文档介绍：上海交通大学
硕士学位论文
Web统一用户权限控制模型的研究与设计
姓名:张川波
申请学位级别:硕士
专业:计算机应用技术
指导教师:张忠能
20071201
上海交通大学硕士学位论文摘要
Web 统一用户权限控制模型
的研究与设计
摘要
基于角色的访问控制从上世纪 90 年代开始出现,其基本思想是:把
对资源的访问权限分配给角色,根据用户的职能和责任把适当的角色赋
予用户,角色在资源和用户之间起到桥梁作用。它支持最小特权、责权
分离和数据抽象等安全原则,在大型应用系统中应用广泛。在学术界,
基于角色的访问控制也是一个研究热点,其中以美国 e Macron 大
学的 Sandhu 等人提出的基于角色的访问控制模型(RBAC96、ARBAC97、
ARBAC99 等)影响较大。
尽管目前已有的基于角色的访问控制模型可以解决一般的权限问
题,但是也存在一些不完善之处,比较难于在大企业和组织的管理信息
系统中使用:比如很多模型的具体实现只能控制业务权限,对数据权限
的控制很弱或者不好控制;权限控制的粒度太粗,不能做到细粒度、精
致的控制;很多权限系统实现效率太低,每次权限验证都需要多次访问
数据库,对系统响应时间影响较大;RBAC96 模型中角色只能集中式管理,
不适应大组织和企业中的非集中式管理和分级授权要求;以及 RBAC 系
列模型不支持动态权限,对工作流中产生的动态角色无法进行细致的控
制权限等等。
论文借鉴了 RBAC96、ARBAC97 模型和 TBAC 模型的核心思想和优点,
并进行了改进,引入了管理域的思想进行分级授权,并使用规则策略实
现主体和客体的关联以及对动态权限、上下文相关权限的支持,提出了
上海交通大学硕士学位论文摘要
基于管理域和规则策略的角色管理模型,即 DR-ARBAC 模型,很好的解
决了上述问题。
针对 Web 应用中的管理信息系统的特点,结合实验室科研项目中国
某极地研究所极地科学数据库系统和上海某学院数字校园项目的具体
需求,论文分析并给出了 DR-ARBAC 模型的具体实现,透明的应用于新开
发的系统,实现了权限的非集中式管理,在不同组织机构中保证权限控
制相对统一,同时又不相互影响,对于数据权限、动态权限和工作流中
的动态角色也提供了支持;对于模型实现中的效率和灵活性问题,也给
出了具体的解决方案。
在扩展性和灵活性方面,DR-ARBAC 模型本身也提供模型的扩展点,
通过规则策略中自定义不同的策略,并在上下文支持下,可以扩展本模
型,从而支持管理信息系统中复杂多变的权限业务要求。
关键词:管理信息系统,规则策略,管理域,DR-ARBAC 模型
上海交通大学硕士学位论文 ABSTRACT
ABSTRACT
Arise from the beginning of the 1990s, and the basic idea of Role
Based Access Control (RBAC) is: allocate the permissions of resources
access to the role; assign the appropriate roles to users according to the
functions and responsibilities of that user; the role played as a bridge
between users and resources. It supports Principle of Least Privilege,
Separation of Duty and Data Abstract, widely used at the large-scale
application system. In the munity, RBAC is also a hotspot;
Sandhu’s model of (RBAC96, ARBAC97, and ARBAC99) in the University
of the e Macron in United States has the largest impact.
While RBAC can solve the question of general permission problem,
there are still some imperfections in the use of management information
systems in more difficult