基于RBAC模型的权限治理系统的设计和兑现
2009-11-26 23:33
597 查看
2009-四-21
提要:提出了基于RBAC模型的权限治理系统的设计和兑现提案。引见了采取的J二EE架设的多层体系结构设计,阐明了基于角色的访问统制RBAC模型的设计思维,并议论了权限治理系统的核心面临对象设计模型,以及权限访问、权限统制和权限储存机制等要害技术。基本词:权限治理系统;角色;访问统制;RBAC模型;J二EE;LDAP 零 小引管理信息系统是一个复杂的人机交互系统,此中每个具体环节都或者遭到保险威逼。构建健壮的权限治理系统,军令状管理信息系统的安全性是十分重要的。权限治理系统是管理信息系统中可代码重用性最高的模块之一。
任何多用户的系统都不可逆转的涉及到雷同的权限需求,都急需解决实业甄别、数据保密性、数据完整性、防赖皮和访问统制等保险服务(据ISO7498-二)。比如,访问统制服务要求系统依据操作者已经设定的操作权限,统制操作者可以访问哪些资源,以及确定对资源何以进展操作。当前,权限治理系统也是反复开发率最高的模块之一。在企业中,不同的施用系统都拥有一套独力的权限治理系统。每套权限治理系统只满足本身系统的权限治理急需,无论是在数据储存、权限访问和权限统制机制等方面都也许不一样,这种不一致性存在如次弊病:
a.系统管理员急需维护多套权限治理系统,重复劳动。
b.用户治理、组织机构等数据反复维护,数据一致性、完整性得不到军令状。
c.因为权限治理系统的设计不同,概念解释不同,采取的技术有差别,权限治理系统其间的集成存在问题,兑现单点登录难度非常大,也给企业构建企业门第带到艰难。
采取一致的安全管理设计思维,规范化设计和进步前辈的技术架设体系,构建一个通用的、完美的、保险的、便于治理的、有很好的可移植性和扩展性的权限治理系统,使得权限治理系统真个变为权限统制的核心,在维护系统保险方面发挥主要的功用,是十分必要的。正文引见一种基于角色的访问统制RBAC(Role-Based policies Access Control)模型的权限治理系统的设计和兑现,系统采取基于J二EE架设技术兑现。并以议论了运用系统何以进展权限的访问和统制。
一 采取J二EE架设设计采取J二EE企业平台架设构建权限治理系统。J二EE架设集成了进步前辈的软件体系架设思维,具有采取多层分布式运用模型、基于组件并能重用组件、一致完全模型和灵便的事务处理统制等特性。系统逻辑上分成四层:客户层、Web层、业务层和资源层。
a. 客户层重要负责人机交互。可以使系统管理员经过Web浏览器访问,也可以提供不同业务系统的API、Web Service调用。
b. Web层打包了用于提供经过Web访问本系统的客户端的示意层逻辑的服务。
c. 业务层提供业务服务,包括业务数据和业务逻辑,集中了系统业务处置。重要的业务治理模块包括组织机构治理、用户治理、资源管理、权限治理和访问统制几个一部分。
d. 资源层重要负责数据的储存、部门和治理等。资源层提供了两种兑现形式:特大型关系型数据库(如ORACLE)和LDAP(Light Directory Access Protocol,轻量级索引访问协议)索引服务器(如微软的活动索引)。
二 RBAC模型访问统制是针对越权应用资源的防卫措施。根本目标是为了限制访问主导(用户、历程、服务等)对访问客体(资料、系统等)的访问权限,故此使计算机系统在合法范围内施用;决议用户能做什么,也决议代表一定用户利益的程序能做什么[一]。企业环境中的访问统制计策通常有三种:自立型访问统制步骤、挟制型访问统制步骤和基于角色的访问统制步骤(RBAC)。
内中,自立式太弱,挟制式太强,彼此工作量大,不方便于管理[一]。基于角色的访问统制步骤是当前一致承认的解决大型企业的一致资源访问统制的有效步骤。其显明的两大特性是:一.减少受权治理的复杂性,减低治理花费;
二.灵便地支持企业的安全策略,并对企业的变更有很大的伸缩性。NIST(The National Institute of Standards and Technology,美国国家标准与技术研究院)基准RBAC模型由4个构件模型结成,这4个元件模型诀别是根本模型RBAC零(Core RBAC)、角色分级模型RBAC一(Hierarchal RBAC)、角色限制模型RBAC二(Constraint RBAC)和一致模型RBAC三(Combines RBAC)[一]。RBAC零模型如图1所示。
图一 RBAC零模型
a. RBAC零定义了会组成一个RBAC控制系统的最小的元素聚合。在RBAC之中,包孕用户users(USERS)、角色roles(ROLES)、目标objects(OBS)、操作operations(OPS)、准予权permissions(PRMS)五个根本数据元素,权限被给予角色,而不是用户,应一个角色被指定给一个用户时,此用户就拥有了该角色所包孕的权限。对话sessions是用户与激活的角色聚合其间的投射。RBAC零与保守访问统制的区别取决增多一层间接性带到了灵活性,RBAC一、RBAC二、RBAC三都是先后在RBAC零上的扩充。
b. RBAC1引出角色间的承袭关系,角色间的沿袭关系可分为正常沿袭关系和受限沿袭关系。正常沿袭关系仅要求角色承袭关系是一个绝对偏序关系,容许角色间的多承袭。而受限沿袭关系则更上一层楼要求角色承继关系是一个树构造。
c. RBAC二模型中增添了责任分开关系。RBAC二的约束规定了权限被给予角色时,或角色被给予用户时,以及当用户在某1时刻激活一个角色时所应遵照的强制性规约。责任分开包括静态责任分开和动态责任分开。约束与用户-角色-权限关系一行决议了RBAC二模型顶用户的访问准许。
d. RBAC3包孕了RBAC一和RBAC二,既提供了角色间的沿袭关系,又提供了责任分开关系。三核心对象模型设计依据RBAC模型的权限设计思维,建立权限治理系统的核心对象模型。如图2所示。
本文来源:
我的异常网
Java Exception
Dotnet Exception
Oracle Exception
提要:提出了基于RBAC模型的权限治理系统的设计和兑现提案。引见了采取的J二EE架设的多层体系结构设计,阐明了基于角色的访问统制RBAC模型的设计思维,并议论了权限治理系统的核心面临对象设计模型,以及权限访问、权限统制和权限储存机制等要害技术。基本词:权限治理系统;角色;访问统制;RBAC模型;J二EE;LDAP 零 小引管理信息系统是一个复杂的人机交互系统,此中每个具体环节都或者遭到保险威逼。构建健壮的权限治理系统,军令状管理信息系统的安全性是十分重要的。权限治理系统是管理信息系统中可代码重用性最高的模块之一。
任何多用户的系统都不可逆转的涉及到雷同的权限需求,都急需解决实业甄别、数据保密性、数据完整性、防赖皮和访问统制等保险服务(据ISO7498-二)。比如,访问统制服务要求系统依据操作者已经设定的操作权限,统制操作者可以访问哪些资源,以及确定对资源何以进展操作。当前,权限治理系统也是反复开发率最高的模块之一。在企业中,不同的施用系统都拥有一套独力的权限治理系统。每套权限治理系统只满足本身系统的权限治理急需,无论是在数据储存、权限访问和权限统制机制等方面都也许不一样,这种不一致性存在如次弊病:
a.系统管理员急需维护多套权限治理系统,重复劳动。
b.用户治理、组织机构等数据反复维护,数据一致性、完整性得不到军令状。
c.因为权限治理系统的设计不同,概念解释不同,采取的技术有差别,权限治理系统其间的集成存在问题,兑现单点登录难度非常大,也给企业构建企业门第带到艰难。
采取一致的安全管理设计思维,规范化设计和进步前辈的技术架设体系,构建一个通用的、完美的、保险的、便于治理的、有很好的可移植性和扩展性的权限治理系统,使得权限治理系统真个变为权限统制的核心,在维护系统保险方面发挥主要的功用,是十分必要的。正文引见一种基于角色的访问统制RBAC(Role-Based policies Access Control)模型的权限治理系统的设计和兑现,系统采取基于J二EE架设技术兑现。并以议论了运用系统何以进展权限的访问和统制。
一 采取J二EE架设设计采取J二EE企业平台架设构建权限治理系统。J二EE架设集成了进步前辈的软件体系架设思维,具有采取多层分布式运用模型、基于组件并能重用组件、一致完全模型和灵便的事务处理统制等特性。系统逻辑上分成四层:客户层、Web层、业务层和资源层。
a. 客户层重要负责人机交互。可以使系统管理员经过Web浏览器访问,也可以提供不同业务系统的API、Web Service调用。
b. Web层打包了用于提供经过Web访问本系统的客户端的示意层逻辑的服务。
c. 业务层提供业务服务,包括业务数据和业务逻辑,集中了系统业务处置。重要的业务治理模块包括组织机构治理、用户治理、资源管理、权限治理和访问统制几个一部分。
d. 资源层重要负责数据的储存、部门和治理等。资源层提供了两种兑现形式:特大型关系型数据库(如ORACLE)和LDAP(Light Directory Access Protocol,轻量级索引访问协议)索引服务器(如微软的活动索引)。
二 RBAC模型访问统制是针对越权应用资源的防卫措施。根本目标是为了限制访问主导(用户、历程、服务等)对访问客体(资料、系统等)的访问权限,故此使计算机系统在合法范围内施用;决议用户能做什么,也决议代表一定用户利益的程序能做什么[一]。企业环境中的访问统制计策通常有三种:自立型访问统制步骤、挟制型访问统制步骤和基于角色的访问统制步骤(RBAC)。
内中,自立式太弱,挟制式太强,彼此工作量大,不方便于管理[一]。基于角色的访问统制步骤是当前一致承认的解决大型企业的一致资源访问统制的有效步骤。其显明的两大特性是:一.减少受权治理的复杂性,减低治理花费;
二.灵便地支持企业的安全策略,并对企业的变更有很大的伸缩性。NIST(The National Institute of Standards and Technology,美国国家标准与技术研究院)基准RBAC模型由4个构件模型结成,这4个元件模型诀别是根本模型RBAC零(Core RBAC)、角色分级模型RBAC一(Hierarchal RBAC)、角色限制模型RBAC二(Constraint RBAC)和一致模型RBAC三(Combines RBAC)[一]。RBAC零模型如图1所示。
图一 RBAC零模型
a. RBAC零定义了会组成一个RBAC控制系统的最小的元素聚合。在RBAC之中,包孕用户users(USERS)、角色roles(ROLES)、目标objects(OBS)、操作operations(OPS)、准予权permissions(PRMS)五个根本数据元素,权限被给予角色,而不是用户,应一个角色被指定给一个用户时,此用户就拥有了该角色所包孕的权限。对话sessions是用户与激活的角色聚合其间的投射。RBAC零与保守访问统制的区别取决增多一层间接性带到了灵活性,RBAC一、RBAC二、RBAC三都是先后在RBAC零上的扩充。
b. RBAC1引出角色间的承袭关系,角色间的沿袭关系可分为正常沿袭关系和受限沿袭关系。正常沿袭关系仅要求角色承袭关系是一个绝对偏序关系,容许角色间的多承袭。而受限沿袭关系则更上一层楼要求角色承继关系是一个树构造。
c. RBAC二模型中增添了责任分开关系。RBAC二的约束规定了权限被给予角色时,或角色被给予用户时,以及当用户在某1时刻激活一个角色时所应遵照的强制性规约。责任分开包括静态责任分开和动态责任分开。约束与用户-角色-权限关系一行决议了RBAC二模型顶用户的访问准许。
d. RBAC3包孕了RBAC一和RBAC二,既提供了角色间的沿袭关系,又提供了责任分开关系。三核心对象模型设计依据RBAC模型的权限设计思维,建立权限治理系统的核心对象模型。如图2所示。
本文来源:
我的异常网
Java Exception
Dotnet Exception
Oracle Exception
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 基于RBAC模型的权限管理系统的设计和实现
- 基于RBAC模型的权限管理系统的设计和实现(转载)
- 基于RBAC模型的通用权限管理系统的设计(数据模型)的扩展
- 基于RBAC模型的通用权限管理系统的设计(数据模型)的扩展
- 用户权限设计(四)——基于RBAC模型的通用权限管理系统的设计(数据模型)的扩展
- 基于RBAC模型的通用权限管理系统的设计(数据模型)的扩展
- 基于RBAC模型的权限管理系统的设计和实现
- 基于RBAC模型的权限管理系统的设计和实现
- 用户权限设计(四)——基于RBAC模型的通用权限管理系统的设计(数据模型)的扩展【转】
- 基于RBAC模型的权限管理系统的设计和实现
- 基于RBAC模型的权限管理系统的设计和实现
- 基于RBAC模型的权限管理系统的设计和实现
- 基于RBAC模型的权限管理系统的设计和实现
- 基于RBAC模型的通用权限管理系统的设计(数据模型)的扩展
- 基于RBAC模型的权限系统设计(Github开源项目)
- 我设计的一个基于RBAC模型的通用权限管理系统的域模型类图
- 基于RBAC模型的权限设计:如何设计系统权限体系?
- 基于RBAC模型的权限管理系统的设计和实现
- 基于RBAC模型的通用权限管理系统的设计(数据模型)的扩展
- 基于RBAC的权限设计模型