一种基于组织的rbac访问控制模型的制作方法
【专利摘要】一种基于组织的RBAC访问控制模型,包括用户、组织、角色、对象、操作、会话和约束,引入了组织的概念,组织是模型的核心与基础元素,所有的对象与角色都隶属于某一个组织,都具有一个唯一的属主;一个组织可以拥有多个用户,拥有多个角色,拥有多个对象,组织具有层次关系,组织间可以通过授权将一个组织的角色赋给另外一个组织使用。本发明的有益效果是:能够施加更加严格的安全策略,满足了灵活而复杂的系统授权需求,有效的解决了分级授权问题与复杂系统中繁多对象组织管理的问题,能够更方面的用以管理和组织对象,通过引入动态对象,增强了其适应性。
【专利说明】—种基于组织的RBAC访问控制模型
【技术领域】
[0001]本发明涉及软件开发的权限管理【技术领域】,尤其涉及一种基于组织的RBAC访问控制模型。
【背景技术】
[0002]随着信息技术的飞速发展,特别是Internet的发展,企业信息化的不断深入,企业内的信息对象呈现指数级增长,企业内跨部门的共享和复用越来越广泛,应用安全和数据安全受到了极大的挑战,IT的安全问题日益突出,日益受到相关人员的重视,解决系统安全问题虽然可以通过事后的审计等方式进行发现弥补,但更好的方式是从源头进行控制,防患于未然。
[0003]早起的访问控制主要存在两个模型:自主访问控制(DAC)和强制访问控制(MAC)。
[0004]DAC是一种基于主体身份或主体所在的组织来控制对客体访问的方法,自主访问控制中主体对客体的访问权限是由客体的属主决定的,也就是说系统允许主体(客体的拥有者)可以按照自己的意愿去制定谁以何种访问模式去访问该客体,虽然DACD的权限传播思想具有很好的灵活性和可伸缩性,但本身具有安全漏洞,满意满足高安全性的系统需求,
MAC是通过对比主体的安全级别与客体的安全级别来确定主体是否具有访问客体的权限,其优点是管理集中,安全性高,适合军事等对安全性要求很高的系统使用,缺点是具体实现工作量太大,不便管理,缺乏灵活性。
[0005]目前,在访问控制领域,最常见的模型是基于角色的访问控制模型(RBAC),RBAC通过引进角色的概念实现了用户和权限的逻辑分离,支撑了技术人员与业务人员职责的分离,用户通过获得角色得到权限来对客体进行操作,从而实现权限管理与控制。这是一种策略独立的,非自主型的访问控制模型,用户只能被动接受权限,而不能主动的将权限授予他人;目前RBAC参考模型是使用最为广泛的一个模型,但这个模型在复杂组织机构、大量用户的应用系统中存在不足,主要表现在:(I)传统的RBAC模型在权限分配和角色分配中,不能很好的满足权限跟组织机构关联的情况,不能满足灵活而复杂的系统授权需求,存在系统管理员对其他组织部门越权授权问题,存在不能方便有效的支持分级授权问题;(2)对于复杂系统,具有繁多的对象时,对对象及相关操作的管理和组织不便;(3)是一个静态模型,不能满足特殊情况下的动态需求。
[0006]基于以上的问题,针对实际项目的情况,对RBAC参考模型进行了细化,增加了模型元素,增加了相关的静态和动态约束,以适应复杂企业应用下的复杂授权需求。
【发明内容】
[0007]本发明所要解决的技术问题在于针对以上现有技术的不足而提供一种基于组织的RBAC访问控制模型。
[0008]本发明是通过以下技术方案实现的:包括用户、组织、角色、对象、操作、会话和约束,引入了组织的概念,组织是模型的核心与基础元素,所有的对象与角色都隶属于某一个组织,都具有一个唯一的属主;一个组织可以拥有多个用户,拥有多个角色,拥有多个对象,组织具有层次关系,组织间可以通过授权将一个组织的角色赋给另外一个组织使用。
[0009]作为优选的,引入了对象层级的概念,用于解决系统对象过多或存在层次结构时的对象组织管理题。
[0010]作为优选的,将对象进行分类处理,分为静态对象和动态对象,静态对象是事先确定好的对象,动态对象是在运行中才能确定的对象,对象具有哪些操作事前不确定,只有在授权的过程中才能确定。
[0011]作为优选的,引入了更多的约束:
I )SC1约束,对应RBAC参考模型中UA的SSD,包括最小权限约束和静态职责分离约束;
2)SC2约束,对应RBAC参考模型中角色继承时的SSD,包括最小权限约束和静态职责分离约束,在角色继承过程中,一个角色不能同时继承具有分配互斥的两个角色;
3 ) SC3:角色的使用范围约束,约束角色在整体的组织中的适用范围,其取值包括本级,本级及直属组织,本级及下级组织(子孙组织),不限制;
4)SC4约束,对应RBAC标准中PA的SSD,在本模型中特化为“能够建立关系的角色和对象必须隶属于同一个组织”;
5)DC1约束,对应RBAC规范中Session建立时的DSD,包括最小权限约束和静态职责分离约束;
6)DC2:角色在组织间共享策略约束,可能的策略包括向上共享,同父下的同级共享。
[0012]本发明的有益效果是:
(1)模型中增加了组织元素,很好的满足了权限跟组织机构关联的需求,能够施加更加严格的安全策略,满足了灵活而复杂的系统授权需求;
(2)有效的支持了分级授权问题。杜绝了系统管理员对其他组织部门越权授权问题。上级组织的系统管理员通过将权限管理权限赋予下级组织的系统管理员,下级组织的系统管理员就可以在本组织范围内执行权限管理工作;
(3)解决了复杂系统中繁多对象组织管理的问题,能够更方面的用以管理和组织对
象;
(4)RBAC参考模型本身是一个静态模型,具有一定的局限性,通过引入动态对象,增强了其适应性。
【专利附图】
【附图说明】
[0013]为了更清楚地说明本发明的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0014]图1为本发明的RBAC模型示意图。
[0015]图2为模型实际用例示意图。
[0016]图3为访问控制过程示意图。
【具体实施方式】
[0017]下面将结合本发明的附图,对本发明实施的技术方案进行清楚、完整的描述。本描述的内容仅仅是本发明的部分实例。为了更好的描述本发明实施例,下面将结合图2进行描述授权的过程。
[0018]图2中假设某个组织下有两个部门一部门A和部门B。部门A拥有一个用户一用户A,拥有两个许可一许可A和B (分别对应对象A的操作A和操作B),拥有两个角色一角色A和B (分别拥有许可A和许可B);部门B拥有一个用户一用户B,拥有两个许可一许可C和D (分别对应对象B的操作C和操作D),拥有一个角色一角色C (拥有许可C和许可D);同时系统管理员通过组织间授权,将部门A中的角色B授权给了部门B中的用户B。
[0019]假设整个系统有三个系统管理员:组织级的系统管理员,简称SM,部门A的系统管理员,简称MA,部门B的系统管理员,简称MB。假设SM已经将授权的角色已经授予了 MA和MB,也就是说MA和MB已经分别拥有了各个部门内的权限管理职责,整个授权的过程如下:
1)MA创建用户A、许可A (对象A,操作A)、许可B (对象A,操作B)、角色A、角色B,角色A和B的使用范围是本组织内;
2)MA将许可A和B赋予角色A,将许可A和B赋予角色B,建立起许可与角色间的关
系;
3)MA将角色A和B都赋予用户A,建立起用户与角色间的关系;
4)MB创建用户B、许可C(对象B,操作C)、许可D (对象B,操作D)、角色C,角色C的使用范围是本组织内;
5)MB将许可C和D赋予角色C,建立起许可与角色间的关系;
6)MB将角色C赋予用户B,建立起用户与角色间的关系;
7)MA通过组织间授权将角色B授予部门B范围内可用;
8)MB将角色B授予用户B;整个授权过程完成以后,用户A拥有许可A、许可B (执行了两个角色许可的合并);用户B拥有许可A、许可B、许可C和许可D (合并了本部门内的许可和来自于部门A的许可)。
[0020]下面将结合图3对模型的动态方面进行描述,也就是鉴权过程。首先用户提供自己的凭证,按照认证策略通过认证后建立Session, Session建立完成以后,按照上面所述的许可合并过程(在模型数据和动静态约束数据的支撑下),形成针对当前用户的权限集合(许可集),当用户访问某个对象时,首先给访问控制对象拦截,从存储在Session中的用户信息和要访问的对象及操作传递给访问控制决策对象,访问控制决策对象根据各种动态约束和许可集执行权限验证,权限验证通过后才能执行目标对象上的操作。本模型建立以后,已经在金融、税务、政府、能源等行业得到了广泛应用,并取得了良好的效果。
[0021]以上所述者,仅为本发明的较佳实施例而已,并非用来限定本发明的实施范围,SP凡依本发明所作的均等变化与修饰,皆为本发明权利要求范围所涵盖,这里不再一一举例。
【权利要求】
1.一种基于组织的RBAC访问控制模型,其特征在于:包括用户、组织、角色、对象、操作、会话和约束,引入了组织的概念,组织是模型的核心与基础元素,所有的对象与角色都隶属于一个组织,都具有一个唯一的属主;一个组织可以拥有多个用户,拥有多个角色,拥有多个对象,组织具有层次关系,组织间可以通过授权将一个组织的角色赋给另外一个组织使用。
2.根据权利要求1所述的基于组织的RBAC访问控制模型,其特征在于:引入了对象层级的概念,用于解决系统对象过多或存在层次结构时的对象组织管理题。
3.根据权利要求1或2所述的基于组织的RBAC访问控制模型,其特征在于:将对象进行分类处理,分为静态对象和动态对象,静态对象是事先确定好的对象,动态对象是在运行中才能确定的对象,对象具有哪些操作事前不确定,只有在授权的过程中才能确定。
4.根据权利要求1所述的基于组织的RBAC访问控制模型,其特征在于:引入了更多的约束:. 1 )SC1约束,对应RBAC参考模型中UA的SSD,包括最小权限约束和静态职责分离约束;. 2)SC2约束,对应RBAC参考模型中角色继承时的SSD,包括最小权限约束和静态职责分离约束,在角色继承过程中,一个角色不能同时继承具有分配互斥的两个角色; . 3 ) SC3:角色的使用范围约束,约束角色在整体的组织中的适用范围,其取值包括本级,本级及直属组织,本级及下级组织(子孙组织),不限制;. 4)SC4约束,对应RBAC标准中PA的SSD,在本模型中特化为“能够建立关系的角色和对象必须隶属于同一个组织”;. 5)DC1约束,对应RBAC规范中Session建立时的DSD,包括最小权限约束和静态职责分离约束; 6)DC2:角色在组织间共享策略约束,可能的策略包括向上共享,同父下的同级共享。
【文档编号】G06F21/31GK103605916SQ201310649836
【公开日】2014年2月26日 申请日期:2013年12月6日 优先权日:2013年12月6日
【发明者】常玉涛, 舒疆红, 窦文斌 申请人:山东高速信息工程有限公司