基于三员管理和拓展的角色访问控制方法技术

本发明专利技术提供一种基于三员管理和拓展的角色访问控制(TMMERBAC)方法，将角色划分为普通角色和系统角色并进一步将系统角色细分为系统管理员、安全管理员和安全审计员三员进行系统管理；引入部门概念，采用用户‑部门‑角色‑权限和用户‑角色‑权限两种授权方式，并将TMMERBAC策略应用于具体工项目管理系统中，表明了TMMERBAC策略能够提高授权灵活性、减低授权复杂性、细分控制粒度的优点。

Role access control method based on three member management and development

The invention provides a three member management and development based on role-based access control (TMMERBAC) method, will be divided into the role of common role and role and further subdivided system role management system for system administrators, security administrators and security auditors three; into the Department concept, using user permissions and roles department the user two authorization role permissions, and TMMERBAC strategy will be applied to specific engineering project management system, show that the TMMERBAC strategy can improve the advantages of flexibility, reduce the complexity of authorization authorization, subdivision control granularity.

【技术实现步骤摘要】

本专利技术涉及信息对抗/信息安全
，具体而言涉及一种基于三员管理和拓展的角色访问控制方法。
技术介绍
随着信息化的高速发展，越来越多的企业采用信息系统对企业信息进行有效管理。目前国内外众多企业信息系统包含许多关于企业及员工相关的秘密信息，为了能够高效地防止非法用户进入系统访问信息资源和阻止合法用户对未拥有权限的系统资源进行访问，需要采用信息安全中的访问控制技术对用户和不法份子的权限予以限制。现阶段许多企业不采用任何访问控制策略，或者采用的访问控制策略大多基于传统的自主访问控制策略、强访问控制策略或者角色访问控制策略，随着时代的发展和信息技术的进步，使得信息系统的规模不断扩大，用户数量不断增加及变动，自主访问控制策略和强访问控制策略已经很难满足现代信息系统的需求，同时角色访问控制策略存在灵活度不高、扩展性低、控制粒度较粗的问题。而对于一些基于传统访问控制策略进行改进的新型策略，如面向任务的访问控制策略、面向服务的工作流访问控制策略以及使用控制策略等，应用的范围较为狭窄，同时实施难度较大，实际应用性不高。为此，现代信息系统急需一种新型访问控制策略能够普遍适用于企业信息系统，从而达到维护信息系统安全的目的。
技术实现思路
本专利技术目的在于提供一种基于三员管理和拓展的角色访问控制方法，基于三员管理和拓展的角色访问控制(TMMERBAC)策略，将角色划分为普通角色和系统角色并进一步将系统角色细分为系统管理员、安全管理员和安全审计员三员进行系统管理；引入部门概念，采用用户-部门-角色-权限和用户-角色-权限两种授权方式，提高授权灵活性、减低授权复杂性、细分控制粒度。为达成上述目的，本专利技术提出一种基于三员管理和拓展的角色访问控制方法，包括：步骤1、在信息管理系统中建立系统管理员、安全管理员和安全审计员三员管理系统，其中，系统管理员被设置用于实现系统中的用户账号、角色信息的管理；安全管理员被设置用于实现系统中的角色权限分配、用户权限分配、部门权限分配和授权管理；安全审计员被设置用于依据信息管理系统的数据库中所记录的日志表，监管系统中用户、系统管理员和安全管理员的所有操作，包括对信息的添加、修改以及删除；步骤2、系统管理员添加角色信息；步骤3、系统管理员在接收到纸质审批单后，为企业人员添加用户信息，并将初始给予用户，所述用户包括普通用户；步骤4、安全管理员在接收到纸质审批单并且在步骤3的用户创建完成后，依据设定规则为每种角色、每个用户以及每类部门分配默认相关权限；步骤5、安全审计员对安全管理员和系统管理员的日志进行实时监督和审查，对可疑的用户行为进行账号锁定并上报；步骤6、系统管理员对已冻结的用户进行调查处理，结束之后方可对所冻结的账号解锁；步骤7、普通用户使用账号和密码登录信息管理系统，在其自身的权限范围内完成工作和任务，之后注销账号，安全退出系统。进一步地，前述方法更加包含以下步骤：安全审计员定期对信息管理系统中的日志进行备份和清理。进一步地，所述系统管理员对用户账号、角色信息的管理具体包括：创建用户：当系统管理员根据指令按照所提供的信息创建账号名称和初始密码，并录入用户相关信息；维护角色信息：系统管理员更新角色信息，并添加或者删除相关角色；用户解锁：对于某些用户存在危险的行为导致账号冻结，在核实查明原因后，由系统管理员进行用户账号解锁。进一步地，前述方法中，所述安全管理员对角色权限分配、用户权限分配、部门权限分配和授权管理具体包括：角色权限分配：在维护完角色信息后，给角色分配相应的权限，其中存在相互冲突的、有重叠权限的角色；用户权限分配：安全管理员给用户分配权限；部门权限分配：安全管理员依据部门的实际情况添加不同种角色；授权管理：安全管理员将账号与相关部门中的角色对应起来，或者直接将账号与角色对应起来，完成角色的授权管理。进一步地，前述方法中，所述系统管理员和安全管理员在为用户分配权限时，采用下述方式实现：系统管理员在SYAD类中按照要求在User类中创建一个新的用户，完成后返回创建成功消息；之后由SEAD类中安全管理员采用U-D-R-P策略或者U-R-P策略对User类中某一用户进行权限分配，权限分配是从Operations类和Objects类选取操作权限和系统资源，完成后返回分配成功消息；在权限分配过程中，SEAU类中安全审计员实时监督SYAD类中系统管理员和SEAD类中安全管理员的行为。由以上本专利技术的技术方案可知，本专利技术的显著优点在于：在用户不断增加且时常变化的今天，信息系统能够高效地为用户分配权限是确保信息安全的有效方式，也是保障信息系统中所有资源合理使用的基本途径。本访问策略的研发基于上述背景下，通过信息安全技术中的访问控制技术，提出了一种基于三员管理和拓展的角色访问控制(TMMERBAC)策略，将角色划分为普通角色和系统角色并进一步将系统角色细分为系统管理员、安全管理员和安全审计员三员进行系统管理；引入部门概念，采用用户-部门-角色-权限和用户-角色-权限两种授权方式，并将TMMERBAC策略应用于某军工项目管理系统中，表明了TMMERBAC策略能够提高授权灵活性、减低授权复杂性、细分控制粒度。应当理解，前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的专利技术主题的一部分。另外，所要求保护的主题的所有组合都被视为本公开的专利技术主题的一部分。结合附图从下面的描述中可以更加全面地理解本专利技术教导的前述和其他方面、实施例和特征。本专利技术的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见，或通过根据本专利技术教导的具体实施方式的实践中得知。附图说明图1是根据本专利技术某些实施例的基于三员管理和拓展的角色访问控制方法的流程示意图。图2是根据本专利技术某些实施例的TMMERBAC总体模型。图3是根据本专利技术某些实施例的三员管理关系图。图4是TMMERBAC策略设计主要类和关系图。图5是TMMERBAC策略时序图。具体实施方式为了更了解本专利技术的
技术实现思路
，特举具体实施例并配合所附图式说明如下。结合图1-5所示，本专利技术提出的基于三员管理和拓展的角色访问控制方法使基于三员管理和拓展的角色访问控制策略可普遍应用于企业信息系统中，通过此策略能够较好的为用户分配权限，同时细分系统角色能够相互协作、相互制约，极大地避免了权限的滥用。结合图1，基于三员管理和拓展的角色访问控制方法包括下述步骤：步骤1、在信息管理系统中建立系统管理员、安全管理员和安全审计员三员管理系统，其中，系统管理员被设置用于实现系统中的用户账号、角色信息的管理；安全管理员被设置用于实现系统中的角色权限分配、用户权限分配、部门权限分配和授权管理；安全审计员被设置用于依据信息管理系统的数据库中所记录的日志表，监管系统中用户、系统管理员和安全管理员的所有操作，包括对信息的添加、修改以及删除；步骤2、系统管理员添加角色信息；步骤3、系统管理员在接收到纸质审批单后，为企业人员添加用户信息，并将初始给予用户，所述用户包括普通用户；步骤4、安全管理员在接收到纸质审批单并且在步骤3的用户创建完成后，依据设定规则为每种角色、每个用户以及每类部门分配默认相关权限；步骤5、安全审计员对安全管理员和系统管理员的日志本文档来自技高网...

【技术保护点】
一种基于三员管理和拓展的角色访问控制方法，其特征在于，包括：：步骤1、在信息管理系统中建立系统管理员、安全管理员和安全审计员三员管理系统，其中，系统管理员被设置用于实现系统中的用户账号、角色信息的管理；安全管理员被设置用于实现系统中的角色权限分配、用户权限分配、部门权限分配和授权管理；安全审计员被设置用于依据信息管理系统的数据库中所记录的日志表，监管系统中用户、系统管理员和安全管理员的所有操作，包括对信息的添加、修改以及删除；步骤2、系统管理员添加角色信息；步骤3、系统管理员在接收到纸质审批单后，为企业人员添加用户信息，并将初始给予用户，所述用户包括普通用户；步骤4、安全管理员在接收到纸质审批单并且在步骤3的用户创建完成后，依据设定规则为每种角色、每个用户以及每类部门分配默认相关权限；步骤5、安全审计员对安全管理员和系统管理员的日志进行实时监督和审查，对可疑的用户行为进行账号锁定并上报；步骤6、系统管理员对已冻结的用户进行调查处理，结束之后方可对所冻结的账号解锁；步骤7、普通用户使用账号和密码登录信息管理系统，在其自身的权限范围内完成工作和任务，之后注销账号，安全退出系统。

【技术特征摘要】
1.一种基于三员管理和拓展的角色访问控制方法，其特征在于，包括：：步骤1、在信息管理系统中建立系统管理员、安全管理员和安全审计员三员管理系统，其中，系统管理员被设置用于实现系统中的用户账号、角色信息的管理；安全管理员被设置用于实现系统中的角色权限分配、用户权限分配、部门权限分配和授权管理；安全审计员被设置用于依据信息管理系统的数据库中所记录的日志表，监管系统中用户、系统管理员和安全管理员的所有操作，包括对信息的添加、修改以及删除；步骤2、系统管理员添加角色信息；步骤3、系统管理员在接收到纸质审批单后，为企业人员添加用户信息，并将初始给予用户，所述用户包括普通用户；步骤4、安全管理员在接收到纸质审批单并且在步骤3的用户创建完成后，依据设定规则为每种角色、每个用户以及每类部门分配默认相关权限；步骤5、安全审计员对安全管理员和系统管理员的日志进行实时监督和审查，对可疑的用户行为进行账号锁定并上报；步骤6、系统管理员对已冻结的用户进行调查处理，结束之后方可对所冻结的账号解锁；步骤7、普通用户使用账号和密码登录信息管理系统，在其自身的权限范围内完成工作和任务，之后注销账号，安全退出系统。2.根据权利要求1所述的基于三员管理和拓展的角色访问控制方法，其特征在于，前述方法更加包含以下步骤：安全审计员定期对信息管理系统中的日志进行备份和清理。3.根据权利要求1所述的基于三员管理和拓展的角色访问控制方法，其特征在于，所述系统管理员对用户账号、角色信息的管理具...

【专利技术属性】
技术研发人员：周良，翁超，
申请(专利权)人：南京航空航天大学，
类型：发明
国别省市：江苏;32