● 摘要
企业信用数据共享平台是利用现代信息技术和网络技术,依托现有的网络基础资源,按照安全、高效、可靠的信用数据交换标准和规范,实现企业和个人信用信息在行政机关、司法机关、金融机构、公共事业单位及相关组织之间跨部门开放共享和归集整合,并以此为基础,建立完善的信用信息资源开发应用系统,根据社会需要,提供多层次的信用信息服务,推动我省社会信用体系建设的快速发展。为了保证平台的网络安全和保证系统的安全被访问,为此本文设计了企业信用数据共享平台子系统——权限系统(简称企业信用权限系统),以此来保证系统的安全。
本文首先介绍了关于访问控制的国内外研究现状,以及几种常用的访问控制策略和模型,包括基于任务的访问控制、基于角色的访问控制和基于角色的访问控制,并对其进行比较。主要做了以下工作:
第一,结合企业信用数据共享平台的需求,设计了基于RBAC的两级访问控制模型。在模型中给出了两级权限的概念,将传统的权限详细划分为模块级权限和数据级权限,一个模块级权限包含一个或者多个数据级权限,将模块级权限和数据级权限的关联起来。权限的划分在RBAC的模型中具有举足轻重的位置,划分过细,会导致权限过多;划分过粗,无法很好的区分用户的权限。两级权限的划分,使访问控制权限更加细粒化,实现现实世界中等级式权限体制。角色继承分为私有、保护和公有三种类型,根据面向对象的思想,将角色的权限分为私有权限、保护权限以及公有权限。在权限的基本信息中,定义一个深度的变量。用一个变量深度来区别权限继承的方式,假如深度值为0,代表此角色的该项权限为私有权限,不允许继承;假如为无穷大,代表此角色的该项权限为公有权限,允许无限继承;假如为正值,代表此角色的该项权限为保护权限,允许继承,但是继承的次数为深度量的值决定。
第二,在模型中引入了用户信任度。企业信用数据共享平台的主要功能是实现企业和个人信用信息在行政机关、司法机关、金融机构、公共事业单位及相关组织之间跨部门开放共享和归集整合,为了保证平台的信任性,对于系统的信任性提出了要求。因此再综合各种因素后,给出了用户信任度的定义。将用户分为基本信任度、直接信任度和推荐信任度。基本信任度根据用户登录的时间、IP、次数等因素可以得出。在计算直接信任度和推荐信任度的中,引入了贝叶斯估计理论,贝叶斯估计理论能够根据先验信息和样本信息推出后验信息,在计算用户信任度的时候,把用户可能发生的行为作为一个假设,将行为对系统进行操作的概率设为服从均匀分布U(0,1),即先验信息,成为这个假设为贝叶斯假设,再把用户历史访问记录作为样本信息,就可以推断出用户的未来行为的信息,即用户信任度。
第三, 结合模基于RBAC的两级访问控制模型,在文章中给出了访问控制和角色继承等基本算法。
第四,将模型应用于企业信用数据共享平台中,给出了具体的设计和实现。企业信用权限系统,方便系统管理员对用户访问控制的管理,用户信任性在一定程度上保护了系统的安全访问性,论证了设计方案在企业信用权限系统的可行性。