基於角色的訪問控制系統及方法
2023-10-06 09:39:59 2
專利名稱:基於角色的訪問控制系統及方法
技術領域:
本發明關於一種訪問控制技術,特別是涉及一種基於角色的訪問控制系統及方法。
背景技術:
訪問控制技術主要是驗證用戶訪問的合法性。它的主要功能是對系統資源的使用權限進行控制,比如控制合法用戶訪問哪些密級的信息和進行哪些操作等。它對限制用戶訪問關鍵資源,防止非法用戶入侵,或合法用戶的不慎操作所造成的破環有著舉足輕重的作用。基於角色的訪問控制技術是目前比較成熟的訪問控制模型,它的主要思想是將訪問權限與角色相聯繫,通過給用戶分配合適的角色,讓用戶與訪問權限相聯繫。圖I為一種典型的RBAC模型示意圖。對該模型定義如下對該模型定義如下U :用戶,R角色,P:權限,S :會話PA! Ps=R:權限分配,多對多的關係;UA U*R;用戶分配,多對多關係;User S- > U,每一個會話s對應單一用戶user (S)的映射;Roles :會話 s 到角色集合IOle(S) !r|(user{s),γ)^ PA}易見該模型由三個實體組成,分別是用戶(U)、角色(R)、權限(P)。其中用戶指自然人;角色就是組織內部一件工作的功能或工作的頭銜,表示該角色成員所授予的職責的許可,系統中擁有權限的用戶可以執行相應的操作。用戶與角色之間以及角色與權限之間用雙雙箭頭相連表示用戶角色分配UA和角色權限分配PA關係都是多對多的關係,即一個用戶可以擁有多個角色,一個角色也可被多個用戶所擁有。同樣的,一個角色擁有多個權限,一個權限能被多個角色所擁有。用戶建立會話從而對資源進行存取,每個會話S將一個用戶與他所對應的角色集中的一部分建立映射關係,這個角色會話子集稱為會話激活的角色集。於是,在這次會話中,用戶可以執行的操作就是該會話激活的角色集對應的權限所允許的操作。然而,上述的RBAC模型卻存在如下缺點1、一般應用於作業系統、資料庫系統比較多,而應用在具體的應用系統的情況比較少;2、沒有考慮角色互斥的問題。如兩個角色具有不同的職責,不能讓一個用戶同時擁有,財務部門的出納和會計就是角色互斥的簡單例子;3、沒有考慮角色基數的限制,如總經理只能由一個人擔任,那麼總經理角色的角色基數就是I ;4、沒有考慮用戶角色的繼承。例如查詢等權限可能是企業中每個員工都應具有的權限,如果不引入角色之間的繼承關係,那麼只能把這些權限都授予給企業中大量的角色,`或者把這樣的通用角色都授予給企業中大量的用戶,但是如果引入角色之間的繼承關係那麼我們就創建一個較低層次的角色(例如員工角色),把通用權限授予給員工角色,而讓別的角色繼承員工角色來獲得通用權限。這樣可以更好地模擬企業的組織結構並且便於權限的管理,當安全管理員認為某一個權限不再適合於授予給整個企業的員工,那麼他只需要從員工角色中回收該權限即可,而不用從企業中的每個角色中去回收該權限。
發明內容
為克服上述現有技術存在的不足,本發明之一目的在於提供一種基於角色的訪問控制系統及方法,其通過引入角色繼承機制,大大減少了賦予權限的工作量,也更加貼近真實的組織機構的管理模式。本發明之另一目的在於通過引入角色互斥機制,避免了權限劃分的混亂;同時,通過引入角色基數的機制,使得權限管理更加貼近實際的組織機構管理模式。為達上述及其它目的,本發明提出一種基於角色的訪問控制系統,至少包括請求發起者,向訪問控制執行機構發起訪問目標資源的訪問請求;
訪問控制執行機構,接受該訪問請求,並將該訪問請求傳遞給訪問控制決策機構,根據該訪問控制決策機構的決策結果將該訪問請求傳遞給目標資源以便訪問;訪問控制決策機構,於接收到該訪問控制執行機構傳遞的決策需求後,根據用戶信息表及角色信息表獲得該請求發起者的角色信息,並查詢用戶角色表和角色權限表驗證該請求發起者的角色是否有執行該訪問請求的權限,對該訪問請求作出裁決,將決策結果反饋給訪問控制執行機構;以及目標資源,提供該訪問請求所要訪問的內容。進一步地,該訪問控制執行機構還提供對該請求發起者於發起訪問請求前進行身份認證。進一步地,若身份認證通過,則允許該請求發起者發起訪問請求;否則不予服務。進一步地,該用戶信息表設置於該訪問控制決策機構,用於存放該請求發起者的基本信息;該角色信息表用來存放角色信息,其通過角色編號與該用戶信息表對應。進一步地,該用戶角色表用於確定用戶實體與角色實體間的對應關係,該角色權限表用於確定角色與權限的對應關係。進一步地,該訪問控制決策機構還具有存放角色繼承信息的角色繼承表,用於實現角色繼承。為達到上述及其他目的,本發明還提供一種基於角色的訪問控制方法,包括如下步驟步驟一,請求發起者發出訪問請求;步驟二,訪問控制執行機構接收該訪問請求,並將該訪問請求傳遞給訪問控制決策機構進行決策;步驟三,該訪問控制決策機構接收到該訪問控制執行機構傳遞的決策需求後,根據用戶信息表及角色信息表獲得該請求發起者的角色信息,並查詢用戶角色表和角色權限表進行角色權限計算,驗證請求發起者的角色是否有執行該訪問請求的權限,並查詢相應的訪問策略文件,對該訪問請求作出裁決,將決策結果反饋給該訪問控制執行機構;以及步驟四,該訪問控制執行結構根據決策結果將訪問請求傳遞給目標資源以進行目標資源的訪問。進一步地,在步驟一之前,對請求發起者進行身份認證。
進一步地,若通過身份認證,則允許請求發起者發起訪問請求;否則,不予服務。進一步地,在步驟三中,該角色權限的計算包括如下步驟角色導入自身權限;根據角色繼承表判斷該角色是否繼承其他角色;若是,則取出繼承的角色;否則結束;根據優先級分別取出角色對應的權限;判斷是否存在權限衝突;若存在,則刪除衝突權限,結束;否則,導入權限,結束。
與現有技術相比,本發明一種基於角色的訪問控制系統及方法通過引入角色繼承機制,大大減少了賦予權限的工作量,也更加貼近真實的組織機構的管理模式,同時,本發明還通過引入角色互斥機制,避免了權限劃分的混亂,通過引入角色基數的機制,使得權限管理更加貼近實際的組織機構管理模式,本發明簡化了權限管理和分配工作,使得軟體系統中的基於角色的訪問控制機制更加貼近現實組織機構中的實際情況。
圖I為現有基於角色的訪問控制模型的示意圖;圖2為本發明一種基於角色的訪問控制系統的系統架構圖;圖3為本發明一種基於角色的訪問控制方法的步驟流程圖;圖4為本發明較佳實施例中角色權限計算的步驟流程圖。
具體實施例方式以下通過特定的具體實例並結合
本發明的實施方式,本領域技術人員可由本說明書所揭示的內容輕易地了解本發明的其它優點與功效。本發明亦可通過其它不同的具體實例加以施行或應用,本說明書中的各項細節亦可基於不同觀點與應用,在不背離本發明的精神下進行各種修飾與變更。圖2為本發明一種基於角色的訪問控制系統的系統架構圖。如圖2所示,本發明一種基於角色的訪問控制系統,包括請求發起者2 O、訪問控制執行機構21、訪問控制決策機構22以及目標資源23。請求發起者20向訪問控制執行機構21發起訪問目標資源23的訪問請求;訪問控制執行結構22接收該訪問請求,並將該訪問請求傳遞給訪問控制決策機構22,並根據訪問控制決策機構22的決策結果將訪問請求傳遞給目標資源23,以便請求發起者20訪問目標資源23 ;訪問控制決策機構22於接收到訪問控制執行機構21傳遞的決策需求後,根據用戶信息表及角色信息表獲得請求發起者20的角色信息,並查詢用戶角色表和角色權限表驗證請求發起者20的角色是否有執行該訪問請求的權限,並查詢相應的訪問策略文件,對該訪問請求作出裁決,將決策結果反饋給訪問控制執行機構21 ;目標資源23為請求發起者20所要訪問的內容。較佳的,訪問控制執行機構21還用於請求發起者20的身份確認,即,請求發起者20於發起訪問請求前,首先需進行身份認證,於身份認證通過後才能發起訪問請求,否則不予服務。
以下將通過一具體實例來進一步說明本發明。在本發明較佳實施例中,將於一具體的應用系統——教學評估管理系統中實現基於角色的訪問控制,並設計了相關組件實現用戶角色的繼承、設置角色基數並實現用戶角色互斥,使得權限管理更加貼近機構的實際運作模式。I、用戶登陸及身份確認流程(I)系統內的用戶(請求發起者20)在執行某項操作(訪問請求)前,首先進行身份認證。判斷session中是否有該用戶的信息,如果沒有表明是非法訪問請求,不予服務,重定向到出錯頁面;如果session中存有用戶信息,取出用戶編號,再次校驗該用戶是否為本系統註冊用戶。如果不是註冊用戶,則不予服務,重定向到出錯頁面;否則通過身份認證,建立一個會話。一次會話是用戶與系統交互的進程。(2)用戶(請求發起者20)收到訪問控制決策機構22為其分配的角色信息,從中選擇激活的角色,同時獲得了激活角色的相應權限。用戶的激活角色一旦確定,則在整個會話執行過程中都不會發生改變。·(3)訪問控制決策機構22檢測與用戶激活角色相關的動態職責分離約束,如有衝突,則終止用戶會話。(4)用戶欲執行某項操作(訪問請求)時,訪問控制決策機構22通過查詢角色權限分配表和角色層次表驗證用戶的激活角色是否有該權限,並查詢相應的訪問策略文件,對用戶的訪問請求做出裁決。為實現本發明,於訪問控制決策機構22中,設計有如下資料庫表單(I)基本信息表用戶指擁有用戶名和密碼的個體。用戶劃分為五類執行者學生,系統管理員,教師,教學督導,領導。用戶信息表(UserInfo)用來存放用戶的基本信息,具體設計如表I所示。
權利要求
1.一種基於角色的訪問控制系統,至少包括 請求發起者,向訪問控制執行機構發起訪問目標資源的訪問請求; 訪問控制執行機構,接受該訪問請求,並將該訪問請求傳遞給訪問控制決策機構,根據該訪問控制決策機構的決策結果將該訪問請求傳遞給目標資源以便訪問; 訪問控制決策機構,於接收到該訪問控制執行機構傳遞的決策需求後,根據用戶信息表及角色信息表獲得該請求發起者的角色信息,並查詢用戶角色表和角色權限表驗證該請求發起者的角色是否有執行該訪問請求的權限,對該訪問請求作出裁決,將決策結果反饋給訪問控制執行機構;以及 目標資源,提供該訪問請求所要訪問的內容。
2.如權利要求I所述的基於角色的訪問控制系統,其特徵在於該訪問控制執行機構還提供對該請求發起者於發起訪問請求前進行身份認證。
3.如權利要求2所述的基於角色的訪問控制系統,其特徵在於若身份認證通過,則允許該請求發起者發起訪問請求;否則不予服務。
4.如權利要求I所述的基於角色的訪問控制系統,其特徵在於該用戶信息表設置於該訪問控制決策機構,用於存放該請求發起者的基本信息;該角色信息表用來存放角色信息,其通過角色編號與該用戶信息表對應。
5.如權利要求4所述的基於角色的訪問控制系統,其特徵在於該用戶角色表用於確定用戶實體與角色實體間的對應關係,該角色權限表用於確定角色與權限的對應關係。
6.如權利要求5所述的基於角色的訪問控制系統,其特徵在於該訪問控制決策機構還具有存放角色繼承信息的角色繼承表,用於實現角色繼承。
7.一種基於角色的訪問控制方法,包括如下步驟 步驟一,請求發起者發出訪問請求; 步驟二,訪問控制執行機構接收該訪問請求,並將該訪問請求傳遞給訪問控制決策機構進行決策; 步驟三,該訪問控制決策機構接收到該訪問控制執行機構傳遞的決策需求後,根據用戶信息表及角色信息表獲得該請求發起者的角色信息,並查詢用戶角色表和角色權限表進行角色權限計算,驗證請求發起者的角色是否有執行該訪問請求的權限,並查詢相應的訪問策略文件,對該訪問請求作出裁決,將決策結果反饋給該訪問控制執行機構;以及 步驟四,該訪問控制執行結構根據決策結果將訪問請求傳遞給目標資源以進行目標資源的訪問。
8.如權利要求7所述的基於角色的訪問控制方法,其特徵在於在步驟一之前,對請求發起者進行身份認證。
9.如權利要求8所述的基於角色的訪問控制方法,其特徵在於若通過身份認證,則允許請求發起者發起訪問請求;否則,不予服務。
10.如權利要求7所述的基於角色的訪問控制方法,其特徵在於,在步驟三中,該角色權限的計算包括如下步驟 角色導入自身權限; 根據角色繼承表判斷該角色是否繼承其他角色; 若是,則取出繼承的角色;否則結束;根據優先級分別取出角色對應的權限;判斷是否存在權限衝突;若存在,則刪除衝突權限,結束;否則,導入 權限,結束。
全文摘要
本發明公開了一種基於角色的訪問控制系統及方法,該系統包括請求發起者、訪問控制執行機構、訪問控制決策機構及目標資源,請求發起者向訪問控制執行機構發起訪問請求,訪問控制執行機構將訪問請求傳遞給訪問控制決策機構,根據該訪問控制決策機構的決策結果將訪問請求傳遞給目標資源,訪問控制決策機構於接收到決策需求後,根據用戶信息表及角色信息表獲得該請求發起者的角色信息,並查詢用戶角色表和角色權限表驗證該請求發起者的角色是否有執行該訪問請求的權限,對該訪問請求作出裁決,將決策結果反饋給訪問控制執行機構,本發明簡化了權限管理和分配工作,使得軟體系統中的基於角色的訪問控制機制更加貼近現實組織機構中的實際情況。
文檔編號H04L29/06GK102932340SQ20121041352
公開日2013年2月13日 申請日期2012年10月25日 優先權日2012年10月25日
發明者郭煦 申請人:上海電機學院