摘 要：隨著企業(yè)組織規(guī)模的不斷擴(kuò)大，信息化程度的不斷提高，訪問(wèn)控制模塊就成了企業(yè)信息系統(tǒng)的一個(gè)重要組成部分。本文通過(guò)對(duì)訪問(wèn)控制理論的研究針對(duì)其不足并結(jié)合現(xiàn)代企業(yè)信息管理系統(tǒng)的特點(diǎn)，提出了一種基于自治域的RBAC訪問(wèn)控制模型AD_RBAC，在此基礎(chǔ)上設(shè)計(jì)開發(fā)了一個(gè)通用的細(xì)粒度訪問(wèn)控制框架FGACF，對(duì)FGACF框架設(shè)想實(shí)現(xiàn)的訪問(wèn)控制粒度進(jìn)行了定義；充分利用自定義標(biāo)簽技術(shù)和AOP技術(shù)的優(yōu)點(diǎn)，加速系統(tǒng)的實(shí)現(xiàn)、測(cè)試、維護(hù)和升級(jí)。

關(guān)鍵詞：RBAC；訪問(wèn)控制；自治域；組

中圖分類號(hào)：TP311.52

1 研究背景

企業(yè)信息化的發(fā)展需要盡可能的共享資源，這就不可避免的會(huì)出現(xiàn)關(guān)鍵數(shù)據(jù)被非法破壞和竊取的情況。RBAC訪問(wèn)控制技術(shù)比較靈活同時(shí)易于擴(kuò)展，有效的克服了傳統(tǒng)訪問(wèn)控制技術(shù)存在的問(wèn)題。如能進(jìn)一步改善現(xiàn)有的角色訪問(wèn)控制模型，提出一種細(xì)粒度的訪問(wèn)控制框架，對(duì)企業(yè)信息資源進(jìn)行分散管理，減輕系統(tǒng)管理人員的工作負(fù)擔(dān)，提高企業(yè)信息資源的安全性具有重要的研究?jī)r(jià)值。

2 基于RBAC模型的自治域訪問(wèn)控制模型

在基于角色權(quán)限控制系統(tǒng)里邊，將擁有自主權(quán)限分配的組織單元作為一個(gè)自治域，該自治域的單元擁有對(duì)用戶的添加、用戶的角色的分配、用戶權(quán)限的分配、用戶權(quán)限的撤銷、角色的刪除等。在企業(yè)信息內(nèi)部，另外一部分的單元內(nèi)部，他們沒(méi)有權(quán)限和角色的分配及撤銷的權(quán)力，在基于角色的權(quán)限控制系統(tǒng)里邊，稱之為普通域。

基于自治域的角色訪問(wèn)控制模型（Autonomy Domain-based RBAC，AD_RBAC）的授權(quán)機(jī)制在兩個(gè)層次為用戶授權(quán)，第一個(gè)是在企業(yè)信息系統(tǒng)的系統(tǒng)級(jí)對(duì)用戶分配角色或者權(quán)限，第二個(gè)是在企業(yè)信息系統(tǒng)的自治組或者普通組的級(jí)別上為用戶分配角色或者權(quán)限。在組級(jí)授權(quán)管理模塊中，只有自治組具有管理本組及其所包含的組的能力。

AD_RBAC模型利用上層控制下層的管理機(jī)制將職責(zé)進(jìn)行了有效分離。與傳統(tǒng)的RBAC管理模型相對(duì)比，AD_RBAC模型存在的優(yōu)勢(shì)：擴(kuò)展了組（Group）的概念—管理組和普通組的劃分，使組的表達(dá)能力得到了增強(qiáng)，前者有權(quán)分配和撤銷用戶角色/權(quán)限，后者則無(wú)此權(quán)限；最大程度簡(jiǎn)化了系統(tǒng)管理員的用戶授權(quán)管理工作—在AD_RBAC模型中，系統(tǒng)管理員放權(quán)給組管理員，由組管理員負(fù)責(zé)組內(nèi)用戶的授權(quán)，同時(shí)指定下層組的權(quán)限，極大的減輕了系統(tǒng)管理員的負(fù)擔(dān)；能準(zhǔn)確反映企業(yè)的組織結(jié)構(gòu)和人事管理模式，并直觀模擬企業(yè)權(quán)限層層下放的授權(quán)管理模式；用戶授權(quán)更靈活更可控—AD_RBAC模型首先通過(guò)組的形式輕松授權(quán)用戶，其次是使高層組擁有更加靈活的授權(quán)能力，可以對(duì)底層組的權(quán)限范圍進(jìn)行調(diào)節(jié)以控制底層組管理員的授權(quán)能力，另外組管理員通過(guò)對(duì)用戶活動(dòng)和信息的清晰把握使得其授權(quán)更加準(zhǔn)確。

3 基于RBAC模型的細(xì)粒度訪問(wèn)控制框架設(shè)計(jì)及實(shí)現(xiàn)

基于自治域的角色權(quán)限管理模型采用一種新的分組的策略。在基于自治域的角色權(quán)限管理模型中，采用在系統(tǒng)管理員級(jí)和自治組一級(jí)為用戶分配角色和權(quán)限，是一種樹形的多級(jí)用戶授權(quán)策略。

基于RBAC模型的細(xì)粒度訪問(wèn)控制框架（FGACF）依據(jù)不同的受訪問(wèn)的客體資源的特點(diǎn)，采用與每一類訪問(wèn)客體資源相匹配的訪問(wèn)控制方法，實(shí)現(xiàn)一種所見(jiàn)即所得的配置組件。細(xì)粒度訪問(wèn)控制框架模型以角色訪問(wèn)控制模型為基礎(chǔ)，在該模型里邊，包含了權(quán)限的設(shè)置、角色的設(shè)計(jì)、資源管理及分配、用戶組的管理、用戶角色授權(quán)的管理以及資源的訪問(wèn)控制實(shí)現(xiàn)

訪問(wèn)控制模型是細(xì)粒度訪問(wèn)控制模型的核心功能模塊。它提供了可被客戶程序調(diào)用的各類接口和資源類型，保證實(shí)現(xiàn)了統(tǒng)一資源定位符、標(biāo)簽元素、給類普通方法和靜態(tài)方法、業(yè)務(wù)數(shù)據(jù)、文件等各類資源的使用安全，使得用戶能夠安全的使用客體資源。下面我們將闡述和展示各種資源的訪問(wèn)控制的具體實(shí)現(xiàn)：（1）URL資源的訪問(wèn)控制實(shí)現(xiàn)。細(xì)粒度訪問(wèn)控制框架模型采取了過(guò)濾器技術(shù)來(lái)實(shí)現(xiàn)URL；（2）標(biāo)簽元素的訪問(wèn)控制。粒度訪問(wèn)控制模型采用定制自定義標(biāo)簽來(lái)實(shí)現(xiàn)Java Web信息系統(tǒng)中頁(yè)面內(nèi)子元素的訪問(wèn)控制；（3）方法資源的訪問(wèn)控制實(shí)現(xiàn)。根據(jù)是否牽涉業(yè)務(wù)數(shù)據(jù)資源，方法資源的操作可分兩類：方法中不包含對(duì)受保護(hù)的業(yè)務(wù)數(shù)據(jù)的操作；方法調(diào)用的參數(shù)或返回值是系統(tǒng)中受保護(hù)的業(yè)務(wù)數(shù)據(jù)資源。

細(xì)粒度訪問(wèn)控制框架采用面向切面編程（AOP）技術(shù)實(shí)現(xiàn)方法資源的訪問(wèn)控制，本文采用比較流行的Spring AOP框架。

4 結(jié)束語(yǔ)

本文通過(guò)對(duì)訪問(wèn)控制理論的研究，分析了傳統(tǒng)RBAC模型的結(jié)構(gòu)，針對(duì)其不足并結(jié)合現(xiàn)代企業(yè)信息系統(tǒng)的特點(diǎn)提出了一個(gè)基于自制域的RBAC訪問(wèn)控制模型（AD_RBAC），在改進(jìn)后的AD_RBAC模型基礎(chǔ)上，設(shè)計(jì)開發(fā)了一個(gè)通用的細(xì)粒度訪問(wèn)控制框架，在設(shè)計(jì)和實(shí)現(xiàn)過(guò)程中充分利用了自定義標(biāo)簽技術(shù)和AOP技術(shù)的優(yōu)點(diǎn)，使得系統(tǒng)的實(shí)現(xiàn)、測(cè)試、維護(hù)和升級(jí)更加方便，并且能夠快速移植到其它系統(tǒng)中。

參考文獻(xiàn)：

[1]鄒林.基于RBAC的網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)建模與實(shí)現(xiàn)[D].上海交通大學(xué)，2009.

[2]孔浩，全曉松，顧慶傳.基于Java EE的權(quán)限控制模型的分析和設(shè)計(jì)[J].昭通師范高等?？茖W(xué)校學(xué)報(bào)，2011（05）.

[3]宋曉麗.基于B/S模式的現(xiàn)代學(xué)院OA辦公系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].南昌大學(xué)，2010.

[4]劉文蕊.基于B/S的自學(xué)考試考籍系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué)，2010.

作者簡(jiǎn)介：趙曉宇（1982-），女，河南洛陽(yáng)人，講師，碩士，主要從事計(jì)算機(jī)軟件方向的教學(xué)與研究；孫育（1982-），男，河南南陽(yáng)人，講師，主要從事教務(wù)管理和計(jì)算機(jī)應(yīng)用技術(shù)的教學(xué)與研究。

作者單位：鄭州財(cái)經(jīng)學(xué)院管理系，鄭州 450044；鄭州財(cái)經(jīng)學(xué)院教務(wù)處，鄭州 450044