CN102156833A - 基于角色的访问控制模型构建系统 - Google Patents

基于角色的访问控制模型构建系统 Download PDF

Info

Publication number
CN102156833A
CN102156833A CN2011100906455A CN201110090645A CN102156833A CN 102156833 A CN102156833 A CN 102156833A CN 2011100906455 A CN2011100906455 A CN 2011100906455A CN 201110090645 A CN201110090645 A CN 201110090645A CN 102156833 A CN102156833 A CN 102156833A
Authority
CN
China
Prior art keywords
role
module
information
authority
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011100906455A
Other languages
English (en)
Other versions
CN102156833B (zh
Inventor
李瑞轩
马晓普
李开
辜希武
文坤梅
王伟
董勐
聂莉
叶威
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
Original Assignee
Huazhong University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology filed Critical Huazhong University of Science and Technology
Priority to CN201110090645A priority Critical patent/CN102156833B/zh
Publication of CN102156833A publication Critical patent/CN102156833A/zh
Application granted granted Critical
Publication of CN102156833B publication Critical patent/CN102156833B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明提供了一种基于角色的访问控制模型构建系统,该系统包括数据库、权重模块、角色模块、约束模块、结果显示模块、用户权限分配管理模块和审计管理模块;其中权重模块包括相似度模块和权重计算模块,角色模块包括角色生成模块和角色层次生成模块,约束模块包括角色约束模块、权限约束模块、用户约束模块和互斥约束模块,结果显示模块包括角色显示模块、约束显示模块和结果调整模块。本发明对用户权限的重要程度进行了度量、对基于角色的访问控制模型的约束进行了生成,从而提高了角色的准确性和系统的安全性。本发明系统可以实现基于角色的访问控制模型的构建,保证了构建基于角色的访问控制模型的自动化和半自动化构建。本发明系统具有安全性强、可解释性强、可扩展性强的特点。

Description

基于角色的访问控制模型构建系统
技术领域
本发明属于计算机安全技术领域,具体涉及一种基于角色的访问控制模型构建系统。该系统能够利用用户和权限之间的分配关系,自动地或半自动地构建出满足一定要求的基于角色的访问控制模型。
背景技术
随着通信、计算机及信息技术的发展,在党政机关、企事业单位、财政金融、国防军工等相关部门中,信息的保有量和交流量都达到了前所未有的数量级,如何保证这些信息和资源的安全已成为迫切的需求。与此同时,越来越多的商业组织和机构都在利用基于角色的访问控制模型来构建适合本部门需要的安全产品,并利用基于角色的访问控制机制实施对本部门信息资源的安全管理,但是如何去合理的构建适合本部门安全和功能需求的基于角色的访问控制模型,已成为一个急待解决的研究课题。
传统的基于角色的访问控制模型构建流程包含以下步骤:
(1)领域专家通过分析系统业务逻辑从而获取系统所需全部场景或用例;
(2)获取每个场景或用例所对应的权限,将其表示为“操作,对象”的形式并用一个唯一的名称来进行标记,如Perm_1={operation,object};
(3)获取系统所需约束;
(4)利用系统约束对系统所有场景或用例进行提炼,从而获得满足系统特定约束的场景和用例以及表示这些场景和用例之间的关系;
(5)定义所有用户或自动代理所需要执行的任务集合,其中每一个任务有一个或多个场景或用例构成,这些场景或用例连续或并行执行以确保某个目标或某项任务的实现;
(6)通过分析用户、用户对应的任务、任务对应的场景、场景对应的权限,以及系统所指定的约束,从而生成能够反映系统需求的角色以及角色之间的层次关系,并基于此构建一个完整的基于角色的访问控制模型。
首先,传统的基于角色的访问控制模型构建方法将用户所拥有的权限看成是同等重要的,缺乏衡量权限重要程度的标准,从而造成一些重要的角色无法发现或丢失。然而事实并非如此,比如在医院信息管理系统中,“读”病人信息这一权限的重要性要高于“写”病人信息这一权限的重要性,因为“读”病人信息这一权限相对于“写”病人信息这一权限会造成更多的用户私人信息的泄漏;其次,传统的基于角色的访问控制模型构建方法缺乏约束生成机制。而约束机制是基于角色的访问控制模型中必不可少的一部分,也是基于角色的访问控制机制得到合理实施和被保证的前提条件,如互斥约束、职责分离约束以及基于势的约束等,如果一个基于角色的访问控制系统缺乏必要的约束机制,那么此基于角色的访问控制模型将没有办法实施系统所指定的一系列的安全需求,同时也不可能保证系统中资源能够得到安全有效的被访问;此外约束也是在分布式或者大型企业中管理人员下放企业安全策略的一个强有力的手段,它允许安全系统主策略管理人员制定一系列的强制需要来保证将管理权限下方时系统的安全性和完整性,从而保证下放后的局部管理人员能够按照主管理人员所指定的规则进行管理和安全策略的指定;最后,利用自顶向下的方法所获得的基于角色的访问控制模型虽然能较好的反映系统的功能需求,但却耗时耗力,需要大量的领域知识和领域专家的参与;而利用自底向上的方式能够较好的实现自动化或半自动化构建基于角色的访问控制模型,节省了大量的人力和物力,然而该方法生成的系统角色缺乏语义信息,从而不能很好的反应系统的功能需求,如何将自顶向下的方法和自底向上的方式融合起来,使得用户和权限之间分配关系等信息被包含在自动化或半自动化构建的基于角色的访问控制模型中,以保证更快更好地反映系统安全和功能需求也将是一个艰巨的工作。
发明内容
本发明的目的在于提供一种基于角色的访问控制模型构建系统,该系统可以实现非基于角色的访问控制模型向基于角色的访问控制模型自动转化的需求,保证了系统的功能性和安全性的需求得到实施,从而保证了系统资源的安全访问。
本发明提供了一种基于角色的访问控制模型构建系统,其特征在于,该系统包括数据库、权重模块、角色模块、约束模块、结果显示模块、用户权限分配管理模块和审计管理模块;
数据库用于存储用户角色间分配关系信息、用户权限间分配关系信息以及生成的约束信息和审计信息;
权重模块用于接收来自数据库中的信息,并依据用户权限间分配关系信息获取用户之间的相似度和权限之间的相似度信息,从而得到所有权限的权重信息,并将所有权限的权重信息提交给角色模块进行处理;
角色模块用于接收权重模块提供的所有权限的权重信息,并利用数据库中的用户权限间的分配关系信息进行频繁权限项集挖掘,获得系统所需的角色信息,并通过角色层次生成模块完成对角色的层次划分,同时将获得到的角色信息提交给约束模块进行约束处理,并将系统角色信息以及角色层次信息提交给结果显示模块处理;
约束模块接收来自数据库中的用户权限间的分配关系信息,利用数据挖掘的方法获得权限与权限间的互斥约束信息,同时通过与角色模块的信息交互,获得角色的势约束、权限的势约束、用户的势约束以及角色与角色间的互斥约束信息,并将所有的约束信息交给结果显示模块处理;
结果显示模块用于接收来自角色模块和约束模块所传送过来的角色、角色层次以及约束信息,根据角色层次信息利用图的方式显示出基于角色的访问控制模型的结构图,并将获得的约束信息进行显示,同时利用系统输入的信息对生成的基于角色的访问控制模型进行调整,并将最终获得的角色信息、角色层次信息以及约束信息存储于数据库中;
用户权限分配管理模块用于接收来自管理员的操作请求,对用户和权限之间的分配关系信息进行相应的管理,并与数据库进行交互,分别实现显示用户权限分配信息,添加用户权限分配信息,删除用户权限分配信息和修改用户权限分配信息,并将管理员的操作记入数据库中;
审计管理模块接收来自管理员的查询信息,通过与数据库的信息交互,对管理员的操作进行查询,获得满足查询条件的所有记录。
本发明利用用户权限间分配关系信息,生成权限的权重信息,并基于权限的权重信息进行角色挖掘与约束生成,实现自动构建基于角色的访问控制模型。具体而言,本发明具有如下优点:
(1)安全性强:本系统的安全性主要是通过权限的权重、系统约束及审计来达到的。在本系统中,通过用户权限间的分配信息以及用户角色间的分配信息来获取不同的约束,而这些约束则是基于角色的访问控制模型中必不可少的一部分,也是基于角色的访问控制机制得到合理实施和被保证的前提条件,进而保证系统信息的安全和访问控制机制得到合理实施。在生成角色的过程中,充分考虑了不同权限的权重信息对用户角色的影响,从而保证了那些重要的角色不会因为出现频率较少而被丢失情况的出现,这样也进一步保证了系统的安全性。审计部分记录了所有管理员的一些关键性的操作,便于追溯,又进一步的保证了系统的安全性。
(2)可解释性强:本系统的开发是基于用户权限间分配关系信息来提取适合系统需要的角色和约束,在获取系统所需角色的时候,不仅考虑了用户权限间的分配关系,同时也考虑了权限的权重信息对角色的影响,这样在很大程度上使得生成的角色能够更好的反应系统的功能性需求,从而使得产生的角色的可解释性更强。
(3)可扩展性强:本系统的开发是基于角色挖掘的方法,通过用户权限间的分配信息来生成系统所需角色和约束的过程,系统能够适应用户、权限以及用户权限间分配关系的动态调整,因此可扩展性强。
附图说明
图1是本发明系统的体系结构图;
图2是本发明系统的结构示意图;
图3是权重模块的过程图;
图4是角色模块的过程图;
图5是约束模块的过程图;
图6是角色层次显示示意图;
图7是约束显示示意图;
图8是结果显示模块的过程图。
具体实施方式
下面结合附图和实例对本发明作进一步详细的说明。
如图1所示,本发明系统的功能可以划分为:权重生成、角色生成、约束生成、结果显示和后台管理,该系统包括数据库100、权重模块200、角色模块300、约束模块400、结果显示模块500、用户权限分配管理模块600和审计管理模块700。
数据库100用于存储用户角色间分配关系信息、用户权限间分配关系信息以及生成的约束信息,它包括约束信息库、用户权限分配关系信息库、审计信息库和用户角色分配关系信息库;
权重模块200用于接收来自数据库100中的信息,并基于Jacard相关系数依据用户权限间分配关系信息获取用户之间的相似度和权限之间的相似度信息,并通过权重计算模块获取所有权限的权重信息。并将所有权限的权重信息提交给角色模块300进行处理;
角色模块300用于接收权重模块200提供的所有权限的权重信息,并利用数据库100中的用户权限间的分配关系信息进行频繁权限项集挖掘,获得系统所需的角色信息,并通过角色层次生成模块完成对角色的层次划分,同时将获得到的角色信息提交给约束模块400进行约束处理,并将系统角色信息以及角色层次信息提交给结果显示模块500处理;
约束模块400接收来自数据库100中的用户权限间的分配关系信息,利用数据挖掘的方法获得权限与权限间的互斥约束信息,同时通过与角色模块300的信息交互,获得角色的势约束、权限的势约束、用户的势约束以及角色与角色间的互斥约束信息,并将所有的约束信息交给结果显示模块500处理;
结果显示模块500用于接收来自角色模块300和约束模块400所传送过来的角色、角色层次以及约束信息,根据角色层次信息利用图的方式显示出基于角色的访问控制模型的结构图,并将获得的约束信息进行显示,同时利用系统输入的信息对生成的基于角色的访问控制模型进行调整,并将最终获得的角色信息、角色层次信息以及约束信息存储于数据库100中;
用户权限分配管理模块600用于接收来自管理员的操作请求,对用户和权限之间的分配关系信息进行相应的管理,并与数据库100进行交互,分别实现显示用户权限分配信息,添加用户权限分配信息,删除用户权限分配信息和修改用户权限分配信息,并将管理员的操作记入数据库100中;
审计管理模块700接收来自管理员的查询信息,通过与数据库100的信息交互,利用管理员提交的用户名和时间范围等对管理员的操作进行查询,获得满足查询条件的所有记录。这些记录主要涉及用户和权限之间分配关系信息的添加、删除、修改的操作记录。
下面分别对各模块作进一步详细的说明。
如图2所示,数据库100存储的数据包括:约束信息库110、用户权限分配关系信息库120、、审计信息库130和用户角色分配关系信息库140。数据库100接收来自审计管理模块700的查询请求,在审计信息库130中查询匹配,反馈信息到审计管理模块700;数据库100接受来自用户权限分配管理模块600的查询、添加、修改、删除用户权限分配信息的请求操作,在用户权限分配关系信息库120中进行相应的操作,反馈信息给用户权限分配管理模块600,最后将用户权限管理模块600对用户权限分配关系信息库120的操作信息记录到审计信息库130,以备审计管理管理模块700进行审计,同时反馈信息给用户权限分配管理模块600;数据库100接收来自结果显示模块500的信息,将系统生成的角色信息记载到用户角色分配关系信息库140中,将系统生成的约束信息记录到约束信息库110中;数据库100为权重模块200提供计算权限权重所需要的用户权限分配关系信息库120;数据库100为角色模块300提供生成系统角色所需要的用户权限分配关系信息库120;数据库100为约束模块400提供生成系统约束所需要的用户权限分配关系信息库120。
权重模块200是整个系统的基础,它包括相似度模块210和权重计算模块220。
相似度模块210用于从数据库100的户权限分配关系信息库120中获取用户权限间的分配关系信息,进而获取用户与用户间通过权限表示的相似度信息以及权限与权限之间通过用户表示的相似度信息,如下所示:
sim ( u i , u j ) = | UserPerms ( u i ) ∩ UserPerms ( u j ) | | UserPerms ( u i ) ∪ UserPerms ( u j ) |
sim ( p i , p j ) = | PermUsers ( p i ) ∩ PermUsers ( p j ) | | PermUsers ( p i ) ∪ PermUsers ( p j ) |
其中,ui,uj分别代表系统中的第i个用户和第j个用户,UserPerms(ui)代表用户ui所拥有的权限集合,UserPerms(uj)代表用户uj所拥有的权限集合;pi,pj分别代表系统的第i个权限和第j个权限,PermUsers(pi)代表拥有权限pi的所有用户集合,PermUsers(pj)代笔拥有权限pj的所有用户集合。
权重计算模块220获取相似度计算模块得到的用户和用户之间的相似度信息如下所示:
权重计算模块220获取相似度计算模块得到的权限与权限之间的相似度信息如下所示:
Figure BDA0000054827180000074
则依据上述得到的用户和用户、权限与权限之间的相似度信息可以得到权限的权重计算方式为:
ω pi = ( Σ j = 1 , j ≠ i n sim ( p i , p j ) ( n - 1 ) + Σ l = 1 | PermUsers ( p i ) | Σ k = 1 , k ≠ l m sim ( u l , u k ) | PermUsers ( p i ) | × ( m - 1 ) ) / 2
如图3所示,权重模块200负责:(1)获取用户权限分配关系信息库120中的每个用户的权限组表示方式,并基于Jacrad系数计算用户和用户之间的相似度;(2)获取用户权限分配关系信息库120中的每个权限的用户组表示方式,并基于Jacrad系数计算权限和权限之间的相似度;(3)通过用户与权限之间的相似度信息获取权限的权重信息,并提交给角色模块300。
角色模块300是本系统提供角色和角色层次生成的模块,它包括角色生成模块310和角色层次生成模块320。
角色生成模块310用于接受权重模块200所提供的所有权限的权重信息,并利用数据库100中的用户权限间的分配关系信息进行基于权重的频繁权限项集挖掘操作,从中获取大于系统预设最小支持度的频繁权限集,并将这些频繁项集定义为系统所需要的角色。
角色层次生成模块320从角色生成模块310中获取系统生成的角色信息,并对这些角色信息进行对比,从而获取角色信息的偏序关系,进而获得角色间的层次关系。
如图4所示,角色生成模块310的处理流程为:(1)获取用户权限分配关系信息库120中用户和权限的分配信息;(2)获取权重模块200计算的权限的权重信息;(3)计算单个权限基于权重的支持度;(4)判断单个权限基于权重的支持度是否大于系统预设的最小支持度,如果大于系统预设的最小支持度,则将满足条件的权限、权限对应的权重以及权限对应的用户信息保存到该权限对应的频繁项集中;如果单个权限基于权重的支持度不大于系统预设的最小支持度,则转向(5)执行;(5)判断系统的所有权限的基于权重的支持度是否计算完毕,如果没有计算完毕则转(3)继续执行,如果执行完毕则转向(6)执行;(6)依据满足系统预设最小支持度的频繁权限项集计算满足系统预设最小支持度的包含多个权限的频繁项集;(7)判断包含最大权限数目的基于权重的权限频繁项集是否计算完毕,如果没有计算完毕则转(6)继续执行;(7)将获得到的全部频繁权限项集定义为系统所需要的角色;(8)通过角色之间的偏序关系生成角色的层次结构并将生成的角色信息提交给约束模块400进行约束处理,并将系统角色信息以及角色层次信息提交给结果显示模块500处理。
约束模块400是本系统提供约束生成的模块,它包括角色约束模块410、权限约束模块420、用户约束模块430和互斥约束模块440。
角色约束模块410通过与角色模块300的信息交互,获取角色的势约束(一个用户可以拥有的最大角色数目,用max(uir)表示用户ui可以拥有的最大角色数目。
权限约束模块420通过与角色模块300的信息交互,获取权限的势约束(即一个权限可以属于的角色的最大数目,用max(pir)表示权限pi可以属于的最大角色数目)。
用户约束模块430通过与角色模块300的信息交互,获得用户的势约束(即一个角色可以拥有的最大用户数目,用max(riu)表示角色ri可以拥有的最大用户数目)。
互斥约束模块440接收来自数据库100中的用户权限间的分配关系信息,获得权限与权限之间的互斥约束(即互斥的权限不能分配到同一个角色中)。通过与角色模块300的信息交互,获得角色与角色之间的互斥约束(同一个用户不能同时拥有这些互斥的角色)。
如图5所示,互斥约束模块440的处理流程为:(1)接收来自用户权限分配关系信息库120中的用户和权限的分配信息;(2)从用户权限分配关系信息库120中获取支持度大于系统预设最小支持度的频繁权限项集F;(3)将用户权限分配关系信息库中的用户和权限之间的分配信息按位取反;(4)获取按位取反后支持度大于系统预设最小支持度的频繁权限项集E;(5)遍历频繁权限项集F、E中的频繁项集,判断该规则的置信度是否大于系统预设的最小置信度,如果大于系统预设的最小置信度,则保存该约束fp→ep(fp∈F,ep∈E),否则继续遍历频繁权限项集F、E直到频繁项集F、E中的频繁权限被遍历完毕;(6)遍历频繁权限项集E、F中的频繁项集,判断该规则的置信度是否大于系统预设的最小置信度,如果大于系统预设的最小置信度,则保存该约束ep→fp(ep∈E,fp∈F),否则继续遍历频繁权限项集E、F直到频繁权限项集E、F中的频繁权限被遍历完毕;(7)遍历频繁权限项集E中的任意两个频繁项集,判断由这两个频繁权限项集构成的规则的置信度是否大于系统预设的最小置信度,如果大于系统预设的最小置信度,则保存该约束ep→e′p(ep∈E,e′p∈E,ep≠e′p),否则继续遍历频繁权限项集E直到频繁项集E中的频繁权限被遍历完毕;(8)将获得的权限与权限之间的互斥约束提交给结果显示模块500。而要生成角色与角色之间的互斥约束则可利用同样的算法对角色生成模块所获得的用户和角色之间的分配信息进行处理,并将角色与角色之间的互斥约束提交给结果显示模块500.
结果显示模块500是本系统提供结果显示与调整的模块,它包括角色显示模块510、约束显示模块520和结果调整模块530。
角色显示模块510接收来自角色模块300所生成的系统角色和角色层次关系,对系统生成的角色、角色层次以及角色与权限之间的对应关系进行显示。
图6即为角色显示模块510显示的角色、角色层次以及角色与权限之间的对应关系。图中圆代表本系统生成的角色r1,r2,r3,r4,r5,r6,r7,矩形代表本系统的权限p1,p2,p3,p4,p5,p6,p7,角色与角色之间用实线进行连接,代表角色的层次关系,也代表权限与用户间的继承关系,比如角色r1与角色r3之间的连接线表示角色r1大于角色r2,角色r1继承了角色r2所拥有的权限,角色r2继承了角色r1的用户,没有通过实线连接的角色之间则不能判断角色的偏序关系;角色和权限之间通过虚线进行连接,代表角色所拥有的权限,比如角色r7拥有的权限为p3,p4,和p5,角色r1拥有的权限继承了角色r2和r3所拥有的权限,角色r2的权限继承了r4和r5所拥有的权限,同时拥有角色r4和r5所不拥有的权限p1,角色r4所拥有的权限为p1,p2,角色r5所拥有的权限为p2,p3,角色r3除拥有自身权限p7外,还继承了角色r6和r7的权限,角色r6的权限为自身拥有的权限加上继承角色r7的权限p3,p4,p5,故角色r1拥有的权限为p1,p2,p3,p4,p5,p6,p7,即系统中所有的权限,同时也说明了角色r1在系统中的重要性。
约束显示模块520用于接收从约束模块400获取到的角色与角色之间的互斥约束、角色的势约束、权限的势约束、用户的势约束以及权限与权限之间的互斥约束并进行显示。其中角色ri与角色rj之间的互斥约束表示为
Figure BDA0000054827180000101
权限pi与权限pj之间的互斥约束表示为其他的约束可以通过图7进行表示。
结果调整模块530获取系统输入的信息对角色显示模块510以及约束显示模块520显示的结果进行调整,并将最终调整后的结果存储于数据库100中。
如图8所示,结果显示模块500的处理流程为:(1)接收角色模块300的角色以及角色层次信息;(2)接受约束模块400的约束信息;(3)依据获得到的信息显示基于角色的访问控制模型及对应的约束关系;(4)判断该基于角色的访问控制模型以及对应的约束关系是否需要调整,如果需要调整则依据输入信息对此访问控制模型及对应的约束关系进行调整并转步骤(3)执行,如果不需要调整则将该基于角色的访问控制模型以及约束关系存储于数据库100中。
用户权限分配管理模块600是管理员管理用户权限分配信息时使用的模块。用户权限分配管理模块600的处理流程为:(1)管理员查看用户权限分配关系信息,用户权限分配管理模块600根据管理员指令读取数据库100中的用户权限分配关系信息库120,并显示所有的用户权限分配关系信息;(2)管理员填写待添加的新用户权限分配关系信息,用户权限分配管理模块600首先判断数据库100中的用户权限分配关系信息库120中该用户权限分配关系信息是否已经存在,若该用户权限分配关系信息已经存在,返回错误提示,否则添加记录到用户权限分配关系信息库120,并将添加用户权限分配关系成功的记录加入数据库的审计信息库130中;(3)管理员删除用户权限分配关系信息,用户权限分配管理模块600根据管理员指令删除数据库100中用户权限分配关系信息库120的相关信息,并将删除用户权限分配关系成功的记录加入数据库的审计信息库130中;(4)管理员修改用户权限分配关系信息,用户权限分配管理模块600根据管理员指令修改数据库100中用户权限分配关系信息库120的相应信息,并将修改用户权限分配关系成功的记录加入数据库的审计信息库130中。
审计管理模块700主要是对管理员的所有操作提供查询功能,可以通过用户名和时间范围来对管理员的操作进行查询。这些记录主要涉及用户权限分配关系信息的添加、删除、修改的操作记录。
本发明不仅局限于上述具体实施方式,本领域一般技术人员根据本发明公开的内容,可以采用其它多种具体实施方式实施本发明,因此,凡是采用本发明的设计结构和思路,做一些简单的变化或更改的设计,都落入本发明保护的范围。

Claims (6)

1.一种基于角色的访问控制模型构建系统,其特征在于,该系统包括数据库(100)、权重模块(200)、角色模块(300)、约束模块(400)、结果显示模块(500)、用户权限分配管理模块(600)和审计管理模块(700);
数据库(100)用于存储用户角色间分配关系信息、用户权限间分配关系信息以及生成的约束信息和审计信息;
权重模块(200)用于接收来自数据库(100)中的信息,并依据用户权限间分配关系信息获取用户之间的相似度和权限之间的相似度信息,并通过权重计算模块获取所有权限的权重信息,最后将所有权限的权重信息提交给角色模块(300)进行处理;
角色模块(300)用于接收权重模块(200)提供的所有权限的权重信息,并利用数据库(100)中的用户权限间的分配关系信息进行频繁权限项集挖掘,获得系统所需的角色信息,并通过角色层次生成模块完成对角色的层次划分,同时将获得到的角色信息提交给约束模块(400)进行约束处理,并将系统角色信息以及角色层次信息提交给结果显示模块(500)处理;
约束模块(400)接收来自数据库(100)中的用户权限间的分配关系信息,利用数据挖掘的方法获得权限与权限间的互斥约束信息,同时通过与角色模块(300)的信息交互,获得角色的势约束、权限的势约束、用户的势约束以及角色与角色间的互斥约束信息,并将所有的约束信息交给结果显示模块(500)处理;
结果显示模块(500)用于接收来自角色模块(300)和约束模块(400)所传送过来的角色、角色层次以及约束信息,根据角色层次信息利用图的方式显示出基于角色的访问控制模型的结构图,并将获得的约束信息进行显示,同时利用系统输入的信息对生成的基于角色的访问控制模型进行调整,并将最终获得的角色信息、角色层次信息以及约束信息存储于数据库(100)中;
用户权限分配管理模块(600用于接收来自管理员的操作请求,对用户权限分配关系信息进行相应的管理,并与数据库(100)进行交互,分别实现显示用户权限分配关系信息,添加用户权限分配关系信息,删除用户权限分配关系信息和修改用户权限分配关系信息,并将管理员的操作记入数据库(100)中;
审计管理模块(700)接收来自管理员的查询信息,通过与数据库(100)的信息交互,对管理员的操作进行查询,获得满足查询条件的所有记录。
2.根据权利要求1所述的基于角色的访问控制模型构建系统,其特征在于,
数据库(100)包括约束信息库(110)、用户权限分配关系信息库(120)、审计信息库(130)和用户角色分配关系信息库(140);数据库(100)接收来自审计管理模块(700)的查询请求,在审计信息库(130)中查询匹配,反馈信息到审计管理模块(700);数据库(100)接受来自用户权限分配管理模块(600)的查询、添加、修改、删除用户权限分配关系信息的请求操作,在用户权限分配关系信息库(120)中进行相应的操作,反馈信息给用户权限分配管理模块(600),最后将用户权限分配管理模块(600)对用户权限分配关系信息库(120)的操作信息记录到审计信息库(130),以备审计管理管理模块(700)进行审计,同时反馈信息给用户权限分配管理模块(600);数据库(100)接收来自结果显示模块(500)的信息,将系统生成的角色信息记载到用户角色分配关系信息库(140)中,将系统生成的约束信息记录到约束信息库(110)中;数据库(100)为权重模块(200)提供计算权限权重所需要的用户权限分配关系信息库(120);数据库(100)为角色模块(300)提供生成系统角色所需要的用户权限分配关系信息库(120);数据库(100)为约束模块(400)提供生成系统约束所需要的用户权限分配关系信息库(120)。
3.根据权利要求1所述的基于角色的访问控制模型构建系统,其特征在于,
权重模块(200)包括相似度模块(210)和权重计算模块(220)
相似度模块(210)用于从数据库(100)的用户权限分配关系信息库(120)中获取用户权限间的分配关系信息,进而获取用户与用户间通过权限表示的相似度信息,以及权限与权限之间通过用户表示的相似度信息;
权重计算模块(220)通过用户权限间的分配关系,获取通过用户与用户间的相似度、权限与权限之间的相似度表示的权重信息。
4.根据权利要求1所述的基于角色的访问控制模型构建系统,其特征在于,
角色模块(300)包括角色生成模块(310)和角色层次生成模块(320);
角色生成模块(310)用于接受权重模块(200)所提供的所有权限的权重信息,并利用数据库(100)中的用户权限间的分配关系信息进行基于权重的频繁权限项集挖掘操作,从中获取大于系统预设最小支持度的频繁权限集,并将这些频繁项集定义为系统所需要的角色;
角色层次生成模块(320)从角色生成模块(310)中获取系统生成的角色信息,并对这些角色信息进行对比,从而获取角色信息的偏序关系,进而获得角色间的层次关系。
5.根据权利要求(1)所述的基于角色的访问控制模型构建系统,其特征在于,
约束模块(400)包括角色约束模块(410)、权限约束模块(420)、用户约束模块(430)和互斥约束模块(440);
角色约束模块(410)通过与角色模块(300)的信息交互,获取角色的势约束;
权限约束模块(420)通过与角色模块(300)的信息交互,获取权限的势约束;
用户约束模块(430)通过与角色模块(300)的信息交互,获得用户的势约束;
互斥约束模块(440)收来自数据库(100)中的用户权限间的分配关系信息,获得权限与权限之间的互斥约束,通过与角色模块(300)的信息交互,获得角色与角色之间的互斥约束。
6.根据权利要求1所述的基于角色的访问控制模型构建系统,其特征在于,
结果显示模块(500)包括角色显示模块(510)、约束显示模块(520)和结果调整模块(530);
角色显示模块(510)接收来自角色模块(300)所生成的系统角色和角色层次关系,对系统生成的角色、角色层次以及角色与权限之间的对应关系进行显示;
约束显示模块(520)用于接收从约束模块(400)获取到的角色与角色之间的互斥约束、角色的势约束、权限的势约束、用户的势约束以及权限与权限之间的互斥约束并进行显示;
结果调整模块(530)获取系统输入的信息对角色显示模块(510)以及约束显示模块(520)显示的结果进行调整,并将最终调整后的结果存储于数据库(100)中。
CN201110090645A 2011-04-12 2011-04-12 基于角色的访问控制模型构建系统 Expired - Fee Related CN102156833B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110090645A CN102156833B (zh) 2011-04-12 2011-04-12 基于角色的访问控制模型构建系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110090645A CN102156833B (zh) 2011-04-12 2011-04-12 基于角色的访问控制模型构建系统

Publications (2)

Publication Number Publication Date
CN102156833A true CN102156833A (zh) 2011-08-17
CN102156833B CN102156833B (zh) 2012-09-26

Family

ID=44438325

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110090645A Expired - Fee Related CN102156833B (zh) 2011-04-12 2011-04-12 基于角色的访问控制模型构建系统

Country Status (1)

Country Link
CN (1) CN102156833B (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013056644A1 (en) * 2011-10-21 2013-04-25 International Business Machines Corporation Role engineering scoping and management
CN103514412A (zh) * 2012-06-26 2014-01-15 华为技术有限公司 构建基于角色的访问控制系统的方法及云服务器
CN104580163A (zh) * 2014-12-19 2015-04-29 南阳师范学院 私有云环境下访问控制策略构建系统
CN106446716A (zh) * 2016-10-14 2017-02-22 郑州云海信息技术有限公司 一种云存储安全管理装置
CN108156111A (zh) * 2016-12-02 2018-06-12 北大方正集团有限公司 网络服务权限的处理方法和装置
CN108256299A (zh) * 2016-12-28 2018-07-06 中国移动通信集团河北有限公司 一种控制权限的方法和装置
CN108399215A (zh) * 2018-01-30 2018-08-14 信阳师范学院 一种满足用户指派势约束的角色挖掘优化建模方法
CN108492084A (zh) * 2018-03-02 2018-09-04 信阳师范学院 一种基于布尔矩阵分解与势约束的角色挖掘优化方法
CN109753783A (zh) * 2018-11-28 2019-05-14 北京友信科技有限公司 一种基于机器学习的单点登录方法、装置及计算机可读存储介质
CN111680287A (zh) * 2020-08-14 2020-09-18 支付宝(杭州)信息技术有限公司 基于用户隐私保护的应用程序检测方法及装置
CN118041547A (zh) * 2024-01-17 2024-05-14 中国华能集团有限公司北京招标分公司 一种秘钥证书管理系统的访问方法
CN118041547B (zh) * 2024-01-17 2024-10-22 中国华能集团有限公司北京招标分公司 一种秘钥证书管理系统的访问方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101042699A (zh) * 2007-04-28 2007-09-26 华中科技大学 基于访问控制的安全搜索引擎系统
WO2008008765A2 (en) * 2006-07-11 2008-01-17 Fmr Corp. Role-based access in a multi-customer computing environment
CN101192208A (zh) * 2006-11-24 2008-06-04 无锡盈泰科技有限公司 一种基于8位处理器的双总线电路

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008008765A2 (en) * 2006-07-11 2008-01-17 Fmr Corp. Role-based access in a multi-customer computing environment
CN101192208A (zh) * 2006-11-24 2008-06-04 无锡盈泰科技有限公司 一种基于8位处理器的双总线电路
CN101042699A (zh) * 2007-04-28 2007-09-26 华中科技大学 基于访问控制的安全搜索引擎系统

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013056644A1 (en) * 2011-10-21 2013-04-25 International Business Machines Corporation Role engineering scoping and management
CN103890773A (zh) * 2011-10-21 2014-06-25 国际商业机器公司 角色工程范围确定和管理
US8918426B2 (en) 2011-10-21 2014-12-23 International Business Machines Corporation Role engineering scoping and management
US8918425B2 (en) 2011-10-21 2014-12-23 International Business Machines Corporation Role engineering scoping and management
CN103890773B (zh) * 2011-10-21 2016-11-09 国际商业机器公司 角色工程范围确定和管理
CN103514412A (zh) * 2012-06-26 2014-01-15 华为技术有限公司 构建基于角色的访问控制系统的方法及云服务器
CN104580163A (zh) * 2014-12-19 2015-04-29 南阳师范学院 私有云环境下访问控制策略构建系统
CN106446716A (zh) * 2016-10-14 2017-02-22 郑州云海信息技术有限公司 一种云存储安全管理装置
CN108156111A (zh) * 2016-12-02 2018-06-12 北大方正集团有限公司 网络服务权限的处理方法和装置
CN108256299A (zh) * 2016-12-28 2018-07-06 中国移动通信集团河北有限公司 一种控制权限的方法和装置
CN108399215A (zh) * 2018-01-30 2018-08-14 信阳师范学院 一种满足用户指派势约束的角色挖掘优化建模方法
CN108492084A (zh) * 2018-03-02 2018-09-04 信阳师范学院 一种基于布尔矩阵分解与势约束的角色挖掘优化方法
CN108492084B (zh) * 2018-03-02 2021-05-28 信阳师范学院 一种基于布尔矩阵分解与势约束的角色挖掘优化方法
CN109753783A (zh) * 2018-11-28 2019-05-14 北京友信科技有限公司 一种基于机器学习的单点登录方法、装置及计算机可读存储介质
CN111680287A (zh) * 2020-08-14 2020-09-18 支付宝(杭州)信息技术有限公司 基于用户隐私保护的应用程序检测方法及装置
CN118041547A (zh) * 2024-01-17 2024-05-14 中国华能集团有限公司北京招标分公司 一种秘钥证书管理系统的访问方法
CN118041547B (zh) * 2024-01-17 2024-10-22 中国华能集团有限公司北京招标分公司 一种秘钥证书管理系统的访问方法

Also Published As

Publication number Publication date
CN102156833B (zh) 2012-09-26

Similar Documents

Publication Publication Date Title
CN102156833B (zh) 基于角色的访问控制模型构建系统
US20200272625A1 (en) Platform and method for evaluating, exploring, monitoring and predicting the status of regions of the planet through time
CN100412870C (zh) 采用元推荐引擎的门户个性化推荐服务方法和系统
CN106796578B (zh) 知识自动化系统和方法以及存储器
Liao et al. Intuitionistic fuzzy hybrid weighted aggregation operators
US7673282B2 (en) Enterprise information unification
Wagner Foundations of knowledge systems: With applications to databases and agents
US7743071B2 (en) Efficient data handling representations
CN102158557B (zh) 云存储环境下安全策略分解与验证系统
CN104781812A (zh) 策略驱动的数据放置和信息生命周期管理
US7720831B2 (en) Handling multi-dimensional data including writeback data
Sakai et al. Apriori-based rule generation in incomplete information databases and non-deterministic information systems
Zhu et al. Approaches to four types of bilevel programming problems with nonconvex nonsmooth lower level programs and their applications to newsvendor problems
CN105556517A (zh) 智能搜索精细化
Hidiroglou et al. Stratification of skewed populations: a comparison of optimisation‐based versus approximate methods
Antczak Exactness property of the exact absolute value penalty function method for solving convex nondifferentiable interval-valued optimization problems
Wu A modified three-term PRP conjugate gradient algorithm for optimization models
Zhao et al. On Typical Hesitant Fuzzy Prioritized “or” Operator in Multi‐Attribute Decision Making
Khan et al. Graph-based management and mining of blockchain data
Cheng et al. A dynamic multi-attribute group decision-making method with R-numbers based on MEREC and CoCoSo method
Liu et al. A dynamic group grey target decision approach with group negotiation and Orness measure constraint
CN116860707B (zh) 基于区块链的材料基因工程大数据安全共享方法及系统
US20030163465A1 (en) Processing information about occurrences of multiple types of events in a consistent manner
Duggan The case for personal data-driven decision making
US20230289839A1 (en) Data selection based on consumption and quality metrics for attributes and records of a dataset

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120926

Termination date: 20130412