【摘 要】基于角色的訪問控制是一種新型的訪問控制模型，它的基本思想是將權(quán)限與角色聯(lián)系起來，在系統(tǒng)中根據(jù)應(yīng)用的需要為不同的工作崗位創(chuàng)建相應(yīng)的角色，同時(shí)根據(jù)用戶職能和責(zé)任指派合適的角色，用戶通過所指派的角色獲得相應(yīng)的權(quán)限實(shí)現(xiàn)對(duì)文件的訪問。

【關(guān)鍵詞】訪問控制 角色 自主

【中圖分類號(hào)】TP399 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1674－4810（2011）10－0028－01

一 引言

訪問控制的定義是指經(jīng)過身份驗(yàn)證的主體依據(jù)約定的規(guī)則集合，控制對(duì)客體合法行使訪問權(quán)限的過程。這里的主體是指訪問的進(jìn)程、設(shè)備或進(jìn)行訪問的人，客體是指將要被訪問到的數(shù)據(jù)。訪問控制可以簡(jiǎn)單地表示成為一個(gè)三元組：AC＝{ subject ， permission ， rule—set }。當(dāng)前基于角色訪問控制正在信息管理系統(tǒng)中逐漸被推廣和應(yīng)用，構(gòu)成了信息管理系統(tǒng)安全機(jī)制的一個(gè)重要組成部分。如何設(shè)計(jì)一個(gè)構(gòu)建靈活、操作安全、管理分布的基于角色訪問控制系統(tǒng)，已成為實(shí)現(xiàn)信息管理系統(tǒng)安全機(jī)制的重要課題。

計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展與普及使信息系統(tǒng)的安全問題日益突出，系統(tǒng)的安全技術(shù)也成為人們研究的熱點(diǎn)，訪問控制是實(shí)現(xiàn)既定安全策略的系統(tǒng)安全技術(shù)，它管理所有資源訪問請(qǐng)求，即根據(jù)安全策略的要求，對(duì)每一個(gè)資源訪問請(qǐng)求做出是否許可的判斷，能有效地防止非法用戶訪問系統(tǒng)資源和合法用戶非法使用資源。美國國防部的可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)（TESEC）把訪問控制作為評(píng)價(jià)系統(tǒng)安全的主要指標(biāo)，訪問控制對(duì)提高系統(tǒng)安全性的重要性不言而喻。

二 基于角色訪問控制方法在BBS中的應(yīng)用

1．?dāng)?shù)據(jù)庫中的角色控制

數(shù)據(jù)庫中的用戶表（見表1），體現(xiàn)了用戶的基本信息。其中UserName字段表示的是用戶名，UserPass表示的是用戶登錄密碼，Menbercode是數(shù)字類型，代表的是用戶權(quán)限類型，其值從0～5分別表示為0游客，1普通會(huì)員，2嘉賓會(huì)員，3版主，4管理員，5社區(qū)區(qū)長(zhǎng)。UserHome表示的是個(gè)人主頁，PasswordQuestion表示的是密碼提示問題。PasswordAnswer表示的是密碼提示答案。

2．角色關(guān)系的設(shè)計(jì)

角色關(guān)系圖，見圖1。圖中闡釋了角色權(quán)限關(guān)系的設(shè)置。系統(tǒng)將功能權(quán)限以普通用戶權(quán)限和高級(jí)管理用戶權(quán)限的形式分別發(fā)放給低級(jí)角色和高級(jí)角色，其中高級(jí)管理用戶權(quán)限不包括普通用戶權(quán)限，其只從事用戶和論壇的管理。然后高級(jí)角色也可以通過設(shè)置獲取低級(jí)角色的權(quán)限，從而具備普通用戶權(quán)限，可以從事對(duì)論壇的瀏覽和發(fā)帖、回帖等功能。另外高級(jí)用戶中也可以自行獲取權(quán)限，比如：社區(qū)的社長(zhǎng)有添加刪除管理員的權(quán)限，另外也可以獲取管理員的管理權(quán)限和低級(jí)角色的普通權(quán)限。

3．角色權(quán)限的設(shè)計(jì)

用戶進(jìn)入論壇后，對(duì)其后臺(tái)的角色賦予權(quán)限的操作。首先，當(dāng)一個(gè)用戶登入論壇時(shí)，系統(tǒng)會(huì)通過調(diào)用數(shù)據(jù)庫來獲取其用戶的角色，并通過當(dāng)前的角色來判定其直接權(quán)限，并且判定是否能夠?qū)ζ涫跈?quán)。如果其直接權(quán)限能夠授權(quán)，就允許訪問。如果其直接權(quán)限不授權(quán)的話，那么就要開始去判定其間接權(quán)限了。系統(tǒng)通過其角色的級(jí)別來判定是否達(dá)到訪問的角色級(jí)別，如果沒有達(dá)到，系統(tǒng)會(huì)對(duì)其用戶實(shí)施拒絕訪問的操作，如果其用戶的角色級(jí)別大于訪問級(jí)別的話，系統(tǒng)就會(huì)幫這個(gè)用戶調(diào)用當(dāng)前需求的角色權(quán)限，使其能夠授權(quán)訪問。

4．處理角色互斥

以下是處理角色互斥的算法，ARBAC97模型中定義的角色互斥是由虛擬角色維上定義的虛擬角色互斥通過直積而得到的。因此，本文給出添加虛擬角色互斥算法的偽碼表示，算法添加和刪除給定角色維上的角色互斥，然后管理員可以通過指定不同的角色互斥策略來生成系統(tǒng)角色集上的角色互斥定義。

Algorithm:AddVirtual Mutual Exclusion

Input:Virtual Role vr1，vr2

Output:Bool

Description:Return true if successfully，Add Virtual Mutual Exclusion

Begin IF Is Virtualinherit(vr1，vr2)OR

Is Virtualinherit(vr2，vr1)

Then:Return 1

End if:IF Mutual Exclusion(vr1，vr2)

Then:Add(vr1，vr2)into current VRME

End if:RETURN true

End

三 小結(jié)

隨著基于角色訪問控制技術(shù)的深入研究，系統(tǒng)的安全訪問是通過用戶認(rèn)證和用戶權(quán)限管理來實(shí)現(xiàn)的。各類系統(tǒng)的整個(gè)體系結(jié)構(gòu)上要設(shè)計(jì)成安全可靠、配置靈活、易擴(kuò)展的安全控制模塊。

參考文獻(xiàn)

［1］Kusatsu Kohei Tsuda and Ruck Thawonmas，Keyword Discovery by Measuring Influence Rates on Bulletin Board Services［M］. Shiga 525～8577， Japan

〔責(zé)任編輯：王以富〕

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文