Web统一用户权限控制模型的研究与设计

摘要

基于角色的访问控制从上世纪90年代开始出现，其基本思想是:把对资源的访问权限分配给角色，根据用户的职能和责任把适当的角色赋予用户，角色在资源和用户之间起到桥梁作用。它支持最小特权、责权分离和数据抽象等安全原则，在大型应用系统中应用广泛。在学术界，基于角色的访问控制也是一个研究热点，其中以美国George Macron大学的Sandhu等人提出的基于角色的访问控制模型(RBAC96、ARBAC97、ARBAC99等)影响较大。 尽管目前已有的基于角色的访问控制模型可以解决一般的权限问题，但是也存在一些不完善之处，比较难于在大企业和组织的管理信息系统中使用：比如很多模型的具体实现只能控制业务权限，对数据权限的控制很弱或者不好控制；权限控制的粒度太粗，不能做到细粒度、精致的控制；很多权限系统实现效率太低，每次权限验证都需要多次访问数据库，对系统响应时间影响较大；RBAC96模型中角色只能集中式管理，不适应大组织和企业中的非集中式管理和分级授权要求；以及RBAC系列模型不支持动态权限，对工作流中产生的动态角色无法进行细致的控制权限等等。 论文借鉴了RBAC96、ARBAC97模型和TBAC模型的核心思想和优点，并进行了改进，引入了管理域的思想进行分级授权，并使用规则策略实现主体和客体的关联以及对动态权限、上下文相关权限的支持，提出了基于管理域和规则策略的角色管理模型，即DR-ARBAC模型，很好的解决了上述问题。 针对Web应用中的管理信息系统的特点，结合实验室科研项目中国某极地研究所极地科学数据库系统和上海某学院数字校园项目的具体需求,论文分析并给出了DR-ARBAC模型的具体实现，透明的应用于新开发的系统，实现了权限的非集中式管理，在不同组织机构中保证权限控制相对统一,同时又不相互影响，对于数据权限、动态权限和工作流中的动态角色也提供了支持；对于模型实现中的效率和灵活性问题，也给出了具体的解决方案。 在扩展性和灵活性方面，DR-ARBAC模型本身也提供模型的扩展点，通过规则策略中自定义不同的策略，并在上下文支持下，可以扩展本模型，从而支持管理信息系统中复杂多变的权限业务要求。