基于角色的自動升級訪問控制模型研究

摘 要:針對當前常用訪問模型存在的不足，分析了傳統的基于角色的訪問控制模型中存在角色種類限制死板、升級困難等問題，進而提出基于角色的自動升級訪問控制模型。首先設置角色自動升級的約束條件，然后將某用戶當前角色狀態跟該約束條件進行比較，如果達到升級條件，則自動晉升角色級別。該模型科學性強，實現容易，同時避免了角色審核中工作量大等問題。關鍵詞:角色; 訪問控制; 模型; 自動升級

中圖分類號:TN911-34; TP311文獻標識碼:A

文章編號:1004-373X(2010)16-0053-02

Research on Role-based Auto Update Access Control Model

YANG Dong-feng

(Computing Center， Yan’an University， Yan’an 716000， China)

Abstract: The role-based auto update access control model is proposed for solving the rigid role restrictions and the hard updating of the traditional role-based access control model and the shortcomings of the ordinary access model. Firstly， restrictions of the role-based auto update are set， then the current role state of the user is compared with the set restrictions， if it is up to the update condition， the role level is automatically altered. The model is scientific， easy to implement， avoids a number of problems in role examination.Keywords: role; access control; model; auto update

收稿日期:2010-03-08

訪問控制技術主要用于控制用戶可否進入系統以及進入系統的用戶能夠讀/寫的數據集。它直接影響著系統數據的安全，目前由于網絡技術的發展，信息系統中數據資源的安全性受到嚴重威脅，因而設計一種合理、科學的訪問控制機制就顯得十分重要[1-2]。目前使用較為廣泛的訪問控制模型是基于角色的訪問控制模型。

1 基于角色的訪問控制模型描述

基于角色的訪問控制模型(role-based access model，RBAC Model):基于角色的訪問控制(RBAC)是一種較新的訪問控制模型，在該模型中定義一組用戶集和角色，通過給用戶分配合適的角色，把權限被賦予角色， 此用戶就擁有了該角色所擁有的權限，用戶以某種角色進入系統，使用該角色的所有授權，即讓角色與訪問權限相聯系[3-4]。角色成為訪問控制中訪問主體和受控對象之間的一座橋梁。根據角色訪問控制的原理，在此建立了基于角色訪問控制的模型[5]，如圖1所示。

顯然，在基于角色的訪問控制中，由于實現了用戶與訪問權限之間的邏輯分離，減輕了管理員的負擔，增強了系統的安全性，提高了工作效率。所以在權限管理方面就顯得十分方便。例如，在教務管理系統中，某用戶由學生角色變為教師角色，只需要將該用戶的學生角色撤消，重新賦予教師的角色即可。在基于角色的訪問控制中，用戶與角色是一一對應的關系，角色、用戶關系之間的變化比角色權限之間的變化相對要快一些，角色種類固定，限制較死，難以自動升級，因而，給角色配置權限就比較復雜，需要專門的技術人員來操作[6-7]。而在實際的應用中，角色的權限必須根據該用戶所處的角色狀態自動調整，以便減輕工作人員的的負擔。因而提出了基于角色的自動升級訪問控制模型。

圖1 基于角色訪問控制的模型圖

2 基于角色的自動升級訪問控制技術的描述

在基于角色的自動升級訪問控制模型中，首先要設置自動升級的約束條件，如當科長用戶在自己的工作崗位上完成所有的工作而且沒有任何失誤和不良記錄時，角色才可以升級，其次，就是將當前該科長用戶的狀態跟設置好的約束條件進行比較，如果達到升級條件，就自動晉升為處長角色，自然，該用戶的權限較科長有所擴展。

3 角色自動升級訪問控制的具體實現

3.1 角色自動升級規則設計

角色的升級規則必須要根據實際情況指定，例如:

一個新員工進單位后可以給他指派一個角色:普通職員(職員編號in職員總庫)→普通職員;

當該員工晉升為科長后又為他指派角色:單位科長(職員編號in職員總庫)∧(級別=科長)→單位科長;

剛參加工作的畢業生可以為他指派助理工程師角色:助理工程師(職員編號in職員總庫)→助理工程師;

當他晉升工程師時，再為他指派工程師角色:工程師(職員編號in職員總庫)∧(級別=工程師)→工程師;

對新引進的外聘工程師，可以為他指派角色:外聘工程師:(職員編號in職員總庫)∧(職員級別=外聘工程師)→外聘工程師;……

3.2 角色自動升級算法實現

在系統中，對于一個用戶指派的角色，要由一種角色升級到另一種角色，完全取決于為角色設置的升級途徑和升級條件，當該用戶在設置的升級途徑中達到升級條件時，則用戶的角色就自動會實現角色的轉換，進而升級到更高級的角色[8-9]。一旦角色升級成功，則該用戶的權限會自動擴大，如升級失敗，則仍保持原角色和權限。具體實現算法如下:

(1) 為使用系統的用戶指派原始角色;

(2) 設置角色自動升級條件和升級途徑;

(3) 將角色升級的條件與用戶角色自身完成的任務進行比較，如達到該升級條件，轉(4)，否則，轉(1);

(4) 升級成功。

例如:當員工用戶的工作業績一定的程度時，便可由[助理工程師]角色晉升為[工程師]、[高級工程師]等角色。角色升級狀態圖如圖2所示。

圖2 教師用戶角色升級狀態圖

再如當新員工用戶在自己的工作崗位上完成所有的工作而且沒有任何失誤和不良記錄時，則該用戶就會由角色[普通員工]升級到角色[單位科長]，員工用戶的角色升級狀態圖如圖3所示。

圖3 學生用戶角色升級狀態圖

該算法流程圖如圖4所示。

圖4 角色自動升級流程圖

3.3 用戶角色升級活動周期描述

用戶一旦建立，其角色在系統中根據事先設定的條件不斷升級，一直到將該用戶注銷或刪除為止。用戶角色活動的周期如圖5所示。

圖5 角色活動周期圖

4 結 語

該模型符合各單位管理工作的基本需求同時，解決了傳統角色訪問控制模型中角色權限管理困難的問題，使得用戶角色實現了動態管理，科學、合理[10]。

參考文獻

[1]蘭巍.基于網絡的教務管理工作[J].中國現代教育裝備，2007(8):10-11.

[2]肖滿生.基于會話跟蹤機制的管理信息系統用戶安全設計[J].株洲工學院學報，2005，19(6):44-45.

[3]葉錫君，許勇，吳國新.基于角色的訪問控制在Web中的實現技術[J].計算機工程，2002，28(1):167-169.

[4]SANDHU R. Issues in RBAC[C]//Proceedings of The 1st ACM Workshop on Role-based Access Control. Maryland: ACM Press， 1996: 21-24.

[5]戴瑩瑩.基于角色的訪問控制在B/S模式中的研究與實現[J].交通與計算機，2006(2):124-125.

[6]靳泰戈，余航，馮斌，等.一種基于角色的訪問控制模型及其實現[J].計算機應用研究，2005，22(12):138-140.

[7]結鳳克，朱愛軍，馬桂杭，等.Oracle系統中基于角色管理的訪問控制模型[J].中原工學院學報，2003，14(2):33-34.

[8]謝衛星，汪琳霞，肖建田，等. 用戶角色自動指派研究與應用[J].微計算機信息，2007，23(3):232-233.

[9]董光宇，卿斯漢，劉克龍.帶時間特性的角色授權約束[J].軟件學報，2002，13(8):1521-1527.

[10]黃建，卿斯漢，溫紅子.帶時間特性的角色訪問控制[J].軟件學報，2003，14(11):1953-1954.