2023年11月2日發(作者:松子的營養價值)
基于RBAC模型的通?企業權限管理系統
1. 為什么我們需要基于RBAC模型的通?企業權限管理系統
管理信息系統是?個復雜的?機交互系統�,其中每個具體環節都可能受到安全威脅����。構建強健的權限管理系統,保證管理信息系統的安全性
是?分重要的。權限管理系統是管理信息系統中代碼重?性最?的模塊之?�����。任何多?戶的系統都不可避免的涉及到相同的權限需求����,都需
要解決實體鑒別�、數據保密性、數據完整性、抗否認和訪問控制等安全服務(據ISO7498-2)�����。例如��,訪問控制服務要求系統根據操作者已經
設定的操作權限����,控制操作者可以訪問哪些資源����,以及確定對資源如何進?操作。
?前,權限管理系統也是重復開發率最?的模塊之?��。在企業中�����,不同的應?系統都擁有?套獨?的權限管理系統��。每套權限管理系統只滿
???系統的權限管理需要��,?論在數據存儲、權限訪問和權限控制機制等??都可能不?樣,這種不?致存在如下弊端:
l 系統管理員需要維護多套權限管理系統�����,重復勞動�����。
l ?戶管理、組織機構等數據重復維護,數據?致性、完整性得不到保證。
l 由于權限管理系統的設計不同,概念解釋不同,采?的技術有差異,權限管理系統之間的集成存在問題�,實現單點登錄難度?分?��,也給
企業構建企業門戶帶來困難。
采?統?的安全管理設計思想,規范化設計和先進的技術架構體系�����,構建?個通?的�、完善的、安全的�、易于管理的����、有良好的可移植性和
擴展性的權限管理系統����,使得權限管理系統真正成為權限控制的核?,在維護系統安全??發揮重要的作?����,是?分必要的�����。
2. 我們需要了解哪些知識點
2.1. RBAC模型
標準RBAC模型由4個部件模型組成,這4個部件模型分別是基本模型RBAC0(Core RBAC)、??分級模型RBAC1(Hierarchal
RBAC)、??限制模型RBAC2(Constraint RBAC)和統?模型RBAC3(Combines RBAC)
a. RBAC0定義了能構成?個RBAC控制系統的最?的元素集合��。在RBAC之中,包含?戶urs(USERS)����、??roles(ROLES)、?標
objects(OBS)、操作operations(OPS)�����、許可權permissions(PRMS)五個基本數據元素��,權限被賦予??,?不是?戶,當?個??被指定給
?個?戶時��,此?戶就擁有了該??所包含的權限���。會話ssions是?戶與激活的??集合之間的映射����。RBAC0與傳統訪問控制的差別在
于增加?層間接性帶來了靈活性,RBAC1����、RBAC2����、RBAC3都是先后在RBAC0上的擴展�����。
b. RBAC1引???間的繼承關系�,??間的繼承關系可分為?般繼承關系和受限繼承關系�����。?般繼承關系僅要求??繼承關系是?個絕對
偏序關系���,允許??間的多繼承�。?受限繼承關系則進?步要求??繼承關系是?個樹結構。
c. RBAC2模型中添加了責任分離關系�����。RBAC2的約束規定了權限被賦予??時,或??被賦予?戶時,以及當?戶在某?時刻激活?個??
時所應遵循的強制性規則�����。責任分離包括靜態責任分離和動態責任分離。約束與?戶-??-權限關系?起決定了RBAC2模型中?戶的訪問許
可�。
d. RBAC3包含了RBAC1和RBAC2�����,既提供了??間的繼承關系,?提供了責任分離關系�����。
2.2. 組織機構
企業組織架構包含三個??的內容:單位��、部門和崗位�����。 ?個單位可以設置多個部門,部門是組成單位的部分����。?個部門可以設置多個崗
位���,崗位是職?職務����、?作任務和責任�、權限的統?。?個部門只能設定?個部門主管崗位�,?個崗位可以由多個員?擔任���,員?是指機構
中各種??形式的?員���。
相關術語
l 任務 是為了達到某?特定?標或者完成領導交待的?作?進?的?項活動。
l 職務 指對職?所應承擔事務的規定。它與職位的不同點在于強調所承擔的任務內容����,?不是指任務的地點����。
l 責任 指份內應做的事��。即職?在職務規定的范圍內應盡責盡職����、保質保量地完成任務���。
l 職責 職務和責任的統?����。專指須有?名職?擔負的各項任務組成的?作活動。
3. 我們怎么設計基于RBAC模型的通?企業權限管理系統
根據RBAC模型的權限設計思想,建?權限管理系統的核?對象模型���。對象模型中包含的基本元素主要有:組織機構(Organization)、部
門(Department)、崗位(Post)��、?戶(Ur)�、??(Role)、系統功能(Function)、權限(Permission)���。主要的關系有:分配
??權限PA(Permission Assignment)、分配?戶??UA(Ur Assignmen),具體描述如下:
a. 組織機構:使?系統的主體�����。
b. 部門:是組成單位的部分。
c. 崗位:是職?職務、?作任務和責任����、權限的統?。
d. ?戶:是權限的擁有者或主體��。?戶和權限實現分離�����,通過授權管理進?綁定��。
e. ??:權限分配的單位與載體。??通過繼承關系?持分級的權限實現�。例如�����,科長??同時具有科長??、科內不同業務?員??。
f. 系統功能:是系統所要保護的資源(Resource)�,可以被訪問的對象�����。
g. 權限:對受保護的資源操作的訪問許可(Access Permission),是綁定在特定的資源實例上的��。
h. 分配??權限PA:實現操作和??之間的關聯關系映射��。
i. 分配?戶??UA:實現?戶和??之間的關聯關系映射����。
我們對元素之間的關系作如下限制:
a. ?個單位可以設置多個部門
b. ?個部門可以設置多個崗位
c. ?個部門只能設定?個部門主管崗位
d. ?個崗位可以由多個員?擔任
e. ??員?擔任多個崗位
f. ?個?戶可以擁有多個??
g. ?個??可以由多個?戶擁有
