数学执车与率用
基于组的细粒度访问控制模型
龙启文
(宜春职业技术学院江西宜春336000)
应用研究
摘要：本文对传统访问控制模型进行分析,根据传统访问控制技术难以速应日前信息管理系统用户数量多，数据量大,更新频率快的需求,提出了基于组的细粒度访问控制模型。该模型辑弃了传统的“角色是权限的集合"的思想,引入“组"概念，实现数据与用户之间的多对多权限分配。同时由于可能存在特殊需要,引入“期粒度”,使得一费一对一权限分配得以相应的延续。该模型能有效地实现权限的分配和炸护工作。
关键词：访问控制组辆粒度权限中图分类号：TP393.08
文献标识码：A
文章编号:1007-9416(2014)09-0099-02
访问控制是信息管理系统的核心安全技术，它通过技术手段许可或限制用户执行某些操作或访问某些资源，实现对数据的有效安全保护。它能够阻止未经授权的用户访问系统或许可授权的用户访问授权的信息，从而保证信息资源合法地，安全地使用。访问控制一
直是信息安全领域探讨的一个热点。 1传统访问控制模型
1.1自主访问控制(DAC)
它是指有访问权限的主体能够直接或间接地向其他主体转让访问权，基本思想：自主访间控制的主体可以按自已的意愿决定哪些用户可以访间资源，即主体有自主决定权，一个主体可以有选择地与其他主体共享他的资源。它是基于访间控制矩阵的访问控制表(ACL)，矩阵的行对应系统的主体，列对应系统的客体，元素表示主体对客体的访问权限，
1.2强制访问控制(MAC)
它是一种基于目标信息的敏感度(例如安全标签)和用户对访问信息的正式授权来对目标进行限制的方法，它由授权机构为主体和客体分别定义固定的访问属性安全标签)，且这些访问权限用户不能自行修改，主体必须在系统授权指定的策略规则约束下对系统资源进行访间。
1.3基于角色的访问控制(RBAC)
它根据用户在组织内所处的角色进行访问授权与控制。用户在系统中的权限，由该用户被赋予给定角色的权限来确定。在RBAC 中，有四个基本实体，角色R(Role)、用户U(User),许可P(Permission) 会话S(Session),引入了角色这一重要概念是RBAC最大的特点。 2传统访问控制模型缺陷
(1)自主访问控制(DAC)：控制强度太弱。访间权可以被系统用户进行传递。访问权被传递出去将难以控制，管理非常困难，系统安全度得不到保证，此外，DAC不保护受保护的客体产生的副本，即会出现一个用户不能访问某一客体，但是却可以访问它的拷贝，这就造成数据泄露，严重降低了数据的机密性。
(2)强制访问控制(MAC)：缺乏灵活性，实现工作量大。它仅有难一的管理员，无法实行分布式分层管理，权限关系复杂，不易实现。
(3)基于角色的访问控制(RBAC)：系统管理员除了维护用户和角色的管理关系，还需将庞大的信息资源访间权限赋予每个角色，工作量大。
3基于组的细粒度访问控制模型设计
3.1设计思想
它是将系统的访间权限直接与用户相关联，采取一对一、一对 006010
多、多对一及多对多等访间控制关联。主要通过"组"来实现。在基于
3.2访间权限的分配
3.2.1基于组的权限分配
它有两个组，一个是用户组，另一个是数据组。用户组是一组具有相同功能的用户集合。在信息管理系统中，数据的访问权限与部门有直接关系。比如，采购部对采购方面的数据享有相应的权限，采购部就可以组成一个用户组，包括采购部的所有用户。采购数据就是数据组。因此，如需增加采购部的用户，只需在该用户组中添加用户即可，无需重新添加用户与数据间的访问关系。同理，如果数据组中增加，更新数据，无需再进行权限的分配。这就大大减轻了因数据的增加，更新、添加等带来的重新分配、设定角色权限的繁重工作量，也节省了访问控制表所占的空间。
基于组的模型描述如下：如果某个用户U对某个数据D具有的权限记为P(U,D),则有如下关系:P(U,D)=PuD(Us,Ds)
从组关系映射中得到用户U对数据D拥有的访问权限。其中，U
为某个用户，D为某个数据，P为在用户和数据都确定的情况下得到的访问权限，Us为用户组，即一组对某些数据具有相同访问权限的用户集，Ds为数据组，即对某些用户访问权限相同的一组数据。
3.2.2基于组的细粒度权限分配
尽管基于组的访间权限分配省去了大量的权限分配工作，但是，在实际应用中，某一组用户的访问权限不完全相同。“细粒度“就是为了解决相似度极高的一组数据或一组用户中的特殊情况。例如，对于采购的历史数据汇总只有采购经理才有权限访间，而在设置用户组和数据组时，用户组包括采购部所有成员，数据也是所有采购的相关数据，除了采购的历史数据汇总的访问权限外，所有的权限都实行严格的基于组的权限分配，将该特殊情况再进行单独设置，把该数据的访问权限赋给采购经理，而不是整个采购部门的所有用户，
这样，在基于组的权限分配模型中，“细粒度"的引人使得更多一对一的关联可变成多对多的关联，最大限度地利用"组"减少权限分配工作。
基于组的细粒度权限分配过程：首先，依据所在组之间的相互关联分配访问权限。其次，针对其中的特殊项再单独设置或者更改相应关联权限。
基于组的细粒度访问模型的描述如下：如果某个用户U对某个数据D具有的权限记为P(U，D)，则有如下关系：
P(U , D)= Pu (Us, Ds) U Pup(U,Ds)UPup(Us, D)
从各个组关系映射集合中得到用户U对数据D拥有的访问权
限，其中：Pu(U,Ds)表示的是用户U对于文档组Ds的操作权限，
作者简介：龙启文(1973一),男，江西万载人,讲师，项士，研究方向：多媒体与网络教育
66