考核系统中权限分配及数据传递的设计与实现

摘要

考核系统是企业生产中使用的一种重要的信息系统，由于该系统内数据非常重要，因此对该系统的数据进行保护便是一件非常重要的事情。权限分配模块便是保护系统内数据安全的重要模块。而访问控制模型是设计权限分配模块的核心。
　　为设计出符合考核系统特点的权限分配模块，本文对考核系统的特征进行深入分析，认为考核系统目前面临的安全风险是用户与权限间的对应关系不断改变造成的。为解决此问题，本文提出将访问控制模型中用户与角色的映射关系使用动态分配的方式实现。
　　为实现此目标，本文主要进行了以下工作:
　　(1)针对RBAC模型在考核系统中使用时所存在的需要进行大量权限管理操作的问题，在RBAC模型的基础上进行改进设计，提出了根据用户资质动态分配角色的改进模型。并对改模型提出一种三层设计来实现其功能。
　　(2)为保证授权结果符合银行内部对于数据安全的管理规范，本文设计了一种为用户寻求最优用户角色的计算方法，并论证了这种计算方法可以保证最终为用户分配的角色具有完备性，而且该角色所具有的额外权限是所有可用角色中最少的。
　　(3)为了处理强制授权的需求，本模型在用户动态获取角色的设计方案上，实现了强制授权的功能，并在进行强制授权的同时，保证了系统的安全性。
　　(4)使用提出的RBAC改进模型实现了考核系统的权限控制模块，并通过实验与考核系统原先使用多级管理模型实现的权限控制模块进行对比，证明本文提出的改进模型实现的权限分配模块在减少权限管理操作、保证系统安全性方面的优势，同时验证了本方案设计的权限分配模块在性能方面也能够满足要求。

目录

声明

摘要

1．1 课题背景

1．2 访问控制模型研究现状

1．3 论文研究目标

1．4 论文研究内容

1．5 论文组织结构

2．1 考核系统简介

2．2 权限分配模块的基本概念

2．3 访问控制模型的发展历史

2．4 基于角色的访问控制模型(RBAC)

2．5 RBAC模型在人员属性变化场景下的问题

2．5．1 员工入职

2．5．2 用户离职

2．5．3 用户调动

2．5．4 用户资质变化

2．5．5 紧急授权

2．6 RBAC模型在业务规则变化场景下的问题

2．6．1 新业务出现

2．6．2 旧业务消失

2．6．3 业务所需用户资质变化

2．7 RBAC模型问题总结

2．8 现有RBAC改进模型及其不足

2．8．1 使用角色继承机制的模型

2．8．2 使用多级管理模式的模型

2．8．3 基于访问者属性的模型

2．8．4 增加对用户直接授权功能的模型

2．9 本章小结

第3章 改进访问控制模型的设计

3．1 改进模型的总体设计

3．2 三层模型设计及其数据处理

3．3 信息提取层的数据处理

3．4 信息处理层的数据处理

3．5 异常处理层的数据处理

3．6 本章小结

第4章 改进模型的形式化定义及计算规则

4．1 信息提取层的形式化定义

4．1．1 基础定义

4．1．2 系统角色

4．1．3 业务角色

4．2 信息处理层的形式化定义

4．2．2 单任务授权

4．2．3 多任务授权

4．3 异常处理层的形式化定义

4．4 寻找最优业务角色的计算规则

4．5 完备性及最小额外权限论证

4．6 本章小结

第5章 权限分配模块的设计、实现与分析

5．1 权限分配模块的数据处理过程

5．2 权限分配模块的实现

5．3 权限分配模块效果的理论分析

5．4 可扩展性分析

5．5 本章小结

第6章 真实数据测试与分析

6．1 减少工作量测试及分析

6．2 安全性测试及分析

6．3 数据处理性能测试及分析

6．4．本章小结

第7章 总结与展望

参考文献

致谢