作權(quán)利。一般所講的數(shù)斷其可訪問的系統(tǒng)資源和對系統(tǒng)資源可以進(jìn)行的操作�����。這據(jù)對象��,對于數(shù)據(jù)庫系統(tǒng)而言���,可以是
6��、表�����、視圖����、字段����,甚至就是IKL+最基本的工作原理����。是一條記錄����。相應(yīng)的操作有讀�����、寫�、刪除和修改等。一項權(quán)限由圖O還可看到���,角色可以劃分等級�����。各級角色通過繼O%U!"""#$計算機(jī)工程與應(yīng)用承形成偏序關(guān)系�����。同時�,在%&’(中還可引入約束機(jī)制�,對權(quán)限管理系統(tǒng):“用戶———角色———訪問子系統(tǒng)功能授權(quán)的各個環(huán)節(jié)進(jìn)行相應(yīng)的限制。最常見的約束是定義互項的權(quán)限”斥角色和限制可被賦予某特定角色的用戶數(shù)目��。應(yīng)用子系統(tǒng):“訪問子系統(tǒng)功能項的權(quán)限———訪問具&%’(的描述如下:體數(shù)據(jù)庫信息的權(quán)限”)*+,-.用戶�;.*&/0-角色����;1*2.3430-5-權(quán)限�。上述分層訪問權(quán)限管理模式如圖!所示:&6)7表示用戶
7、)被分配的所有角色的集合����;26.7表示角色.被分配的權(quán)限的集合;26)7表示用戶)擁有的權(quán)限的集合����。假設(shè)1!26)7表示用戶)具有某項權(quán)限1。則有1!26)7/8093:;ョ.<=.!&6)7>8?1!26.7@A需求與設(shè)計思路目前���,企業(yè)使用的大型聯(lián)機(jī)BCD應(yīng)用系統(tǒng)都有共享程序�����,允許多個用戶同時訪問一個公用數(shù)據(jù)庫�����。這就要求對數(shù)據(jù)信息特別是共享數(shù)據(jù)庫中的信息進(jìn)行簡單、統(tǒng)一�����、高效、安全的訪問控制�。圖!大型BCD系統(tǒng)包含有許多
