專利名稱:一種基于擴展角色的五層資源訪問控制方法
技術領域:
本發(fā)明是一種用于信息安全技術中對資源訪問進行控制的一種新方法,屬于計算機與信息安全技術領域。
背景技術:
近幾年來互聯(lián)網(wǎng)以及通信網(wǎng)在全球范圍內(nèi)得到了迅猛的的發(fā)展�,它對人類社會的生活方式產(chǎn)生了極大的影響和改變��,而隨之而來的網(wǎng)絡信息安全問題就顯得越來越重要��。網(wǎng)絡黑客�����、病毒����、信息竊取和干擾等手段的出現(xiàn),使網(wǎng)絡的安全面臨嚴重的挑釁���。全球每年都為之付出巨大的代價�����,高達數(shù)億美元之多�,如銀行帳戶系統(tǒng)被侵入�����、病毒發(fā)作、軍事網(wǎng)絡干擾等。
訪問控制主要有70年代形成的自主訪問控制(Discretionary Access Control,DAC)和強制訪問控制(Mandatory Access Control���,MAC)��,以及1996年提出的基于角色的訪問控制模型(Role-based Access Control,RBAC)���。
與DAC和MAC相比�����,RBAC顯示了良好的適應性�����,并在實際中得到廣泛應用���,許多研究工作者在此領域進行了深入的研究�。基于角色訪問控制的基本思想是將權(quán)限同角色關聯(lián)起來,而用戶則通過賦予角色來獲得相應的權(quán)限��,用戶擁有的全部權(quán)限由授予該用戶所有角色的權(quán)限的并集決定。傳統(tǒng)的RBAC包含三個最基本的元素用戶(User)�,角色(Role)和權(quán)限(Permission)。
用戶(User)是一個訪問計算機系統(tǒng)中的數(shù)據(jù)或者其它資源的主體�。用U表示全體用戶的集合���。
角色(Role)是指一個組織或任務中的職位或工作��,代表了一種資格、權(quán)利和責任。用R表示全體角色的集合��。
權(quán)限(Permission)是對計算機系統(tǒng)中的數(shù)據(jù)或者其它資源進行訪問的許可��。用P表示全體權(quán)限的集合����。
近幾年來��,網(wǎng)格計算研究領域的興起�,為互聯(lián)網(wǎng)的應用展示了新平臺����,世界各國投巨資進行這方面的研究,如歐盟的EDG計劃等�����,中國也由國家教育部組織,構(gòu)件教育計算網(wǎng)格環(huán)境�,而計算網(wǎng)格中的訪問控制是網(wǎng)格安全的重要組成部分�。由于網(wǎng)格計算環(huán)境資源的動態(tài)性����,傳統(tǒng)的基于用戶��、角色和權(quán)限構(gòu)成的三層模型已不適應這種資源的動態(tài)性��,為了有效地對資源的訪問進行控制���,必須研究新的資源訪問控制方法�����。
發(fā)明內(nèi)容
技術問題本發(fā)明的目的是提供一種基于擴展角色的五層資源訪問控制方法�,該方法提供基于主體�、擴展角色���、權(quán)限、擴展客體和資源的訪問控制機制����,這種角色與客體關系能更好地描述實際系統(tǒng)中主體���、角色���、權(quán)限與客體之間的聯(lián)系���,為計算網(wǎng)格環(huán)境的訪問控制提供新的手段�����。
技術方案傳統(tǒng)的三層訪問控制方法為在三層模型中有以下元素用戶(User)是一個訪問計算機系統(tǒng)中的數(shù)據(jù)或者其它資源的主體��,用U表示全體用戶的集合����。
角色(Role)是指一個組織或任務中的職位或工作�����,代表了一種資格���、權(quán)利和責任��。用R表示全體角色的集合。
權(quán)限(Permission)是對計算機系統(tǒng)中的數(shù)據(jù)或者其它資源進行訪問的許可。用P表示全體權(quán)限的集合���。
傳統(tǒng)三層訪問控制流程1.應用系統(tǒng)中的用戶管理器生成新用戶user1���,2.應用系統(tǒng)中的用戶管理器生成角色R��。如管理員�����,程序員���,一般用戶等���,3.對用戶指定角色���。如用戶user1為管理員�����,4.對角色指定某種權(quán)限。如管理員可以對所有文件進行“讀”和“寫”操作��,5.用戶user1根據(jù)自己的角色和權(quán)限實現(xiàn)對文件等資源的訪問��,從而實現(xiàn)對資源的訪問控制�����。
本發(fā)明的五層訪問控制模型五層訪問控制模型中包含如下的元素●U用戶集���,指網(wǎng)格中的各種用戶��;●O客體集,指網(wǎng)格中的各種資源�����;●P權(quán)限集合,指對資源的各種操作�;●K角色控制域集合��,指網(wǎng)格中各種角色控制域組成的集合��;●擴展主體角色ESR,有結(jié)構(gòu)化信息的主體角色�����。其語義表示處于角色控制域k中的角色sr����;●擴展客體角色EOR����,有結(jié)構(gòu)化信息的客體角色��,���。其語義表示處于角色控制域k中的客體角色or���;訪問控制流程1.應用系統(tǒng)中的用戶管理器生成新用戶user1,2.建立一個資源分類文件����,對系統(tǒng)中的文件進行資源分類��,從而生成客體角色OR��。如OR={資源1��,資源2},其中���,資源1={文件1���,文件2}���,資源2={文件2�����,文件3���,文件4}�����,3.建立一個生成角色控制域文件K,它包含了目前進行的項目。如K={項目1�,項目2},4.建立一個生成擴展客體角色關系文件EOR���,它將項目中涉及到的資源標注出來�����,給出項目與資源的關系。如EOR={{資源1,項目1}���,{資源2��,項目1}�����,{資源2�,項目2}}��,5.建立一個擴展主體角色文件ESR�����,它將角色和角色控制域K中的項目聯(lián)系起來���。如ESR={{項目經(jīng)理����,項目1}����,{項目經(jīng)理�,項目2},{程序員��,項目1}},6.將用戶user1指派為相應的擴展主體角色�����。如將用戶user1指派為擴展主體中的“{項目經(jīng)理�����,項目1}”���,7.指派擴展主體角色的訪問權(quán)限,從而完成用戶的訪問控制系統(tǒng)�。如“{項目經(jīng)理���,項目1}”的權(quán)限為“讀”���,就完成了用戶user1對項目1中的資源訪問權(quán)限設置���,他只能讀該資源����。
有益效果本發(fā)明的意義在于克服了傳統(tǒng)三層訪問控制方法的局限性����,為信息安全領域中信息資源的訪問控制提供新的方法�,以更靈活、更符合實際現(xiàn)實情況的思路設計和實現(xiàn)對資源的訪問控制����。
本發(fā)明的優(yōu)點在于符合信息系統(tǒng)訪問控制的實際情況��,即將角色與參與的項目聯(lián)系起來����。實現(xiàn)的方法簡單靈活�����,僅僅在原來的三層模型基礎上�����,建立角色與項目�����、項目與資源的關系就可以實現(xiàn)����,使實用性大為增強,且便于實施各種安全策略�。同時通過五層訪問控制模型增強了系統(tǒng)的安全性��,可以實現(xiàn)同一種角色���,在不同的場合��,具有不同的訪問權(quán)限。
圖1是基于角色的訪問控制模型示意圖。
圖2是角色繼承示意圖�����。
圖3是傳統(tǒng)的三層訪問控制模型示意圖����,其中單箭頭表示一對一關系,雙箭頭表示多對多關系�,虛線表示約束關系。
圖4是本發(fā)明五層訪問控制模型示意圖���。
具體實施例方式
在實際應用中�,考慮一個軟件開發(fā)公司�����,有用戶3人�,分別為1位經(jīng)理和2位程序員,有4個文件資源可以訪問���,目前正在進行2個項目�����,則應用5層資源訪問控制方法如下1.應用系統(tǒng)中的用戶管理器生成用戶集U={用戶1,用戶2,用戶3}���,2.建立一個主體角色文件SR,它包含了所有的當前角色�����,即SR={項目經(jīng)理�����,程序員}����,3.建立一個客體集文件O,它包含了所有資源�,即O={文件1�,文件2,文件3�����,文件4},4.建立一個資源分類文件���,對系統(tǒng)中的文件進行資源分類���,既生成客體角色OR={資源1,資源2}�,其中,資源1={文件1���,文件2}���,資源2={文件3,文件4}�,5.建立操作集OP={讀,寫���,執(zhí)行}�,6.建立一個生成角色控制域文件K�����,它包含了所進行的項目�,即K={項目1,項目2},7.建立一個擴展主體角色文件ESR��,它將角色和角色控制域K中的項目
8.聯(lián)系起來�,即ESR={{項目經(jīng)理,項目1}�,{項目經(jīng)理,項目2}�,{程序員�����,項目1}}�����,9.建立一個生成擴展客體角色關系文件EOR�,它將項目中涉及到的資源標注出來,即EOR={{資源1���,項目1}��,{資源2��,項目1}�,{資源2,項目2}}��,10.將用戶指派為相應的擴展主體角色��,如用戶1指派為擴展主體中的“{項目經(jīng)理�����,項目1}”����,11.指派擴展主體角色的訪問權(quán)限,如“{項目經(jīng)理��,項目1}”的權(quán)限為“讀”�,這樣就完成了一個用戶1對資源{項目經(jīng)理,項目1}的訪問控制�。
上面的流程顯示了系統(tǒng)中基于主體、擴展角色�、權(quán)限、擴展客體和資源之間的訪問控制過程���。這樣的過程使我們能夠有效地控制同樣一個角色在不同項目中的權(quán)利����,而同樣一個資源在不同項目中被訪問的權(quán)限。如用戶1在項目1中是經(jīng)理�,他可以讀與項目1有關的文件,而不能讀項目2有關的文件�����。反之�,一個文件在項目1中就可以給用戶1讀,若在項目2中�,用戶1就不可以讀。
權(quán)利要求
1.一種基于擴展角色的五層資源訪問控制方法��,其特征在于該控制方法為a)應用系統(tǒng)中的用戶管理器生成新用戶user1����,b)建立一個資源分類文件�,對系統(tǒng)中的文件進行資源分類,從而生成客體角色OR���,c)建立一個生成角色控制域文件K���,它包含了目前進行的項目,d)建立一個生成擴展客體角色關系文件EOR�����,它將項目中涉及到的資源標注出來,給出項目與資源的關系���,e)建立一個擴展主體角色文件ESR���,它將角色和角色控制域K中的項目聯(lián)系起來,f)將用戶user1指派為相應的擴展主體角色���,g)指派擴展主體角色的訪問權(quán)限����,從而完成用戶的訪問控制系統(tǒng)�����。
全文摘要
基于擴展角色的五層資源訪問控制方法是一種用于信息安全領域中對資源訪問進行控制的方法��,該方法為a)應用系統(tǒng)中的用戶管理器生成新用戶user1��,b)建立一個資源分類文件��,對系統(tǒng)中的文件進行資源分類��,從而生成客體角色OR,c)建立一個生成角色控制域文件K����,它包含了目前進行的項目,d)建立一個生成擴展客體角色關系文件EOR��,它將項目中涉及到的資源標注出來����,即給出項目與資源的關系,e)建立一個擴展主體角色文件ESR��,它將角色和角色控制域K中的項目聯(lián)系起來����,f)將用戶user1指派為相應的擴展主體角色���,g)指派用戶user1的擴展主體角色的訪問權(quán)限����,從而完成建立訪問控制系統(tǒng)的全過程��。
文檔編號H04L9/00GK1787456SQ20051009497
公開日2006年6月14日 申請日期2005年10月24日 優(yōu)先權(quán)日2005年10月24日
發(fā)明者楊庚, 沈劍剛 申請人:南京郵電大學