本发明专利技术公开了一种基于角色的访问控制系统及方法,该系统包括请求发起者、访问控制执行机构、访问控制决策机构及目标资源,请求发起者向访问控制执行机构发起访问请求,访问控制执行机构将访问请求传递给访问控制决策机构,根据该访问控制决策机构的决策结果将访问请求传递给目标资源,访问控制决策机构于接收到决策需求后,根据用户信息表及角色信息表获得该请求发起者的角色信息,并查询用户角色表和角色权限表验证该请求发起者的角色是否有执行该访问请求的权限,对该访问请求作出裁决,将决策结果反馈给访问控制执行机构,本发明专利技术简化了权限管理和分配工作,使得软件系统中的基于角色的访问控制机制更加贴近现实组织机构中的实际情况。
【技术实现步骤摘要】
本专利技术关于一种访问控制技术,特别是涉及一种。
技术介绍
访问控制技术主要是验证用户访问的合法性。它的主要功能是对系统资源的使用权限进行控制,比如控制合法用户访问哪些密级的信息和进行哪些操作等。它对限制用户访问关键资源,防止非法用户入侵,或合法用户的不慎操作所造成的破环有着举足轻重的作用。基于角色的访问控制技术是目前比较成熟的访问控制模型,它的主要思想是将访问权限与角色相联系,通过给用户分配合适的角色,让用户与访问权限相联系。图I为一种典型的RBAC模型示意图。对该模型定义如下对该模型定义如下U :用户,R角色,P:权限,S :会话PA! Ps=R:权限分配,多对多的关系;UA U*R;用户分配,多对多关系;User S- > U,每一个会话s对应单一用户user (S)的映射;Roles :会话 s 到角色集合IOle(S) !r|(user{s),γ)^ PA}易见该模型由三个实体组成,分别是用户(U)、角色(R)、权限(P)。其中用户指自然人;角色就是组织内部一件工作的功能或工作的头衔,表示该角色成员所授予的职责的许可,系统中拥有权限的用户可以执行相应的操作。用户与角色之间以及角色与权限之间用双双箭头相连表示用户角色分配UA和角色权限分配PA关系都是多对多的关系,即一个用户可以拥有多个角色,一个角色也可被多个用户所拥有。同样的,一个角色拥有多个权限,一个权限能被多个角色所拥有。用户建立会话从而对资源进行存取,每个会话S将一个用户与他所对应的角色集中的一部分建立映射关系,这个角色会话子集称为会话激活的角色集。于是,在这次会话中,用户可以执行的操作就是该会话激活的角色集对应的权限所允许的操作。然而,上述的RBAC模型却存在如下缺点1、一般应用于操作系统、数据库系统比较多,而应用在具体的应用系统的情况比较少;2、没有考虑角色互斥的问题。如两个角色具有不同的职责,不能让一个用户同时拥有,财务部门的出纳和会计就是角色互斥的简单例子;3、没有考虑角色基数的限制,如总经理只能由一个人担任,那么总经理角色的角色基数就是I ;4、没有考虑用户角色的继承。例如查询等权限可能是企业中每个员工都应具有的权限,如果不引入角色之间的继承关系,那么只能把这些权限都授予给企业中大量的角色,`或者把这样的通用角色都授予给企业中大量的用户,但是如果引入角色之间的继承关系那么我们就创建一个较低层次的角色(例如员工角色),把通用权限授予给员工角色,而让别的角色继承员工角色来获得通用权限。这样可以更好地模拟企业的组织结构并且便于权限的管理,当安全管理员认为某一个权限不再适合于授予给整个企业的员工,那么他只需要从员工角色中回收该权限即可,而不用从企业中的每个角色中去回收该权限。
技术实现思路
为克服上述现有技术存在的不足,本专利技术之一目的在于提供一种,其通过引入角色继承机制,大大减少了赋予权限的工作量,也更加贴近真实的组织机构的管理模式。本专利技术之另一目的在于通过引入角色互斥机制,避免了权限划分的混乱;同时,通过引入角色基数的机制,使得权限管理更加贴近实际的组织机构管理模式。为达上述及其它目的,本专利技术提出一种基于角色的访问控制系统,至少包括请求发起者,向访问控制执行机构发起访问目标资源的访问请求; 访问控制执行机构,接受该访问请求,并将该访问请求传递给访问控制决策机构,根据该访问控制决策机构的决策结果将该访问请求传递给目标资源以便访问;访问控制决策机构,于接收到该访问控制执行机构传递的决策需求后,根据用户信息表及角色信息表获得该请求发起者的角色信息,并查询用户角色表和角色权限表验证该请求发起者的角色是否有执行该访问请求的权限,对该访问请求作出裁决,将决策结果反馈给访问控制执行机构;以及目标资源,提供该访问请求所要访问的内容。进一步地,该访问控制执行机构还提供对该请求发起者于发起访问请求前进行身份认证。进一步地,若身份认证通过,则允许该请求发起者发起访问请求;否则不予服务。进一步地,该用户信息表设置于该访问控制决策机构,用于存放该请求发起者的基本信息;该角色信息表用来存放角色信息,其通过角色编号与该用户信息表对应。进一步地,该用户角色表用于确定用户实体与角色实体间的对应关系,该角色权限表用于确定角色与权限的对应关系。进一步地,该访问控制决策机构还具有存放角色继承信息的角色继承表,用于实现角色继承。为达到上述及其他目的,本专利技术还提供一种基于角色的访问控制方法,包括如下步骤步骤一,请求发起者发出访问请求;步骤二,访问控制执行机构接收该访问请求,并将该访问请求传递给访问控制决策机构进行决策;步骤三,该访问控制决策机构接收到该访问控制执行机构传递的决策需求后,根据用户信息表及角色信息表获得该请求发起者的角色信息,并查询用户角色表和角色权限表进行角色权限计算,验证请求发起者的角色是否有执行该访问请求的权限,并查询相应的访问策略文件,对该访问请求作出裁决,将决策结果反馈给该访问控制执行机构;以及步骤四,该访问控制执行结构根据决策结果将访问请求传递给目标资源以进行目标资源的访问。进一步地,在步骤一之前,对请求发起者进行身份认证。进一步地,若通过身份认证,则允许请求发起者发起访问请求;否则,不予服务。进一步地,在步骤三中,该角色权限的计算包括如下步骤角色导入自身权限;根据角色继承表判断该角色是否继承其他角色;若是,则取出继承的角色;否则结束;根据优先级分别取出角色对应的权限;判断是否存在权限冲突;若存在,则删除冲突权限,结束;否则,导入权限,结束。 与现有技术相比,本专利技术一种通过引入角色继承机制,大大减少了赋予权限的工作量,也更加贴近真实的组织机构的管理模式,同时,本专利技术还通过引入角色互斥机制,避免了权限划分的混乱,通过引入角色基数的机制,使得权限管理更加贴近实际的组织机构管理模式,本专利技术简化了权限管理和分配工作,使得软件系统中的基于角色的访问控制机制更加贴近现实组织机构中的实际情况。附图说明图I为现有基于角色的访问控制模型的示意图;图2为本专利技术一种基于角色的访问控制系统的系统架构图;图3为本专利技术一种基于角色的访问控制方法的步骤流程图;图4为本专利技术较佳实施例中角色权限计算的步骤流程图。具体实施例方式以下通过特定的具体实例并结合附图说明本专利技术的实施方式,本领域技术人员可由本说明书所揭示的内容轻易地了解本专利技术的其它优点与功效。本专利技术亦可通过其它不同的具体实例加以施行或应用,本说明书中的各项细节亦可基于不同观点与应用,在不背离本专利技术的精神下进行各种修饰与变更。图2为本专利技术一种基于角色的访问控制系统的系统架构图。如图2所示,本专利技术一种基于角色的访问控制系统,包括请求发起者2 O、访问控制执行机构21、访问控制决策机构22以及目标资源23。请求发起者20向访问控制执行机构21发起访问目标资源23的访问请求;访问控制执行结构22接收该访问请求,并将该访问请求传递给访问控制决策机构22,并根据访问控制决策机构22的决策结果将访问请求传递给目标资源23,以便请求发起者20访问目标资源23 ;访问控制决策机构22于接收到访问控制执行机构21传递的决策需求后,根据用户信息表及角色信息表获得请求发起者20的角色信息,并查询用户角色表和角色权限表验证请求发起者20的角本文档来自技高网...
【技术保护点】
一种基于角色的访问控制系统,至少包括:请求发起者,向访问控制执行机构发起访问目标资源的访问请求;访问控制执行机构,接受该访问请求,并将该访问请求传递给访问控制决策机构,根据该访问控制决策机构的决策结果将该访问请求传递给目标资源以便访问;访问控制决策机构,于接收到该访问控制执行机构传递的决策需求后,根据用户信息表及角色信息表获得该请求发起者的角色信息,并查询用户角色表和角色权限表验证该请求发起者的角色是否有执行该访问请求的权限,对该访问请求作出裁决,将决策结果反馈给访问控制执行机构;以及目标资源,提供该访问请求所要访问的内容。
【技术特征摘要】
1.一种基于角色的访问控制系统,至少包括 请求发起者,向访问控制执行机构发起访问目标资源的访问请求; 访问控制执行机构,接受该访问请求,并将该访问请求传递给访问控制决策机构,根据该访问控制决策机构的决策结果将该访问请求传递给目标资源以便访问; 访问控制决策机构,于接收到该访问控制执行机构传递的决策需求后,根据用户信息表及角色信息表获得该请求发起者的角色信息,并查询用户角色表和角色权限表验证该请求发起者的角色是否有执行该访问请求的权限,对该访问请求作出裁决,将决策结果反馈给访问控制执行机构;以及 目标资源,提供该访问请求所要访问的内容。2.如权利要求I所述的基于角色的访问控制系统,其特征在于该访问控制执行机构还提供对该请求发起者于发起访问请求前进行身份认证。3.如权利要求2所述的基于角色的访问控制系统,其特征在于若身份认证通过,则允许该请求发起者发起访问请求;否则不予服务。4.如权利要求I所述的基于角色的访问控制系统,其特征在于该用户信息表设置于该访问控制决策机构,用于存放该请求发起者的基本信息;该角色信息表用来存放角色信息,其通过角色编号与该用户信息表对应。5.如权利要求4所述的基于角色的访问控制系统,其特征在于该用户角色表用于确定用户实体与角色实体间的对应关系,该角色权限表用于确定角色与权限的对应关系。6.如权利要求5所述的基于角色的访问控制系统,...
【专利技术属性】
技术研发人员:郭煦,
申请(专利权)人:上海电机学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。