文档介绍:基于集成化企业模型的访问控制机制与系统研究
Research on integrated enterprise model based access control
mechanism and enforcement
张皓,范玉顺
ZHANG Hao, FAN Yu-shun
(清华大学自动化系,北京 100084)
摘 要: 访问控制是一种保护企业信息安全的重要机制,传统的MAC、DAC模型已不能满足现代企业
的访问控制需求,RBAC和TBAC由于其良好的适应性成为企业级应用访问控制的主要实现机
制。但是现在的访问控制模型普遍存在对组织架构描述能力较弱的问题,本文将企业建模理
论融合到访问控制中,提出了一种新的访问控制模型IEM-BAC,并将其应用到实际的企业应
用中。
关键词: 访问控制;企业建模;工作流;RBAC;TBAC
中图分类号:TH315 文献标识码:A 文章编号:1009-0134(2011)1(上)-0001-06
Doi: .1009-(上).01
0 引言经不能满足企业环境下访问控制需求[3]。90 年代中
期出现了基于角色的访问控制模型(
自 90 年代以来,企业间的竞争越来越激烈, RBAC, Role-
其竞争形式也发生了巨大的变化,企业快速响应 Based Access Control),RBAC 引入了角色的概念,
[4]
市场的能力已成为企业能否赢得市场竞争的最重简化了权限管理的复杂性并提高了授权效率。
要的核心能力。与此同时,信息技术飞速发展并随着工作流技术在企业中的广泛应用,源自最小
迅速成为支撑企业运行最重要的基础架构[1]。企业权限规则的动态授权问题成为研究的热点,传统
信息化的实施极大的提高了企业的运行效率与核的 RBAC 无法解决动态授权问题,于是产生了包
[5]
心竞争力,但同时也带来了一些问题,其中最重括 TBAC 在内的各种工作流授权模型。
和及其各种扩展模型在很大程
要的一个就是信息安全问题。国际标准组织(ISO) RBAC TBAC
度上解决了现代企业中的访问控制问题,但是这
在 ISO7498-2 中提出了五种信息保护的方式,访
问控制就是其中之一。些模型大多将企业的组织架构用简单的角色及其
访问控制在人类有了需要保护的财产时便存继承关系来描述,这并不能适应企业日益复杂的
在了,如门锁、保险箱、门卫等都可视为广义的组织架构的实际情况。企业模型作为对企业的形
访问控制。在信息安全领域,访问控制所关注的问式化描述,通过各个视图及其关联对企业进行描
题是信息系统的用户何时以何种方式对信息资源述,其组织视图可以良好的描述企业的组织架构,
进行操作的问题[2]。几乎所有的企业应用系统都会其过程视图是工作流运行系统的元模型,而其资
应用访问控制机制,良好的访问控制策略可以优源、信息等视图可以描述企业内需要访问控制的
[1]
化信息的共享与交互,否则将会增加管理与实施成客体。将企业建模理论融合到访问控制领域是一
本。随着信息技术的发展,传统的访问控制技术如个全新的课题,本文将在此背景下提出了一种新
的访问控制模型:基于集成化企业模型的访问