论文研究-一种基于改进RBAC模型的EIS权限管理框架的研究与实现.pdf

所需积分/C币:5 2019-07-22 18:32:01 458KB .PDF

对基于角色的访问控制(RBAC)模型进行了延伸和拓展,提出了一种细粒度权限控制的改进模型FG-RBAC,并在此模型基础上设计开发了一套能为企业信息系统(EIS)开发者和用户提供更简单、更实用、更快速的数据级权限管理解决方案的管理框架。该框架已在若干个国有大型企业集团EIS的权限管理中获得成功应用。
第10期 陈琛,等:一种基于改进RBAC模型的EIS权限管理框架的研究与实现 3857 和 DATA PERMISSION 予权限,最后是控制权限。本文参照这个流程,在 FG-RBAC模 在新模型的基础上,对于上文提炇的筍单的数据级权限管型上设计∫该权限的管理框架。图4为该框架的整体结构。 理应用需求则可以作如下处理,即首先采用另一种表达方式来 描述这个需求:总经理可以查询许可范围为合同金额大于50 绿判验证功能权限鬥获取数据权限」制 SCOPES 万与合同类别为所有类别的合同信息,而财务经理可以查询许 Hierarchical+ 可范围为不管合同金额大小与合同类别的所有为财务合同的 Q 角色分配权限 合同信息。这样可以知道许可范围能分为两种类型:合同金额 Ty 功能权维 下餐都 和合同类别,它们对应模型屮的 SCOPES元素,通过将它们与 RangeScopcs 对合同查询这个功能操作的绑定可实现对合同查询功能的数 匿[圈 据级权限管理;而且它们并不是此功能操作独有的属性,还可 图3 SCOPES的结构 图4基于FG-RBAC模型的权限管理 以将它们与系统定义的其他功能权限绑定来实现不同的数据 框架结构 级权限管理,比如对合同的维护,对付款的查询等;同时还能对 创建杖限的过程首先是基本数据维护。在FG-RBAC模型 它们进行扩展,如增加“地域”“年份”等 SCOPES。所以,基丁中的六个基本要素 USERS、 ROLES、 SESSIONS、 OPERATION FG-RBAC模型的权限管理框架允许应用用户根据业务需求来 OBJECTS、 SCOPES中,除了 SESSIONS是在用户登录后产生的 随时设置不同的许可范围,以此获得数据级权限管理的控制外,其他五个都需要在这个过程中进行维护;接下来则是由已 权,同时ES开发者无须在应用程序中编写特定的业务逻辑来经维护好的对象数据利操作数据建立功能权限数据,对应FG 控制许可范围,从而可降低开发的繁琐程度,提高应用开发的RBAC模型中的 FPRMS的建立最后是根据功能权限和数据 效率。 范围建立数据权限,对应 FG-RBAC模型中的 DPRMS的建立 2.2 SCOPES的结构 有了这些基础数据后,权限管理员可根据应用实际需求为 由2.1节可以知道 SCOPES表示实际应用中的许可范围, 角色分配相应的功能权限和数据权限,再将角色赋予相应的用 而对于许可范围的需求是多种多样的。为了满足这些多样化户,从而完成授权过程,这一过程包括了 FG-RBAC模型中的 的需求并为权限管理框架设计提供更完善的理论指导,本文从LA和PA过程。 实际应用出发对 SCOPES作进一步的细化。图3给出了 以上两个环节都比较直观,而且与业务系统不直接关联 SCOPES的结构图。 所以相对比较容易设计和实现。限丁文章篇幅这里不再详述。 a) Context Scopes。从ES运行上下文中获取的SOPS,3.2权限控制机制 可以是当前使用用户的名称、所在机构、P地址或者当前年、 权限控制是权限应用框架的核心,也是判断一个权限管理 月等,它不能单独使用,必须与其他三个 SCOPES组合使用。 框架好坏的关键因素。为了更好地满足实际应用需求,本文将 b) )Hierarchical Scopes。可以表示成层次结构的 SCOPES,从ES开发者开发效率、系统性能等方面来设计此控制机制。 比如实际应用中的组织机构就是一个典型的例子,权限管理用图5给出了权限控制机制的整体流程。 户可以指定财务经理查询财务部门及其下属所有部门的合同, 首先在应用用户验证身份信息并成功脊录系统后开始执 同时它能与 Context Scopes组合使用,如可以先获得当前应用行业务操作,此时就需要权限框架来判断用户是否能执行该项 用户所在的部门,然后指定应用用户能够查询这个部门及其下业务操作。对于ES开发者而言,目前最普遍的做法是在该业 属所有部门的合同。 务操作的业务逻辑里显式调用权限框架中进行权限验证的方 es。可以表示成有类型或者有实例的sOPS,法或接口。这种方法有明显的缺陷,因为ES开发者必须在每 比如上节提到的合同类型,权限管理用户可以指定财务经理查个需要验证权限的地方编写相关代码,这使得代码的可读性和 淘某一种或者多种类型的合同。同时它能与 Context Scopes组可维护性降低,增加了ES开发者开发的工作量;而且如果E 合使用,如可以先获得当前应用用户的用户名,然后指定应用开发者忘记编写相关代码,会让该处业务操作成为业务系统的 用户查询合同录入人等丁这个用户名的合同,也就是查询当前安全隐患,同时也约束了后合权限授权的灵活性。为了你补这 用户录入的合同。 种缺陷,本文采用∫拦截机制设计,其原理是在应用用户执行 d) Range Scopes。可以表示范围的 SCOPES,如前节提到业务操作之后,自动拦截业务处理相关的对象和操作,并将它 的合同金额权限管理用户可以指定总经理查询合同金额大于转交权限验证功能来判断是否能进行下一步操作,这样ES开 某一特定数值的合同。同时它能与 Context Scopes组合使用,发者就不再需要编写与权限控制相关的代码,从而降低了开发 如可以先获得今年的午份,然后指定总经理查询这个年份以内繁琐程度,提高了代码的可读性和可维护性,也让权限管理员 的合同。 授权更加灵活。 3基于FG-RBAC模型的权限管理框架 权限验证首先需要验证功能权限,其目的是判断应用用户 是否能够进行到业务处理这一环节。如果能进行业务处理,则 在上述研究基础上,本文结合以往的开发经验,设计并开获取应用用户与该业务处理相关的数据权限并进行关联;香则 发了一个以系统数据安全为导向,以简化FS开发者工作、提就会跳出业务系统结束本次操作。数据权限的获取是一个复 高ES权限管理效率为目标的细粒度权限管理框架,下面将详杂的过程,由前文可知数据权限由层次数据权限、类型数据权 细阐述此框架的设计与实现。 限、范围数据权限组成。权限管理用户在授权过程中会将这些 3.1整体结构 数据权限以一定的语法规则保存,而在获取过程中会解析这些 实际应用中权限管理的基本流程是首先创建权限,然后授语法规则,并与ES运行时的上下文联系,生成角色的数据权 3858 计算机应用研究 限并最终根据用户拥有的角色来生成用户的数据权限。传统建用户权限树并保存在用户的会话中。这样每次在应用用户 权限,框架一般会在用户执行每个业务操作的同时从数据库中执行业务操作时,只需搜索用户权限树就能完成验证功能权限 读取相关的功能权限和数据权限,它意味着应用用户在完成业和获取数据权限的过程,整个过程在内存中完成,无须与数据 务管理的同时,权限控制机制需要频繁地与数据库进行交互,库交互,所以大大地提高了业务系统的性能。 这无疑增加了业务系统的性能负担。鉴于此,本文提出了一种 提高性能的权限控制方法,这里首先要介绍用户/角色权限树4结束语 的概念。图6给出了它的结构。 本文探讨了ES中细粒度权限管理框架的设计和实现,通 千始 过引人 SCOPES的概念来改进传统的RBAC模型,将传统的权 用户登录 位务操|(用户/角色 限区分为功能权限和数据权限,提出∫FG-RBAC模型,并在此 模型的基础上设计并实现了一个满是FS数据级权限管理需 拦截机制 求的权限管理框架。实践证明,该杈限管理框架能有效减少 证功能权 对象 E丶S开发者编写权限控制代码的繁琐工作,提高ES权限管理 业务处 操作 的效率。口前,该框架还只适用于集中式的服务器部署环境 是 刈于分布式的服务器部署,尚需进一步的研究。 取数 据权限 数据范围 参考文献: 权限控制 平务系统 [1 FERRAIOLO D F, KUHN R. Role-based access controls C//Prod of the 15th NIST-NCSC Naticnal Computer Security Conference 结束 图5权限控制流程 图6月户/角色权限树 [2 SANDHU R, COYNE E J, FEINSTEIN H L. Role-based access con 由图6可知,它是一种能够直观反映应用用户或角色功能 trol models[J]. IEEE Computer, 1996, 29(2): 38-47 权限与数据权限关系的树型结构,根节点表示一个应用用户或3. International Committee for Information lechnology Standards(N 者角色,它的子节点是与用户或者角色关联的所有对象,而对 CITS). ANSIINCITS 359-2004, American national standard for infor- 象节点的子节点则是能对该对象执行的操作。从这三级节点 mation technology: role-based access control[S]. 2004 [4 FERRAIOIO D F, SANDHU R, GAVRILA S, e! al. Propoesd NIST 就能直观地看到用户或者角色拥有的功能权限,而叶子节点则 standard for role-based access control J. ACM Trans on Informa 是每一个操作关联的数据范围和其对应的值(数据权限语法 tion and Systerm Security, 2001, 4(3): 224-274 字符申),从而体现出用户或者角色拥有的数据权限。 [5 FERRAIOLO D F, KUHN R, CIIANDRAMOULI R. Role-based ac- 由于角色是能够被赋予多个用户的,为∫减少用户在业务 cess control[ M. 2 nd ed. Norwood, MA: Artech House, 2007 操作过程中权限控制模块与数据库的交互次数,在业务系统初6]暮征德,冯国,徐震,细粒度的于信仁度的可控委托授权模型 始化时,可按照权限树的组成从数据库中读取角色的功能权限 [J].软件学报,2007,18(8):2000-2015. 和数据权限的数据来构建系统所有的角色权限树,并在全局缓 [7]吴江栋,李伟华,安喜锋.基于RBAC的细粒度访问控制方法 计算机工程,2008,34(20):52-5 存来保存这些树的结构。在用户登录系统后,可从全局缓存中[81李细两,韩建民,于娟,等、恭于粒逻的扩展BAC模型[ 读取用户拥有的所有角色的权限树,再根据这些权限树重新构 浙江师范大学学报:自然科学版,2009,32(3):303-307 上接第3854页) Springer-Verlag, 1997: 165-179 表1签密方案效率比较 [2]韩益亮,杨跷元。可公开验证 ECDSA广义签密[J].计算机学 schemes USO oracle model 报,2006,29(11):2003-2012 文献[4] 3m+p random oracle [3] SHAMIR A. Identity-based cryptosystems and signature schemes 文献[5] e +4m 2c+2 random oracle [C_ //Proc of Advances in Cryplology-Crypto'84. New York: Sprin 本文方案 3e +m standard cracle ger-Verlag, 1984: 47-5 [4 LAL 5, KUSHWAH P. ID-based generalized signcry ption, Report 6结束语 2008/ 084[R].[S1.]: Cryptology ePrint Archive, 2008 [5]张洪礼,赵静,刘文远。高效的基于双线性对和身份的广义签密 木文首次给出一个在标准模型下可证明安仝的基于身份 方案|J|.计算机应月研究,2010,27(2):678-681 的广义签密方案,并证明了其安全性。该广义签密方案的机密61 WATERS B. Efficient identity based eneryption without random ora 性在DBDH假设下是抗适应性选择密文攻击的,其不可伪造 cleLC//Proc of EUROCR YPT. Berlin: Springer-Verlag, 2005: 114 性在CDH假设下是抗适应性选择消息攻击的。广义签密方案[7] PATERSON K, SCHULDT. Efficient identity based signatures se 在一般签密方案能同时提供机密性和认证性的基础上,可以只 cure in the standard model[ C]//Proc of ACISP. [S.1.]: Springer- 实现机密性和认证性一种功能,在节约时问和成本的基础上满 Verlag,2006:207-222 足不同的需求环境,因而具有广泛的应用前景。 [8 ZHANG Bo, XU Qiu- liang. Identity-based multi-signery ption scheme thout random oracles[J]. Chinese Journal of Computers 参考文献 2010,33(1):103-109 I 11 ZHENG Yu-liang. Digital signcryption or how to achieve cost [9] CHEN Li-qun, MALON-LEE J. Improved identity-based signcryption signaturekenery ption)<<cost re)+cost( encryption [C//Proc of Public Key Cryptography. Berlin: Springer-Verlag [C//Proc of Advances in Cryptology-Crypto'97. London, UK: 2005:362-379

...展开详情
img

关注 私信 TA的资源

上传资源赚积分,得勋章
相关内容推荐