基于RBAC模型的细粒度权限访问控制研究摘要：随着企业组织规模的不断扩大，信息化程度的不断提高，访问控制模块就成了企业信息系统的一个重要组成部分。本文通过对访问控制理论的研究针对其不足并结合现代企业信息管理系统的特点，提出了一种基于自治域的RBAC访问控制模型AD.RBAC,在此基础上设计开发了一个通用的细粒度访问控制框架FGACF,对FGACF框架设想实现的访问控制粒度进行了定义；充分利用自定义标签技术和AOP技术的优点，加速系统的实现、测试、维护和升级。关键词：RBAC；访问控制；自治域；组中图分类号：TP311.521研究背景企业信息化的发展需要尽可能的共享资源，这就不可避免的会出现关键数据被非法破坏和窃取的情况。RBAC访问控制技术比较灵活同时易于扩展，有效的克服了传统访问控制技术存在的问题。如能进一步改善现有的角色访问控制模型，提出一种细粒度的访问控制框架，对企业信息资源进行分散管理，减轻系统管理人员的工作负担，提高企业信息资源的安全性具有重要的研究价值。2基于RBAC模型的自治域访问控制模型在基于角色权限控制系统里边，将拥有自主权限分配的组织单元作为一个自治域，该自治域的单元拥有对用户的添加、用户的角色的分配、用户权限的分配、用户权限的撤销、角色的删除等。在企业信息内部，另外一部分的单元内部，他们没有权限和角色的分配及撤销的权力，在基于角色的权限控制系统里边，称之为普通域。基于自治域的角色访问控制模型(AutonomyDomain-basedRBAC,AD_RBAC)的授权机制在两个层次为用户授权，第一个是在企业信息系统的系统级对用户分配角色或者权限，第二个是在企业信息系统的自治组或者普通组的级别上为用户分配角色或者权限。在组级授权管理模块中，只有自治组具有管理本组及其所包含的组的能力。AD_RBAC模型利用上层控制下层的管理机制将职责进行了有效分离。与传统的RBAC管理模型相对比，AD_RBAC模型存在的优势：扩展了组(Group)的概念一管理组和普通组的划分，使组的表达能力得到了增强，前者有权分配和撤销用户角色/权限，后者则无此权限；最大程度简化了系统管理员的用户授权管理工作一在AD_RBAC模型中，系统管理员放权给组管理员，由组管理员负责组内用户的授权，同时指定下层组的权限，极大的减轻了系统管理员的负担；能准确反映企业的组织结构和人事管理模式，并直观模拟企业权限层层下放的授权管理模式；用户授权更灵活更可控一AD_RBAC模型首先通过组的形式轻松授权用户,其次是使高层组拥有更加灵活的授权能力，可以对底层组的权限范围进行调节以控制底层组管理员的授权能力，另外组管理员通过对用户活动和信息的清晰把握使得其授权更加准确。3基于RBAC模型的细粒度访问控制框架设计及实现基于自治域的角色权限管理模型采用一种新的分组的策略。在基于自治域的角色权限管理模型中，采用在系统管理员级和自治组一级为用户分配角色和权限，是一种树形的多级用户授权策略。基于RBAC模型的细粒度访问控制框架（FGACF）依据不同的受访问的客体资源的特点，采用与每一类访问客体资源相匹配的访问控制方法，实现一种所见即所得的配置组件。细粒度访问控制框架模型以角色访问控制模型为基础，在该模型里边，包含了权限的设置、角色的设计、资源管理及分配、用户组的管理、用户角色授权的管理以及资源的访问控制实现访问控制模型是细粒度访问控制模型的核心功能模块。它提供了可被客户程序调用的各类接口和资源类型，保证实现了统一资源定位符、标签元素、给类普通方法和静态方法、业务数据、文件等各类资源的使用安全，使得用户能够安全的使用客体资源。下面我们将阐述和展示各种资源的访问控制的具体实现：（1）URL资源的访问控制实现。细粒度访问控制框架模型采取了过滤器技术来实现URL；（2）标签元素的访问控制。粒度访问控制模型采用定制自定义标签来实现JavaWeb信息系统中页面内子元素的访问控制；（3）方法资源的访问控制实现。根据是否牵涉业务数据资源，方法资源的操作可分两类：方法中不包含对受保护的业务数据的操作；方法调用的参数或返回值是系统中受保护的业务数据资源。细粒度访问控制框架采用面向切面编程（AOP）...