基于角色访问的控制系统的研究与实现

2011-08-15 00:52刘伟

科技传播 2011年18期

关键词：访问控制信息系统网络安全

刘伟

南京铁道职业技术学院，江苏南京 210015

基于角色访问的控制系统的研究与实现

刘伟

南京铁道职业技术学院，江苏南京 210015

随着计算机和互联网的普及，网络安全问题日渐突出，基于角色访问的控制系统作为一种安全机制，已经得到了普遍的关注和应用。鉴于此，本文简要分析了访问控制技术，并讨论了基于角色访问的控制系统的研究与实现=。

角色访问控制系统；研究；实现；网络安全技术

如今，互联网技术的迅速发展已经使信息共享得到了实现，信息共享为我们的工作和生活带来了诸多便利，但是，与此同时，随着网络环境的日益复杂，网络安全已经成为一个不得不解决的问题。鉴于此，基于角色访问的控制系统应运而生，成为网络安全技术的又一重要进步，因而设计一个科学的、有效的、灵活的角色访问控制系统已经成为现有大型信息管理系统的当务之急。

1 访问控制技术的研究

访问控制系统的主要职能是限定合法用户的网络行为，它是网络安全信息系统的重要组成部分之一。访问控制技术功能包含两个层面，一个是限定合法用户的行为，一个是系统根据用户的行为应作出何种反应。

访问控制机是以特定途径表现的允许或限制访问权限及访问范围的一种机制，访问控制机制的技术关键是身份认证，实质是以限定用户对特定网络资源的访问来避免非法用户对资源的滥用，以此保证资源不被非法使用；根据功能的不同，访问控制策略也有所不同，目前常见的访问控制策略是基于角色的访问控制、强制访问控制和自主访问控制；其中，由于基于角色的访问控制在政府、金融、军事等领域体现出了良好的安全性和可靠性，因而得到了广泛的运用，并成为了访问控制研究领域的热点课题。

2 基于角色访问的控制系统的特点分析

首先，为了认清基于角色访问的控制系统的职能和特点，我们需要了解角色的定义，并了解角色的属性。

角色在网络系统中的定义可以归纳为：一个（或一群）用户在组织内可执行的操作的集合。在一个组织、一个企业的网络系统往往会被划分为不同的区域，而只有限定了组织中每个成员或每组成员的角色，才能更有效地限定其访问区域。而往往，为了保证组织或企业中每个网络区域的安全性，我们通常采用的是最小特权原则，也就是说，只有该区域限定的，可以对其进行访问的角色，才能对其进行访问，由此可见，现实生活中的角色和权限往往是一对一的关系。

角色的属性：1）角色的数据处理对象具有既定的确切的范围。由于网络系统中访问数据要被划分为不同的区域，因而要向角色明确指出其数据处理对象的范围；2）不同角色对数据的处理权限不同，例如有的角色可以对数据进行修改，有的角色可以向信息系统提交数据，而有些角色只能查看数据等等；3）角色只属于拥有一定职能的工作人员才可扮演，扮演各种角色的工作人员，只有被授权使用其角色后才能行使该角色被赋予的权限；4）某些角色的一部分权限具有时效性，为了保证信息系统访问权限管理的科学性和灵活性，当不同岗位工作人员的职能发生变化时，角色的部分权限也要发生变化，以此来确保信息系统的安全。

由于网络安全需求，基于角色访问的控制系统模型在90年代以来得到了广泛的关注，和普遍的应用。基于角色访问控制系统模型的使用充分运用了角色的概念，以角色代表了用户的职责和权力，代表了用户执行某项任务的能力，是信息系统对于资源存储、取用权力的诠释更加生活化。

在实际生活中，一个用户的角色被限定以后往往不会频繁地发生更改，而在网络信息系统中部高，由于一个组织活动、功能和组成常常发生变化，因而组织中的用户对信息资源的权限也时常发生变化，如果让用户以其本身身份直接访问网络资源，那么关于访问权限维护的工作量是难以估量的，角色概念的运用，使用户与信息系统的关系相对较为稳定和持久，也使信息系统访问权限维护工作更加稳定和轻松。

3 基于角色访问的控制系统在网络安全中的应用

基于角色访问的控制系统有两方面作用：1）可以克服传统的面向部门后权限控制过粗的问题；2）可以提高单个用户与被访问信息系统直接挂钩方式的处理效率。用户与信息系统之间通过“角色”来连接，一个角色与权限关联可以看作是该角色拥有的一组权限的集合，与用户关联又可以看作是若干具有相同身份的用户的集合。也就是说一个固定的用户可以拥有多种角色，同样一个角色也可以被赋予不同的具体用户。

除此之外，基于角色访问的控制系统的运用，还把权限管理这一工作变得更加轻松和灵活。例如，当增加新用户时，可以根据针对该用户的业务性质赋予其特定的角色，新用户将以其拥有的角色形式其访问权限，这样一来就不需要对新增的用户进行逐一的了解和管理；另外，当原有用户的访问权限需要发生更改时，只需改变用户的角色，来重新限定其权限，而不必对需要改变权限的用户进行专门的权限修改；而当一个组织，如一个企业的某些岗位业务、职责或者权利发生变化时，只需要修改其相应角色的权限，而不必针对这一岗位上的每一位员工更改权限。

总而言之，基于角色访问的控制系统已经成为信息系统安全管理中一个科学、可靠、灵活的重要手段，本文在分析了访问控制技术研究成果和现状，以及对角色的概念和属性进行了分析的基础上，对基于角色访问的控制系统的特点进行了分析，并指出了基于角色访问的控制系统在网络安全控制，尤其是在信息系统管理中的实现与作用。相信在将来，基于角色访问的控制系统将凭借其良好的安全性、可靠性和合理性得到更为广泛的应用。

[1]胡长城.基于角色的授权控制模型.www.javafox.org，2003-12-14.

[2]黄文品.一个基于角色控制的改进模型[D].江西师范大学硕，2003.

[3]戴宗坤，罗万伯.信息系统安全[M].北京电子工业出版社，2001.

[4]韩伟力，陈刚，尹建伟，等.权限约束支持的基于角色的约束的访问控制模型与实现[J].计算机辅助设计与图形学学报，2002，14(4)：21-26.

[5]高飞，潘双夏，冯培恩.信息管理系统安全性定义与方案设计[J].计算机工程与应用，2002(3)：131-134.

TP309

1674-6708（2011）51-0163-01