專利名稱：一種基于擴(kuò)展角色的五層資源訪問控制方法
技術(shù)領(lǐng)域：
本發(fā)明是一種用于信息安全技術(shù)中對資源訪問進(jìn)行控制的一種新方法，屬于計(jì)算機(jī)與信息安全技術(shù)領(lǐng)域。
背景技術(shù)：
近幾年來互聯(lián)網(wǎng)以及通信網(wǎng)在全球范圍內(nèi)得到了迅猛的的發(fā)展，它對人類社會(huì)的生活方式產(chǎn)生了極大的影響和改變，而隨之而來的網(wǎng)絡(luò)信息安全問題就顯得越來越重要。網(wǎng)絡(luò)黑客、病毒、信息竊取和干擾等手段的出現(xiàn)，使網(wǎng)絡(luò)的安全面臨嚴(yán)重的挑釁。全球每年都為之付出巨大的代價(jià)，高達(dá)數(shù)億美元之多，如銀行帳戶系統(tǒng)被侵入、病毒發(fā)作、軍事網(wǎng)絡(luò)干擾等。
訪問控制主要有70年代形成的自主訪問控制(Discretionary Access Control，DAC)和強(qiáng)制訪問控制(Mandatory Access Control，MAC)，以及1996年提出的基于角色的訪問控制模型(Role-based Access Control，RBAC)。
與DAC和MAC相比，RBAC顯示了良好的適應(yīng)性，并在實(shí)際中得到廣泛應(yīng)用，許多研究工作者在此領(lǐng)域進(jìn)行了深入的研究。基于角色訪問控制的基本思想是將權(quán)限同角色關(guān)聯(lián)起來，而用戶則通過賦予角色來獲得相應(yīng)的權(quán)限，用戶擁有的全部權(quán)限由授予該用戶所有角色的權(quán)限的并集決定。傳統(tǒng)的RBAC包含三個(gè)最基本的元素用戶(User)，角色(Role)和權(quán)限(Permission)。
用戶(User)是一個(gè)訪問計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或者其它資源的主體。用U表示全體用戶的集合。
角色(Role)是指一個(gè)組織或任務(wù)中的職位或工作，代表了一種資格、權(quán)利和責(zé)任。用R表示全體角色的集合。
權(quán)限(Permission)是對計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或者其它資源進(jìn)行訪問的許可。用P表示全體權(quán)限的集合。
近幾年來，網(wǎng)格計(jì)算研究領(lǐng)域的興起，為互聯(lián)網(wǎng)的應(yīng)用展示了新平臺(tái)，世界各國投巨資進(jìn)行這方面的研究，如歐盟的EDG計(jì)劃等，中國也由國家教育部組織，構(gòu)件教育計(jì)算網(wǎng)格環(huán)境，而計(jì)算網(wǎng)格中的訪問控制是網(wǎng)格安全的重要組成部分。由于網(wǎng)格計(jì)算環(huán)境資源的動(dòng)態(tài)性，傳統(tǒng)的基于用戶、角色和權(quán)限構(gòu)成的三層模型已不適應(yīng)這種資源的動(dòng)態(tài)性，為了有效地對資源的訪問進(jìn)行控制，必須研究新的資源訪問控制方法。

發(fā)明內(nèi)容
技術(shù)問題本發(fā)明的目的是提供一種基于擴(kuò)展角色的五層資源訪問控制方法，該方法提供基于主體、擴(kuò)展角色、權(quán)限、擴(kuò)展客體和資源的訪問控制機(jī)制，這種角色與客體關(guān)系能更好地描述實(shí)際系統(tǒng)中主體、角色、權(quán)限與客體之間的聯(lián)系，為計(jì)算網(wǎng)格環(huán)境的訪問控制提供新的手段。
技術(shù)方案傳統(tǒng)的三層訪問控制方法為在三層模型中有以下元素用戶(User)是一個(gè)訪問計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或者其它資源的主體，用U表示全體用戶的集合。
角色(Role)是指一個(gè)組織或任務(wù)中的職位或工作，代表了一種資格、權(quán)利和責(zé)任。用R表示全體角色的集合。
權(quán)限(Permission)是對計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或者其它資源進(jìn)行訪問的許可。用P表示全體權(quán)限的集合。
傳統(tǒng)三層訪問控制流程1.應(yīng)用系統(tǒng)中的用戶管理器生成新用戶user1，2.應(yīng)用系統(tǒng)中的用戶管理器生成角色R。如管理員，程序員，一般用戶等，3.對用戶指定角色。如用戶user1為管理員，4.對角色指定某種權(quán)限。如管理員可以對所有文件進(jìn)行“讀”和“寫”操作，5.用戶user1根據(jù)自己的角色和權(quán)限實(shí)現(xiàn)對文件等資源的訪問，從而實(shí)現(xiàn)對資源的訪問控制。
本發(fā)明的五層訪問控制模型五層訪問控制模型中包含如下的元素●U用戶集，指網(wǎng)格中的各種用戶；●O客體集，指網(wǎng)格中的各種資源；●P權(quán)限集合，指對資源的各種操作；●K角色控制域集合，指網(wǎng)格中各種角色控制域組成的集合；●擴(kuò)展主體角色ESR，有結(jié)構(gòu)化信息的主體角色。其語義表示處于角色控制域k中的角色sr；●擴(kuò)展客體角色EOR，有結(jié)構(gòu)化信息的客體角色，。其語義表示處于角色控制域k中的客體角色or；訪問控制流程1.應(yīng)用系統(tǒng)中的用戶管理器生成新用戶user1，2.建立一個(gè)資源分類文件，對系統(tǒng)中的文件進(jìn)行資源分類，從而生成客體角色OR。如OR＝{資源1，資源2}，其中，資源1＝{文件1，文件2}，資源2＝{文件2，文件3，文件4}，3.建立一個(gè)生成角色控制域文件K，它包含了目前進(jìn)行的項(xiàng)目。如K＝{項(xiàng)目1，項(xiàng)目2}，4.建立一個(gè)生成擴(kuò)展客體角色關(guān)系文件EOR，它將項(xiàng)目中涉及到的資源標(biāo)注出來，給出項(xiàng)目與資源的關(guān)系。如EOR＝{{資源1，項(xiàng)目1}，{資源2，項(xiàng)目1}，{資源2，項(xiàng)目2}}，5.建立一個(gè)擴(kuò)展主體角色文件ESR，它將角色和角色控制域K中的項(xiàng)目聯(lián)系起來。如ESR＝{{項(xiàng)目經(jīng)理，項(xiàng)目1}，{項(xiàng)目經(jīng)理，項(xiàng)目2}，{程序員，項(xiàng)目1}}，6.將用戶user1指派為相應(yīng)的擴(kuò)展主體角色。如將用戶user1指派為擴(kuò)展主體中的“{項(xiàng)目經(jīng)理，項(xiàng)目1}”，7.指派擴(kuò)展主體角色的訪問權(quán)限，從而完成用戶的訪問控制系統(tǒng)。如“{項(xiàng)目經(jīng)理，項(xiàng)目1}”的權(quán)限為“讀”，就完成了用戶user1對項(xiàng)目1中的資源訪問權(quán)限設(shè)置，他只能讀該資源。
有益效果本發(fā)明的意義在于克服了傳統(tǒng)三層訪問控制方法的局限性，為信息安全領(lǐng)域中信息資源的訪問控制提供新的方法，以更靈活、更符合實(shí)際現(xiàn)實(shí)情況的思路設(shè)計(jì)和實(shí)現(xiàn)對資源的訪問控制。
本發(fā)明的優(yōu)點(diǎn)在于符合信息系統(tǒng)訪問控制的實(shí)際情況，即將角色與參與的項(xiàng)目聯(lián)系起來。實(shí)現(xiàn)的方法簡單靈活，僅僅在原來的三層模型基礎(chǔ)上，建立角色與項(xiàng)目、項(xiàng)目與資源的關(guān)系就可以實(shí)現(xiàn)，使實(shí)用性大為增強(qiáng)，且便于實(shí)施各種安全策略。同時(shí)通過五層訪問控制模型增強(qiáng)了系統(tǒng)的安全性，可以實(shí)現(xiàn)同一種角色，在不同的場合，具有不同的訪問權(quán)限。


圖1是基于角色的訪問控制模型示意圖。
圖2是角色繼承示意圖。
圖3是傳統(tǒng)的三層訪問控制模型示意圖，其中單箭頭表示一對一關(guān)系，雙箭頭表示多對多關(guān)系，虛線表示約束關(guān)系。
圖4是本發(fā)明五層訪問控制模型示意圖。
具體實(shí)施例方式
在實(shí)際應(yīng)用中，考慮一個(gè)軟件開發(fā)公司，有用戶3人，分別為1位經(jīng)理和2位程序員，有4個(gè)文件資源可以訪問，目前正在進(jìn)行2個(gè)項(xiàng)目，則應(yīng)用5層資源訪問控制方法如下1.應(yīng)用系統(tǒng)中的用戶管理器生成用戶集U＝{用戶1，用戶2，用戶3}，2.建立一個(gè)主體角色文件SR，它包含了所有的當(dāng)前角色，即SR＝{項(xiàng)目經(jīng)理，程序員}，3.建立一個(gè)客體集文件O，它包含了所有資源，即O＝{文件1，文件2，文件3，文件4}，4.建立一個(gè)資源分類文件，對系統(tǒng)中的文件進(jìn)行資源分類，既生成客體角色OR＝{資源1，資源2}，其中，資源1＝{文件1，文件2}，資源2＝{文件3，文件4}，5.建立操作集OP＝{讀，寫，執(zhí)行}，6.建立一個(gè)生成角色控制域文件K，它包含了所進(jìn)行的項(xiàng)目，即K＝{項(xiàng)目1，項(xiàng)目2}，7.建立一個(gè)擴(kuò)展主體角色文件ESR，它將角色和角色控制域K中的項(xiàng)目
8.聯(lián)系起來，即ESR＝{{項(xiàng)目經(jīng)理，項(xiàng)目1}，{項(xiàng)目經(jīng)理，項(xiàng)目2}，{程序員，項(xiàng)目1}}，9.建立一個(gè)生成擴(kuò)展客體角色關(guān)系文件EOR，它將項(xiàng)目中涉及到的資源標(biāo)注出來，即EOR＝{{資源1，項(xiàng)目1}，{資源2，項(xiàng)目1}，{資源2，項(xiàng)目2}}，10.將用戶指派為相應(yīng)的擴(kuò)展主體角色，如用戶1指派為擴(kuò)展主體中的“{項(xiàng)目經(jīng)理，項(xiàng)目1}”，11.指派擴(kuò)展主體角色的訪問權(quán)限，如“{項(xiàng)目經(jīng)理，項(xiàng)目1}”的權(quán)限為“讀”，這樣就完成了一個(gè)用戶1對資源{項(xiàng)目經(jīng)理，項(xiàng)目1}的訪問控制。
上面的流程顯示了系統(tǒng)中基于主體、擴(kuò)展角色、權(quán)限、擴(kuò)展客體和資源之間的訪問控制過程。這樣的過程使我們能夠有效地控制同樣一個(gè)角色在不同項(xiàng)目中的權(quán)利，而同樣一個(gè)資源在不同項(xiàng)目中被訪問的權(quán)限。如用戶1在項(xiàng)目1中是經(jīng)理，他可以讀與項(xiàng)目1有關(guān)的文件，而不能讀項(xiàng)目2有關(guān)的文件。反之，一個(gè)文件在項(xiàng)目1中就可以給用戶1讀，若在項(xiàng)目2中，用戶1就不可以讀。
權(quán)利要求
1.一種基于擴(kuò)展角色的五層資源訪問控制方法，其特征在于該控制方法為a)應(yīng)用系統(tǒng)中的用戶管理器生成新用戶user1，b)建立一個(gè)資源分類文件，對系統(tǒng)中的文件進(jìn)行資源分類，從而生成客體角色OR，c)建立一個(gè)生成角色控制域文件K，它包含了目前進(jìn)行的項(xiàng)目，d)建立一個(gè)生成擴(kuò)展客體角色關(guān)系文件EOR，它將項(xiàng)目中涉及到的資源標(biāo)注出來，給出項(xiàng)目與資源的關(guān)系，e)建立一個(gè)擴(kuò)展主體角色文件ESR，它將角色和角色控制域K中的項(xiàng)目聯(lián)系起來，f)將用戶user1指派為相應(yīng)的擴(kuò)展主體角色，g)指派擴(kuò)展主體角色的訪問權(quán)限，從而完成用戶的訪問控制系統(tǒng)。
全文摘要
基于擴(kuò)展角色的五層資源訪問控制方法是一種用于信息安全領(lǐng)域中對資源訪問進(jìn)行控制的方法，該方法為a)應(yīng)用系統(tǒng)中的用戶管理器生成新用戶user1，b)建立一個(gè)資源分類文件，對系統(tǒng)中的文件進(jìn)行資源分類，從而生成客體角色OR，c)建立一個(gè)生成角色控制域文件K，它包含了目前進(jìn)行的項(xiàng)目，d)建立一個(gè)生成擴(kuò)展客體角色關(guān)系文件EOR，它將項(xiàng)目中涉及到的資源標(biāo)注出來，即給出項(xiàng)目與資源的關(guān)系，e)建立一個(gè)擴(kuò)展主體角色文件ESR，它將角色和角色控制域K中的項(xiàng)目聯(lián)系起來，f)將用戶user1指派為相應(yīng)的擴(kuò)展主體角色，g)指派用戶user1的擴(kuò)展主體角色的訪問權(quán)限，從而完成建立訪問控制系統(tǒng)的全過程。
文檔編號(hào)H04L9/00GK1787456SQ20051009497
公開日2006年6月14日 申請日期2005年10月24日 優(yōu)先權(quán)日2005年10月24日
發(fā)明者楊庚, 沈劍剛 申請人:南京郵電大學(xué)