国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費電子書等14項超值服

開通VIP
基于角色訪問控制的數(shù)據(jù)庫安全模型研究
   摘 要:目前比較成熟的安全模型大部分是訪問控制策略模型,用于描述與維護系統(tǒng)中數(shù)據(jù)的保密性和完整性?;诮巧脑L問控制(RBAC)借鑒了人們熟知的用戶組、權(quán)限組以及職責(zé)分離的概念和應(yīng)用,以角色為中心的權(quán)限管理更符合公司和企業(yè)的實際管理方式,所以RBAC模型的研究和應(yīng)用發(fā)展得非???。通過給用戶分配恰當(dāng)?shù)慕巧?,使角色擁有一定的?quán)限成為訪問控制的主體,可以提高管理效率。介紹了基于角色的出租車管理系統(tǒng)的部分設(shè)計;闡述了模塊設(shè)計與應(yīng)用和數(shù)據(jù)庫的設(shè)計理念;成功地實現(xiàn)了對不同角色的安全訪問控制,有效地解決了安全訪問控制問題。
中國論文網(wǎng) /8/view-4105890.htm
  關(guān)鍵詞:角色訪問控制;安全模型;安全訪問控制模塊;數(shù)據(jù)庫
  中圖分類號:TP309.2 文獻(xiàn)標(biāo)識碼:A 文章編號:16727800(2013)003015204
  0 引言
  數(shù)據(jù)庫是構(gòu)建信息系統(tǒng)的重要基礎(chǔ), 數(shù)據(jù)庫中存儲的信息價值越來越高。數(shù)據(jù)庫在完整性、一致性、可控性和可用性上都強于文件系統(tǒng)。許多單位做系統(tǒng)安全規(guī)劃時往往把注意力集中在網(wǎng)絡(luò)和操作系統(tǒng)安全上,但卻忽略了最重要的數(shù)據(jù)庫安全。而訪問控制策略模型的開發(fā)和應(yīng)用為解決這些安全問題提供了有效的解決方案。通過實踐證明該方案具有良好的安全性、可用性和時效性, 而這一切必須以安全模型、業(yè)務(wù)策略的正確設(shè)計、部署為前提。分析了RBAC的概念、安全原則、應(yīng)用范圍,介紹了RBAC的特點及應(yīng)用優(yōu)勢, 最后以基于角色的出租車服務(wù)質(zhì)量考核系統(tǒng)研究了RBAC機制的設(shè)計與實現(xiàn)。
  1 數(shù)據(jù)庫安全模型
  數(shù)據(jù)庫安全模型主要反映數(shù)據(jù)庫系統(tǒng)的安全策略。隨著對計算機數(shù)據(jù)庫系統(tǒng)安全性和穩(wěn)定應(yīng)用性研究的逐步深入,大量優(yōu)秀的有價值的研究成果相繼出現(xiàn),在豐富了數(shù)據(jù)庫系統(tǒng)安全模型的同時,將各種安全模型應(yīng)用于安全設(shè)計系統(tǒng)的研究也取得了大量豐碩成果。
  根據(jù)訪問控制策略的差異,安全策略模型大致可以分為自主訪問控制模型(Discretionary Access Control,DAC)、強制訪問控制模型(Mandatory Access Control,MAC)和基于角色的訪問控制模型(Role2Based Access Control,RBAC)。以下將重點介紹基于角色訪問控制安全模型的基本概念,分析這種模型的利弊,在此基礎(chǔ)上以出租車績效考評系統(tǒng)為例,證明了基于角色的訪問控制RBAC是一種方便、高效、安全的訪問控制機制。
  2 基于角色訪問模型的理論基礎(chǔ)
  2.1 角色的概念
  為了對擁有相似權(quán)限的用戶進(jìn)行分類管理,在此定義角色的概念。在RBAC中所謂角色就是一個或者一群用戶在組織內(nèi)可執(zhí)行的操作集合。RBAC基本思想是:授權(quán)給用戶的訪問權(quán)限,通常由用戶在一個組織中擔(dān)當(dāng)?shù)慕巧珌泶_定。 例如在一個學(xué)校中一個人可以在同一個班級中擔(dān)任多種職務(wù),而且擔(dān)任相同職務(wù)的可能不止一人。因此, RBAC模型提供了一種描述用戶和權(quán)限之間的多對多關(guān)系的安全機制。
  2.2 模型的安全原則
  RBAC的安全三原則分別是最小權(quán)限原則、權(quán)限制約原則和權(quán)限抽象原則。最小權(quán)限原則是說在RBAC中角色被賦予完成其任務(wù)所需的最小權(quán)限,指用戶所擁有的權(quán)力不能超越他執(zhí)行工作時所需要的權(quán)限。需要根據(jù)用戶執(zhí)行的任務(wù)或者功能,在不同的時間里有不同級別的權(quán)限。所擁有的角色決定了工作權(quán)限,而角色所要去完成的事物涵蓋了其完成工作所需的最小權(quán)限。比如簽發(fā)一張支票需要一個會計角色和一個出納角色;權(quán)限抽象原則是說RBAC中除了操作系統(tǒng)中典型的“讀”、“寫”外還支持抽象權(quán)限,如借貸、刷卡等。
  2.3 模型特點
 ?。?)訪問權(quán)限與角色相關(guān)聯(lián),不同的角色有不同的權(quán)限。用戶以什么樣的角色進(jìn)行訪問就決定了用戶擁有的權(quán)限以及可以進(jìn)行相關(guān)操作的許可。
 ?。?)角色繼承。RBAC采用角色繼承的概念是角色上的偏序關(guān)系,角色之間或許有相互重疊的職責(zé)和權(quán)力,發(fā)生角色繼承后,角色授予的特權(quán)集和用戶集也會發(fā)生相應(yīng)的變化。
 ?。?)職責(zé)分離。職責(zé)分離關(guān)系是為了利益沖突實現(xiàn)過程中的回避策略,為了使用戶在正當(dāng)?shù)臋?quán)限范圍內(nèi)履行自己應(yīng)盡的職責(zé),是職責(zé)范圍內(nèi)的行為。一般職責(zé)分離有兩種方式,分別為靜態(tài)職責(zé)分離和動態(tài)職責(zé)分離。
 ?。?)角色容量。當(dāng)一個角色的用戶數(shù)目已經(jīng)達(dá)到了最大個數(shù),系統(tǒng)將拒絕對該角色分配用戶操作。在創(chuàng)建新的角色時應(yīng)該制定角色的容量。
  3 角色訪問模型應(yīng)用
  3.1 RBAC模型
  RBAC的核心模型包括5個基本的靜態(tài)集合:用戶集(USERS)、角色集(ROLES)、操作集(OPERATORS)、授權(quán)集(PRMS)以及會話集(SESSIONS)。會話集是系統(tǒng)運行過程中的動態(tài)行為。這些集合稱為RBAC的基本要素。用戶集是指系統(tǒng)需要存儲和保護的信息;操作集是指作用在對象上的一組系統(tǒng)性操作。對象上的一組操作構(gòu)成了一個特權(quán),特權(quán)是不可分割的最小單元,一旦將某個特權(quán)分配給用戶,該用戶可以執(zhí)行特權(quán)中包含的所有操作。用戶、角色和權(quán)限的分配關(guān)系角色是RBAC模型的基本架構(gòu),它是用戶與特權(quán)之間的紐帶。用戶分配(User Assignment)和特權(quán)分配(Permisson Assignment)使用戶和特權(quán)之間有了相連的關(guān)系。在 RBAC系統(tǒng)中,每個角色至少具有一個授權(quán),每個用戶至少扮演一個角色。如圖1所示。
  RBAC 訪問權(quán)限身份流程如圖1所示。用戶訪問系統(tǒng)時,首先登陸身份驗證模塊,然后對通過的用戶進(jìn)行訪問權(quán)限的驗證,對于驗證成功的顯示正確結(jié)果。用戶登錄后為用戶開啟一個會話。因為在某些系統(tǒng)中一個用戶可以同時登錄多次,一個用戶可能同時擁有多個會話,所以user_sessions是一對多的關(guān)系,用戶的多個會話之間相互獨立。
  3.2 模型應(yīng)用實例
  城市交通是現(xiàn)代化城市的一個重要標(biāo)志,而出租車行業(yè)是城市文明的一張重要名片。對出租車進(jìn)行監(jiān)督、管理有著十分重要的意義。而出租車的數(shù)量大、信息多,管理制度復(fù)雜,獎懲制度多樣化,因此,如果采用常見的信息管理系統(tǒng)的設(shè)計方法,很容易造成數(shù)據(jù)的冗余以及管理的混亂。針對上述情況,提出了基于RBAC的網(wǎng)上出租車信息系統(tǒng),通過使用RBAC對出租車的管理進(jìn)行分角色處理,從而使管理系統(tǒng)化、條理化。   基于RBAC的網(wǎng)上出租車信息系統(tǒng)訪問控制策略實現(xiàn)基本框架,主要內(nèi)容包括身份驗證模塊設(shè)計、用戶登錄模塊設(shè)計、駕駛員管理控制模塊設(shè)計、出租車管理模塊設(shè)計、獎懲記錄模塊設(shè)計、訪問控制機構(gòu)等等。其中訪問控制機構(gòu)作為應(yīng)用子模塊和訪問控制子模塊的架構(gòu)橋梁,它將訪問控制系統(tǒng)生成的用戶與角色、角色與權(quán)限的映射關(guān)系一起反應(yīng)到應(yīng)用子模塊中,使不同角色的用戶所能實現(xiàn)的功能不同,如圖2所示。
  3.3 數(shù)據(jù)庫設(shè)計理念
  權(quán)限數(shù)據(jù)庫用于存儲訪問權(quán)限信息和訪問控制相關(guān)的其它信息。由角色表、用戶角色表和角色權(quán)限表等組成。基于角色權(quán)限管理中心主要為用戶提供一個權(quán)限管理界面,權(quán)限管理員可以通過此界面對權(quán)限數(shù)據(jù)庫中各種信息表實施管理,完成用戶授予角色、為角色授予權(quán)限的任務(wù)。用戶與角色之間、角色與權(quán)限之間是多對多的關(guān)系,一個用戶可以擁有任意多個角色,一個角色可以授權(quán)多個用戶,一個角色可以包括多個權(quán)限,多個角色可以授予一個權(quán)限之上。對于權(quán)限、角色、組、用戶之間的關(guān)系,4者之間均是多對多的連結(jié)關(guān)系,如圖3所示。
  3.4 表結(jié)構(gòu)設(shè)計
  本系統(tǒng)中通過分配不同的角色實現(xiàn)基于角色的訪問控制,各部分表結(jié)構(gòu)如下:
  3.4.1 角色表
  角色表是角色信息儲存的場所,它是根據(jù)一個部門提供的職位建立起來的,在系統(tǒng)投入使用前由該部門的角色向授權(quán)管理員以報表或者層次圖表的形式提供,且由系統(tǒng)管理員創(chuàng)建該角色表,如表1所示。
  3.4.2 用戶角色表
  用戶角色表是系統(tǒng)授權(quán)管理員為用戶提供的角色信息存儲場所,方便管理員為用戶授權(quán),如表2所示。
  3.5 系統(tǒng)模塊實現(xiàn)
  本系統(tǒng)通過各種表的關(guān)系來實現(xiàn)授權(quán)關(guān)系。其中用戶表涵蓋了用戶的數(shù)據(jù)和基本信息;角色表涵蓋了系統(tǒng)可供用戶去分配的各個角色;角色權(quán)限表涵蓋了系統(tǒng)權(quán)限的分配和應(yīng)用的全部內(nèi)容,用戶通過用戶和角色對照表來實現(xiàn)角色分配任務(wù);通過角色和權(quán)限對照表來實現(xiàn)角色分配權(quán)限。其中可以利用樹型數(shù)據(jù)結(jié)構(gòu)思想來設(shè)計與編寫系統(tǒng)功能模塊中的功能模塊代碼,并且可以將系統(tǒng)子模塊和下屬的功能模塊劃分成樹狀,這樣編碼簡單并且上下級關(guān)系明確。通過引用數(shù)據(jù)訪問層相關(guān)方法來實現(xiàn)增加模塊、更新模塊、模塊分類、查詢模塊等,同時對操作結(jié)果再進(jìn)行邏輯處理以供用戶界面層顯示。各模塊的功能主要有:
 ?。?)用戶管理模塊。用戶管理模塊主要包括用戶添加界面和用戶確認(rèn)界面。用戶確認(rèn)界面主要是負(fù)責(zé)檢查用戶是否為系統(tǒng)已有的用戶,若確定是,可以對“新增用戶”按鈕進(jìn)行用戶操作,進(jìn)入添加頁面;反之,則不能。用戶添加界面可以對已有的用戶進(jìn)行快速瀏覽,包括用戶名和密碼等,并對這些信息進(jìn)行修改、保存和刪除,還能添加新的用戶信息,并將其保存在用戶信息表中。當(dāng)用戶通過確認(rèn)界面合法登陸該系統(tǒng)時,按照系統(tǒng)控制機制和訪問流程,首先應(yīng)該訪問用戶角色表,找出該用戶對應(yīng)配對的角色編號,再在角色權(quán)限表中根據(jù)角色編號讀出對應(yīng)的權(quán)限編號,然后再依據(jù)權(quán)限動態(tài)的行為生成連接或者菜單。角色所擁有的權(quán)限是由系統(tǒng)管理員預(yù)先分配好的,通過管理員系統(tǒng)可以靈活地添加或取消某個角色的權(quán)限。
  功能一:添加用戶:添加一個名為“張三”,密碼為“123456”的用戶Execute sp_addlogin ‘張三’,’123456。
  功能二:刪除用戶:刪除用戶“張三”Execute sp_droplogin ‘張三’。
  功能三:密碼修改:把“張三”用戶的密碼修改"zhangsan"Execute sp_password ‘123456’,’zhangsan’,’張三’。
 ?。?)用戶角色權(quán)限模塊。該模塊使用用戶管理、角色管理、權(quán)限管理、會話和約束管理等,分別分配角色和權(quán)限到用戶,產(chǎn)生和管理用戶角色權(quán)限數(shù)據(jù)庫。
  功能一:授權(quán):授予“張三”用戶訪問用戶表(User)的權(quán)限Grant select on User to 張三。
  功能二:回收:回收“張三”用戶的權(quán)限Revoke select on User from 張三。
 ?。?)角色管理模塊。 對于本文的系統(tǒng),角色比較固定,它是一組權(quán)限的集合。角色的約束條件:角色具有互斥的關(guān)系,具有互斥關(guān)系的角色不能賦予同一個用戶,在納入RBAC中有另一種情況是用戶可以擁有兩種角色,但在一次會話中只能激活其中的一個角色,只可行駛被激活角色所具有的能力,角色可以繼承,但是有互斥關(guān)系的角色不能被同一角色繼承。
  功能一:添加角色:添加一個名為'adminrole1'角色,賦予其一定功能。EXEC sp_addrole 'adminrole1'。
  功能二:刪除角色:EXEC sp_droprole 'adminrole1'。
  功能三:啟動/停止角色的某些權(quán)限:禁止角色'adminrole1'使用employees表(員工表)的插入權(quán)限D(zhuǎn)ENY INSERT ON employees TO 'adminrole1'。
  功能四:角色繼承:創(chuàng)建用戶myuser擁有的數(shù)據(jù)庫角色myrole CREATE ROLE myrole AUTHORIZATION myuser;ke select on User from 張三。
  (4)角色許可權(quán)限模塊。管理員授予用戶角色,不同的角色登陸系統(tǒng)后的權(quán)限不同,對模塊的訪問權(quán)限不同等。
  功能一:授權(quán):為角色'adminrole1'賦予功能表的所有權(quán)限GRANT ALL ON jobs TO newrole。
  功能二:回收:收回角色'adminrole1'的所有權(quán)限Revoke ALL ON jobs TO 'adminrole1'。
 ?。?)訪問許可管理。表示對系統(tǒng)中的客體進(jìn)行訪問控制的特定操作許可。例如在數(shù)據(jù)庫中對關(guān)系表中信息的添加、刪除、修改和權(quán)限管理等方式,在應(yīng)用中許可受到特定應(yīng)用邏輯的限制。
  功能一:添加模塊:添加一個名為addFun的模塊,賦予其一定功能。ADD addFun to adminRole。
  功能二:刪除模塊:DELETE addFun to adminRole。
  功能三:權(quán)限管理:禁止角色'adminrole1'使用employees表(員工表)的插入權(quán)限D(zhuǎn)ENY INSERT ON employees TO 'adminrole1'為角色newrole賦予sales表的查、改權(quán)限GRANT SELECT,UPDATE ON sales TO newrole。
  3.6 系統(tǒng)分析評價
  基于RBAC的網(wǎng)上出租車信息系統(tǒng),對用戶的管理采用了角色訪問控制策略,對每個角色分配需要的最小權(quán)限,同時,角色之間的權(quán)限也相互制約,從而保證了用戶訪問數(shù)據(jù)庫的安全,提供了系統(tǒng)的安全性,保護了信息的私密性?;诮巧L問控制模型上的出租車信息系統(tǒng)體現(xiàn)了該模型在具體應(yīng)用中的通用性、方便性、擴展性和靈活有效性。
  4 結(jié)語
  RBAC是目前較為流行的一種安全控制技術(shù),通過引入角色實現(xiàn)了用戶和訪問權(quán)限的邏輯分離,方便了權(quán)限管理。文中在開發(fā)出租車服務(wù)質(zhì)量考核系統(tǒng)中,利用了角色訪問控制模型實現(xiàn)了訪問控制策略。RBAC在研究領(lǐng)域、用戶和軟件廠商中都引起了廣泛的關(guān)注,被認(rèn)為是一種比傳統(tǒng)的DAC和MAC更普遍適用的訪問控制技術(shù)。
  參考文獻(xiàn):
  \[1\] 李紅衛(wèi).管理系統(tǒng)中的權(quán)限管理解決方案\[D\].成都:四川大學(xué),2005.
  \[2\] 葉錫君,許勇,吳國新.基于角色的訪問控制在Web中的實現(xiàn)技術(shù)\[J\].計算機工程,2002(1).
 ?。躘3\] 施景超,孫維祥,許滿武.基于角色的存取控制及其實現(xiàn)\[J\].計算機應(yīng)用研究,2000(6).
 ?。ㄘ?zé)任編輯:杜能鋼) 
本站僅提供存儲服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請點擊舉報
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
基于角色-功能-資源的權(quán)限控制模型的設(shè)計與實現(xiàn)-引子
基于角色的訪問控制技術(shù)在放射治療中的應(yīng)用
由淺入深,聊聊權(quán)限設(shè)計
RBAC的讀書筆記
JR 精品文章 - 角色訪問控制(RBAC)
保密安全與密碼技術(shù)-6訪問控制
更多類似文章 >>
生活服務(wù)
分享 收藏 導(dǎo)長圖 關(guān)注 下載文章
綁定賬號成功
后續(xù)可登錄賬號暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點擊這里聯(lián)系客服!

聯(lián)系客服