技術領域

本發明關于一種訪問控制技術，特別是涉及一種基于角色的訪問控制系統及方法。

背景技術

訪問控制技術主要是驗證用戶訪問的合法性。它的主要功能是對系統資源的使用權限進行控制，比如控制合法用戶訪問哪些密級的信息和進行哪些操作等。它對限制用戶訪問關鍵資源，防止非法用戶入侵，或合法用戶的不慎操作所造成的破環有著舉足輕重的作用。

基于角色的訪問控制技術是目前比較成熟的訪問控制模型，它的主要思想是將訪問權限與角色相聯系，通過給用戶分配合適的角色，讓用戶與訪問權限相聯系。圖1為一種典型的RBAC模型示意圖。對該模型定義如下：

對該模型定義如下：

U：用戶，R角色，P：權限，S：會話

權限分配，多對多的關系；

用戶分配，多對多關系；

User：S-＞U，每一個會話s對應單一用戶user(s)的映射；

Roles：會話s到角色集合role(s)⊆{r|(user(s),r)∈PA}]]>

易見：該模型由三個實體組成，分別是：用戶(U)、角色(R)、權限(P)。其中用戶指自然人；角色就是組織內部一件工作的功能或工作的頭銜，表示該角色成員所授予的職責的許可，系統中擁有權限的用戶可以執行相應的操作。用戶與角色之間以及角色與權限之間用雙雙箭頭相連表示用戶角色分配UA和角色權限分配PA關系都是多對多的關系，即一個用戶可以擁有多個角色，一個角色也可被多個用戶所擁有。同樣的，一個角色擁有多個權限，一個權限能被多個角色所擁有。用戶建立會話從而對資源進行存取，每個會話S將一個用戶與他所對應的角色集中的一部分建立映射關系，這個角色會話子集稱為會話激活的角色集。于是，在這次會話中，用戶可以執行的操作就是該會話激活的角色集對應的權限所允許的操作。

然而，上述的RBAC模型卻存在如下缺點：1、一般應用于操作系統、數據庫系統比較多，而應用在具體的應用系統的情況比較少；2、沒有考慮角色互斥的問題。如兩個角色具有不同的職責，不能讓一個用戶同時擁有，財務部門的出納和會計就是角色互斥的簡單例子；3、沒有考慮角色基數的限制，如總經理只能由一個人擔任，那么總經理角色的角色基數就是1；4、沒有考慮用戶角色的繼承。例如查詢等權限可能是企業中每個員工都應具有的權限，如果不引入角色之間的繼承關系，那么只能把這些權限都授予給企業中大量的角色，或者把這樣的通用角色都授予給企業中大量的用戶，但是如果引入角色之間的繼承關系那么我們就創建一個較低層次的角色(例如員工角色)，把通用權限授予給員工角色，而讓別的角色繼承員工角色來獲得通用權限。這樣可以更好地模擬企業的組織結構并且便于權限的管理，當安全管理員認為某一個權限不再適合于授予給整個企業的員工，那么他只需要從員工角色中回收該權限即可，而不用從企業中的每個角色中去回收該權限。

發明內容

為克服上述現有技術存在的不足，本發明之一目的在于提供一種基于角色的訪問控制系統及方法，其通過引入角色繼承機制，大大減少了賦予權限的工作量，也更加貼近真實的組織機構的管理模式。

本發明之另一目的在于通過引入角色互斥機制，避免了權限劃分的混亂；同時，通過引入角色基數的機制，使得權限管理更加貼近實際的組織機構管理模式。

為達上述及其它目的，本發明提出一種基于角色的訪問控制系統，至少包括：

請求發起者，向訪問控制執行機構發起訪問目標資源的訪問請求；

訪問控制執行機構，接受該訪問請求，并將該訪問請求傳遞給訪問控制決策機構，根據該訪問控制決策機構的決策結果將該訪問請求傳遞給目標資源以便訪問；