CN102456103A - 一种改进的rbac访问控制模型 - Google Patents
一种改进的rbac访问控制模型 Download PDFInfo
- Publication number
- CN102456103A CN102456103A CN2010105196072A CN201010519607A CN102456103A CN 102456103 A CN102456103 A CN 102456103A CN 2010105196072 A CN2010105196072 A CN 2010105196072A CN 201010519607 A CN201010519607 A CN 201010519607A CN 102456103 A CN102456103 A CN 102456103A
- Authority
- CN
- China
- Prior art keywords
- role
- roles
- sub
- user
- company
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
一种改进的RBAC访问控制模型,只需要添加相应的元素,并配置好元素间的关联关系即可,扩展性极强,同时,由于其灵活性减轻了管理人员的维护负担,基于角色的访问控制模型,通过引入“角色”的概念来实现用户与权限的逻辑分离;角色是RBAC模型的核心,是一个或一群用户在组织内可执行的操作的集合;系统根据职权和责任来划分角色,角色可以完成一定的职责;属于角色的用户获得该角色所拥有的权限;用户属于特定的一个或多个角色,角色拥有一个或多个权限,用户通过担任某些角色来获得访问权限,因此,角色成为了沟通主体和客体间联系的中介;角色与用户相比是稳定的,当权限改变时,只需重新分配即可。
Description
技术领域:
一种计算机系统重要和基础的安全技术。
背景技术:
在现代信息系统中,安全管理一直是设计的核心部分。而访问控制技术则是任何安全信息系统的重要环节,它的主要任务是保证资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以控制。访问控制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。它是对信息系统资源进行保护的重要措施,也是计算机系统最重要和最基础的安全机制。对于访问控制模型的研究,最早产生于20世纪60年代。早期的访问控制模型有Harrison、Ruzzo和Ulman提出的URU模型,Jones等人提出的Take-Grant模型等。随后,出现了两种重要的访问控制方法:自主访问控制(Discretionary AccessControl,DAC)和强制访问控制MAC(Mandatory Access Control,MAC)。之后,又出现了一种新的访问控制方法:基于角色的访问控制(Role-Based AccessControl,RBAC),但是由于在基于角色的访问控制模型中,系统建立时角的种类已经确定,角色和权限之间的关联关系也已经绑定完成,系统可扩展性差。
发明内容:
本发明就是针对上述问题,提供一种自定义子角色访问控制模型。
为实现以上目的,本发明采用如下技术方案,基于角色的访问控制模型,通过引入“角色”的概念来实现用户与权限的逻辑分离;角色是RBAC模型的核心,是一个或一群用户在组织内可执行的操作的集合;系统根据职权和责任来划分角色,角色可以完成一定的职责;属于角色的用户获得该角色所拥有的权限;用户属于特定的一个或多个角色,角色拥有一个或多个权限,用户通过担任某些角色来获得访问权限,因此,角色成为了沟通主体和客体间联系的中介;角色与用户相比是稳定的,当权限改变时,只需重新分配即可。
本发明有益效果:
不需对数据库表结构和现有程序进行任何改动,只需要添加相应的元素,并配置好元素间的关联关系即可,扩展性极强,同时,由于其灵活性减轻了管理人员的维护负担。
附图说明
下面结合附图对本发明进一步说明。
图1RBAC模型图。
具体实施方式
基于角色的访问控制模型,通过引入“角色”的概念来实现用户与权限的逻辑分离;角色是RBAC模型的核心,是一个或一群用户在组织内可执行的操作的集合;系统根据职权和责任来划分角色,角色可以完成一定的职责;属于角色的用户获得该角色所拥有的权限;用户属于特定的一个或多个角色,角色拥有一个或多个权限,用户通过担任某些角色来获得访问权限,因此,角色成为了沟通主体和客体间联系的中介;角色与用户相比是稳定的,当权限改变时,只需重新分配即可。
系统在初始情况下,无法预知角色与其所拥有的权限之间的关联关系。因此,只确定角色R和相应的操作集合OS,并不绑定角色和权限的映射关系。当需要创建角色时,将操作集合OS中的操作O(O∈OS)和资源绑定后,将该权限分配给新创建的子角色,动态建立角色/权限分配关系;将新创建的角色称为角色R的子角色,子角色动态获得的权限是角色权限的子集,子角色是实际使用权限的角色。
系统初始化时,roles表中已经记录了角色信息,即系统管理员角色记录:ID:1、PARENT_ID:null、ROLE_NAME:系统管理员;公司操作员角色记录:ID:2、PARENT_ID:null、ROLE_NAME:公司操作员;funcion表中已经记录了操作集合,即系统管理员和公司操作员的操作;role_function表中已经记录了角色和操作集合的关系,即系统管理员角色和“客户公司管理、客户公司操作员配置、客户公司功能配置”操作的关联关系,公司操作员角色和“财务管理、员工管理、考勤管理、产品管理、电话营销”的关联关系。系统管理员新创建子角色时,在roles表中记录该子角色的名称并将其PARENT_ID设置为父角色的ID,表明新创建角色为ID的子角色;系统管理员在为新创建的子角色分配操作时,根据PARENT_ID在role_function表中获得父角色的操作集合,然后,在这些操作中选择所需操作,在role_function表中绑定创建的子角色和操作的关系。同时,在role_company表中绑定创建的子角色和资源的关系即可。;当用户登录时,根据用户输入的LOGIN_ID和PASSWD可以获得用户ID。然后根据user_role中USER_ID和ROLE_ID获得角色ID,然后根据角色ID在role_function和role_company获得该角色所具有的权限即可。
Claims (3)
1.一种改进的RBAC访问控制模型,基于角色的访问控制模型,通过引入“角色”的概念来实现用户与权限的逻辑分离;其特征在于角色是RBAC模型的核心,是一个或一群用户在组织内可执行的操作的集合;系统根据职权和责任来划分角色,角色可以完成一定的职责;属于角色的用户获得该角色所拥有的权限;用户属于特定的一个或多个角色,角色拥有一个或多个权限,用户通过担任某些角色来获得访问权限,因此,角色成为了沟通主体和客体间联系的中介;角色与用户相比是稳定的,当权限改变时,只需重新分配即可。
2.根据权利要求1所述一种改进的RBAC访问控制模型,其特征在于系统在初始情况下,无法预知角色与其所拥有的权限之间的关联关系,只确定角色R和相应的操作集合OS,并不绑定角色和权限的映射关系,当需要创建角色时,将操作集合OS中的操作O(O∈OS)和资源绑定后,将该权限分配给新创建的子角色,动态建立角色/权限分配关系;将新创建的角色称为角色R的子角色,子角色动态获得的权限是角色权限的子集,子角色是实际使用权限的角色。
3.根据权利要求1所述一种改进的RBAC访问控制模型,其特征在于系统初始化时,roles表中已经记录了角色信息,即系统管理员角色记录:ID:1、PARENT_ID:null、ROLE_NAME:系统管理员;公司操作员角色记录:ID:2、PARENT_ID:null、ROLE_NAME:公司操作员;funcion表中已经记录了操作集合,即系统管理员和公司操作员的操作;role_function表中已经记录了角色和操作集合的关系,即系统管理员角色和“客户公司管理、客户公司操作员配置、客户公司功能配置”操作的关联关系,公司操作员角色和“财务管理、员工管理、考勤管理、产品管理、电话营销”的关联关系;系统管理员新创建子角色时,在roles表中记录该子角色的名称并将其PARENT_ID设置为父角色的ID,表明新创建角色为ID的子角色;系统管理员在为新创建的子角色分配操作时,根据PARENT_ID在role_function表中获得父角色的操作集合,然后,在这些操作中选择所需操作,在role_function表中绑定创建的子角色和操作的关系;同时,在role_company表中绑定创建的子角色和资源的关系即可;当用户登录时,根据用户输入的LOGIN_ID和PASSWD可以获得用户ID,然后根据user_role中USER_ID和ROLE_ID获得角色ID,然后根据角色ID在role_function和role_company获得该角色所具有的权限即可。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105196072A CN102456103A (zh) | 2010-10-26 | 2010-10-26 | 一种改进的rbac访问控制模型 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105196072A CN102456103A (zh) | 2010-10-26 | 2010-10-26 | 一种改进的rbac访问控制模型 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102456103A true CN102456103A (zh) | 2012-05-16 |
Family
ID=46039284
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105196072A Pending CN102456103A (zh) | 2010-10-26 | 2010-10-26 | 一种改进的rbac访问控制模型 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102456103A (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102904892A (zh) * | 2012-10-17 | 2013-01-30 | 浪潮(北京)电子信息产业有限公司 | 一种云计算数据中心操作系统的安全模型及策略 |
| CN103188269A (zh) * | 2013-04-08 | 2013-07-03 | 汉柏科技有限公司 | 云平台中用户访问权限的控制方法 |
| WO2014000554A1 (zh) * | 2012-06-26 | 2014-01-03 | 华为技术有限公司 | 构建基于角色的访问控制系统的方法及云服务器 |
| CN104376272A (zh) * | 2014-11-13 | 2015-02-25 | 青岛龙泰天翔通信科技有限公司 | 一种云计算企业信息系统及该系统的用户权限设定方法 |
| CN104657656A (zh) * | 2015-03-06 | 2015-05-27 | 中国银行股份有限公司 | 一种基于银行系统的操控安全控制方法及装置 |
| CN105653962A (zh) * | 2014-11-14 | 2016-06-08 | 中国科学院沈阳计算技术研究所有限公司 | 一种面向对象的用户角色资源权限模型管理方法 |
| CN106056270A (zh) * | 2016-05-13 | 2016-10-26 | 西安工程大学 | 基于改进rbac的纺织生产管理系统数据安全设计方法 |
| CN106559381A (zh) * | 2015-09-25 | 2017-04-05 | 李书贤 | 智能型组织管理系统及其认证授权方法 |
| CN106570656A (zh) * | 2016-11-11 | 2017-04-19 | 南京南瑞继保电气有限公司 | 一种基于rbac模型的分级授权方法 |
| CN107181755A (zh) * | 2017-06-15 | 2017-09-19 | 浙江吉利控股集团有限公司 | 一种办公平台的身份识别方法、装置及系统 |
| CN107637038A (zh) * | 2015-06-09 | 2018-01-26 | 英特尔公司 | 用于管理安全发布‑订阅系统的生命周期的系统、装置和方法 |
| CN107770146A (zh) * | 2016-08-23 | 2018-03-06 | 北京嘀嘀无限科技发展有限公司 | 一种用户数据权限控制方法及装置 |
| CN107871084A (zh) * | 2016-09-27 | 2018-04-03 | 北京计算机技术及应用研究所 | 基于身份和规则的数据库访问控制方法 |
| WO2019015657A1 (zh) * | 2017-07-20 | 2019-01-24 | 成都牵牛草信息技术有限公司 | 一种系统的考勤设置方法 |
| CN112883390A (zh) * | 2021-02-18 | 2021-06-01 | 腾讯科技(深圳)有限公司 | 一种权限控制方法、装置及存储介质 |
| CN114268649A (zh) * | 2021-12-21 | 2022-04-01 | 河南大学 | 一种面向物联网的rbac权限修改方法 |
-
2010
- 2010-10-26 CN CN2010105196072A patent/CN102456103A/zh active Pending
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103514412B (zh) * | 2012-06-26 | 2017-06-20 | 华为技术有限公司 | 构建基于角色的访问控制系统的方法及云服务器 |
| WO2014000554A1 (zh) * | 2012-06-26 | 2014-01-03 | 华为技术有限公司 | 构建基于角色的访问控制系统的方法及云服务器 |
| CN103514412A (zh) * | 2012-06-26 | 2014-01-15 | 华为技术有限公司 | 构建基于角色的访问控制系统的方法及云服务器 |
| CN102904892A (zh) * | 2012-10-17 | 2013-01-30 | 浪潮(北京)电子信息产业有限公司 | 一种云计算数据中心操作系统的安全模型及策略 |
| CN103188269B (zh) * | 2013-04-08 | 2016-12-28 | 汉柏科技有限公司 | 云平台中用户访问权限的控制方法 |
| CN103188269A (zh) * | 2013-04-08 | 2013-07-03 | 汉柏科技有限公司 | 云平台中用户访问权限的控制方法 |
| CN104376272A (zh) * | 2014-11-13 | 2015-02-25 | 青岛龙泰天翔通信科技有限公司 | 一种云计算企业信息系统及该系统的用户权限设定方法 |
| CN105653962A (zh) * | 2014-11-14 | 2016-06-08 | 中国科学院沈阳计算技术研究所有限公司 | 一种面向对象的用户角色资源权限模型管理方法 |
| CN105653962B (zh) * | 2014-11-14 | 2018-07-31 | 中国科学院沈阳计算技术研究所有限公司 | 一种面向对象的用户角色资源权限模型管理方法 |
| CN104657656A (zh) * | 2015-03-06 | 2015-05-27 | 中国银行股份有限公司 | 一种基于银行系统的操控安全控制方法及装置 |
| CN104657656B (zh) * | 2015-03-06 | 2017-11-14 | 中国银行股份有限公司 | 一种基于银行系统的操控安全控制方法及装置 |
| CN107637038A (zh) * | 2015-06-09 | 2018-01-26 | 英特尔公司 | 用于管理安全发布‑订阅系统的生命周期的系统、装置和方法 |
| CN107637038B (zh) * | 2015-06-09 | 2021-04-30 | 英特尔公司 | 用于管理安全发布-订阅系统的生命周期的系统、装置和方法 |
| CN106559381A (zh) * | 2015-09-25 | 2017-04-05 | 李书贤 | 智能型组织管理系统及其认证授权方法 |
| CN106056270A (zh) * | 2016-05-13 | 2016-10-26 | 西安工程大学 | 基于改进rbac的纺织生产管理系统数据安全设计方法 |
| CN107770146B (zh) * | 2016-08-23 | 2020-06-26 | 北京嘀嘀无限科技发展有限公司 | 一种用户数据权限控制方法及装置 |
| CN107770146A (zh) * | 2016-08-23 | 2018-03-06 | 北京嘀嘀无限科技发展有限公司 | 一种用户数据权限控制方法及装置 |
| CN107871084A (zh) * | 2016-09-27 | 2018-04-03 | 北京计算机技术及应用研究所 | 基于身份和规则的数据库访问控制方法 |
| CN106570656A (zh) * | 2016-11-11 | 2017-04-19 | 南京南瑞继保电气有限公司 | 一种基于rbac模型的分级授权方法 |
| CN107181755A (zh) * | 2017-06-15 | 2017-09-19 | 浙江吉利控股集团有限公司 | 一种办公平台的身份识别方法、装置及系统 |
| CN107181755B (zh) * | 2017-06-15 | 2021-06-29 | 浙江吉利控股集团有限公司 | 一种办公平台的身份识别方法、装置及系统 |
| US11943214B2 (en) | 2017-06-15 | 2024-03-26 | Zhejiang Geely Holding Group Co., Ltd. | Identity recognition method, apparatus, system for an office platform and server |
| WO2019015657A1 (zh) * | 2017-07-20 | 2019-01-24 | 成都牵牛草信息技术有限公司 | 一种系统的考勤设置方法 |
| CN112883390A (zh) * | 2021-02-18 | 2021-06-01 | 腾讯科技(深圳)有限公司 | 一种权限控制方法、装置及存储介质 |
| CN114268649A (zh) * | 2021-12-21 | 2022-04-01 | 河南大学 | 一种面向物联网的rbac权限修改方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102456103A (zh) | 一种改进的rbac访问控制模型 | |
| US9769212B2 (en) | Providing a common security policy for a heterogeneous computer architecture environment | |
| US8850041B2 (en) | Role based delegated administration model | |
| US20140181801A1 (en) | System and method for deploying preconfigured software | |
| US9679148B2 (en) | Access permissions management system and method | |
| US8839234B1 (en) | System and method for automated configuration of software installation package | |
| US20050138419A1 (en) | Automated role discovery | |
| CN103617485A (zh) | 统一权限管理部署系统 | |
| CA2649862A1 (en) | Translating role-based access control policy to resource authorization policy | |
| WO2020135492A1 (zh) | 软件分层管理系统 | |
| US20120185527A1 (en) | Distributed virtual desktop architecture | |
| CN102073817B (zh) | 一种基于rbac模型的动态访问控制改进方法 | |
| CN103763369B (zh) | 一种基于san存储系统的多重权限分配方法 | |
| CN101895551A (zh) | 一种资源访问控制方法及系统 | |
| JP2006099779A (ja) | 権限管理 | |
| CN103810441A (zh) | 一种基于规则的多粒度遥感数据访问方法 | |
| DE112020005373T5 (de) | Mechanismus zur authentifizierung durch nutzung von positionsbestätigung | |
| US9633200B2 (en) | Multidimensional sandboxing for financial planning | |
| WO2017114210A1 (zh) | 一种数据处理系统的安全控制装置及方法 | |
| EP2750350B1 (en) | System and method for deploying preconfigured software | |
| WO2012101620A1 (en) | Access permissions management system and method | |
| Younis et al. | A novel evaluation criteria to cloud based access control models | |
| Hummer et al. | Advanced identity and access policy management using contextual data | |
| Francis | Mastering Active Directory | |
| KR100635630B1 (ko) | 필드버스 환경에서 유연한 프로세스 제어 및 모니터링을위한 오피씨 데이타액세스 확장시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120516 |