论文研究 集成统一授权管理系统研究与实现 .pdf
集成统一授权管理系统研究与实现,沈涛,龙毅宏,当前,如何同时支持不同的访问控制方法,如何对众多的、不同的资源进行统一有效的授权管理是现有授权管理系统中存在的普遍问题,国科技论文在线浏览用户和用户组信息选定,可以是某用户,也可以是某用户组,相应的操作权限通过从该资源的所有操作中选择,从而完成策略的制定基于授权策略定制访问控制方法是把权限分配给角色,用户也分配给角色,用户通过角色决定其拥有的权限。在木系统中,策略的客体定义了两种,即资源和功能,这里功能实际上就是把资源根据其功能组成的集合,这样设计的意义在」两方面:一是可以把相关资沵归为类,赋予种角色,使得该角色在拥有该功能访问权限的同吋即具备了访问这·类资源的权限,方便了策略的制定;二是资源和功能策咯继承模式不同,针对资溟的策咯继承性·般是向上继承的,而针对功能的策略继承性一殷是向下继承的。因此,本系统实现了针对资源和针对功能两种授权策略的制定。针对资源的授权策略定制本系统针对资源的授权策略的制定,是通过管理员把特定的资源跟角色绑定,再把该角色与用户绑定完成的。因为针对资源的策略的制定可以有两种方式,即一种是以资源为中心制定的,它为每个资源单独指定对其有访问权限的角色及相应操作,另一种是以角色为中心制定的,它为每个角色指定其具有的访问权限资源和操作权限。因此,木系统的设计方案是①通过角色信息管理模块管理角色信息,通过身份信息管理模块管理用户信息,并通过浏览角色信息选定适合的角色,实现用户与角色的绑定;②通过资源信息管理模块管理资源信息,给资源信息定义可能的所有操作,以方便策略制定时设定操作权限;③制定针对资源的策略,这里提供两种实现方式:一种是以资源为中心创建策略,这种方式通过资源信息管理模块的策略管理界面完成,选定需要攸策略的资源,策畩客体就是该资源,箎略主体通过浏览角色信息选定,相应的操作权限通过从该登源(根)级资源1角色1级资源1色角色3用广组1一级资源2角位4邹」2「操作1二级置源3---操作2角色5用二级资源角色6用户初它针过的的袋略客换作权限第公图针对资源的授权策珞制定方案图资源的所有操作中选择,从而完成针对资源的策略的制定;另一种方式是以角色为中心创建策眳,这种疔式通过角色信息管理模块的资源杈限管理界面完成,选定需要做资源策略的角色,策略辶体就是该角色,策略客体通过浏览资源信息选定,相应的操作权限国科技论文在线通过从选定资源的所有操作中选择,从而完成针对资涼的策咯的制定。针对功能树的授权策略定制本系统中针对功能的策略是以角色为中心制定的,它为每个角色指定其具有的访问权限功能或功能集和操作权限。因此,本系统的设计方案是①通过角色信息管理模块管理角色信息,通过身份信息管理模块管理用户信息,并通过浏览角色信息选定适合的角色,实现用户与角色的绑定:②通过功能信息管理模块管理功能信息,功能以玏能集功能资源的层次结构进行管理,把各种资源根据其功能组成一类,即各功能节点包含一类资源信息本系统中该资源信息实际上可以称为资源策略,因为每条资源策略可以针对某一资源主体单独制定操作权限,而相关的功能归在起作为个集合组成功能集③制定针对功能的策咯,这里以角色为中心创建策略,通过角色信息管理模块的功能权限管理界面完成,选定需要做功能策略的角色,策略主体就是该角色,策略客体通过浏览功能信息选定,从而完成针对功能的策略的制定功能单位根)角色(根)力能集1角色部门1功能1角色2用户」功能集2角色3用户组1功集3角色4功能2角色5资源略1作角色6用户组2操作3资源鋒略2制定对功能的RBAC策略策略客体策咯主体图针对功能的授权策略制定方案图基于授权策略定制基于属性的访问控制是以参与决策的相关实体的属性为基础进行授权决策的种访问控制机制。本系统主要针对主体属性实现了基于的访问控制,通过管理员把特定的资源跟用户属性包括用户状态、年龄等信息组合绑定完成的。本系统的设计方案是:①通过身份信息管理模块管理用户信息,用户信息将作为属性条件成为授权决策的基础②通过资源信息管理模块管理资源信息,给资源信息定义可能的所有操作,以方便策略制定时设定操作权限;③针对需要做授权的资源信息制定策略,策略客体是该资源,通过设定属性条件,例如年龄,状态有效等,把多个属性条件组合作为策略主体,相应的操作权限通过从该资源的所有操作中选择,从而完成策略的制定。国科技论文在线资溟(根)级资源1门1二级资源1用广级资源用户纠1资源2!操作1属性1级资源3用户2属性2探3属性级资源4月户组2制定ABAC策略策略客体兼作权限策略主体授权策略制定方案图总结木硏究提出了一种集成统一的授权管理系统,该系统通过创建用户树、角色树、资源树和功能树,实现了同吋支持基于和三种授权策咯的定制和管理功能,并且这些策略能够共存且互不冲突,很好的解决了授杈管理系统攴持多种访问策略的问题。参考文献张苏,李培峰,杨秀文,等.面向应用集成的统一授权平台的设计与实现[].计算机工程与设计,李刚权威指南基于核心开发北京:电子工业出版社,「].北京:人民邮电出版社,焦静,李勇.基于的统一身份认证的设计与实现[].科学技术与工稈,葛毘,郎波.基于属性访问搾制方法中的策略定义硏究[].微计算机信息
用户评论