一种改进的RBAC访问控制模型,只需要添加相应的元素,并配置好元素间的关联关系即可,扩展性极强,同时,由于其灵活性减轻了管理人员的维护负担,基于角色的访问控制模型,通过引入“角色”的概念来实现用户与权限的逻辑分离;角色是RBAC模型的核心,是一个或一群用户在组织内可执行的操作的集合;系统根据职权和责任来划分角色,角色可以完成一定的职责;属于角色的用户获得该角色所拥有的权限;用户属于特定的一个或多个角色,角色拥有一个或多个权限,用户通过担任某些角色来获得访问权限,因此,角色成为了沟通主体和客体间联系的中介;角色与用户相比是稳定的,当权限改变时,只需重新分配即可。
【技术实现步骤摘要】
一种计算机系统重要和基础的安全技术。
技术介绍
在现代信息系统中,安全管理一直是设计的核心部分。而访问控制技术则是任何安全信息系统的重要环节,它的主要任务是保证资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以控制。访问控制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。它是对信息系统资源进行保护的重要措施,也是计算机系统最重要和最基础的安全机制。对于访问控制模型的研究,最早产生于20世纪60年代。早期的访问控制模型有Harrison、 Ruzzo和Ulman提出的URU模型,Jones等人提出的I^ke-Grant模型等。随后,出现了两种重要的访问控制方法自主访问控制(Discretionary AccessControl,DAC)和强制访问控制MAC (Mandatory Access Control,MAC)。之后,又出现了一种新的访问控制方法基于角色的访问控制(Role-Based AccessControl, RBAC),但是由于在基于角色的访问控制模型中,系统建立时角的种类已经确定,角色和权限之间的关联关系也已经绑定完成,系统可扩展性差ο
技术实现思路
本专利技术就是针对上述问题,提供一种自定义子角色访问控制模型。为实现以上目的,本专利技术采用如下技术方案,基于角色的访问控制模型,通过引入 “角色”的概念来实现用户与权限的逻辑分离;角色是RBAC模型的核心,是一个或一群用户在组织内可执行的操作的集合;系统根据职权和责任来划分角色,角色可以完成一定的职责;属于角色的用户获得该角色所拥有的权限;用户属于特定的一个或多个角色,角色拥有一个或多个权限,用户通过担任某些角色来获得访问权限,因此,角色成为了沟通主体和客体间联系的中介;角色与用户相比是稳定的,当权限改变时,只需重新分配即可。本专利技术有益效果不需对数据库表结构和现有程序进行任何改动,只需要添加相应的元素,并配置好元素间的关联关系即可,扩展性极强,同时,由于其灵活性减轻了管理人员的维护负担。附图说明下面结合附图对本专利技术进一步说明。图IRBAC模型图。具体实施例方式基于角色的访问控制模型,通过引入“角色”的概念来实现用户与权限的逻辑分离;角色是RBAC模型的核心,是一个或一群用户在组织内可执行的操作的集合;系统根据职权和责任来划分角色,角色可以完成一定的职责;属于角色的用户获得该角色所拥有的权限;用户属于特定的一个或多个角色,角色拥有一个或多个权限,用户通过担任某些角色来获得访问权限,因此,角色成为了沟通主体和客体间联系的中介;角色与用户相比是稳定的,当权限改变时,只需重新分配即可。系统在初始情况下,无法预知角色与其所拥有的权限之间的关联关系。因此,只确定角色R和相应的操作集合0S,并不绑定角色和权限的映射关系。当需要创建角色时,将操作集合OS中的操作0(0 e OS)和资源绑定后,将该权限分配给新创建的子角色,动态建立角色/权限分配关系;将新创建的角色称为角色R的子角色,子角色动态获得的权限是角色权限的子集,子角色是实际使用权限的角色。系统初始化时,roles表中已经记录了角色信息,即系统管理员角色记录ID:1、 PARENT_ID:null、R0LE_NAME 系统管理员;公司操作员角色记录ID:2、PARENT_ID:null、 R0LE_NAME:公司操作员;fimcion表中已经记录了操作集合,即系统管理员和公司操作员的操作;r0le_fUnCti0n表中已经记录了角色和操作集合的关系,即系统管理员角色和“客户公司管理、客户公司操作员配置、客户公司功能配置”操作的关联关系,公司操作员角色和“财务管理、员工管理、考勤管理、产品管理、电话营销”的关联关系。系统管理员新创建子角色时,在roles表中记录该子角色的名称并将其PARENT_ID设置为父角色的ID,表明新创建角色为ID的子角色;系统管理员在为新创建的子角色分配操作时,根据PARENT_ID在 roltfimction表中获得父角色的操作集合,然后,在这些操作中选择所需操作,在role_ function表中绑定创建的子角色和操作的关系。同时,在r0le_C0mpany表中绑定创建的子角色和资源的关系即可。;当用户登录时,根据用户输入的L0GIN_ID和PASSWD可以获得用户ID。然后根据user_role中USER_ID和R0LE_ID获得角色ID,然后根据角色ID在role_ function和r0le_C0mpany获得该角色所具有的权限即可。权利要求1.一种改进的RBAC访问控制模型,基于角色的访问控制模型,通过引入“角色”的概念来实现用户与权限的逻辑分离;其特征在于角色是RBAC模型的核心,是一个或一群用户在组织内可执行的操作的集合;系统根据职权和责任来划分角色,角色可以完成一定的职责; 属于角色的用户获得该角色所拥有的权限;用户属于特定的一个或多个角色,角色拥有一个或多个权限,用户通过担任某些角色来获得访问权限,因此,角色成为了沟通主体和客体间联系的中介;角色与用户相比是稳定的,当权限改变时,只需重新分配即可。2.根据权利要求1所述一种改进的RBAC访问控制模型,其特征在于系统在初始情况下,无法预知角色与其所拥有的权限之间的关联关系,只确定角色R和相应的操作集合0S, 并不绑定角色和权限的映射关系,当需要创建角色时,将操作集合OS中的操作0(0 e OS) 和资源绑定后,将该权限分配给新创建的子角色,动态建立角色/权限分配关系;将新创建的角色称为角色R的子角色,子角色动态获得的权限是角色权限的子集,子角色是实际使用权限的角色。3.根据权利要求1所述一种改进的RBAC访问控制模型,其特征在于系统初始化时, roles表中已经记录了角色信息,即系统管理员角色记录ID: 1、PARENT_ID:null、R0LE_ NAME 系统管理员;公司操作员角色记录ID:2、PARENT_ID:null、R0LE_NAME 公司操作员; funcion表中已经记录了操作集合,即系统管理员和公司操作员的操作;r0le_functi0n表中已经记录了角色和操作集合的关系,即系统管理员角色和“客户公司管理、客户公司操作员配置、客户公司功能配置”操作的关联关系,公司操作员角色和“财务管理、员工管理、考勤管理、产品管理、电话营销”的关联关系;系统管理员新创建子角色时,在roles表中记录该子角色的名称并将其PARENT_ID设置为父角色的ID,表明新创建角色为ID的子角色;系统管理员在为新创建的子角色分配操作时,根据PARENT_ID在r0le_functi0n表中获得父角色的操作集合,然后,在这些操作中选择所需操作,在r0le_fUncti0n表中绑定创建的子角色和操作的关系;同时,在r0le_C0mpany表中绑定创建的子角色和资源的关系即可;当用户登录时,根据用户输入的L0GIN_ID和PASSWD可以获得用户ID,然后根据uSer_role中 USER_ID 和 R0LE_ID 获得角色 ID,然后根据角色 ID 在 role_function 和 role_company 获得该角色所具有的权限即可本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:王芳,
申请(专利权)人:王芳,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。