基于角色訪問的控制系統的研究與實現

劉 偉

南京鐵道職業技術學院，江蘇南京 210015

基于角色訪問的控制系統的研究與實現

劉 偉

南京鐵道職業技術學院，江蘇南京 210015

隨著計算機和互聯網的普及，網絡安全問題日漸突出，基于角色訪問的控制系統作為一種安全機制，已經得到了普遍的關注和應用。鑒于此，本文簡要分析了訪問控制技術，并討論了基于角色訪問的控制系統的研究與實現=。

角色訪問控制系統；研究；實現；網絡安全技術

如今，互聯網技術的迅速發展已經使信息共享得到了實現，信息共享為我們的工作和生活帶來了諸多便利，但是，與此同時，隨著網絡環境的日益復雜，網絡安全已經成為一個不得不解決的問題。鑒于此，基于角色訪問的控制系統應運而生，成為網絡安全技術的又一重要進步，因而設計一個科學的、有效的、靈活的角色訪問控制系統已經成為現有大型信息管理系統的當務之急。

1 訪問控制技術的研究

訪問控制系統的主要職能是限定合法用戶的網絡行為，它是網絡安全信息系統的重要組成部分之一。訪問控制技術功能包含兩個層面，一個是限定合法用戶的行為，一個是系統根據用戶的行為應作出何種反應。

訪問控制機是以特定途徑表現的允許或限制訪問權限及訪問范圍的一種機制，訪問控制機制的技術關鍵是身份認證，實質是以限定用戶對特定網絡資源的訪問來避免非法用戶對資源的濫用，以此保證資源不被非法使用；根據功能的不同，訪問控制策略也有所不同，目前常見的訪問控制策略是基于角色的訪問控制、強制訪問控制和自主訪問控制；其中，由于基于角色的訪問控制在政府、金融、軍事等領域體現出了良好的安全性和可靠性，因而得到了廣泛的運用，并成為了訪問控制研究領域的熱點課題。

2 基于角色訪問的控制系統的特點分析

首先，為了認清基于角色訪問的控制系統的職能和特點，我們需要了解角色的定義，并了解角色的屬性。

角色在網絡系統中的定義可以歸納為：一個（或一群）用戶在組織內可執行的操作的集合。在一個組織、一個企業的網絡系統往往會被劃分為不同的區域，而只有限定了組織中每個成員或每組成員的角色，才能更有效地限定其訪問區域。而往往，為了保證組織或企業中每個網絡區域的安全性，我們通常采用的是最小特權原則，也就是說，只有該區域限定的，可以對其進行訪問的角色，才能對其進行訪問，由此可見，現實生活中的角色和權限往往是一對一的關系。

角色的屬性：1）角色的數據處理對象具有既定的確切的范圍。由于網絡系統中訪問數據要被劃分為不同的區域，因而要向角色明確指出其數據處理對象的范圍；2）不同角色對數據的處理權限不同，例如有的角色可以對數據進行修改，有的角色可以向信息系統提交數據，而有些角色只能查看數據等等；3）角色只屬于擁有一定職能的工作人員才可扮演，扮演各種角色的工作人員，只有被授權使用其角色后才能行使該角色被賦予的權限；4）某些角色的一部分權限具有時效性，為了保證信息系統訪問權限管理的科學性和靈活性，當不同崗位工作人員的職能發生變化時，角色的部分權限也要發生變化，以此來確保信息系統的安全。

由于網絡安全需求，基于角色訪問的控制系統模型在90年代以來得到了廣泛的關注，和普遍的應用。基于角色訪問控制系統模型的使用充分運用了角色的概念，以角色代表了用戶的職責和權力，代表了用戶執行某項任務的能力，是信息系統對于資源存儲、取用權力的詮釋更加生活化。

在實際生活中，一個用戶的角色被限定以后往往不會頻繁地發生更改，而在網絡信息系統中部高，由于一個組織活動、功能和組成常常發生變化，因而組織中的用戶對信息資源的權限也時常發生變化，如果讓用戶以其本身身份直接訪問網絡資源，那么關于訪問權限維護的工作量是難以估量的，角色概念的運用，使用戶與信息系統的關系相對較為穩定和持久，也使信息系統訪問權限維護工作更加穩定和輕松。

3 基于角色訪問的控制系統在網絡安全中的應用

基于角色訪問的控制系統有兩方面作用：1）可以克服傳統的面向部門后權限控制過粗的問題；2）可以提高單個用戶與被訪問信息系統直接掛鉤方式的處理效率。用戶與信息系統之間通過“角色”來連接，一個角色與權限關聯可以看作是該角色擁有的一組權限的集合，與用戶關聯又可以看作是若干具有相同身份的用戶的集合。也就是說一個固定的用戶可以擁有多種角色，同樣一個角色也可以被賦予不同的具體用戶。

除此之外，基于角色訪問的控制系統的運用，還把權限管理這一工作變得更加輕松和靈活。例如，當增加新用戶時，可以根據針對該用戶的業務性質賦予其特定的角色，新用戶將以其擁有的角色形式其訪問權限，這樣一來就不需要對新增的用戶進行逐一的了解和管理；另外，當原有用戶的訪問權限需要發生更改時，只需改變用戶的角色，來重新限定其權限，而不必對需要改變權限的用戶進行專門的權限修改；而當一個組織，如一個企業的某些崗位業務、職責或者權利發生變化時，只需要修改其相應角色的權限，而不必針對這一崗位上的每一位員工更改權限。

總而言之，基于角色訪問的控制系統已經成為信息系統安全管理中一個科學、可靠、靈活的重要手段，本文在分析了訪問控制技術研究成果和現狀，以及對角色的概念和屬性進行了分析的基礎上，對基于角色訪問的控制系統的特點進行了分析，并指出了基于角色訪問的控制系統在網絡安全控制，尤其是在信息系統管理中的實現與作用。相信在將來，基于角色訪問的控制系統將憑借其良好的安全性、可靠性和合理性得到更為廣泛的應用。

[1]胡長城.基于角色的授權控制模型.www.javafox.org，2003-12-14.

[2]黃文品.一個基于角色控制的改進模型[D].江西師范大學碩，2003.

[3]戴宗坤，羅萬伯.信息系統安全[M].北京電子工業出版社，2001.

[4]韓偉力，陳剛，尹建偉，等.權限約束支持的基于角色的約束的訪問控制模型與實現[J].計算機輔助設計與圖形學學報，2002，14(4)：21-26.

[5]高飛，潘雙夏，馮培恩.信息管理系統安全性定義與方案設計[J].計算機工程與應用，2002(3)：131-134.

TP309

A

1674-6708（2011）51-0163-01