摘 要:針對當(dāng)前常用訪問模型存在的不足，分析了傳統(tǒng)的基于角色的訪問控制模型中存在角色種類限制死板、升級困難等問題，進而提出基于角色的自動升級訪問控制模型。首先設(shè)置角色自動升級的約束條件，然后將某用戶當(dāng)前角色狀態(tài)跟該約束條件進行比較，如果達到升級條件，則自動晉升角色級別。該模型科學(xué)性強，實現(xiàn)容易，同時避免了角色審核中工作量大等問題。關(guān)鍵詞:角色; 訪問控制; 模型; 自動升級

中圖分類號:TN911-34; TP311文獻標(biāo)識碼:A

文章編號:1004-373X(2010)16-0053-02

Research on Role-based Auto Update Access Control Model

YANG Dong-feng

(Computing Center， Yan’an University， Yan’an 716000， China)

Abstract: The role-based auto update access control model is proposed for solving the rigid role restrictions and the hard updating of the traditional role-based access control model and the shortcomings of the ordinary access model. Firstly， restrictions of the role-based auto update are set， then the current role state of the user is compared with the set restrictions， if it is up to the update condition， the role level is automatically altered. The model is scientific， easy to implement， avoids a number of problems in role examination.Keywords: role; access control; model; auto update

收稿日期:2010-03-08

訪問控制技術(shù)主要用于控制用戶可否進入系統(tǒng)以及進入系統(tǒng)的用戶能夠讀/寫的數(shù)據(jù)集。它直接影響著系統(tǒng)數(shù)據(jù)的安全，目前由于網(wǎng)絡(luò)技術(shù)的發(fā)展，信息系統(tǒng)中數(shù)據(jù)資源的安全性受到嚴(yán)重威脅，因而設(shè)計一種合理、科學(xué)的訪問控制機制就顯得十分重要[1-2]。目前使用較為廣泛的訪問控制模型是基于角色的訪問控制模型。

1 基于角色的訪問控制模型描述

基于角色的訪問控制模型(role-based access model，RBAC Model):基于角色的訪問控制(RBAC)是一種較新的訪問控制模型，在該模型中定義一組用戶集和角色，通過給用戶分配合適的角色，把權(quán)限被賦予角色， 此用戶就擁有了該角色所擁有的權(quán)限，用戶以某種角色進入系統(tǒng)，使用該角色的所有授權(quán)，即讓角色與訪問權(quán)限相聯(lián)系[3-4]。角色成為訪問控制中訪問主體和受控對象之間的一座橋梁。根據(jù)角色訪問控制的原理，在此建立了基于角色訪問控制的模型[5]，如圖1所示。

顯然，在基于角色的訪問控制中，由于實現(xiàn)了用戶與訪問權(quán)限之間的邏輯分離，減輕了管理員的負擔(dān)，增強了系統(tǒng)的安全性，提高了工作效率。所以在權(quán)限管理方面就顯得十分方便。例如，在教務(wù)管理系統(tǒng)中，某用戶由學(xué)生角色變?yōu)榻處熃巧?，只需要將該用戶的學(xué)生角色撤消，重新賦予教師的角色即可。在基于角色的訪問控制中，用戶與角色是一一對應(yīng)的關(guān)系，角色、用戶關(guān)系之間的變化比角色權(quán)限之間的變化相對要快一些，角色種類固定，限制較死，難以自動升級，因而，給角色配置權(quán)限就比較復(fù)雜，需要專門的技術(shù)人員來操作[6-7]。而在實際的應(yīng)用中，角色的權(quán)限必須根據(jù)該用戶所處的角色狀態(tài)自動調(diào)整，以便減輕工作人員的的負擔(dān)。因而提出了基于角色的自動升級訪問控制模型。

圖1 基于角色訪問控制的模型圖

2 基于角色的自動升級訪問控制技術(shù)的描述

在基于角色的自動升級訪問控制模型中，首先要設(shè)置自動升級的約束條件，如當(dāng)科長用戶在自己的工作崗位上完成所有的工作而且沒有任何失誤和不良記錄時，角色才可以升級，其次，就是將當(dāng)前該科長用戶的狀態(tài)跟設(shè)置好的約束條件進行比較，如果達到升級條件，就自動晉升為處長角色，自然，該用戶的權(quán)限較科長有所擴展。

3 角色自動升級訪問控制的具體實現(xiàn)

3.1 角色自動升級規(guī)則設(shè)計

角色的升級規(guī)則必須要根據(jù)實際情況指定，例如:

一個新員工進單位后可以給他指派一個角色:普通職員(職員編號in職員總庫)→普通職員;

當(dāng)該員工晉升為科長后又為他指派角色:單位科長(職員編號in職員總庫)∧(級別=科長)→單位科長;

剛參加工作的畢業(yè)生可以為他指派助理工程師角色:助理工程師(職員編號in職員總庫)→助理工程師;

當(dāng)他晉升工程師時，再為他指派工程師角色:工程師(職員編號in職員總庫)∧(級別=工程師)→工程師;

對新引進的外聘工程師，可以為他指派角色:外聘工程師:(職員編號in職員總庫)∧(職員級別=外聘工程師)→外聘工程師;……

3.2 角色自動升級算法實現(xiàn)

在系統(tǒng)中，對于一個用戶指派的角色，要由一種角色升級到另一種角色，完全取決于為角色設(shè)置的升級途徑和升級條件，當(dāng)該用戶在設(shè)置的升級途徑中達到升級條件時，則用戶的角色就自動會實現(xiàn)角色的轉(zhuǎn)換，進而升級到更高級的角色[8-9]。一旦角色升級成功，則該用戶的權(quán)限會自動擴大，如升級失敗，則仍保持原角色和權(quán)限。具體實現(xiàn)算法如下:

(1) 為使用系統(tǒng)的用戶指派原始角色;

(2) 設(shè)置角色自動升級條件和升級途徑;

(3) 將角色升級的條件與用戶角色自身完成的任務(wù)進行比較，如達到該升級條件，轉(zhuǎn)(4)，否則，轉(zhuǎn)(1);

(4) 升級成功。

例如:當(dāng)員工用戶的工作業(yè)績一定的程度時，便可由[助理工程師]角色晉升為[工程師]、[高級工程師]等角色。角色升級狀態(tài)圖如圖2所示。

圖2 教師用戶角色升級狀態(tài)圖

再如當(dāng)新員工用戶在自己的工作崗位上完成所有的工作而且沒有任何失誤和不良記錄時，則該用戶就會由角色[普通員工]升級到角色[單位科長]，員工用戶的角色升級狀態(tài)圖如圖3所示。

圖3 學(xué)生用戶角色升級狀態(tài)圖

該算法流程圖如圖4所示。

圖4 角色自動升級流程圖

3.3 用戶角色升級活動周期描述

用戶一旦建立，其角色在系統(tǒng)中根據(jù)事先設(shè)定的條件不斷升級，一直到將該用戶注銷或刪除為止。用戶角色活動的周期如圖5所示。

圖5 角色活動周期圖

4 結(jié) 語

該模型符合各單位管理工作的基本需求同時，解決了傳統(tǒng)角色訪問控制模型中角色權(quán)限管理困難的問題，使得用戶角色實現(xiàn)了動態(tài)管理，科學(xué)、合理[10]。

參考文獻

[1]蘭巍.基于網(wǎng)絡(luò)的教務(wù)管理工作[J].中國現(xiàn)代教育裝備，2007(8):10-11.

[2]肖滿生.基于會話跟蹤機制的管理信息系統(tǒng)用戶安全設(shè)計[J].株洲工學(xué)院學(xué)報，2005，19(6):44-45.

[3]葉錫君，許勇，吳國新.基于角色的訪問控制在Web中的實現(xiàn)技術(shù)[J].計算機工程，2002，28(1):167-169.

[4]SANDHU R. Issues in RBAC[C]//Proceedings of The 1st ACM Workshop on Role-based Access Control. Maryland: ACM Press， 1996: 21-24.

[5]戴瑩瑩.基于角色的訪問控制在B/S模式中的研究與實現(xiàn)[J].交通與計算機，2006(2):124-125.

[6]靳泰戈，余航，馮斌，等.一種基于角色的訪問控制模型及其實現(xiàn)[J].計算機應(yīng)用研究，2005，22(12):138-140.

[7]結(jié)鳳克，朱愛軍，馬桂杭，等.Oracle系統(tǒng)中基于角色管理的訪問控制模型[J].中原工學(xué)院學(xué)報，2003，14(2):33-34.

[8]謝衛(wèi)星，汪琳霞，肖建田，等. 用戶角色自動指派研究與應(yīng)用[J].微計算機信息，2007，23(3):232-233.

[9]董光宇，卿斯?jié)h，劉克龍.帶時間特性的角色授權(quán)約束[J].軟件學(xué)報，2002，13(8):1521-1527.

[10]黃建，卿斯?jié)h，溫紅子.帶時間特性的角色訪問控制[J].軟件學(xué)報，2003，14(11):1953-1954.