本发明专利技术公开了一种基于改进RBAC的纺织生产管理系统数据安全设计方法,包括如下步骤:定义一个义务,使其成为RBAC的一个基本元素;定义一个与义务相关的奖罚机制;在RBAC的四种基本元素用户U、角色R、权限P、会话S的基础上,扩充上述义务和奖罚元素,形成一个元组E,即E=<U,R,P,O,RP,S,D,RPD>。本发明专利技术通过角色、义务及其奖罚机制,从而把角色、用户、操作、对象等相互间的关系整合到基于角色的安全访问模型中,方便用户对角色的访问控制,以及角色对权限的访问控制。可以根据每个用户不同业务需求,赋予他们不同的角色,满足他们不同的访问要求,同时又保证不同区域的网络数据安全,提高数据的访问安全性。
【技术实现步骤摘要】
本专利技术涉及纺织生产管理领域,具体涉及一种基于改进RBAC的纺织生产管理系统数据安全设计方法。
技术介绍
目前,国内外纺织学者对纺织生产信息系统访问控制问题的研究已趋于成熟,达成了广泛共识。如刘辉以角色访问控制为基础,设计了一种基于角色的访问控制模型,颜超提出了一种基于角色访问控制模型中的授权约束机制以及授权规则定义,并给出了模型中各要素的形式化描述等。但还有很多问题正在出现,需要人们去解答。诸如:(1)由于纺织制造执行系统是处于其他车间监测系统的上层,其集成了多个车间、部门的系统用户、角色,基于RBAC的访问控制方法虽使用户与权限的分离,但在增、删用户时多系统间的用户、权限关系易出错;(2)在上述文献中,虽有人应用了基于RBAC的访问控制方法,但RBAC的受控对象主要是静态的文档、属性数据表(如品种计划、机台运行参数、系统用户、轮班信息等),而未涉及纺织动态数据的访问控制:(3)RBAC控制的粒度一般只能到某一数据库的某一数据表,而不能细化到具体数据表的某一具体字段、记录等,如细化到品种信息表的英制名称、公制名称等字段,使具有访问控制权限的用户可对其进行读写操作,相反,对其进行透明。在信息系统的安全机制研究方面,国内外学者们已提出了多种方法,并趋于成熟。诸如基于角色(Ferraiolo and Kuhn,1992;李孟珂等,2000;钟华等,2000)、任务(邓集波等,2003)、角色和任务(Sejong and Seog,2003)的访问控制模型。其中,基于角色的访问控制模型(Role-Based Access Control,RBAC)最为流行,极大地提高了系统信息的安全性。对于纺织企业而言,主要的信息数据可归为两大类:一是业务数据(如生产计划、工艺数据等);另一类为生产数据(如产量、质量、设备利用率等)。其中,业务数据在整个生产制造过程中,属于一种静态数据,即数据变动频率较低;而生产数据在整个生产制造过程中,变动频率较高,属于一种动态数据,这样,如何有效保证整个制造过程中生产数据的完整性、安全性,则成为系统设计过程中的一个技术难点。鉴于集成化监控系统具有用户众多、访问相对集中、数据传输量大的特点,加之,数据源于不同车间或部门的系统数据库,使得系统的信息安全问题成为设计过程中的一个难点。访问控制作为信息系统的安全技术,近几年得到了较大的发展。而基于角色的访问控制技术RBAC(Role-Based Access Control),作为信息安全领域的一种新技术,得到了学者们的重 视,其中最具代表性的为RBAC96模型,如图1所示。RBAC模型一经提出,受到了学者们的极大关注,并且在此基础上又提出了许多补充和改进的模型。申请人在前期的纺织生产监控系统设计过程中,也将其引入系统的访问控制中,并根据用户在系统中所担当的角色不同,将用户和权限分离,以满足不同系统用户的需要,取得了良好效果。但是,随着系统用户数量、生产数据量的日益增长,发现RBAC模型在一定程度上还存在局限性,并不能全满足纺织企业集成化监控系统的访问控制。如在RBAC模型中,将每个用户根据所属部门或车间进行归类,使每个部门(车间)在系统中所归属的角色不同,特别是,对一个用户所属多个部门,每个部门拥有多种用户角色的情形,无法明确定义权限的具体实施,即有权限的用户(角色)必须实施某种义务应有明确的定义或奖罚机制,如系统在运行过程中出现网络无法连接的提示时,网络管理员应立即做出权限的实施。这样,才能有效地保证整个生产过程的连续性和有序性。还有,在RBAC模型中,对权限操作间的交互关系也没有定义。在集成化监控系统的实际应用中,可能各权限之间有明显的依赖关系存在,尤其是在部门与车间之间的一种上下级所属关系,以及用户与所属部门间的一对多关系,要分配某种权限,可能还需要首先直接分配另一个权限。如审核车间的品种更新记录,则应有申请更改在机品种的操作已经实施。因此,需对这种RBAC模型做一扩充,使其更能满足纺织集成化监控系统的实际需要。在前期系统的开发过程中也曾使用过RBAC方法,经实践证明,还仍存在一些不足:(1)虽采取了基于角色的用户和权限的分离,但在增、删用户时相互间的关系易出错;(2)RBAC的受控对象主要是文档、属性数据表,并没有涉及动态生产数据的访问控制;(3)RBAC控制的粒度一般只能到数据表,不能细化到更小的数据单元,如字段、记录等。
技术实现思路
为解决上述问题,本专利技术提供了一种基于改进RBAC的纺织生产管理系统数据安全设计方法,即可以实现系统数据的动态授权,也可以实现系统数据对象的多级控制,有效保证了系统数据信息的安全性。为实现上述目的,本专利技术采取的技术方案为:基于改进RBAC的纺织生产管理系统数据安全设计方法,包括如下步骤:S1、定义一个义务,使其成为RBAC的一个基本元素,其中,义务表示有权限的用户(角色)必须实施的某一操作,且该义务为被某一条件所驱动或由某一权限的后续,但必须是得到具体的实施;S2、定义一个与义务相关的奖罚机制,具体的定义为:如果义务不执行,就导致违约, 会受到相应的处罚;如果义务成功实施,则进行相应义务的奖励;S3、在RBAC的四种基本元素用户U、角色R、权限P、会话S的基础上,扩充上述义务和奖罚元素,形成一个元组E,即E=<U,R,P,O,RP,S,D,RPD>;其中,O表示义务,意义为在一定条件下对某一对象进行某一操作,则可用一个集合集OS来表示,即OS=<Event|Condition,Operation,Object>;元组OS中的三个元素分别表示为事件/条件、操作及对象;D表示一种角色的分配关系,即RP表示义务实施的奖罚机制,其意义为在某一条件下,对某一对象实施奖励(惩罚)事件,则当奖励时,RP=<Event|Condition,Operation,Object>;否则,表示惩罚机制时,RP∈<Event|Condition,Operation,Object>;RPD是一种奖励处罚的分配关系,表示为本专利技术具有以下有益效果:通过角色、义务及其奖罚机制的定义,从而把角色、用户、操作、对象等相互间的关系整合到基于角色的安全访问模型中,方便了用户对角色的访问控制,以及角色对权限的访问控制。既可以根据每个用户不同业务需求,赋予他们不同的角色,满足他们不同的访问要求,同时又保证了不同区域的网络数据安全,提高了数据的访问安全性。扩展后的RBAC,其角色与RBAC中的角色有所区别,主要体现为:RBAC中的角色是一种权限配置的被动关系,而扩展后的RBAC元组模型,除表示权限配置的被动关系外,通过义务具体实施效果的评判,更能体现角色分配过程的具体化,一定程度上方便了系统管理员分配角色的具体化和简洁化。附图说明图1为现有技术中RBAC96模型的结构图。图2为本专利技术实施例扩展后的实体关系模型。具体实施方式为了使本专利技术的目的及优点更加清楚明白,以下结合实施例对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。本专利技术实施例提供了一种基于改进RBAC的纺织生产管理系统数据安全设计方法,包括如下步骤:S1、定义一个义务,使其成为RB本文档来自技高网...
【技术保护点】
基于改进RBAC的纺织生产管理系统数据安全设计方法,其特征在于,包括如下步骤:S1、定义一个义务,使其成为RBAC的一个基本元素,其中,义务表示有权限的用户必须实施的某一操作,且该义务为被某一条件所驱动或由某一权限的后续,但必须是得到具体的实施;S2、定义一个与义务相关的奖罚机制,具体的定义为:如果义务不执行,就导致违约,会受到相应的处罚;如果义务成功实施,则进行相应义务的奖励;S3、在RBAC的四种基本元素用户U、角色R、权限P、会话S的基础上,扩充上述义务和奖罚元素,形成一个元组E,即E=<U,R,P,O,RP,S,D,RPD>;其中,O表示义务,意义为在一定条件下对某一对象进行某一操作,则可用一个集合集OS来表示,即OS=<Event|Condition,Operation,Object>;元组OS中的三个元素分别表示为事件/条件、操作及对象;D表示一种角色的分配关系,即RP表示义务实施的奖罚机制,其意义为在某一条件下,对某一对象实施奖励(惩罚)事件,则当奖励时,RP=<Event|Condition,Operation,Object>;否则,表示惩罚机制时,RP∈<Event|Condition,Operation,Object>;RPD是一种奖励处罚的分配关系,表示为...
【技术特征摘要】
1.基于改进RBAC的纺织生产管理系统数据安全设计方法,其特征在于,包括如下步骤:S1、定义一个义务,使其成为RBAC的一个基本元素,其中,义务表示有权限的用户必须实施的某一操作,且该义务为被某一条件所驱动或由某一权限的后续,但必须是得到具体的实施;S2、定义一个与义务相关的奖罚机制,具体的定义为:如果义务不执行,就导致违约,会受到相应的处罚;如果义务成功实施,则进行相应义务的奖励;S3、在RBAC的四种基本元素用户U、角色R、权限P、会话S的基础上,扩充上述义务和奖罚元素,形成一个元组E,即E=<U,R,P,O,RP,S,D,RPD>;其中,O表示义务,...
【专利技术属性】
技术研发人员:邵景峰,马晓红,杨晓渝,马创涛,王瑞超,
申请(专利权)人:西安工程大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。