• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 17
    • 下载费用:30 金币  

    重庆时时彩戒赌群: 基于角色的访问控制模型构建系统.pdf

    关 键 词:
    基于 角色 访问 控制 模型 构建 系统
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    摘要
    申请专利号:

    CN201110090645.5

    申请日:

    2011.04.12

    公开号:

    CN102156833A

    公开日:

    2011.08.17

    当前法律状态:

    终止

    有效性:

    无权

    法律详情: 未缴年费专利权终止IPC(主分类):G06F 21/00申请日:20110412授权公告日:20120926终止日期:20130412|||授权|||实质审查的生效IPC(主分类):G06F 21/00申请日:20110412|||公开
    IPC分类号: G06F21/00; G06F17/30 主分类号: G06F21/00
    申请人: 华中科技大学
    发明人: 李瑞轩; 马晓普; 李开; 辜希武; 文坤梅; 王伟; 董勐; 聂莉; 叶威
    地址: 430074 湖北省武汉市洪山区珞喻路1037号
    优先权:
    专利代理机构: 华中科技大学专利中心 42201 代理人: 曹葆青
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201110090645.5

    授权公告号:

    |||102156833B||||||

    法律状态公告日:

    2014.06.04|||2012.09.26|||2011.09.28|||2011.08.17

    法律状态类型:

    专利权的终止|||授权|||实质审查的生效|||公开

    摘要

    本发明提供了一种基于角色的访问控制模型构建系统,该系统包括数据库、权重???、角色???、约束???、结果显示???、用户权限分配管理??楹蜕蠹乒芾砟??;其中权重??榘ㄏ嗨贫饶?楹腿ㄖ丶扑隳??,角色??榘ń巧赡?楹徒巧愦紊赡??,约束??榘ń巧际??、权限约束???、用户约束??楹突コ庠际??,结果显示??榘ń巧允灸??、约束显示??楹徒峁髡??。本发明对用户权限的重要程度进行了度量、对基于角色的访问控制模型的约束进行了生成,从而提高了角色的准确性和系统的安全性。本发明系统可以实现基于角色的访问控制模型的构建,保证了构建基于角色的访问控制模型的自动化和半自动化构建。本发明系统具有安全性强、可解释性强、可扩展性强的特点。

    权利要求书

    1.一种基于角色的访问控制模型构建系统,其特征在于,该系统包括数据库(100)、权重???200)、角色???300)、约束???400)、结果显示???500)、用户权限分配管理???600)和审计管理???700);数据库(100)用于存储用户角色间分配关系信息、用户权限间分配关系信息以及生成的约束信息和审计信息;权重???200)用于接收来自数据库(100)中的信息,并依据用户权限间分配关系信息获取用户之间的相似度和权限之间的相似度信息,并通过权重计算??榛袢∷腥ㄏ薜娜ㄖ匦畔?,最后将所有权限的权重信息提交给角色???300)进行处理;角色???300)用于接收权重???200)提供的所有权限的权重信息,并利用数据库(100)中的用户权限间的分配关系信息进行频繁权限项集挖掘,获得系统所需的角色信息,并通过角色层次生成??橥瓿啥越巧牟愦位?,同时将获得到的角色信息提交给约束???400)进行约束处理,并将系统角色信息以及角色层次信息提交给结果显示???500)处理;约束???400)接收来自数据库(100)中的用户权限间的分配关系信息,利用数据挖掘的方法获得权限与权限间的互斥约束信息,同时通过与角色???300)的信息交互,获得角色的势约束、权限的势约束、用户的势约束以及角色与角色间的互斥约束信息,并将所有的约束信息交给结果显示???500)处理;结果显示???500)用于接收来自角色???300)和约束???400)所传送过来的角色、角色层次以及约束信息,根据角色层次信息利用图的方式显示出基于角色的访问控制模型的结构图,并将获得的约束信息进行显示,同时利用系统输入的信息对生成的基于角色的访问控制模型进行调整,并将最终获得的角色信息、角色层次信息以及约束信息存储于数据库(100)中;用户权限分配管理???600用于接收来自管理员的操作请求,对用户权限分配关系信息进行相应的管理,并与数据库(100)进行交互,分别实现显示用户权限分配关系信息,添加用户权限分配关系信息,删除用户权限分配关系信息和修改用户权限分配关系信息,并将管理员的操作记入数据库(100)中;审计管理???700)接收来自管理员的查询信息,通过与数据库(100)的信息交互,对管理员的操作进行查询,获得满足查询条件的所有记录。2.根据权利要求1所述的基于角色的访问控制模型构建系统,其特征在于,数据库(100)包括约束信息库(110)、用户权限分配关系信息库(120)、审计信息库(130)和用户角色分配关系信息库(140);数据库(100)接收来自审计管理???700)的查询请求,在审计信息库(130)中查询匹配,反馈信息到审计管理???700);数据库(100)接受来自用户权限分配管理???600)的查询、添加、修改、删除用户权限分配关系信息的请求操作,在用户权限分配关系信息库(120)中进行相应的操作,反馈信息给用户权限分配管理???600),最后将用户权限分配管理???600)对用户权限分配关系信息库(120)的操作信息记录到审计信息库(130),以备审计管理管理???700)进行审计,同时反馈信息给用户权限分配管理???600);数据库(100)接收来自结果显示???500)的信息,将系统生成的角色信息记载到用户角色分配关系信息库(140)中,将系统生成的约束信息记录到约束信息库(110)中;数据库(100)为权重???200)提供计算权限权重所需要的用户权限分配关系信息库(120);数据库(100)为角色???300)提供生成系统角色所需要的用户权限分配关系信息库(120);数据库(100)为约束???400)提供生成系统约束所需要的用户权限分配关系信息库(120)。3.根据权利要求1所述的基于角色的访问控制模型构建系统,其特征在于,权重???200)包括相似度???210)和权重计算???220)相似度???210)用于从数据库(100)的用户权限分配关系信息库(120)中获取用户权限间的分配关系信息,进而获取用户与用户间通过权限表示的相似度信息,以及权限与权限之间通过用户表示的相似度信息;权重计算???220)通过用户权限间的分配关系,获取通过用户与用户间的相似度、权限与权限之间的相似度表示的权重信息。4.根据权利要求1所述的基于角色的访问控制模型构建系统,其特征在于,角色???300)包括角色生成???310)和角色层次生成???320);角色生成???310)用于接受权重???200)所提供的所有权限的权重信息,并利用数据库(100)中的用户权限间的分配关系信息进行基于权重的频繁权限项集挖掘操作,从中获取大于系统预设最小支持度的频繁权限集,并将这些频繁项集定义为系统所需要的角色;角色层次生成???320)从角色生成???310)中获取系统生成的角色信息,并对这些角色信息进行对比,从而获取角色信息的偏序关系,进而获得角色间的层次关系。5.根据权利要求(1)所述的基于角色的访问控制模型构建系统,其特征在于,约束???400)包括角色约束???410)、权限约束???420)、用户约束???430)和互斥约束???440);角色约束???410)通过与角色???300)的信息交互,获取角色的势约束;权限约束???420)通过与角色???300)的信息交互,获取权限的势约束;用户约束???430)通过与角色???300)的信息交互,获得用户的势约束;互斥约束???440)收来自数据库(100)中的用户权限间的分配关系信息,获得权限与权限之间的互斥约束,通过与角色???300)的信息交互,获得角色与角色之间的互斥约束。6.根据权利要求1所述的基于角色的访问控制模型构建系统,其特征在于,结果显示???500)包括角色显示???510)、约束显示???520)和结果调整???530);角色显示???510)接收来自角色???300)所生成的系统角色和角色层次关系,对系统生成的角色、角色层次以及角色与权限之间的对应关系进行显示;约束显示???520)用于接收从约束???400)获取到的角色与角色之间的互斥约束、角色的势约束、权限的势约束、用户的势约束以及权限与权限之间的互斥约束并进行显示;结果调整???530)获取系统输入的信息对角色显示???510)以及约束显示???520)显示的结果进行调整,并将最终调整后的结果存储于数据库(100)中。

    说明书

    基于角色的访问控制模型构建系统

    技术领域

    本发明属于计算机安全技术领域,具体涉及一种基于角色的访问控制模型构建系统。该系统能够利用用户和权限之间的分配关系,自动地或半自动地构建出满足一定要求的基于角色的访问控制模型。

    背景技术

    随着通信、计算机及信息技术的发展,在党政机关、企事业单位、财政金融、国防军工等相关部门中,信息的保有量和交流量都达到了前所未有的数量级,如何保证这些信息和资源的安全已成为迫切的需求。与此同时,越来越多的商业组织和机构都在利用基于角色的访问控制模型来构建适合本部门需要的安全产品,并利用基于角色的访问控制机制实施对本部门信息资源的安全管理,但是如何去合理的构建适合本部门安全和功能需求的基于角色的访问控制模型,已成为一个急待解决的研究课题。

    传统的基于角色的访问控制模型构建流程包含以下步骤:

    (1)领域专家通过分析系统业务逻辑从而获取系统所需全部场景或用例;

    (2)获取每个场景或用例所对应的权限,将其表示为“操作,对象”的形式并用一个唯一的名称来进行标记,如Perm_1={operation,object};

    (3)获取系统所需约束;

    (4)利用系统约束对系统所有场景或用例进行提炼,从而获得满足系统特定约束的场景和用例以及表示这些场景和用例之间的关系;

    (5)定义所有用户或自动代理所需要执行的任务集合,其中每一个任务有一个或多个场景或用例构成,这些场景或用例连续或并行执行以确保某个目标或某项任务的实现;

    (6)通过分析用户、用户对应的任务、任务对应的场景、场景对应的权限,以及系统所指定的约束,从而生成能够反映系统需求的角色以及角色之间的层次关系,并基于此构建一个完整的基于角色的访问控制模型。

    首先,传统的基于角色的访问控制模型构建方法将用户所拥有的权限看成是同等重要的,缺乏衡量权限重要程度的标准,从而造成一些重要的角色无法发现或丢失。然而事实并非如此,比如在医院信息管理系统中,“读”病人信息这一权限的重要性要高于“写”病人信息这一权限的重要性,因为“读”病人信息这一权限相对于“写”病人信息这一权限会造成更多的用户私人信息的泄漏;其次,传统的基于角色的访问控制模型构建方法缺乏约束生成机制。而约束机制是基于角色的访问控制模型中必不可少的一部分,也是基于角色的访问控制机制得到合理实施和被保证的前提条件,如互斥约束、职责分离约束以及基于势的约束等,如果一个基于角色的访问控制系统缺乏必要的约束机制,那么此基于角色的访问控制模型将没有办法实施系统所指定的一系列的安全需求,同时也不可能保证系统中资源能够得到安全有效的被访问;此外约束也是在分布式或者大型企业中管理人员下放企业安全策略的一个强有力的手段,它允许安全系统主策略管理人员制定一系列的强制需要来保证将管理权限下方时系统的安全性和完整性,从而保证下放后的局部管理人员能够按照主管理人员所指定的规则进行管理和安全策略的指定;最后,利用自顶向下的方法所获得的基于角色的访问控制模型虽然能较好的反映系统的功能需求,但却耗时耗力,需要大量的领域知识和领域专家的参与;而利用自底向上的方式能够较好的实现自动化或半自动化构建基于角色的访问控制模型,节省了大量的人力和物力,然而该方法生成的系统角色缺乏语义信息,从而不能很好的反应系统的功能需求,如何将自顶向下的方法和自底向上的方式融合起来,使得用户和权限之间分配关系等信息被包含在自动化或半自动化构建的基于角色的访问控制模型中,以保证更快更好地反映系统安全和功能需求也将是一个艰巨的工作。

    发明内容

    本发明的目的在于提供一种基于角色的访问控制模型构建系统,该系统可以实现非基于角色的访问控制模型向基于角色的访问控制模型自动转化的需求,保证了系统的功能性和安全性的需求得到实施,从而保证了系统资源的安全访问。

    本发明提供了一种基于角色的访问控制模型构建系统,其特征在于,该系统包括数据库、权重???、角色???、约束???、结果显示???、用户权限分配管理??楹蜕蠹乒芾砟??;

    数据库用于存储用户角色间分配关系信息、用户权限间分配关系信息以及生成的约束信息和审计信息;

    权重??橛糜诮邮绽醋允菘庵械男畔?,并依据用户权限间分配关系信息获取用户之间的相似度和权限之间的相似度信息,从而得到所有权限的权重信息,并将所有权限的权重信息提交给角色??榻写?;

    角色??橛糜诮邮杖ㄖ啬?樘峁┑乃腥ㄏ薜娜ㄖ匦畔?,并利用数据库中的用户权限间的分配关系信息进行频繁权限项集挖掘,获得系统所需的角色信息,并通过角色层次生成??橥瓿啥越巧牟愦位?,同时将获得到的角色信息提交给约束??榻性际?,并将系统角色信息以及角色层次信息提交给结果显示??榇?;

    约束??榻邮绽醋允菘庵械挠没ㄏ藜涞姆峙涔叵敌畔?,利用数据挖掘的方法获得权限与权限间的互斥约束信息,同时通过与角色??榈男畔⒔换?,获得角色的势约束、权限的势约束、用户的势约束以及角色与角色间的互斥约束信息,并将所有的约束信息交给结果显示??榇?;

    结果显示??橛糜诮邮绽醋越巧?楹驮际?樗凸吹慕巧?、角色层次以及约束信息,根据角色层次信息利用图的方式显示出基于角色的访问控制模型的结构图,并将获得的约束信息进行显示,同时利用系统输入的信息对生成的基于角色的访问控制模型进行调整,并将最终获得的角色信息、角色层次信息以及约束信息存储于数据库中;

    用户权限分配管理??橛糜诮邮绽醋怨芾碓钡牟僮髑肭?,对用户和权限之间的分配关系信息进行相应的管理,并与数据库进行交互,分别实现显示用户权限分配信息,添加用户权限分配信息,删除用户权限分配信息和修改用户权限分配信息,并将管理员的操作记入数据库中;

    审计管理??榻邮绽醋怨芾碓钡牟檠畔?,通过与数据库的信息交互,对管理员的操作进行查询,获得满足查询条件的所有记录。

    本发明利用用户权限间分配关系信息,生成权限的权重信息,并基于权限的权重信息进行角色挖掘与约束生成,实现自动构建基于角色的访问控制模型。具体而言,本发明具有如下优点:

    (1)安全性强:本系统的安全性主要是通过权限的权重、系统约束及审计来达到的。在本系统中,通过用户权限间的分配信息以及用户角色间的分配信息来获取不同的约束,而这些约束则是基于角色的访问控制模型中必不可少的一部分,也是基于角色的访问控制机制得到合理实施和被保证的前提条件,进而保证系统信息的安全和访问控制机制得到合理实施。在生成角色的过程中,充分考虑了不同权限的权重信息对用户角色的影响,从而保证了那些重要的角色不会因为出现频率较少而被丢失情况的出现,这样也进一步保证了系统的安全性。审计部分记录了所有管理员的一些关键性的操作,便于追溯,又进一步的保证了系统的安全性。

    (2)可解释性强:本系统的开发是基于用户权限间分配关系信息来提取适合系统需要的角色和约束,在获取系统所需角色的时候,不仅考虑了用户权限间的分配关系,同时也考虑了权限的权重信息对角色的影响,这样在很大程度上使得生成的角色能够更好的反应系统的功能性需求,从而使得产生的角色的可解释性更强。

    (3)可扩展性强:本系统的开发是基于角色挖掘的方法,通过用户权限间的分配信息来生成系统所需角色和约束的过程,系统能够适应用户、权限以及用户权限间分配关系的动态调整,因此可扩展性强。

    附图说明

    图1是本发明系统的体系结构图;

    图2是本发明系统的结构示意图;

    图3是权重??榈墓掏?;

    图4是角色??榈墓掏?;

    图5是约束??榈墓掏?;

    图6是角色层次显示示意图;

    图7是约束显示示意图;

    图8是结果显示??榈墓掏?。

    具体实施方式

    下面结合附图和实例对本发明作进一步详细的说明。

    如图1所示,本发明系统的功能可以划分为:权重生成、角色生成、约束生成、结果显示和后台管理,该系统包括数据库100、权重???00、角色???00、约束???00、结果显示???00、用户权限分配管理???00和审计管理???00。

    数据库100用于存储用户角色间分配关系信息、用户权限间分配关系信息以及生成的约束信息,它包括约束信息库、用户权限分配关系信息库、审计信息库和用户角色分配关系信息库;

    权重???00用于接收来自数据库100中的信息,并基于Jacard相关系数依据用户权限间分配关系信息获取用户之间的相似度和权限之间的相似度信息,并通过权重计算??榛袢∷腥ㄏ薜娜ㄖ匦畔?。并将所有权限的权重信息提交给角色???00进行处理;

    角色???00用于接收权重???00提供的所有权限的权重信息,并利用数据库100中的用户权限间的分配关系信息进行频繁权限项集挖掘,获得系统所需的角色信息,并通过角色层次生成??橥瓿啥越巧牟愦位?,同时将获得到的角色信息提交给约束???00进行约束处理,并将系统角色信息以及角色层次信息提交给结果显示???00处理;

    约束???00接收来自数据库100中的用户权限间的分配关系信息,利用数据挖掘的方法获得权限与权限间的互斥约束信息,同时通过与角色???00的信息交互,获得角色的势约束、权限的势约束、用户的势约束以及角色与角色间的互斥约束信息,并将所有的约束信息交给结果显示???00处理;

    结果显示???00用于接收来自角色???00和约束???00所传送过来的角色、角色层次以及约束信息,根据角色层次信息利用图的方式显示出基于角色的访问控制模型的结构图,并将获得的约束信息进行显示,同时利用系统输入的信息对生成的基于角色的访问控制模型进行调整,并将最终获得的角色信息、角色层次信息以及约束信息存储于数据库100中;

    用户权限分配管理???00用于接收来自管理员的操作请求,对用户和权限之间的分配关系信息进行相应的管理,并与数据库100进行交互,分别实现显示用户权限分配信息,添加用户权限分配信息,删除用户权限分配信息和修改用户权限分配信息,并将管理员的操作记入数据库100中;

    审计管理???00接收来自管理员的查询信息,通过与数据库100的信息交互,利用管理员提交的用户名和时间范围等对管理员的操作进行查询,获得满足查询条件的所有记录。这些记录主要涉及用户和权限之间分配关系信息的添加、删除、修改的操作记录。

    下面分别对各??樽鹘徊较晗傅乃得?。

    如图2所示,数据库100存储的数据包括:约束信息库110、用户权限分配关系信息库120、、审计信息库130和用户角色分配关系信息库140。数据库100接收来自审计管理???00的查询请求,在审计信息库130中查询匹配,反馈信息到审计管理???00;数据库100接受来自用户权限分配管理???00的查询、添加、修改、删除用户权限分配信息的请求操作,在用户权限分配关系信息库120中进行相应的操作,反馈信息给用户权限分配管理???00,最后将用户权限管理???00对用户权限分配关系信息库120的操作信息记录到审计信息库130,以备审计管理管理???00进行审计,同时反馈信息给用户权限分配管理???00;数据库100接收来自结果显示???00的信息,将系统生成的角色信息记载到用户角色分配关系信息库140中,将系统生成的约束信息记录到约束信息库110中;数据库100为权重???00提供计算权限权重所需要的用户权限分配关系信息库120;数据库100为角色???00提供生成系统角色所需要的用户权限分配关系信息库120;数据库100为约束???00提供生成系统约束所需要的用户权限分配关系信息库120。

    权重???00是整个系统的基础,它包括相似度???10和权重计算???20。

    相似度???10用于从数据库100的户权限分配关系信息库120中获取用户权限间的分配关系信息,进而获取用户与用户间通过权限表示的相似度信息以及权限与权限之间通过用户表示的相似度信息,如下所示:

    sim(ui,uj)=|UserPerms(ui)UserPerms(uj)||UserPerms(ui)UserPerms(uj)|]]>

    sim(pi,pj)=|PermUsers(pi)PermUsers(pj)||PermUsers(pi)PermUsers(pj)|]]>

    其中,ui,uj分别代表系统中的第i个用户和第j个用户,UserPerms(ui)代表用户ui所拥有的权限集合,UserPerms(uj)代表用户uj所拥有的权限集合;pi,pj分别代表系统的第i个权限和第j个权限,PermUsers(pi)代表拥有权限pi的所有用户集合,PermUsers(pj)代笔拥有权限pj的所有用户集合。

    权重计算???20获取相似度计算??榈玫降挠没Ш陀没е涞南嗨贫刃畔⑷缦滤荆?/p>

    权重计算???20获取相似度计算??榈玫降娜ㄏ抻肴ㄏ拗涞南嗨贫刃畔⑷缦滤荆?/p>

    则依据上述得到的用户和用户、权限与权限之间的相似度信息可以得到权限的权重计算方式为:

    ωpi=(Σj=1,jinsim(pi,pj)(n-1)+Σl=1|PermUsers(pi)|Σk=1,klmsim(ul,uk)|PermUsers(pi)|×(m-1))/2]]>

    如图3所示,权重???00负责:(1)获取用户权限分配关系信息库120中的每个用户的权限组表示方式,并基于Jacrad系数计算用户和用户之间的相似度;(2)获取用户权限分配关系信息库120中的每个权限的用户组表示方式,并基于Jacrad系数计算权限和权限之间的相似度;(3)通过用户与权限之间的相似度信息获取权限的权重信息,并提交给角色???00。

    角色???00是本系统提供角色和角色层次生成的???,它包括角色生成???10和角色层次生成???20。

    角色生成???10用于接受权重???00所提供的所有权限的权重信息,并利用数据库100中的用户权限间的分配关系信息进行基于权重的频繁权限项集挖掘操作,从中获取大于系统预设最小支持度的频繁权限集,并将这些频繁项集定义为系统所需要的角色。

    角色层次生成???20从角色生成???10中获取系统生成的角色信息,并对这些角色信息进行对比,从而获取角色信息的偏序关系,进而获得角色间的层次关系。

    如图4所示,角色生成???10的处理流程为:(1)获取用户权限分配关系信息库120中用户和权限的分配信息;(2)获取权重???00计算的权限的权重信息;(3)计算单个权限基于权重的支持度;(4)判断单个权限基于权重的支持度是否大于系统预设的最小支持度,如果大于系统预设的最小支持度,则将满足条件的权限、权限对应的权重以及权限对应的用户信息保存到该权限对应的频繁项集中;如果单个权限基于权重的支持度不大于系统预设的最小支持度,则转向(5)执行;(5)判断系统的所有权限的基于权重的支持度是否计算完毕,如果没有计算完毕则转(3)继续执行,如果执行完毕则转向(6)执行;(6)依据满足系统预设最小支持度的频繁权限项集计算满足系统预设最小支持度的包含多个权限的频繁项集;(7)判断包含最大权限数目的基于权重的权限频繁项集是否计算完毕,如果没有计算完毕则转(6)继续执行;(7)将获得到的全部频繁权限项集定义为系统所需要的角色;(8)通过角色之间的偏序关系生成角色的层次结构并将生成的角色信息提交给约束???00进行约束处理,并将系统角色信息以及角色层次信息提交给结果显示???00处理。

    约束???00是本系统提供约束生成的???,它包括角色约束???10、权限约束???20、用户约束???30和互斥约束???40。

    角色约束???10通过与角色???00的信息交互,获取角色的势约束(一个用户可以拥有的最大角色数目,用max(uir)表示用户ui可以拥有的最大角色数目。

    权限约束???20通过与角色???00的信息交互,获取权限的势约束(即一个权限可以属于的角色的最大数目,用max(pir)表示权限pi可以属于的最大角色数目)。

    用户约束???30通过与角色???00的信息交互,获得用户的势约束(即一个角色可以拥有的最大用户数目,用max(riu)表示角色ri可以拥有的最大用户数目)。

    互斥约束???40接收来自数据库100中的用户权限间的分配关系信息,获得权限与权限之间的互斥约束(即互斥的权限不能分配到同一个角色中)。通过与角色???00的信息交互,获得角色与角色之间的互斥约束(同一个用户不能同时拥有这些互斥的角色)。

    如图5所示,互斥约束???40的处理流程为:(1)接收来自用户权限分配关系信息库120中的用户和权限的分配信息;(2)从用户权限分配关系信息库120中获取支持度大于系统预设最小支持度的频繁权限项集F;(3)将用户权限分配关系信息库中的用户和权限之间的分配信息按位取反;(4)获取按位取反后支持度大于系统预设最小支持度的频繁权限项集E;(5)遍历频繁权限项集F、E中的频繁项集,判断该规则的置信度是否大于系统预设的最小置信度,如果大于系统预设的最小置信度,则保存该约束fp→ep(fp∈F,ep∈E),否则继续遍历频繁权限项集F、E直到频繁项集F、E中的频繁权限被遍历完毕;(6)遍历频繁权限项集E、F中的频繁项集,判断该规则的置信度是否大于系统预设的最小置信度,如果大于系统预设的最小置信度,则保存该约束ep→fp(ep∈E,fp∈F),否则继续遍历频繁权限项集E、F直到频繁权限项集E、F中的频繁权限被遍历完毕;(7)遍历频繁权限项集E中的任意两个频繁项集,判断由这两个频繁权限项集构成的规则的置信度是否大于系统预设的最小置信度,如果大于系统预设的最小置信度,则保存该约束ep→e′p(ep∈E,e′p∈E,ep≠e′p),否则继续遍历频繁权限项集E直到频繁项集E中的频繁权限被遍历完毕;(8)将获得的权限与权限之间的互斥约束提交给结果显示???00。而要生成角色与角色之间的互斥约束则可利用同样的算法对角色生成??樗竦玫挠没Ш徒巧涞姆峙湫畔⒔写?,并将角色与角色之间的互斥约束提交给结果显示???00.

    结果显示???00是本系统提供结果显示与调整的???,它包括角色显示???10、约束显示???20和结果调整???30。

    角色显示???10接收来自角色???00所生成的系统角色和角色层次关系,对系统生成的角色、角色层次以及角色与权限之间的对应关系进行显示。

    图6即为角色显示???10显示的角色、角色层次以及角色与权限之间的对应关系。图中圆代表本系统生成的角色r1,r2,r3,r4,r5,r6,r7,矩形代表本系统的权限p1,p2,p3,p4,p5,p6,p7,角色与角色之间用实线进行连接,代表角色的层次关系,也代表权限与用户间的继承关系,比如角色r1与角色r3之间的连接线表示角色r1大于角色r2,角色r1继承了角色r2所拥有的权限,角色r2继承了角色r1的用户,没有通过实线连接的角色之间则不能判断角色的偏序关系;角色和权限之间通过虚线进行连接,代表角色所拥有的权限,比如角色r7拥有的权限为p3,p4,和p5,角色r1拥有的权限继承了角色r2和r3所拥有的权限,角色r2的权限继承了r4和r5所拥有的权限,同时拥有角色r4和r5所不拥有的权限p1,角色r4所拥有的权限为p1,p2,角色r5所拥有的权限为p2,p3,角色r3除拥有自身权限p7外,还继承了角色r6和r7的权限,角色r6的权限为自身拥有的权限加上继承角色r7的权限p3,p4,p5,故角色r1拥有的权限为p1,p2,p3,p4,p5,p6,p7,即系统中所有的权限,同时也说明了角色r1在系统中的重要性。

    约束显示???20用于接收从约束???00获取到的角色与角色之间的互斥约束、角色的势约束、权限的势约束、用户的势约束以及权限与权限之间的互斥约束并进行显示。其中角色ri与角色rj之间的互斥约束表示为权限pi与权限pj之间的互斥约束表示为其他的约束可以通过图7进行表示。

    结果调整???30获取系统输入的信息对角色显示???10以及约束显示???20显示的结果进行调整,并将最终调整后的结果存储于数据库100中。

    如图8所示,结果显示???00的处理流程为:(1)接收角色???00的角色以及角色层次信息;(2)接受约束???00的约束信息;(3)依据获得到的信息显示基于角色的访问控制模型及对应的约束关系;(4)判断该基于角色的访问控制模型以及对应的约束关系是否需要调整,如果需要调整则依据输入信息对此访问控制模型及对应的约束关系进行调整并转步骤(3)执行,如果不需要调整则将该基于角色的访问控制模型以及约束关系存储于数据库100中。

    用户权限分配管理???00是管理员管理用户权限分配信息时使用的???。用户权限分配管理???00的处理流程为:(1)管理员查看用户权限分配关系信息,用户权限分配管理???00根据管理员指令读取数据库100中的用户权限分配关系信息库120,并显示所有的用户权限分配关系信息;(2)管理员填写待添加的新用户权限分配关系信息,用户权限分配管理???00首先判断数据库100中的用户权限分配关系信息库120中该用户权限分配关系信息是否已经存在,若该用户权限分配关系信息已经存在,返回错误提示,否则添加记录到用户权限分配关系信息库120,并将添加用户权限分配关系成功的记录加入数据库的审计信息库130中;(3)管理员删除用户权限分配关系信息,用户权限分配管理???00根据管理员指令删除数据库100中用户权限分配关系信息库120的相关信息,并将删除用户权限分配关系成功的记录加入数据库的审计信息库130中;(4)管理员修改用户权限分配关系信息,用户权限分配管理???00根据管理员指令修改数据库100中用户权限分配关系信息库120的相应信息,并将修改用户权限分配关系成功的记录加入数据库的审计信息库130中。

    审计管理???00主要是对管理员的所有操作提供查询功能,可以通过用户名和时间范围来对管理员的操作进行查询。这些记录主要涉及用户权限分配关系信息的添加、删除、修改的操作记录。

    本发明不仅局限于上述具体实施方式,本领域一般技术人员根据本发明公开的内容,可以采用其它多种具体实施方式实施本发明,因此,凡是采用本发明的设计结构和思路,做一些简单的变化或更改的设计,都落入本发明?;さ姆段?。

    关于本文
    本文标题:基于角色的访问控制模型构建系统.pdf
    链接地址://www.4mum.com.cn/p-5867904.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
  • 杰克棋牌手机版网址 新加坡快乐8开奖记 辛运28每个数字的概率是多少 l辽宁11选5开奖号码 浙江十一选五开奖号 325经典版游戏棋牌 时时彩开奖结果 北京pk10赛车开结果 865棋牌官方版安卓版下载 七位数体彩号码预测 内蒙古十一选五当天开奖结果 360棋牌官方下载 重庆时时彩历史查询开奖期数 陕西11选5走势图下载安装 澳洲幸运10计算公式 体育彩票中奖号码