CN100364278C - 一种基于扩展角色的五层资源访问控制方法 - Google Patents
一种基于扩展角色的五层资源访问控制方法 Download PDFInfo
- Publication number
- CN100364278C CN100364278C CNB2005100949775A CN200510094977A CN100364278C CN 100364278 C CN100364278 C CN 100364278C CN B2005100949775 A CNB2005100949775 A CN B2005100949775A CN 200510094977 A CN200510094977 A CN 200510094977A CN 100364278 C CN100364278 C CN 100364278C
- Authority
- CN
- China
- Prior art keywords
- role
- resource
- file
- project
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
基于扩展角色的五层资源访问控制方法是一种用于信息安全领域中对资源访问进行控制的方法,该方法为:a)应用系统中的用户管理器生成新用户user1,b)建立一个资源分类文件,对系统中的文件进行资源分类,从而生成客体角色OR,c)建立一个生成角色控制域文件K,它包含了目前进行的项目,d)建立一个生成扩展客体角色关系文件EOR,它将项目中涉及到的资源标注出来,即给出项目与资源的关系,e)建立一个扩展主体角色文件ESR,它将角色和角色控制域K中的项目联系起来,f)将用户user1指派为相应的扩展主体角色,g)指派用户user1的扩展主体角色的访问权限,从而完成建立访问控制系统的全过程。
Description
技术领域
本发明是一种用于信息安全技术中对资源访问进行控制的一种新方法,属于计算机与信息安全技术领域。
背景技术
近几年来互联网以及通信网在全球范围内得到了迅猛的的发展,它对人类社会的生活方式产生了极大的影响和改变,而随之而来的网络信息安全问题就显得越来越重要。网络黑客、病毒、信息窃取和干扰等手段的出现,使网络的安全面临严重的挑衅。全球每年都为之付出巨大的代价,高达数亿美元之多,如银行帐户系统被侵入、病毒发作、军事网络干扰等。
访问控制主要有70年代形成的自主访问控制(Discretionary Access Control,DAC)和强制访问控制(Mandatory Access Control,MAC),以及1996年提出的基于角色的访问控制模型(Role-based Access Control,RBAC)。
与DAC和MAC相比,RBAC显示了良好的适应性,并在实际中得到广泛应用,许多研究工作者在此领域进行了深入的研究。基于角色访问控制的基本思想是将权限同角色关联起来,而用户则通过赋予角色来获得相应的权限,用户拥有的全部权限由授予该用户所有角色的权限的并集决定。传统的RBAC包含三个最基本的元素:用户(User),角色(Role)和权限(Permission)。
用户(User):是一个访问计算机系统中的数据或者其它资源的主体。用U表示全体用户的集合。
角色(Role):是指一个组织或任务中的职位或工作,代表了一种资格、权利和责任。用R表示全体角色的集合。
权限(Permission):是对计算机系统中的数据或者其它资源进行访问的许可。用P表示全体权限的集合。
近几年来,网格计算研究领域的兴起,为互联网的应用展示了新平台,世界各国投巨资进行这方面的研究,如欧盟的EDG计划等,中国也由国家教育部组织,构件教育计算网格环境,而计算网格中的访问控制是网格安全的重要组成部分。由于网格计算环境资源的动态性,传统的基于用户、角色和权限构成的三层模型已不适应这种资源的动态性,为了有效地对资源的访问进行控制,必须研究新的资源访问控制方法。
发明内容
技术问题:本发明的目的是提供一种基于扩展角色的五层资源访问控制方法,该方法提供基于主体、扩展角色、权限、扩展客体和资源的访问控制机制,这种角色与客体关系能更好地描述实际系统中主体、角色、权限与客体之间的联系,为计算网格环境的访问控制提供新的手段。
技术方案:传统的三层访问控制方法为:
在三层模型中有以下元素:
用户(User):是一个访问计算机系统中的数据或者其它资源的主体,用U表示全体用户的集合。
角色(Role):是指一个组织或任务中的职位或工作,代表了一种资格、权利和责任。用R表示全体角色的集合。
权限(Permission):是对计算机系统中的数据或者其它资源进行访问的许可。用P表示全体权限的集合。
传统三层访问控制流程:
1.应用系统中的用户管理器生成新用户user1,
2.应用系统中的用户管理器生成角色R。如:管理员,程序员,一般用户等,
3.对用户指定角色。如用户user1为管理员,
4.对角色指定某种权限。如管理员可以对所有文件进行“读”和“写”操作,
5.用户user1根据自己的角色和权限实现对文件等资源的访问,从而实现对资源的访问控制。
本发明的五层访问控制模型
五层访问控制模型中包含如下的元素:
●U:用户集,指网格中的各种用户;
●O:客体集,指网格中的各种资源;
●P:权限集合,指对资源的各种操作;
●K:角色控制域集合,指网格中各种角色控制域组成的集合;
●扩展主体角色ESR,有结构化信息的主体角色。其语义表示处于角色控制域k中的角色sr;
●扩展客体角色EOR,有结构化信息的客体角色,。其语义表示处于角色控制域k中的客体角色or;
访问控制流程:
1.应用系统中的用户管理器生成新用户user1,
2.建立一个资源分类文件,对系统中的文件进行资源分类,从而生成客体角色OR。如OR={资源1,资源2},其中,资源1={文件1,文件2},资源2={文件2,文件3,文件4},
3.建立一个生成角色控制域文件K,它包含了目前进行的项目。如K={项目1,项目2},
4.建立一个生成扩展客体角色关系文件EOR,它将项目中涉及到的资源标注出来,给出项目与资源的关系。如EOR={{资源1,项目1},{资源2,项目1},{资源2,项目2}},
5.建立一个扩展主体角色文件ESR,它将角色和角色控制域K中的项目联系起来。如ESR={{项目经理,项目1},{项目经理,项目2},{程序员,项目1}},
6.将用户user1指派为相应的扩展主体角色。如将用户user1指派为扩展主体中的“{项目经理,项目1}”,
7.指派扩展主体角色的访问权限,从而完成用户的访问控制系统。如“{项目经理,项目1}”的权限为“读”,就完成了用户user1对项目1中的资源访问权限设置,他只能读该资源。
有益效果:本发明的意义在于克服了传统三层访问控制方法的局限性,为信息安全领域中信息资源的访问控制提供新的方法,以更灵活、更符合实际现实情况的思路设计和实现对资源的访问控制。
本发明的优点在于符合信息系统访问控制的实际情况,即将角色与参与的项目联系起来。实现的方法简单灵活,仅仅在原来的三层模型基础上,建立角色与项目、项目与资源的关系就可以实现,使实用性大为增强,且便于实施各种安全策略。同时通过五层访问控制模型增强了系统的安全性,可以实现同一种角色,在不同的场合,具有不同的访问权限。
附图说明
图1是基于角色的访问控制模型示意图。
图2是角色继承示意图。
图3是传统的三层访问控制模型示意图,其中单箭头表示一对一关系,双箭头表示多对多关系,虚线表示约束关系。
图4是本发明五层访问控制模型示意图。
具体实施方式
在实际应用中,考虑一个软件开发公司,有用户3人,分别为1位经理和2位程序员,有4个文件资源可以访问,目前正在进行2个项目,则应用5层资源访问控制方法如下:
1.应用系统中的用户管理器生成用户集U={用户1,用户2,用户3},
2.建立一个主体角色文件SR,它包含了所有的当前角色,即SR={项目经理,程序员},
3.建立一个客体集文件O,它包含了所有资源,即O={文件1,文件2,文件3,文件4},
4.建立一个资源分类文件,对系统中的文件进行资源分类,既生成客体角色OR={资源1,资源2},其中,资源1={文件1,文件2},资源2={文件3,文件4},
5.建立操作集OP={读,写,执行},
6.建立一个生成角色控制域文件K,它包含了所进行的项目,即K={项目1,项目2},
7.建立一个扩展主体角色文件ESR,它将角色和角色控制域K中的项目
8.联系起来,即ESR={{项目经理,项目1},{项目经理,项目2},{程序员,项目1}},
9.建立一个生成扩展客体角色关系文件EOR,它将项目中涉及到的资源标注出来,即EOR={{资源1,项目1},{资源2,项目1},{资源2,项目2}},
10.将用户指派为相应的扩展主体角色,如用户1指派为扩展主体中的“{项目经理,项目1}”,
11.指派扩展主体角色的访问权限,如“{项目经理,项目1}”的权限为“读”,这样就完成了一个用户1对资源{项目经理,项目1}的访问控制。
上面的流程显示了系统中基于主体、扩展角色、权限、扩展客体和资源之间的访问控制过程。这样的过程使我们能够有效地控制同样一个角色在不同项目中的权利,而同样一个资源在不同项目中被访问的权限。如用户1在项目1中是经理,他可以读与项目1有关的文件,而不能读项目2有关的文件。反之,一个文件在项目1中就可以给用户1读,若在项目2中,用户1就不可以读。
Claims (1)
1.一种基于扩展角色的五层资源访问控制方法,包括主体、扩展主体角色、角色控制域、扩展客体角色、客体,其特征在于该控制方法为:
a)应用系统中的用户管理器生成新用户user1,
b)建立一个资源分类文件,对系统中的文件进行资源分类,从而生成客体角色OR,
c)建立一个角色控制域文件K,它包含了目前进行的项目,
d)建立一个扩展客体角色关系文件EOR,它将项目中涉及到的资源标注出来,给出项目与资源的关系,
e)建立一个扩展主体角色文件ESR,它将角色和角色控制域K中的项目联系起来,
f)将用户user1指派为相应的扩展主体角色,
g)指派扩展主体角色的访问权限,从而完成用户的访问控制系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100949775A CN100364278C (zh) | 2005-10-24 | 2005-10-24 | 一种基于扩展角色的五层资源访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100949775A CN100364278C (zh) | 2005-10-24 | 2005-10-24 | 一种基于扩展角色的五层资源访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1787456A CN1787456A (zh) | 2006-06-14 |
| CN100364278C true CN100364278C (zh) | 2008-01-23 |
Family
ID=36784780
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100949775A Expired - Fee Related CN100364278C (zh) | 2005-10-24 | 2005-10-24 | 一种基于扩展角色的五层资源访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100364278C (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102468971A (zh) * | 2010-11-04 | 2012-05-23 | 北京北方微电子基地设备工艺研究中心有限责任公司 | 权限管理方法和装置、权限控制方法和装置 |
| CN103646218B (zh) * | 2013-12-12 | 2016-09-28 | 用友网络科技股份有限公司 | 数据访问权限和行为权限的定义装置和定义方法 |
| CN105653962B (zh) * | 2014-11-14 | 2018-07-31 | 中国科学院沈阳计算技术研究所有限公司 | 一种面向对象的用户角色资源权限模型管理方法 |
| CN109344603B (zh) * | 2018-10-23 | 2023-02-07 | 同程网络科技股份有限公司 | 一种统一登录系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1516401A (zh) * | 2003-01-06 | 2004-07-28 | 华为技术有限公司 | 基于虚拟局域网的实现多角色主机的方法 |
| CN1537262A (zh) * | 2001-05-24 | 2004-10-13 | �Ҵ���˾ | 带有活动角色的基于角色的访问控制模型的方法和系统 |
| CN1633085A (zh) * | 2004-12-29 | 2005-06-29 | 北京邮电大学 | 一种基于无等级角色间映射的访问控制方法 |
-
2005
- 2005-10-24 CN CNB2005100949775A patent/CN100364278C/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1537262A (zh) * | 2001-05-24 | 2004-10-13 | �Ҵ���˾ | 带有活动角色的基于角色的访问控制模型的方法和系统 |
| CN1516401A (zh) * | 2003-01-06 | 2004-07-28 | 华为技术有限公司 | 基于虚拟局域网的实现多角色主机的方法 |
| CN1633085A (zh) * | 2004-12-29 | 2005-06-29 | 北京邮电大学 | 一种基于无等级角色间映射的访问控制方法 |
Non-Patent Citations (5)
| Title |
|---|
| 一种基于用户角色-权限分级的访问控制模型. 袁小芳.湘潭师范学院学报(自然科学版),第25卷第4期. 2003 * |
| 基于任务的动态角色约束关系研究. 皮建勇,刘心松.四川大学学报(工程科学版),第37卷第1期. 2005 * |
| 基于访问控制的内网资源管理机制. 李敏,秦志光,蓝天.福建电脑,第5期. 2005 * |
| 访问控制模型分析. 王永,刘秀军,马建峰.晋中师范高等专科学校学报,第19卷第2期. 2002 * |
| 项目管理系统的动态安全控制模型. 潘善亮,赵杰煜,王小权.计算机工程,第30卷第7期. 2004 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1787456A (zh) | 2006-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gladney | Access control for large collections | |
| CN106407823B (zh) | 一种多粒度多强度访问控制方法及系统 | |
| Díaz et al. | Modeling the dynamic behavior of hypermedia applications | |
| CN100364278C (zh) | 一种基于扩展角色的五层资源访问控制方法 | |
| Rahman | Scalable role-based access control using the eos blockchain | |
| Kuhn | Role based access control on MLS systems without kernel changes | |
| Ahn | The RCL 2000 language for specifying role-based authorization constraints | |
| US20190138339A1 (en) | System and Method of Distributed Information Processing using an enhanced data container | |
| Pernul | Information systems security: Scope, state-of-the-art, and evaluation of techniques | |
| Wang et al. | A review of the application of digital identity in the metaverse | |
| Lipner et al. | Lessons from VAX/SVS for high-assurance VM systems | |
| Wang et al. | Analysis of multi-attribute user authentication to against man-in-the-room attack in virtual reality | |
| Miao et al. | The architecture for data, security and application in digital earth platform | |
| Poniszewska-Marańda | Access control coherence of information systems based on security constraints | |
| Gao et al. | Role-Based Authority Control in Management Information System under the Background of Internet | |
| Li et al. | ContextMap: modeling scenes of the real world for context-aware computing | |
| Park et al. | Verification of UML-based security policy model | |
| Wang et al. | Application of a multi-person and multi-objective decision-making model in groundwater resources management | |
| Crowcroft | Engineering global ubiquitous systems | |
| Friedman | Material Matters: Human Values and the Longer View | |
| Lee et al. | An integrity enforcement application design and operation framework in role-based access control systems: A session-oriented approach | |
| Keedy et al. | Security and Protection in Timor Programs. | |
| Kowalewski et al. | Tools and Algorithms for the Construction and Analysis of Systems: 15th International Conference, TACAS 2009, Held as Part of the Joint European Conferences on Theory and Practice of Software, ETAPS 2009, York, UK, March 22-29, 2009, Proceedings | |
| Chen et al. | Design and Implementation of Dynamic Menu Based on Role-Based Access Control | |
| Wang | Research on Software Framework for Sport E-Government Development Platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080123 Termination date: 20131024 |