《科学方法》PPT课件.ppt

《《科学方法》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《科学方法》PPT课件.ppt（16页珍藏版）》请在装配图网上搜索。

1、管 理 信 息 系 统 中 的 权 限 管 理 解 决 方 案 的 研 究 主 讲 人 : 2010508174 陈 晓 峰 制 作 人 ： 2010508175 马 翠 云 一 、 课 题 研 究 介 绍二 、 课 题 研 究 意 义三 、 权 限 管 理 技 术 实 现 研 究四 、 总 结五 、 参 考 文 献 管 理 信 息 系 统 中 的 权 限 管 理 是 保 证 系 统 数 据 安 全 必 不 可缺 的 组 成 部 分 。 权 限 管 理 在 现 代 软 件 系 统 中 拥 有 着 重 要 的 地位 ， 从 各 种 操 作 系 统 到 一 般 的 应 用 程 序 ， 都 能 发

2、现 有 关 权 限的 模 块 或 者 功 能 。 而 且 权 限 管 理 是 根 据 系 统 设 置 的 安 全 规 则或 者 安 全 策 略 ， 用 户 可 以 访 问 而 且 只 能 访 问 自 己 被 授 权 的 资源 ， 不 多 不 少 。 权 限 管 理 几 乎 出 现 在 任 何 系 统 里 面 ， 只 要 有用 户 和 密 码 的 系 统 。 特 别 应 提 出 的 是 ， 它 是 事 务 系 统 的 关 键部 分 ， 其 可 靠 性 、 安 全 性 及 稳 定 性 直 接 影 响 到 事 务 系 统 的 运行 。 在 权 限 管 理 中 ， 访 问 控 制 是 最 核 心 的

3、部 分 ， 是 实 现 事 物权 限 协 调 的 重 要 基 础 。 课 题 研 究 介 绍 随 着 网 络 和 资 源 共 享 的 进 一 步 飞 速 发 展 及 加 强 ， 伴 随 而 来 的 信 息安 全 问 题 也 就 更 加 日 益 突 出 。 机 构 运 作 过 程 中 ， 必 须 要 能 够 控 制 ： 有“ 谁 ” 能 够 访 问 机 构 的 信 息 ， 哪 个 用 户 被 授 予 什 么 样 的 “ 权 限 ” ，用 户 访 问 的 是 “ 什 么 信 息 ” 。 一 旦 机 构 已 经 确 定 了 权 限 管 理 和 分 配 方式 ， 访 问 控 制 系 统 就 可 以 按

4、 照 机 构 分 配 定 义 的 安 全 政 策 和 权 限 控 制 用户 访 问 ， 保 护 应 用 系 统 。 也 就 是 ， 机 构 中 的 各 个 等 级 、 各 个 部 门 以 及个 人 都 有 自 己 的 权 限 ， 不 能 越 权 。 例 如 机 构 系 统 管 理 员 、 人 事 部 以 及财 务 部 高 级 权 限 的 地 方 ， 拥 有 权 限 较 大 ， 全 员 工 根 据 自 己 的 岗 位 职 能分 工 有 着 相 应 的 权 限 ， 如 只 有 查 看 权 限 不 能 拥 有 创 建 、 编 辑 、 删 除 的权 限 等 等 。 为 了 实 现 这 一 需 求 ，

5、那 就 需 要 有 一 个 分 配 这 些 权 限 的 方 式方 法 ， 这 就 是 权 限 管 理 。课 题 研 究 意 义 信 息 管 理 系 统 中 的 权 限 管 理 的 解 决 方 案 主 要 是 要 用 到 访 问 控 制 ， 访 问 控 制 规 定 了主 体 对 客 体 的 访 问 限 制 ,并 在 身 份 识 别 的 基 础 上 ,根 据 身 份 对 提 出 资 源 访 问 的 请 求 加 以 控制 1 。访 问 控 制 模 型 有 三 类 ： 自 由 访 问 控 制 模 型 ： 自 主 访 问 控 制 模 型 的 主 要 建 模 依 据 是 自 主 访 问 控 制 策 略 ，

6、 该 访 问控 制 策 略 允 ， 许 合 法 用 户 访 问 策 略 规 定 的 资 源 ， 同 时 阻 止 非 授 权 用 户 访 问 资 源 。 强 制 访 问 控 制 模 型 ： 其 是 对 信 息 进 行 安 全 标 识 和 分 级 ， 然 后 根 据 信 息 的 敏 感 性 来 进 行访 问 控 制 。 在 实 际 操 作 中 ， 首 先 判 断 用 户 的 访 问 权 限 ， 然 后 与 资 源 的 敏 感 性 进 行 比 较确 定 是 否 允 许 访 问 。 基 于 角 色 的 访 问 控 制 模 型 ： 是 在 用 户 和 权 限 之 间 设 置 了 一 个 新 的 实 体

7、角 色 ， 角 色 作为 一 个 中 间 媒 介 把 用 户 集 合 和 权 限 集 合 联 系 起 来 。 这 些 访 问 控 制 模 型 从 系 统 的 角 度 (控 制 环 境 是 静 态 的 )出 发 保 护 资 源 。 其 访 问 控 制的 原 理 为 :如 果 主 体 对 某 客 体 有 访 问 操 作 请 求 ,而 且 主 体 拥 有 操 作 权 限 ,那 么 提 供 访 问 操 作 2 。 权 限 管 理 技 术 实 现 研 究 管 理 信 息 系 统 对 访 问 控 制 的 需 求1.对 组 织 管 理 的 需 求 管 理 信 息 系 统 是 被 应 用 到 一 定 规 模

8、的 组 织 中 的 ,因 此 必然 需 要 描 述 系 统 使 用 单 位 的 组 织 形 态 。 而 用 户 的 工 作 划 一般 按 照 该 用 户 所 在 部 门 的 岗 位 或 者 所 在 工 作 组 的 角 色 来 确定 的 ,因 此 ,抽 象 出 用 户 的 客 观 组 织 对 象 ,并 融 入 访 问 控 制 模型 中 ,能 够 极 大 的 丰 富 模 型 的 表 现 能 力 ,并 使 得 系 统 与 客 观情 况 相 吻 合 ,符 合 用 户 的 使 用 习 惯 。一 般 的 组 织 形 态 结 构 中 ,往 往 存 在 三 种 组 织 形 态 : 按 照 职 能 划 分 的

9、横 向 组 织 形 态 按 照 任 务 (或 者 项 目 ,产 品 等 )划 分 的 纵 向 组 织 形 态 将 两 者 结 合 起 来 的 矩 阵 式 组 织 形 态 ： 分 为 弱 矩 阵 ,平 衡 矩阵 和 强 矩 阵 三 种 形 态 。 管 理 信 息 系 统 对 访 问 控 制 的 需 求2.对 权 限 表 现 的 需 要在 管 理 信 息 系 统 中 ,对 界 面 的 表 现 需 求 主 要 有 如 下 两 种 :1） 软 件 界 面 元 素 的 可 见 性 和 可 访 问 性 。 这 两 个 属 性 的 组 合 反 应 了 控 件 的 三 种 状 态 :可 见 可 访 问 、 可

10、 见 不 可访 问 和 不 可 见 。 不 同 的 软 件 使 用 者 ,由 于 属 于 不 同 的 部 门 和 岗 位 或 者 不同 的 组 和 角 色 ,因 此 有 不 同 的 权 限 。 那 么 权 限 的 差 异 反 应 到 软 件 界 面 元上 就 表 现 为 某 些 界 面 元 素 对 某 些 用 户 是 可 见 可 访 问 的 ,而 对 其 他 用 户 却是 可 见 不 可 访 问 的 或 者 是 不 可 见 的 。2） 软 件 界 面 数 据 集 合 的 可 见 性 和 可 操 作 性 。 其 中 可 操 作 性 又 分 为 可 新 增 、 可 修 改 和 可 删 除 这 三

11、种 的 组 合 。 针 对不 同 的 软 件 使 用 者 ,软 件 界 面 所 呈 现 的 数 据 集 合 以 及 这 些 数 据 的 操 作 性是 不 同 的 。 界 面 数 据 集 合 的 可 见 性 和 可 操 作 性 与 界 面 元 素 的 可 见 性 和 可 访 问 性是 有 紧 密 联 系 的 。 这 两 种 权 限 的 分 类 由 于 界 面 实 现 方 法 的 不 同 而 有 可 能 不 同 。 管 理 信 息 系 统 对 访 问 控 制 的 需 求3.对 待 条 件 的 访 问 控 制 的 需 求 人 的 权 限 根 据 其 时 效 性 可 以 分 为 相 对 静 态 的 和

12、 相 对 动 态 的 。 相 对 静 态 的 权限 是 指 该 人 员 由 于 属 于 一 定 的 组 织 对 象 集 合 ,比 如 部 门 ,岗 位 ,组 或 者 角 色 ,而 具 有的 一 定 权 限 ;而 相 对 动 态 的 权 限 指 该 人 员 在 一 些 其 他 条 件 下 拥 有 的 权 限 ,比 如 规定 用 户 、 角 色 或 者 访 问 许 可 只 能 在 某 些 时 间 范 围 内 4,在 某 些 计 算 结 果 的 范 围 内激 活 ,或 者 在 工 作 流 系 统 中 ,通 过 上 一 个 流 程 节 点 的 执 行 结 果 来 决 定 下 一 个 流 程节 点 的

13、参 与 者 范 围 等 等 。 因 此 ,尽 管 一 个 人 在 同 样 的 组 织 结 构 中 ,但 在 不 同 时 间或 者 不 同 环 境 下 所 拥 有 的 权 限 范 围 有 可 能 是 不 同 的 ， 这 些 条 件 变 量 极 大 的 丰 富了 权 限 的 描 述 和 控 制 能 力 。 现 有 的 访 问 控 制 模 型 都 没 有 引 入 时 间 的 概 念 5,以及 其 他 的 访 问 控 制 条 件 。 在 上 述 3种 访 问 控 制 模 型 中 ,客 体 被 表 述 成 资 源 的 集 合 ,而 又 缺 少 对 资 源 的 组织 和 抽 象 ,在 授 权 上 仅 仅

14、建 立 了 一 种 简 单 的 客 体 和 主 体 的 关 系 ,或 者 客 体 和 角 色 ,角 色 和 主 体 的 关 系 ,因 此 无 法 解 决 在 特 定 条 件 下 的 访 问 控 制 需 求 。 在 分 析 了 现 有 的 几 种 访 问 控 制 模 型 和 管 理 信 息 系 统 中 对 访 问 控 制 的 需 求后 ,提 出 一 种 适 合 管 理 信 息 系 统 的 访 问 控 制 模 型 基 于 管 理 信 息 系 统 的 访 问控 制 模 型 ， 简 称 MISBAC 。 MISBAC是 通 过 建 立 组 织 对 象 子 模 型 、 权 限 对 象 子 模 型 、 界

15、 面 控 制 子 模 型 以 及 权 限 分 配 子 模 型 的 基 础 上 ,形 成 权 限 视 图 的 一 个 过 程 。 组 织 对 象 子 模 型 的 任 务 ： 要 管 理 组 织 中 单 个 对 象 的 属 性 和 行 为 ,管 理 各 个 对 象之 间 的 相 互 关 系 ,使 得 对 象 之 间 形 成 一 个 有 机 的 整 体 。 权 限 对 象 子 模 型 的 任 务 ： 如 何 很 好 的 组 织 这 些 权 限 对 象 ,并 使 得 权 限 分 配 变 得方 便 灵 活 。 权 限 分 配 子 模 型 的 任 务 ： 在 组 织 对 象 与 权 限 对 象 之 间 建

16、 立 一 系 列 的 关 系 集 合 ,来 表 达 权 限 的 拥 有 关 系 。 权 限 表 现 子 模 型 的 任 务 ： 是 权 限 的 标 识 ,是 一 种 权 力 的 抽 象 ,并 没 有 描 述 权 限 的 表 达 方 式 。 如 ： 虚 拟 窗 体 。 MISBAC模 型 MISBAC模 型 结 构 图 该 图 主 要 描 述 了 MISBAC模 型 的 各 子 模 型 之 间 的 依 赖关 系 。 其 中 ,权 限 分 配 子 模 型 依 赖 于 组 织 对 象 子 模 型 和 权限 对 象 子 模 型 ,它 建 立 起 组 织 对 象 和 权 限 对 象 之 间 的 关 系

17、,这 是 实 现 访 问 控 制 的 核 心 。 权 限 对 象 子 模 型 依 赖 于 权 限表 现 子 模 型 ,权 限 表 现 是 权 限 对 象 在 管 理 信 息 系 统 中 的 实现 ,是 对 受 控 资 源 控 制 的 实 现 方 式 。 权 限 视 图 子 模 型 本 质上 是 访 问 控 制 矩 阵 的 一 种 变 异 ,它 直 接 建 立 了 主 体 和 客 体之 间 的 对 应 关 系 。MISBAC模 型 的 外 部 接 口 主 要 是 应 用 界 面 和 权 限 会 话。 权 限 会 话 是 当 前 用 户 获 取 所 能 够 访 问 的 资 源 的 过 程 ,它的

18、实 现 依 赖 于 访 问 权 限 视 图 子 模 型 提 供 的 主 体 和 客 体 之间 的 对 于 关 系 。 应 用 界 面 是 应 用 系 统 的 业 务 外 观 ,这 些 外观 通 过 继 承 权 限 实 现 子 模 型 提 供 的 基 本 外 观 来 实 现 对 界面 资 源 的 控 制 。 该 技 术 被 广 泛 运 用 于 各 个 系 统 ， 非 常 容 易 掌 握 。 该 技 术 模 型 如 下 图 示 ： RBAC权 限 模 型系 统 提 供 如 下 功 能 ： 1 ， 角 色 管 理 界 面 ， 由 用 户 定 义 角 色 ， 给 角 色 赋 权 限 ； 2 ， 用 户

19、 角 色 管 理 界 面 ， 由 用 户 给 系 统 用 户 赋 予 角 色 。 3 ， 一 些 优 秀 系 统 ， 还 支 持 用 户 定 义 权 限 ， 这 样 新 增 功 能 的 时 候 ， 可 以将 需 要 保 护 的 功 能 添 加 到 系 统 。基 于 角 色 访 问 控 制 技 术 RBAC 在 RBAC模 型 中 ,授 权 定 义 了 如 下 约 束 :(1 )最 小 权 限 原 则 :规 定 用 户 所 拥 有 的 角 色 集 所 对 应 的 权 限 不 能 超 过 用 户 工 作时 所 需 要 的 最 大 权 限 。(2 )责 任 分 离 原 则 :目 的 在 于 为 不

20、同 角 色 进 行 任 务 和 相 关 权 限 的 划 分 ,以 便 有效 地 防 止 用 户 相 互 勾 结 。 静 态 责 任 分 离 ： 不 能 将 某 两 个 角 色 分 配 给 同 一 个 用 户 ,例 如 银 行 系 统 中 的出 纳 员 角 色 和 审 计 员 角 色 。 动 态 责 任 分 离 ： 允 许 将 某 两 个 角 色 分 配 给 同 一 个 用 户 ,但 是 不 允 许 任 何 一个 用 户 在 同 一 个 事 务 处 理 过 程 中 担 任 这 两 个 角 色 ,例 如 出 纳 员 角 色 和 帐 户 持有 人 角 色 。(3 )角 色 集 最 大 值 限 定 原

21、 则 :一 个 角 色 的 成 员 个 数 不 允 许 超 出 规 定 的 最 大 值 。 在 MISBAC模 型 中 ,授 权 也 存 在 同 样 的 约 束 。 它 们 的 不 同 点 是 :RBAC模 型的 角 色 概 念 是 抽 象 的 ,并 不 具 有 现 实 含 义 。 而 MISBAC模 型 中 组 织 对 象 是 具体 的 ,是 能 够 高 度 模 拟 现 实 中 的 组 织 机 构 的 ,因 而 具 有 现 实 含 义 。RBAC和 MISBAC的 比 较 总 结 ： 本 文 论 述 了 管 理 信 息 系 统 中 的 权 限 管 理 解 决 方 案 ,首 先 分 析 了 目

22、 前 常 见 的几 种 访 问 控 制 模 型 ,并 论 述 了 管 理 信 息 系 统 对 权 限 管 理 的 需 求 ,进 一 步 分 析 了这 几 种 常 见 的 访 问 控 制 模 型 在 权 限 管 理 方 面 应 用 的 不 足 ,于 是 ,提 出 了 基 于 管理 信 息 系 统 的 控 制 模 型 并 给 出 了 该 模 型 的 虚 拟 窗 体 机 制 在 .NET平 台 下 的 实 现 。 本 文 主 要 介 绍 了 在 管 理 信 息 系 统 中 对 访 问 控 制 模 型 的 三 个 核 心 需 求 :即 对组 织 管 理 的 需 求 ,对 权 限 表 现 的 需 求 和

23、 对 带 条 件 的 访 问 控 制 的 需 求 。 在 结 合 时下 流 行 的 基 于 角 色 的 访 问 控 制 模 型 的 基 础 上 ,进 一 步 扩 展 了 “ 角 色 ” 的 范 围 ,加 入 了 组 织 对 象 的 内 容 ,并 在 权 限 的 表 现 上 新 创 了 虚 拟 窗 体 机 制 。 该 机 制 不 仅有 效 的 解 决 了 权 限 表 现 的 需 求 ,也 通 过 数 据 规 则 的 定 义 一 部 分 的 解 决 了 带 条 件的 访 问 控 制 的 需 求 。 参 考 文 献 ：1 IMB公 司 .IT技 术 白 皮 书 http:/www一 9 0 0 .i

24、bm.eom/en/support/guide/,hite books/seeurity/seeurity-4 2 .shtml2 邓 集 波 ,洪 帆 .基 于 任 务 的 访 问 控 制 模 型 .软 件 学 报3 国 家 信 息 化 系 列 企 业 信 息 化 工 程 师 技 术 水 平 认 证 培 训 教 材4 董 光 宇 ,卿 斯 汉 ,刘 克 龙 .带 时 间 特 性 的 角 色 授 权 约 束 .软 件 学 报5 黄 建 ,卿 斯 汉 ,温 红 子 .带 时 间 特 性 的 角 色 访 问 控 制 .软 件 学 报6 李 孟 柯 ,徐 祥 宣 .基 于 角 色 的 访 问 控 制

25、 技 术 及 应 用 .计 算 机 应 用 研 究7 邹 炜 ,孙 家 萧 ,孙 艳 春 .青 鸟 网 上 构 件 库 系 统 的 访 问 控 制 机 制 .软 件 学 报8 http:刀 .mierosoft.eom/ehina/net/whatis.asp9 KevinHoffman,JeffGabriel等 著 ,汪 钟 鸣 ,战 小 苏 译 二 N叮 Fr二 ework高 级 编 程 .清 华 大 学 出 版 社1 0 http:/ 9 /artiele/5 5 /5 5 8 3 6 .shtm1 1 http:刀 删 .peworld.eom.en/2 0 0 1 /baek_iss

26、ues/2 1 0 4 /0 4 0 5 b.asp 1 2 http:/msdn.mierosoft.eom/library/ehs/default.asp?url=/library/CHS/epg1 3 SimonRobinson,OllieCornes著 ,康 博 译 .C材 高 级 编 程 .清 华 大 学 出 版 社1 4 JeffreyRIChter著 ,李 建 忠 译 二 NE框 架 程 序 设 计 (修 订 版 ).清 华 大 学 出 版 社1 5 杨 莹 莹 .通 用 权 限 管 理 系 统 研 究 与 应 用 .电 子 科 技 大 学1 6 张 晓 辉 ， 王 培 康 .大 型 信 息 系 统 用 户 管 理 .中 国 科 学 技 术 大 学