基于RBAC模型的通用企業(yè)權(quán)限管理系統(tǒng)

基于RBAC模型的通?企業(yè)權(quán)限管理系統(tǒng)

1. 為什么我們需要基于RBAC模型的通?企業(yè)權(quán)限管理系統(tǒng)

管理信息系統(tǒng)是?個(gè)復(fù)雜的?機(jī)交互系統(tǒng)，其中每個(gè)具體環(huán)節(jié)都可能受到安全威脅。構(gòu)建強(qiáng)健的權(quán)限管理系統(tǒng)，保證管理信息系統(tǒng)的安全性

是?分重要的。權(quán)限管理系統(tǒng)是管理信息系統(tǒng)中代碼重?性最?的模塊之?。任何多?戶的系統(tǒng)都不可避免的涉及到相同的權(quán)限需求，都需

要解決實(shí)體鑒別、數(shù)據(jù)保密性、數(shù)據(jù)完整性、抗否認(rèn)和訪問控制等安全服務(wù)(據(jù)ISO7498-2)。例如，訪問控制服務(wù)要求系統(tǒng)根據(jù)操作者已經(jīng)

設(shè)定的操作權(quán)限，控制操作者可以訪問哪些資源，以及確定對資源如何進(jìn)?操作。

?前，權(quán)限管理系統(tǒng)也是重復(fù)開發(fā)率最?的模塊之?。在企業(yè)中，不同的應(yīng)?系統(tǒng)都擁有?套獨(dú)?的權(quán)限管理系統(tǒng)。每套權(quán)限管理系統(tǒng)只滿

???系統(tǒng)的權(quán)限管理需要，?論在數(shù)據(jù)存儲、權(quán)限訪問和權(quán)限控制機(jī)制等??都可能不?樣，這種不?致存在如下弊端：

l 系統(tǒng)管理員需要維護(hù)多套權(quán)限管理系統(tǒng)，重復(fù)勞動(dòng)。

l ?戶管理、組織機(jī)構(gòu)等數(shù)據(jù)重復(fù)維護(hù)，數(shù)據(jù)?致性、完整性得不到保證。

l 由于權(quán)限管理系統(tǒng)的設(shè)計(jì)不同，概念解釋不同，采?的技術(shù)有差異，權(quán)限管理系統(tǒng)之間的集成存在問題，實(shí)現(xiàn)單點(diǎn)登錄難度?分?，也給

企業(yè)構(gòu)建企業(yè)門戶帶來困難。

采?統(tǒng)?的安全管理設(shè)計(jì)思想，規(guī)范化設(shè)計(jì)和先進(jìn)的技術(shù)架構(gòu)體系，構(gòu)建?個(gè)通?的、完善的、安全的、易于管理的、有良好的可移植性和

擴(kuò)展性的權(quán)限管理系統(tǒng)，使得權(quán)限管理系統(tǒng)真正成為權(quán)限控制的核?，在維護(hù)系統(tǒng)安全??發(fā)揮重要的作?，是?分必要的。

2. 我們需要了解哪些知識點(diǎn)

2.1. RBAC模型

標(biāo)準(zhǔn)RBAC模型由4個(gè)部件模型組成，這4個(gè)部件模型分別是基本模型RBAC0（Core RBAC）、??分級模型RBAC1（Hierarchal

RBAC）、??限制模型RBAC2（Constraint RBAC）和統(tǒng)?模型RBAC3（Combines RBAC）

a. RBAC0定義了能構(gòu)成?個(gè)RBAC控制系統(tǒng)的最?的元素集合。在RBAC之中,包含?戶urs(USERS)、??roles(ROLES)、?標(biāo)

objects(OBS)、操作operations(OPS)、許可權(quán)permissions(PRMS)五個(gè)基本數(shù)據(jù)元素，權(quán)限被賦予??,?不是?戶，當(dāng)?個(gè)??被指定給

?個(gè)?戶時(shí)，此?戶就擁有了該??所包含的權(quán)限。會話ssions是?戶與激活的??集合之間的映射。RBAC0與傳統(tǒng)訪問控制的差別在

于增加?層間接性帶來了靈活性，RBAC1、RBAC2、RBAC3都是先后在RBAC0上的擴(kuò)展。

b. RBAC1引???間的繼承關(guān)系，??間的繼承關(guān)系可分為?般繼承關(guān)系和受限繼承關(guān)系。?般繼承關(guān)系僅要求??繼承關(guān)系是?個(gè)絕對

偏序關(guān)系，允許??間的多繼承。?受限繼承關(guān)系則進(jìn)?步要求??繼承關(guān)系是?個(gè)樹結(jié)構(gòu)。

c. RBAC2模型中添加了責(zé)任分離關(guān)系。RBAC2的約束規(guī)定了權(quán)限被賦予??時(shí),或??被賦予?戶時(shí),以及當(dāng)?戶在某?時(shí)刻激活?個(gè)??

時(shí)所應(yīng)遵循的強(qiáng)制性規(guī)則。責(zé)任分離包括靜態(tài)責(zé)任分離和動(dòng)態(tài)責(zé)任分離。約束與?戶-??-權(quán)限關(guān)系?起決定了RBAC2模型中?戶的訪問許

可。

d. RBAC3包含了RBAC1和RBAC2，既提供了??間的繼承關(guān)系，?提供了責(zé)任分離關(guān)系。

2.2. 組織機(jī)構(gòu)

企業(yè)組織架構(gòu)包含三個(gè)??的內(nèi)容：單位、部門和崗位。 ?個(gè)單位可以設(shè)置多個(gè)部門，部門是組成單位的部分。?個(gè)部門可以設(shè)置多個(gè)崗

位，崗位是職?職務(wù)、?作任務(wù)和責(zé)任、權(quán)限的統(tǒng)?。?個(gè)部門只能設(shè)定?個(gè)部門主管崗位，?個(gè)崗位可以由多個(gè)員?擔(dān)任，員?是指機(jī)構(gòu)

中各種??形式的?員。

相關(guān)術(shù)語

l 任務(wù) 是為了達(dá)到某?特定?標(biāo)或者完成領(lǐng)導(dǎo)交待的?作?進(jìn)?的?項(xiàng)活動(dòng)。

l 職務(wù) 指對職?所應(yīng)承擔(dān)事務(wù)的規(guī)定。它與職位的不同點(diǎn)在于強(qiáng)調(diào)所承擔(dān)的任務(wù)內(nèi)容，?不是指任務(wù)的地點(diǎn)。

l 責(zé)任 指份內(nèi)應(yīng)做的事。即職?在職務(wù)規(guī)定的范圍內(nèi)應(yīng)盡責(zé)盡職、保質(zhì)保量地完成任務(wù)。

l 職責(zé) 職務(wù)和責(zé)任的統(tǒng)?。專指須有?名職?擔(dān)負(fù)的各項(xiàng)任務(wù)組成的?作活動(dòng)。

3. 我們怎么設(shè)計(jì)基于RBAC模型的通?企業(yè)權(quán)限管理系統(tǒng)

根據(jù)RBAC模型的權(quán)限設(shè)計(jì)思想，建?權(quán)限管理系統(tǒng)的核?對象模型。對象模型中包含的基本元素主要有：組織機(jī)構(gòu)（Organization）、部

門（Department）、崗位（Post）、?戶（Ur）、??（Role）、系統(tǒng)功能（Function）、權(quán)限（Permission）。主要的關(guān)系有：分配

??權(quán)限PA（Permission Assignment）、分配?戶??UA（Ur Assignmen），具體描述如下：

a. 組織機(jī)構(gòu)：使?系統(tǒng)的主體。

b. 部門：是組成單位的部分。

c. 崗位：是職?職務(wù)、?作任務(wù)和責(zé)任、權(quán)限的統(tǒng)?。

d. ?戶：是權(quán)限的擁有者或主體。?戶和權(quán)限實(shí)現(xiàn)分離，通過授權(quán)管理進(jìn)?綁定。

e. ??：權(quán)限分配的單位與載體。??通過繼承關(guān)系?持分級的權(quán)限實(shí)現(xiàn)。例如，科長??同時(shí)具有科長??、科內(nèi)不同業(yè)務(wù)?員??。

f. 系統(tǒng)功能：是系統(tǒng)所要保護(hù)的資源（Resource），可以被訪問的對象。

g. 權(quán)限：對受保護(hù)的資源操作的訪問許可(Access Permission)，是綁定在特定的資源實(shí)例上的。

h. 分配??權(quán)限PA：實(shí)現(xiàn)操作和??之間的關(guān)聯(lián)關(guān)系映射。

i. 分配?戶??UA：實(shí)現(xiàn)?戶和??之間的關(guān)聯(lián)關(guān)系映射。

我們對元素之間的關(guān)系作如下限制：

a. ?個(gè)單位可以設(shè)置多個(gè)部門

b. ?個(gè)部門可以設(shè)置多個(gè)崗位

c. ?個(gè)部門只能設(shè)定?個(gè)部門主管崗位

d. ?個(gè)崗位可以由多個(gè)員?擔(dān)任

e. ??員?擔(dān)任多個(gè)崗位

f. ?個(gè)?戶可以擁有多個(gè)??

g. ?個(gè)??可以由多個(gè)?戶擁有