打开文本图片集
摘 要 随着互联网的快速发展和各类企业经营规模的不断扩大,相关的系统机构和用户类别日趋复杂,针对企业的各种类型信息系统的高速海量地发展,用户都需要对所有应用系统以及相对应的资源数据实施安全有效的管理。权限管理是保证信息安全的重要机制,也是实现系统安全的必要手段。权限管理的核心就是访问控制机制,主要是用户访问时的用户验证以及授信后对相應的授权资源的权限开放。由于各类应用信息系统的权限管理具有一定的功能重叠度,因此构建一个适用于多个应用系统的使用简便、安全性高,具有通用性的权限管理系统,达到对用户对于权限访问控制的更高的要求。权限管理系统正是能够达到这样的功能,能够减轻开发人员的工作负担,增强授信的灵活性,并能够提供友好的管理界面,最终能够有效地实现多应用系统下的集中式权限管理。
关键词 云服务;访问控制;权限管理;RBAC
引言
信息技术和互联网的快速发展给人们生活和工作带来很多便利,但随之而来的信息安全问题也越来越多。网络信息安全最重要的是保证用户合法的对资源进行访问,防止非法用户访问不属于自己的访问权限,以此来保护信息不受篡改。权限管理系统正是能够达到这样的功能,能够减轻开发人员的工作负担,增强授信的灵活性,并能够提供友好的管理界面,最终能够有效地实现多应用系统下的集中式权限管理。
1 现状
随着互联网技术的不断发展和由此带来的生活方式的变化,企业不断扩大自己的应用系统规模,增强系统业务处理能力。如今大型的企业应用系统几乎都是由相互独立的若干个子系统组成,包括关于系统用户的人力资源管理,系统业务管理以及可能涉及金钱的财务管理等各个方面,且每个系统的机构信息、人员信息和工作人员职能范围都不尽相同。同时来自网络的攻击越来越多,利用安全漏洞窃取系统数据、非法入侵系统等安全问题严重影响了各个系统的稳定运行,致使业务无法正常运营,给企业和个人带来很大的损失。而且在多应用系统的背景下,在众多的威胁中来自系统内部的合法用户对系统资源的非法使用和越权访问的安全威胁占到了很大的比例。在这样的背景下,数据资源的安全管理问题是各类企业级的应用系统亟须解决的问题。
为了解决上述的问题,从20世纪六十年代开始,人们不断推出各种策略以应对,访问控制机制和权限管理控制就逐渐应运而生了。任务主要是根据系统内部提供的安全策略和访问者的身份信息,对请求访问的权限设置限制和规则,旨在防止未经授权的用户访问系统资源。权限管理是根据系统提前规定的安全策略,使用户只能访问自己被授权的资源,不能访问没有得到授权的资源。
访问控制模型在先后时间出现了很多,其中应用比较广泛的主要有:自主访问控制(Discretionary Access Control,DAC)、强制访问控制(Mandatory Access Control,MAC)、基于角色访问控制模型(Role-Based Access Control,RBAC)、基于任务访问控制模型(Task-Based Access Control,TBAC)和基于属性访问控制模型(Attribute-Based Access Control,ABAC)等[1]。
2 设计
针对上述提出的多种类型的访问控制模型进行研究分析和对比,选择基于角色访问控制的RBAC模型,并应企业级权限控制的复杂性和安全性需求考虑,对其进行了适当的改进,在网络上以服务的形式进行数据传输,再利用三层架构对各个层级及数据安全性都能更好地起到保驾护航的作用。
访问控制(Access Control)是对系统用户或者计算机进行授权,使其可以访问网络或者操作计算机上的对象,是一种可以通过某种特定方式对主体进行控制,使其对客体的访问保持在一定的安全范围。访问控制最重要的任务就是保证系统的使用是在合法的范围,同时也是保护系统资源、维护系统安全的重要技术。访问控制包括用户、主体、客体、权限和操作五种基本元素,是所有访问控制模型的理论基础。
(1)用户,是指与系统进行交互或者对系统资源进行访问的人或系统,是系统的实际使用者。
(2)主体,是自己可以向系统发出访问请求,是动作的实际执行者。主体与用户的最大区别为主体只是代理用户去执行访问操作的实体,其形式多是一种程序。
(3)客体,是应用系统中能够被执行访问操作的资源,是被调用的程序代码或者实体对象。客体可以是客观世界中的文件、数据的访问或者某个页面等。
(4)操作,是指系统中主体执行的动作,可以被进行更加细致的划分。
(5)权限,是指执行某些动作的许可,即在客体上实现某些特定操作的权利。访问控制主要是认证用户的合法性并且利用安全策略对数据资源进行管理,除此之外,访问控制还负责控制和监督非法用户的越权访问,所以访问控制的功能可以总结为认证、控制策略和安全审计。
RBAC模型是在用户和权限之间引入了角色,通过给用户分配合适的角色,使用户获得相应角色的所有访问权限,以此来控制用户对系统资源的访问操作。其模型实现了分层管理,其中任何一层关系发生变化都不会影响到其他层之间的关系。RBAC模型有三个实体,即用户、角色和权限,用户是指可以对系统数据和资源进行访问的主体,角色是指拥有某些权限以完成指定功能的资格或者权利集合,权限表示对系统资源进行访问的规则集合。
RBAC模型作为目前最为广泛接受的权限模型,NIST (The National Institute of Standards and Technology,美国国家标准与技术研究院)标准RBAC模型由4个部件模型组成,这4个部件模型分别是基本模型RBAC0(Core RBAC)、角色分级模型RBAC1(Hierarchic RBAC)、角色限制模型RBAC2(Constraint RBAC)和统一模型RBAC3(Combines RBAC)。
RBAC 0 模型 :RBAC0 定义了能构成一个RBAC控制系统的最小的元素集合。在RBAC之中,包含用户users(USERS)、角色roles(ROLES)、目标objects(OBS)、操作operations(OPS)、许可权permissions(PRMS)五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。会话sessions是用户与激活的角色集合之间的映射。RBAC0与传统访问控制的差别在于增加一层间接性带来了灵活性,RBAC1、RBAC2、RBAC3都是先后在RBAC0上的扩展。
RBAC 1 模型 :RBAC1 引入角色间的继承关系。角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序关系,允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一个树结构。
RBAC 2 模型 :RBAC2 模型中添加了责任分离关系。RBAC2 的约束规定了权限被赋予角色时,或角色被赋予用户时,以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。责任分离包括静态责任分离和动态责任分离。约束与用户-角色-权限关系一起决定了RBAC2模型中用户的访问许可。
RBAC 3 模型 :RBAC3 包含了RBAC1和RBAC2。既提供了角色间的继承关系,又提供了责任分离关系。建立角色定义表。定出当前系统中角色。因为有继承的问题,所以角色体现出的是一个树形结构[2-4]。
3 实现
基于Microsoft Visual Studio C# 2012的环境,数据库采用SQL Server 2018,界面设计使用第三方控件DEV Express 17.2.4,来构建整个系统。
3.1 系统功能介绍
(1)主界面
图3-1为系统主界面,主界面主要有四部分组成:标题栏、功能标签、主视图区。系统采用DevExpress风格,界面美观大方,具有良好的人机交互机制。
最上方为系统标题栏,显示系统名称;标题栏下方为功能标签栏,显示系统所有的功能模块;右侧为主视图区,显示所选择内容列表及正在处理的数据。
(2) 用户列表查询
将当前系统中的所有用户数据加载至用户列表中,并可以按照所属单位或部门对系统用户进行查询。
(3)设置账号角色
(4)用户组(角色)管理
可以对用户组(角色)进行增、删、改操作,并可以对每一个角色下的功能开放与否进行设置。
(5)系统功能管理
对该权限管理系统内需要管理的所有应用系统的配置功能内容进行管理,可以对每个子系统中的二级功能目录、目录下的子功能设置,都进行增、删、改的编辑操作,为了方便操作人员使用和理解,还增有备注描述字段。
3.2 数据库设计
(1) SYS_FUNCTIONS表
功能表SYS_FUNCTIONS,通过该表来定义每个子系统下的功能目录、功能id、功能的名称以及每个功能的描述。
3.3 网络发布服务
为了更好地方便用户在不同终端使用该功能权限管理系统,将服务端的数据库及发布的服务都布设在云端,这样无论权限管理人员身处何处,都可以通过便捷的网络对系统的功能权限进行设置了[5-7]。
4 结束语
在信息化和企业多应用系统的快速发展背景下,权限管理是应用系统必不可少的模块,也是应用系统安全方面的保证。
本文以多应用系统背景下权限管理组件的集中式管理作为研究目标,通过分析多应用系统中以前的访问控制和权限管理的缺点,在对模型进行比较后提出了基于角色访问控制模型的改进模型,最终在模型的基础上实现了权限管理组件。该组件减轻了开发人员的工作负担,增强了授权机制的灵活性,提供了良好的管理界面,通过增加安全方面的功能,实现了安全机制,并方便管理员的管理和维护,可有效用于多应用系统下的集中式权限管理。对于企业级多应用系统的集中式安全控制,该权限管理组件的研究与实现提供了一套良好的解决方案,具有一定的价值和意义[8]。
多应用系统下的通用集中式权限管理系统,方便了用户的使用,且在实际开发中降低了经济成本和开发人员需求,在一定程度上提高了工作效率。然而由于投入的时间和可利用的资源有限,该组件还存在一些不足,需要进一步的完善与改进。
参考文献
[1] 房梁,殷丽华,郭云川,等.基于属性的访问控制关键技术研究综述[J].计算机学报,2017,40(7):1680-1698.
[2] 王辉,陈甫旺,王哲.基于强度系数的内部网络攻击图研究[J].计算机应用研究,2018,35(2):515-520.
[3] 蔡婷,聂清彬,欧阳凯,等.基于角色扩展的RBAC模型[J].计算机应用研究,2016,(3):82-85.
[4] 熊厚仁,陈性元,费晓飞,等.基于属性和RBAC的混合扩展访问控制模型[J].计算机应用研究,2016,33(7):2162-2169.
[5] 顾春华,高远,田秀霞.安全性優化的RBAC访问控制模型[J].信息网络安全,2017,(5):74-79.
[6] 王小明,付红,张立臣.基于属性的访问控制研究进展[J].电子学报,2010,(7):1160-1167.
[7] 邓勇,张琳,王汝传,等.网格计算中基于信任度的动态角色访问控制的研究[J].计算机科学,2010,(1):51-54.
[8] 严彬元.基于RBAC权限模型搭建的高效智能权限管理系统[J].电子世界,2017,(5):168-169.