信息系统权限管理新方法及实现探讨

来源:用户上传      作者:

　　摘 要 随着科学技术的快速发展以及社会经济的进步，近年来计算机技术以及互联网技术应用越来越普遍，如何扩大现有权限管理方法的适用范围，使其较之于传统的角色管理模型具有更高的灵活性和可调节性，本文提出了一种基于角色的权限管理方法为主的信息系统权限管理方法（DERBAC）。通过DERBAC的应用，能够弥补传统基于角色管理的模型在进行管理工作时存在着烦琐的缺点，同时也有效解决了在进行系统规模扩大时传统访问控制方法存在的局限性问题。当整个信息系统规模出现波动时，DERBAC能够对应用级权限进行管理。本文对这种信息系统权限管理方法做了全面的介绍和分析，以期为相关工作者提供指导和帮助。
　　关键词 信息系统;权限管理;新方法
　　1 用户权限管理的常见手段
　　1.1 强制访问控制
　　强制访问控制，就是指系统对访问主体进行强制性限制，使其访问预先设定的内容。强制访问控制对用户的访问级别进行了预先的规定，通过将信息级别以及用户访问级别进行对比来对访问者的合法权限进行验证。这种强制访问控制尽管在一定程度上保障了信息的安全性，但是它也可能因为权限的划分和实际情况存在冲突，使得二者之间存在较为明显的差距，导致部分本该获取访问权限的人无法进行信息的访问。同时，由于整个体系是提前制定的，因此想要进行信息等级的修改较为困难[1]。
　　1.2 自主访问控制
　　自主访问控制，就是指在对访问主体身份进行确认之后，对访问内容进行限制。访问控制策略存储在一个较小的矩阵当中，矩阵中还有较多个访问元素，每个元素就代表着访问主体对访问对象的控制。自主访问控制的典型特点是较为直观，并且能够充分显示出系统各个部位的权限分配情况。但是倘若系统的规模较大，那么系统的复杂性将会明显提升，想要对用户的访问权限进行修改，难度是呈指数倍数增加的。
　　1.3 基于角色的访问控制
　　基于角色的访问控制，主要有用户、权限以及赋予角色三个实体来组成。用户和角色的对应不是一对一的，同时权限和角色的对应也是多对多的。角色的设定离不开组织的工作性质，用户根据自身所应当完成的任务而被赋予一种角色，当其获得角色之后，也就拥有了相应的权限，但是用户和权限之间并没有直接的相互对应关系。角色的制定，是结合组织工作性质来完成的，用户结合自身的工作需求被赋予一种角色，从而相应的得到了这种角色所具有的权限，倘若用户的责任较多，其权限也相应增多。倘若整个控制链中加入了新的内容，那么角色的对应权限也会随之增多[2]。
　　2 新方法的基本模型
　　随着计算机技术的发展和成熟，RBAC的应用越来越普遍。但是倘若系统的使用者数量较小，角色也不够多，那么系统设立太多的角色就成为累赘。在RBAC权限中，其所具备的角色是相对固定的，但是实际情况下，由于工作环境的多变性，使得规定的用户和角色存在一定的覆盖空档，在这种情况下，倘若先建立角色，并将角色赋予用户，在撤销权限时还需要再次删除这个角色，导致整个过程较为复杂。同时，这种随机添加角色权限还可能出现以下安全问题：第一，在对角色赋予权限时出现错误，导致角色的权限范围超过预期;第二，没有对角色进行准去的划分，导致其他用户参与到这一角色当中。如果两个问题同时出现的话，会对整个系统的安全性和权限划分稳定性造成极大的问题。但是倘若在RBAC系统中直接引入用户权限，用户可以实现自身可权限的相互关系，简化DAC模型，当系统的使用范围较小时，直接应用简化的DAC模型即可，从而有效避免了RBAC系统较为烦琐的情况。同时，通过对传统模型进行简化，能够预留升级的空间，使得系统使用规模在扩大的同时避免对权限管理部分进行二次规划和修正，使得模型在多个系统当中都能够有效地应用。同时，通过对原有模型的角色、对象以及权限之间的关系进行修正，能够将传统的客观角色（操作角色）转变为三者的有效结合，这种新的模型又称为自主增强型基于角色存取控制模型。这种模型将原有模型进行保存，并增加了用户权限给予的手段，使得用户能够对权限进行一定程度的操控，呈现出用户和权限的多个对应关系。与传统的RBAC模型相比，新的DERBAC对权限的给予进行了细化，实现了对象多个对应之间的具体关系，同时，还增加了用户和对象之间的双向关系来对多对多关系进行明确[3]。
　　3 新方法在信息系统中的实现
　　当前，信息系统中常见的几种类型，大多数都有关系数据库来进行后台数据的支持。倘若将DERBAC模型应用于关系数据库当中，能够实现数据库存放数据的扩大，因此，在进行数据库模型的选择时，基于规则来进行数据库的选择就显得合乎情理。每一个在数据库中的数据都是对权限规则的描述。制定的规则明确指出如何对用户赋予一定的角色，或是如何对一个角色赋予对应的权限，通过这个规则，能够实现对权限的有效控制[4]。
　　在进行建表时，对于4个实体，将其对应的建立4个表，分别是用户信息表、角色对应表、对象信息表以及操作表。按照RBAC的规定，需要对受保护的用户和角色进行统一编码。通过统一编码，就能够实现用统一的权限分配表来对角色权限划分以及用户权限规则进行分配和存储。由于角色之间的关系和受保护对象的关系相同，且角色和受保护对象的表达形式接近，因此角色之间的对应关系与对象关系表之间的关系基本相同。
　　在用户角色限制表当中加入新的角色项目时，需要对现有的用户及角色对应关系进行删除，当生成新的权限和对话时，用户所扮演的角色得到了确定，通过对象关系对角色的子角色编号进行确定，并将其有效合并起来，将其作为鉴权对象集。用户在进行鉴权时，只需要对用户标号和操作编号进行对比即可。通过这种方式，整个系统便形成了一个完整的信息系统权限管理方法。
　　参考文献
　　[1] 吕华辉，林志达，梁志宏.企业级信息系统身份权限统一管理研究与應用[J].电子世界，2019，（08）：88-89.
　　[2] 李国勇，王燕霞，熊黎丽，等.基于树形组织结构的数据隔离模型[J].自动化与仪器仪表，2018，（11）：231-235.
　　[3] 巫岱玥. 基于区块链的信息系统数据保护技术研究[C]. 中国指挥与控制学会.第六届中国指挥控制大会论文集（下册）.中国指挥与控制学会：中国指挥与控制学会，2018：1.
　　[4] 祖峰，熊忠阳，冯永.信息系统权限管理新方法及实现[J].重庆大学学报（自然科学版），2017，（11）：91-94.
转载注明来源:https://www.xzbu.com/1/view-14944330.htm