[发明专利]基于角色的访问控制系统及方法

说明书

技术领域

本发明关于一种访问控制技术，特别是涉及一种基于角色的访问控制系统及方法。

背景技术

访问控制技术主要是验证用户访问的合法性。它的主要功能是对系统资源的使用权限进行控制，比如控制合法用户访问哪些密级的信息和进行哪些操作等。它对限制用户访问关键资源，防止非法用户入侵，或合法用户的不慎操作所造成的破环有着举足轻重的作用。

基于角色的访问控制技术是目前比较成熟的访问控制模型，它的主要思想是将访问权限与角色相联系，通过给用户分配合适的角色，让用户与访问权限相联系。图1为一种典型的RBAC模型示意图。对该模型定义如下：

对该模型定义如下：

U：用户，R角色，P：权限，S：会话

权限分配，多对多的关系；

用户分配，多对多关系；

User：S-＞U，每一个会话s对应单一用户user(s)的映射；

Roles：会话s到角色集合role(s)⊆{r|(user(s),r)∈PA}]]>

易见：该模型由三个实体组成，分别是：用户(U)、角色(R)、权限(P)。其中用户指自然人；角色就是组织内部一件工作的功能或工作的头衔，表示该角色成员所授予的职责的许可，系统中拥有权限的用户可以执行相应的操作。用户与角色之间以及角色与权限之间用双双箭头相连表示用户角色分配UA和角色权限分配PA关系都是多对多的关系，即一个用户可以拥有多个角色，一个角色也可被多个用户所拥有。同样的，一个角色拥有多个权限，一个权限能被多个角色所拥有。用户建立会话从而对资源进行存取，每个会话S将一个用户与他所对应的角色集中的一部分建立映射关系，这个角色会话子集称为会话激活的角色集。于是，在这次会话中，用户可以执行的操作就是该会话激活的角色集对应的权限所允许的操作。

然而，上述的RBAC模型却存在如下缺点：1、一般应用于操作系统、数据库系统比较多，而应用在具体的应用系统的情况比较少；2、没有考虑角色互斥的问题。如两个角色具有不同的职责，不能让一个用户同时拥有，财务部门的出纳和会计就是角色互斥的简单例子；3、没有考虑角色基数的限制，如总经理只能由一个人担任，那么总经理角色的角色基数就是1；4、没有考虑用户角色的继承。例如查询等权限可能是企业中每个员工都应具有的权限，如果不引入角色之间的继承关系，那么只能把这些权限都授予给企业中大量的角色，或者把这样的通用角色都授予给企业中大量的用户，但是如果引入角色之间的继承关系那么我们就创建一个较低层次的角色(例如员工角色)，把通用权限授予给员工角色，而让别的角色继承员工角色来获得通用权限。这样可以更好地模拟企业的组织结构并且便于权限的管理，当安全管理员认为某一个权限不再适合于授予给整个企业的员工，那么他只需要从员工角色中回收该权限即可，而不用从企业中的每个角色中去回收该权限。

发明内容

为克服上述现有技术存在的不足，本发明之一目的在于提供一种基于角色的访问控制系统及方法，其通过引入角色继承机制，大大减少了赋予权限的工作量，也更加贴近真实的组织机构的管理模式。

本发明之另一目的在于通过引入角色互斥机制，避免了权限划分的混乱；同时，通过引入角色基数的机制，使得权限管理更加贴近实际的组织机构管理模式。

为达上述及其它目的，本发明提出一种基于角色的访问控制系统，至少包括：

请求发起者，向访问控制执行机构发起访问目标资源的访问请求；

访问控制执行机构，接受该访问请求，并将该访问请求传递给访问控制决策机构，根据该访问控制决策机构的决策结果将该访问请求传递给目标资源以便访问；