论文研究-基于SaaS系统的改进的RBAC模型 .pdf

所需积分/C币:18 2019-08-16 15:23:27 402KB .PDF
收藏 收藏
举报

基于SaaS系统的改进的RBAC模型,吕群,吴斌,传统的RBAC模型(Role-Based Access Control)不能解决SaaS系统多租户的数据安全隔离和租户内用户数据共享的问题,降低了RBAC模型的实用性,��
山国武花论文在丝 多层次、多方面的意义而得到了广泛的认可。但是 模型存在定的局限 性,缺乏对数据的隔离和共亨的考虑,在一定程度上降低了模型对现实世界的表达能力,同 时模型的安全性也存在隐患。自身缺乏良好的自我管理能力,在大型的分布式应用环 境下,需要设置的角色众多,而系统的用户则不计其数,管理数量巨大的用户、角色以及他 们之间的关系是一项十分艰巨的任务。因此在应用环境中需要对 基本模型改进以使 其更具实用性。针对 模型的缺点本文提出了一种新的 模型 模型,该模型解决了用户数据的隔离与共享问题还具有接近现实世界及自我管理良好的优 改进的 模型一一 模型 针对租户角色复杂、各租户数据共存而又独立访问的要求,基于角色的访问控制模型, 提出一种改进的模型一 模型,并对该模型进行详细的定义和分析。该模型 通过用户——简档——权限的权限授杈模式,构健了支持多租户、多角色、方便租户枚限管 理的访问控制模型,实现了用户和访问权限的分离,减少了授杖管理的复杂性。和传统基 于角色的访问控制模型相比该模型增加了租户的概念以租户为基本单元实施平台的访问控 制提高了平台访问控制的安全性和可管理性;引入系统管理员,提高了模型的自我管 理能力;引入组和角色树的概念,解决了系统的数据共享和隔离问题。 模型基本元素定义 定义租户(),是租用的最小单位,通常为个组织,可以包括到多个用 户。系统应该为每个租户分配独立的空间,租户之间严格不可见。租户可以根据自己的需求 定制软件,以达到自己的目的。每个注册的租户至少包括一个系统管理员。 定义用户集(),每个租户可以有若干个用户,用户是系统的实际使用者,可以 独立访问计算机应用程序中的数据,通常是一个经授权的合法账户,具有一定的作权限。 表示用户集合,表示中的一个用户,即彐∈ 定义系统管理员 ,每个租户至少有一个系统管理员,只有系统 管理员可以进行系统定制和授权操作。 定义权限集( ),权限是一个许可权,是对计算机应用程序中的数据进行 访问的许可,表示对一个或多个目标执行操作的许可权。 表示权限集合,表 杖限集合中的个权限,即彐∈ 定义资源 ,是系统所要保护的,可以被访问的对象。用表示资源集合中 的一个资源,即彐∈ 定义操作集( ,表示所有操作的集合。操作是对系统中资源的进行的何 和操作。用表示操作集合中的一个操作,即:彐∈ 定义简档集 ,对应于 中的角色概念,为避免混淆,下文统一使用简档 简档的实质是一组可执行任务的集合。它描述了被授予此简档的用户所拥有的权限集合。简 档决定了用户对资源所拥有的权限以及可以执行的操作。表示中的一个简栏,即 彐∈ 定义角色,注意此处的角色与中的角色是完全不同的概念,下文提到的 角色均是 模型中的角色。每个用户都是企业中的员,有固定的岗位级别。使用角 色,可以使用户在系统中的身份与其企业组织结构身份相对应。 山国武花论文在丝 定义组 组的概念是对企业的团队或部门的抽象,通过共享数据规则的设定, 组成员可以访问到其他成员所拥有的数据,并执行一些操作,实现数据共享。 定义权限指派 ,它是权限集 到简档集 的一种多对多的元关系集合,即表示一个权限可以分配给多个简档,一个简档可以被授予 多个权限。即 ∈,表示权限分配给简档,或者说拥 有的用户具有权限。简档拥有的权限集表示为 定义用户指派 它是用户集到简档集的一种一对 多的二元关系集合,即一个用户可以被赋予一个简档,一个简档可以赋予多个用户。 模型图如图所小: 角色树 数据共享与隔离 用户 操作 客体 权限 程户 模型 在 模垩中,一个用户只能有一个简档,可以有多个角色。简档表示该用户拥有 的权限操作集合,通过简档实现了用户和权限的分离,降低了分配权限的复杂忙,做到了职 责分离;通过角色标志用户在系统中所处的岗位级别:通过组实现了数据共享。简档主要是 用来规范用户对系统资源的使用权限,角色和组则是用来完成数据共享和隔离。通过使用简 档、角色和组并进行适当的置就可以限定用户对系统的功能权限,以确保中各 类数据的安全。 引入系统管理员 模型引入系统管理员的概念提高了 模型的自我管理能力,系统管理员 主要负责系统定制、配置和用户到简档的授杈操作。通过引入系统管理员,模型弥补了标准 模型的不足,提高了模型的自我管理能力,实现了对所有用户、简档和权限的统一的 集中式管理,降低了管理开销,便于实现全局的安全策略 引入角色树 在传统模型中,并没有提到组织结构,而在实际应用中,组织结构与用户及权限 都有密切的联系,同时,信息系统也需要体现出企业的组织结构,以方便用户的使用。所以 在 模型中引入角色树,形式化的表示企业的组织结构,用户对应」角色树中的某 个角色或者多个角色,标志用户在个企业组织结构中的岗位级别,方便了用广使用信息系 统,简化了系统管哩员的工作,同吋引入角色树可以实现数据的隔离与共享。角色树可以实 现数据隔离与共享的规则如下:高层用户数据对低层用户不可见;高层用户可访问低层用户 山国武花论文在丝 数据;高层用户管理低层用户权限;同层用户数据相互隔离不可见。 引入组 通过角色树, 模型已终解决了上司和下属之间的数据共享问题以及同层用户之 间数据的隔离问题,但是在特殊场景下,比如当一个项日中需要其他部门的同事来配合工作 时,单单依靠角色树,没有办法解决这样的问题,所以 模型引入组的概念。 模型引入组概念主要是为了实现组共亨。组共亨是为了实现独立的特定的用户 之问的数据共亨。组不拥有任何数据记录,所有的数据记录都是用户所持有。通过配置组共 享,可以将指定的些用户加入到个组里,在此组中,组成员可以共享特定的数据(共享 哪些数据可以在添加组成员时添加〕,组成员对共享数据的访问权限可配置。 模型讨论 模型依然沿用了传统模型的基本思想,但是针对传统模型存在的不 足 模型引入系统管理员提髙了模型的自我管理能力,引入角色树和组概念实现数 据的隔离和共享。所以, 模犁与传统模型相比,首先提髙了模型的自我管理 能力,解决了数据的隔离和共亨问题,其次大大缩小了模型与现实世界的差距,可以方便的 应用于各种系统,提高了模型的实用性。 实验分析 )即客户关系管理,最初是由著名的分析公 司 提出来的,是指用计算机自动化分析销售、市场营销、客户服务以及应用 支持等流程的软件系统。它的目标是缩减销售周期和销售成本、増加收入、寻找扩展业务所 需的新的市场和渠道以及提高客户的价值、满意度、赢利忙和忠实度。源于“以客户 为中心”的新型商业模式,是选择和管理有价值客户及其关系的一种商业策略。 模式下的系统中,涉及的用户多,要求系统的通用性强,权限设计灵活,敏 感信息例如客户信息、商品价格信息对访问权限设置要求高,使用传统的访问控淛方法, 系统设计比较复杂而且难」满足灵活性要求。同时在模式下的服务端存放的数据是很多 个用户的数据,不同于传统模式下用户的数据存储在自己的服务器上的方式。因此有效的访 问控制方案和数据的安全隔离措施也是需要考虑的重要问题。因此客户关系管理的核心问题 就突显出来了。 如何界定用户的职能?用户可以使用哪些资源?以何种方式使用资源? 如何隔离数据?上司总有知道下属状态和信息的需要,但是上司的信息不会全部公开给 下属,而且即使是相同级别的用户也应当拥有私有的数据。 如何共享数据?如果用户想将自己的私有数据分享给其他用户,又应当如何做? 这些都是在实现系统的权限管理中需要考虑的问题,同时,保证模式下的 系统的可用性、可靠性和数据的完整性也是需要考虑的重要问题。结合的典型 问题,传统的 模型已经不能满足需求,改进的 模型可以很好的解决上述问 题,满足租户的需求。 在系统中, 将整个系统划分为各种模块来管理。模块是数据的载体和管理 器,承载了数据本身,还集成了相应的操作,不仅规定了数据应该包括怎么样的信息,还包 山国武花论文在丝 括·些对数据的处理方法,比如创建、更新、查询和朋除。简而言之,模块是数据和管理数 据方法的集合,拥有了模块的使用权限就可以操控数据,限制了用户对模块的使用权限就可 以保护数据。往往不同职能的用户所管控的范围是不同的,模块的使用也就界定岀了 系统中用户的职能范围。应用了 模型在系统架构可以通过图展示: 用户定义 用户管理 用户简档分配 用户角色分配 简档定义 管理模块级午可权限 简档管理 管理子模块级许可权限 管理数据记录字段沂可 权限 系统 操作权限分配 模块管理 模块定义 角色定义 角色管理 角色树建立 组定义 组管理 组配置 图 系统架构 通过角色树来实现数据隔离与共享。 数据共享 ()角色共亨通过角色树可以达到角色共享。 ()模块共享 模块共享与角色共享相比,是更广范围内的共享,是一种不区分用户身份的共 享。模块共享是指一个模块的所有数据的共享。若模块共享功能开启,凡是能 够使用此模块的用户都可以使用此模块中的所有数据。模块共享也有权限等级 设定,共分为五个等级:私有、只读、新增、修改、删除。当且仅当模块数据 共亨设定为私有时,角色共亨才会被启用。当模块共亨数据方式不是私有时 角色共享就亳无意义了。 ()组共享,通过组配置可以达到特定成员之间的共享。 结论 基于角色的访问掉制模型 是在信息与网络安全领域的一种较新的访问控制技 术,本文分析了基于系统的传统 模犁的特点以及存在问题,给出了一种改进的 模型 模型,解决了传统 中存在的门趣,并将 模型应用于 系统中。该模型通过用户——简档——权限的权限授权模式,构建了支持多租户、多 角色、方使租户权限管理的访问控制模型,实现了用户和访问权限的分离,减少了授权管理 的复杂性。 山国武花论文在丝 模型已成功应用于 系统的设计和开发实践,与应用系统具有很好的集成。 实践证明,采用 模型表现出以下优点:()通过增加租户的概念以租户为基本单 元实施平台的访问控制提高了平台访问控制的安全性和可管理性;()通过引入系 统管理员,提高了模型的自我管理能力;()通过引入组和角色树的概念,解决了系统的 数据的共享和隔离问题。该模型可以灵活的处理租户和租户、租户和用户、用户和简档等直 接的关系,使用该模型,可以方便进行用户的权限管理并保证了用户的数据安全 参考文献 袁韵涛基于角色的访问控訇模型研究软件导刊 王俊,贾连兴,姚海潮,何建平基于 的文件级分布式安全访问控制系统的研究计算机研究 与发展, 周锦程,张佳强,冷文泩可扩展系统中基于模型的访问控制计算机工程,,() 李鵬基丁模式的客户关系管哩系统的硏究济南:山东大学, 林臻,干红华,陈德人一种基于模型的解决方案计算机系统应用,,()

...展开详情
试读 7P 论文研究-基于SaaS系统的改进的RBAC模型 .pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
    抢沙发
    一个资源只可评论一次,评论内容不能少于5个字
    img

    关注 私信 TA的资源

    上传资源赚积分,得勋章
    最新推荐
    论文研究-基于SaaS系统的改进的RBAC模型 .pdf 18积分/C币 立即下载
    1/7
    论文研究-基于SaaS系统的改进的RBAC模型 .pdf第1页
    论文研究-基于SaaS系统的改进的RBAC模型 .pdf第2页
    论文研究-基于SaaS系统的改进的RBAC模型 .pdf第3页

    试读已结束,剩余4页未读...

    18积分/C币 立即下载 >