当前位置:文档之家 › 扩展的基于角色访问控制模型ERBAC及其应用研究

扩展的基于角色访问控制模型ERBAC及其应用研究

  • 格式:pdf
  • 大小:246.21 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

基于角色的访问控制在教务系统中的应用

基于角色的访问控制在教务系统中的应用

基于角色的访问控制在教务系统中的应用摘要本文通过对rbac96的分析提出扩展的rbac模型(erbac),并且在高校教务系统中加以应用,验证了其有效性和实用性。

关键词 rbac;角色;访问控制中图分类号tp39 文献标识码a 文章编号 1674-6708(2011)54-0183-02传统的高校教务系统的访问控制模块通常将用户和权限直接关联,这样的授权模型不方便系统的扩展,也不够灵活,当组织规模不断扩大、结构变换频繁时,就出现了大量繁琐的授权变化,权限管理的复杂度呈现指数增长的态势,而基于角色的访问控制(role-based access control,以下简称rbac)模型能够较好的解决这个问题。

1 rbac概述rbac模型引入了“角色”的概念,使得操作权限不直接授予用户,而是通过建立“用户→角色→权限”的映射关系,来灵活的表征组织内部以及用户与权限间的关系。

现阶段rbac的研究均以rbac96为基础,rbac96[1]由ravi s.sandhu教授及其领导的乔治梅森大学信息安全技术实验室(list)提出,主要由rbac0、rbac1、rbac2和rbac3组成,如图1所示。

图 1 rbac96(包括rbac0、rbac1、rbac2和rbac3)rbac0是rbac96模型的核心,主要包括u(用户集)、r(角色集)、p(权限集)和s(会话集),p由ops(操作集)和obs(客体集)组成。

rbac1在rbac0的基础上增加了rh(角色分层)概念,使用偏序来描述这种角色继承的关系。

rbac2在rbac0的基础上引入c(约束集)来决定对rbac0各组件的操作是否被接受,只有被接受的操作才被允许。

rbac3综合了rbac1和rbac2,自然也包括了rbac0。

rbac96是一个基本模型,属于中性策略,这就决定了在应用中,可以根据实际情况对rbac96进行扩展。

2 扩展的rbac模型本文根据我院教务系统的访问控制的实际需求,对rbac96进行扩展,增加了“属性”的概念,形成了一个扩展的rbac模型,简称erbac模型。

基于组织结构的RBAC 扩展模型及应用

基于组织结构的RBAC 扩展模型及应用

基于组织结构的RBAC 扩展模型及应用摘要:针对传统的基于角色的访问控制模型所存在的问题,提出了一种基于组织结构的rbac扩展模型,该模型引入组织结构和用户组,有效地解决了目前rbac权限管理存在的问题,满足大型企业对权限管理的精细化管理要求。

关键词:基于角色的访问控制;组织结构;访问控制模型;角色;用户组中图分类号:tp311 文献标识码:a 文章编号:1009-3044(2013)03-0497-03在信息系统安全机制中,主流的访问控制策略有自主访问控制dac、强制访问控制mac和基于角色的访问控制rbac。

目前,基于rbac的访问控制策略一直是信息系统安全机制的研究热点[1],也得到了很好的应用[2-3]。

rbac将用户与角色联系起来,简化了权限管理。

中国石油兰州石化公司是中国西部重要的炼化生产基地,近年来,兰州石化信息化建设和应用取得了良好的成效,随着企业规模的日益扩大和信息化建设水平的提高,信息系统和用户数量不断增长,对信息安全管理提出了新的挑战,现有的系统访问控制策略在部分功能上并不能完全满足公司对于信息安全的精细化管理要求。

传统的nist标准rbac模型由4个部件模型组成,其核心对象模型设计由用户、角色等构成,但在大型企业应用中存在角色授权复杂、授权工作量大等问题。

国内外学者对此都有相关的研究。

本文提出一种基于组织结构的rbac扩展模型,并介绍该模型在兰州石化公司信息系统中的应用情况。

1 相关研究1.1 pmi角色模型华中科技大学的徐兰芳研究了用权限管理基础设施pmi的角色模型实现基于角色的访问控制的相关问题,提出了一种改进pmi角色模型[4]。

pmi角色模型实质上仍然是基于rbac的思想,与传统的rbac模型相比,简化了对用户的管理,用xml文件表达策略,能够解决rbac中的约束问题,通过远程和本地证书库,提高了健壮性和证书查询效率。

1.2 基于角色和用户组的扩展访问控制模型中南大学邢汉发等人针对传统的rbac所存在的问题[5],提出了基于角色和用户组的扩展访问控制模型,改进后的扩展模型e-rbac 应用在某信息管理系统中的访问控制模块,并使用模拟数据进行了验证。

基于角色的访问控制框架的研究与实现

基于角色的访问控制框架的研究与实现
Abstr act: A framework of Role- Based Access Control and its implementation mechanism and principle are introduled in detail in this paper. Role- Based Access Control (RBAC) is an abstract model on authorization management. It is more flexible, secure and easy to maintain, compared with the traditional authorization strategies. This framework of Role - Based Access Control extends the conception of the basic moddel of the RBAC. A concept on more minute granular re- source and a mechanism of authorization judgment are presented, in order to fulfill the requirements of the authorization management of large- scale data resource. Key wor ds: RBAC, Resource class, Static resource, Dynamic resource, Role including, Judge on triple
资源通常是应用相关的, 即资源属于某个应
102
微电子学与计算机
2005 年第 22 卷第 11 期

RBAC模型的扩展及其应用

RBAC模型的扩展及其应用

1引言分布开放系统的安全是一个重要问题,对此也进行了许多研究,提出了一些重要的安全管理模型,特别是访问安全模型,如早期的MAC和DAC[1],直到最近的RBAC模型[2]。

在RBAC中,操作访问权限被关联到角色,用户通过角色映射成为一定角色的成员,从而间接地获得一定的权力。

角色是RBAC中的一个十分重要的概念,与组织管理的一般认知模型相一致,容易理解和应用。

角色的丰富多样性及角色的层次分类体系为角色的灵活管理提供了有效组织手段。

用户通过角色而间接获得授权,因而提供了访问控制管理的灵活性。

然而角色如何被配置到用户,却是与用户要承担的业务职责、与组织系统的管理政策和管理制度相关联,RBAC模型本身并不能够解决这一问题。

另外RBAC模型研究中,主要关注模型本身的一些元素及其关系特性,而对RBAC模型如何建立这一问题还缺乏比较明晰的研究成果。

对于这后一个问题,一些关于角色工程的研究为此提供了一些基本的成果。

文献[3]从RBAC模型中角色继承可能引起的问题出发,提出了一些角色的分类、聚类等措施,对角色层次体系与组织层次体系的融合或建立映射关系进行了分析。

文献[4]在关于agent的研究中,从目标分解的角度,提出了agent的角色定义框架。

但该框架里的角色定义完全是基于逻辑形式的,与RBAC模型中的操作性角色概念不同。

对于第一个问题,即如何把RBAC模型直接与组织的业务过程模型融合,从而建立安全可信的组织协同业务管理模型的研究尚未见报道。

本文从RBAC模型出发,通过义务的方式来描述角色之间的业务协同,从而扩展RBAC模型为RBAO(RoleBasedAccessandObligation)模型。

为促进角色的义务履行,进一步引入奖罚机制,为开放式组织业务系统的可信履行提供更好的保障。

另外,对如何分析建立RBAO模型的方法也进行了初步的探讨,并以具体实例来说明其应用。

本文其余内容组织如下:在第2章,对RBAC模型及其基本要素进行概述;第3章讨论RBAC模型的扩充模型RBAO;第4章介绍RBAO模型分析与建立的基本方法步骤;第5章以一个具体的实例来阐述基于RBAO模型的应用开发方法;最后是结束语。

针对基于多父角色RBAC模型的研究与应用

针对基于多父角色RBAC模型的研究与应用

2008年9月September 2008—183—计 算 机 工 程Computer Engineering 第34 第17期Vol 卷.34 No.17 ·安全技术·文章编号:1000—3428(2008)17—0183—03文献标识码:A中图分类号:TP309针对基于多父角色RBAC 模型的研究与应用史永昌,鲁书喜(平顶山学院计算机科学与技术学院,平顶山 467000)摘 要:针对基于角色的访问控制(RBAC)模型中由于继承关系产生的子角色不能拥有私有权限问题进行了研究。

当前的解决方案在表示同一机构或相同业务性质的角色共有特定权限方面存在不足,也不能满足多父角色权限继承的要求。

对RBAC 模型进行了扩展,给出一种基于域和域权限的解决方案,并结合实际项目具体分析系统实现权限管理的方法,提出多父角色权限继承的算法,解决了多父角色权限继承问题,在系统的安全管理中实现了基于角色和域的访问控制。

关键词:RBAC 模型;角色;权限;访问控制;域Research and Application on Multi Father Role Based RBAC ModelSHI Yong-chang, LU Shu-xi(Institute of Computer Science and Technology, Pingdingshan University, Pingdingshan 467000)【Abstract 】A problem that child role cannot obtain private permissions because of inherited relation in the Role-Based Access Control(RBAC)model is researched. The specific permission of the roles in same department or similar business, is not discussed in the past solutions, and the permission cannot be inherited by multi father role. Thus a new solution with domain and domain’s permission is presented. The method of permission management is analyzed, an algorithm to inherit permissions from one child for multi father roles is provided, and the question of inheritance is solved. The access control theory based on role and domain in the application system is realized. 【Key words 】Role-Based Access Control(RBAC) model; role; permission; access control; domain访问控制是安全技术的重要部分,而基于角色的访问控制(Role-Based Access Control, RBAC)作为目前主流的访问控制模型,成为研究的热点。

基于组织结构的RBAC 扩展模型及应用

基于组织结构的RBAC 扩展模型及应用

基于组织结构的RBAC 扩展模型及应用作者:范志顾治波来源:《电脑知识与技术》2013年第03期摘要:针对传统的基于角色的访问控制模型所存在的问题,提出了一种基于组织结构的RBAC扩展模型,该模型引入组织结构和用户组,有效地解决了目前RBAC权限管理存在的问题,满足大型企业对权限管理的精细化管理要求。

关键词:基于角色的访问控制;组织结构;访问控制模型;角色;用户组中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2013)03-0497-03在信息系统安全机制中,主流的访问控制策略有自主访问控制DAC、强制访问控制MAC 和基于角色的访问控制RBAC。

目前,基于RBAC的访问控制策略一直是信息系统安全机制的研究热点[1],也得到了很好的应用[2-3]。

RBAC将用户与角色联系起来,简化了权限管理。

中国石油兰州石化公司是中国西部重要的炼化生产基地,近年来,兰州石化信息化建设和应用取得了良好的成效,随着企业规模的日益扩大和信息化建设水平的提高,信息系统和用户数量不断增长,对信息安全管理提出了新的挑战,现有的系统访问控制策略在部分功能上并不能完全满足公司对于信息安全的精细化管理要求。

传统的NIST标准RBAC模型由4个部件模型组成,其核心对象模型设计由用户、角色等构成,但在大型企业应用中存在角色授权复杂、授权工作量大等问题。

国内外学者对此都有相关的研究。

本文提出一种基于组织结构的RBAC扩展模型,并介绍该模型在兰州石化公司信息系统中的应用情况。

1 相关研究1.1 PMI角色模型华中科技大学的徐兰芳研究了用权限管理基础设施PMI的角色模型实现基于角色的访问控制的相关问题,提出了一种改进PMI角色模型[4]。

PMI角色模型实质上仍然是基于RBAC 的思想,与传统的RBAC模型相比,简化了对用户的管理,用XML文件表达策略,能够解决RBAC中的约束问题,通过远程和本地证书库,提高了健壮性和证书查询效率。

基于角色访问控制的研究和应用

维普资讯
国家自然科学基金
基金号 :N .0 3 0 0 o 5 3 5 4
基于角色访 问控制的研究和应用
杨春丽 田盛丰
10 4 ,较
北京 交通 大学计算机学院 12 4
大 的 局 限性 ,进 而 出现 了基 于 角 色 的访 问 控
好地 解决 了安 全管 理 的复 杂性 问题 。将 基于角包的访 问控制应用于网络数据库 中,可以提高数据库的安全性 ,降低管 理复杂度。
RI R R ( 色继 承 ,偏 序关 { 角
用 户 ( :用 户是纯 粹的 用 户,用 U)
系 )
2、基 于角色 的访 问控 制
2. 基本概 念 1
户 U 与权 限 P没有直 接相 关的 关系 ,不 能 直接 对资 源进 行访 问 ,用 户如果 想 要
拥有对资源操作的权限,必须通过角色
R ;
基于 角色 的访 问控 制 模型 并没 有一 角色 ( :指定完成某些功能的抽 R) 个明确 的概 念。 目前研 究较深 入的有 j 茚 _ l | √ 象 ,描述 了被赋予此角色的用户所具有 美 国 G og sn大 学 的 R v 等 人 e re Mao ai 基 于 角 色 的 访 问控 制 ; 权 限 ; 职 权 分 离 的 权 力 ,是 用 户 和 权 限 之 间 的 接 I ; m l 和 NI T的 J h B r ly等为首的 S o n a ke 。 权限 ( ) P :系统中对一个或多个客 D A C 研究祖 。R avi等人 提 出了 1 引言 RB 9 AC 6和 RB 9 的 概念 模型 。 在 体进行访 问的操作,权限只有绑定在具 AC 7 随 着 网络的 迅速 发展 及 它在全 球 的 基于角色的访问控制 ( AB 模型中 , 体的实体上才具有意义,如某 个文件的 R C) 删除 。 广 泛 应 用 , 网络 的安 全 问 题 也 越 来 越 包括三个实体集: 用户 ( 、 U) 角色 ( 、 R) 用 户分 配 ( A) 权 限分 配 ( A) U 、 P : 引起 人 仃 的注 意 。 为 r保 l 】 止网络 的 安 权限 ( ) P ,此外还有会话 () s 。模型中 用 户分 配根 据用 户 在系统 的职 责 对应 的 伞 ,固 际化 标准 组 织 I 在 网络安 全 的 用 户指 的是 人 或者 是智 能体 ,是 进 行 S0 对 体 系的设 计标 准 中提 出 r 层次 型 的安全 操 作的 主体 。 角色是 信息 系统 的授 权单 角色,权限分 配根据角色按照职责 与 应的操作的关联 ,用户分配和 角色分配 体 系结 构,其 中定 义 了五大 网络安全 位 ,具有相关责任和权限,类似于企业 服 务 功 能 :身 份验 证 服 务 、访 问控 制 中的职 务 。权 限是对 系统 中 一 个或 多个 都是多对多的关系,用户通过 角色对相 服 务 、数 据保 密 服 务 、 数 据 完 整 性 服 对 象 的访 问方 式 。基 本 模 型如 图 1 。在 应 的资 源进 行访 问 ,不能 有超 过 角色权 务和不可 否认服 务。其 巾访 问控制服 基于角色的访问控制中,角色作为媒介 限的 越权 行 为 ; 角色 层次 ( ) R H :角色在 应 用 务 可 以 限 制 对 资 源 的 访 问 ,防 止非 法 把用户集和权限集联系起来,每个角色 中 实现 分 层 ,某 些 高 层 的 角 色 自然 拥 用户的 入 侵 。 都 拥有 对资源 进 行操 作的 权限 集合 ,用 传统的访问控制主要有强制型访问 户通过角色的间接的对 资源进行操 作。 有其低 层角色的权限 ,从而使得授权 控¥ MACMa d tr cesC nr1 1 J ( n a y A cs o t ) 系统通 过对 用 户所拥 有 的 角色的权 限 来 工 作 简 单 化 。 o o RBAc根据 用户的角色进行授 卡 义 和 自主 访 问控制 D (Dsrt n r 判 断此 用 户 可以访 问的资 源和 可进 行 的 AC i ei ay c o 和访 问控 制 ,使 对 用户的 授权 转 变为对 A cs C n r1。但是 MAc管理要 操 作 。 c es o to) 角色的授权 ,实现了用户与访 问权限的 求 过 于 严 格 ,主 要 应 用 于 多 层 次 安 全 在 图 l中 , 逻 辑 分离 ;降 低 r 权管 理 的 复 杂 度 , 授 级别的军事领域 。在 DA C 中 ,每 次 PA P R( 限 分 配 , 多对 多 的 权 减 少 了管 理 的 开销 。 从用户列表 中添力 和 删除用 户,或 者 关 系 ) } 】 2. 授 权 原 则 2 从资源列表中添加和删除资源时都需要 UA U R( 户 分 配 ,多对 多 的 用 系统 管理 员添加 和删 除相 关 的访 问控制 RH 表 ,使 得 管 理 比较 麻 烦 ,而 且 不 利 = r 灾 现 统 一 的 今 局 访 问控 制 。 于 是 出 现 了基 干 角 色 的 访 问 控 制

一种扩展的基于角色的访问控制模型

a sg m e . e n w d li h rt l e iso a ii n lRBAC n C s d i he s se o r lo s i n nt Th e mo e n e i alm rt ft t d to a s he r a d a be u e n t y tm fwo kf w n
t ed f c l f s estes p o rd n mi emiso h i ut o sg igp r si ewe n rlsa dp r sin n f r h u p a f y a cp r sin i y a m o m o
( srt nr cs C nrlD Di ei ayAces ot , AC)强制访 问控制 c o o 、 ( n a r cs C nrlMAC) Madty Aces ot , o o 和基 于 角 色 的访 问控 制 ( oeB sdAcesC n o,B R l ae cs ot lR AC) r 。其 中 ,
t e c n  ̄ i to o d t n . td v d s t e p r s i n d r c l n t a ft e ca sf  ̄i n o l s wh c e u e h o s a n fc n i o s I i i e e miso ie t i se d o l s i c o fr e , ih r d c s i h y h i o
tn e l sdAc e sCo t l ERB e d d RoeBa e c s n o ( r AC) whc r vd st efn t n o e ce rp r t n o emi in a d , ih p o ie u ci ft la at i fp r s o n h o h io s

基于WEB模式下ERBAC模型研究及实现

襄 阳职 业技 术 学 院 学报 第 1 2卷 第 5 期
双 月 刊 2 0 1 3年 9月
d o i : 1 2 . 3 9 6 9  ̄ . i s s n . 2 0 9 5 - 6 5 8 4 . 2 0 1 3 . 0 5 . 0 1 6
基于 WE B模式下 E R B A C模型研究及实现
关键词 : R B A C模 型 ; 用户 ; 角 色; 权限; E R B A C模 型
中 图分 类 号 : T P 3 1 1 文献标 识 码 : A 文章 编号 : 2 0 9 5 — 6 5 8 4 ( 2 0 1 3 ) 0 5 — 0 0 1 6 — 0 3
随着 网络 技 术 的迅 速 普及 和 网络 应 用 的快 速 发展 , 如何 保证 网络应 用 的安 全性 成 为 网络 管理 者
具 有灵 活性 、 安 全性 、 方便 性 , 在 用户 权 限管 理 中得
到 了 广 泛 的 应 用 。但 是 RB AC会 随 着 网络 用 户 数 量
的 不 断 增 加 和 信 息 资 源 结 构 的 日益 复 杂 难 以 满 足
实 际 的安全 需求 , 扩展 性差 , 因此 , 需 要 对 RB AC进 行 改 进 和 扩 展 。通 过 增 加 用 户 组 的方 式 设 计 了 一 种
必 须 要 解 决 的 问 题 。解 决 网 络 安 全 的 方 法 和 措 施 有 很多 , 而访 问控 制 技术 便 是有 效解 决 方法 之 一 。它
是计 算 机 网络 安全 中重要 的安 全 机制 , 而 且 可 以和 用 户身 份认 证 、 数 据加 密 等其 他 相关 技术 相互 配 合
新 型 的 ERB AC模 型 ,方 便 了 管 理 员 对 用 户 权 限 的 管理 。

基于角色的访问控制技术研究

基于角色的访问控制技术研究随着互联网的不断发展,人们对数据安全的的要求也越来越高。

而在数据安全中,访问控制是保障数据安全的一种重要手段。

访问控制是指通过授权的方式,对资源的访问进行限制,确保只有得到授权的用户才能访问。

而基于角色的访问控制技术是访问控制中较为流行的一种实现方式。

一、什么是基于角色的访问控制技术?基于角色的访问控制技术(Role-Based Access Control,简称RBAC)是指以角色为基础,对用户访问权限进行管理的访问控制技术。

在这种技术中,用户和权限之间的关系被抽象成为角色和权限之间的关系。

而用户只有拥有该角色,才拥有相应的访问权限。

基于角色的访问控制技术主要包括以下三个要素:用户、角色和权限。

其中,用户是指需要进行访问控制的对象,角色是指用户的一个抽象,而权限则是指用户进行操作所需的权限。

在RBAC中,用户与角色之间的映射是一对多的关系。

即一个用户可以拥有多个角色,而一个角色也可以被多个用户拥有。

而角色与权限之间的映射是一对多的关系。

即一个角色可以拥有多个权限,但一个权限只能归属于一个角色。

基于角色的访问控制技术的优点是具有灵活性、安全性高、易于维护等特点。

通过角色的管理,可以在一定程度上降低用户与权限之间的耦合度,减少访问控制的管理成本。

而在多个用户和权限交错的情况下,基于角色的访问控制技术更能实现细粒度的访问控制。

二、基于角色的访问控制技术的实现方式基于角色的访问控制技术的实现方式主要包括两种:静态的和动态的。

静态实现方式指的是用户与角色之间的映射关系是在静态配置文件中进行配置的。

而动态实现方式则是通过动态的方式,根据不同的业务场景进行授权管理。

为了更好地实现基于角色的访问控制技术,在实施时需要注意以下几点:1. 角色的划分应当合理:角色的划分应该遵循“最小权限原则”,只赋予用户必要的权限,从而减少风险。

2. 用户的分配应当精准:在角色的分配过程中,应注意为用户分配正确的角色,避免出现权限过高或过低的情况。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

型 。 在R A 9 模 型 的 基 础 上 , 角 色之 间 的层 次 关 系进 行 了扩 充 , 义 了角 色的 公 共 权 限 和私 有 权 限 , B C6 对 定 引入 了一 般
继 承 和 扩展 继 承 机 制 . 形成 了一 个 扩 展 的 基 于 角 色 的访 问控 制 模 型E B C, 给 出 了该模 型 的一 个应 用 实例 。 R A 并
【 关键词 】 角色
权限
访 问控制
R A BC
【 文章编号】 10 — 7 X 20 )6 00 — 3 0 3 7 3 (0 6 0 — 13 0
【 中图分类号 】 I 2 3 R 7 F
【 文献标识码 】 B
引 言
个组 织 内部 的权 利和 责任关 系 ( 如部 门主管 将继 承该
企业 管理 信息 系统 ( S 巾得 到广 泛应用 。 MI)
1 基于 角色访 问控 制的R A 9 模 型 B C6
R 必须 将 这些 权 限分 离 f 来 ,派生 一 个 新 的角 色 l } { R1 , ’ 称为R1 的私有 角 色 。在R1 只能 描述 可 以被 R 巾 2
维普资讯
第 6a (- 9 , 第 3期1 g N. SMN. ) o 6(U o 3 9
机 械 管 理 开 发
ME CHANI AL C M A NAGE ME AND D NT EVE OP L ME NT
2o 0 6年 l 2月
角 色 的概念 ,对R AC 6 型角 色 之 问 的层 次 关 系进 B 9模
行 了扩充 . 义 了角 色 的公 共 权限 和私有 权 限 , 引入 定 并

R A 、 B C 、 B 3】 B C 模 型定 义了支持RB B C R A 2 R AC l R A 0 l  ̄ 。 A
般继 承和扩 展 继承 机制,很 好 地解 决 了使 用 私 有角
继 承 的权 限 , 而Rl 巾再 补充描 述R1 ’ 的私有 权 限 。 它将

R A 是 由美 国 国 家标 准化 和 技 术 委 员会 (IT B C NS)
的F r il等人 在 上世 纪9 年 代 初提 出。N S 专 门成 er oo a 0 IT 立 了R A 研究 机 构 ,对 基 于角 色 的 访问 控制 进 行 了 BC
2 扩展 角 色层次 关 系模型E B C R A
图 1 ERBAC模 型入 了角 色
继承 关 系 ( 一个角 色R1 承 另~・ 继 个角 色R n , 就 2 , RI  ̄ 自动拥 有 了R 的访 问 权 限 ) 角色 继 承关 系反 映 了一 2 。
系统 的 研 究 与 应 用 .a d u 人 在 对 R A 进 行 深 入 Snh 等 BC
个 逻辑上 统一 的 、 属于 同一 角色 的权 限分 离开 来 , 而
且使 角色数 量迅 速增 长 ,特 别 是在大 型应 用 中尤 为明 显, 导致 角色层 次关 系更 复杂 、 角色 管理 负担加 重 。
角 色R 的部 分权 限不希 望被 另一 个 角色R 继承 , 么 1 2 那
限 . 现 了用 户 和访 问 权 限 的逻 辑 分 离 , 大 简 化 了 实 极 权 限管 理 。R A 在满 足商 和政 府部 门系统 安 全 需 BC l
求方 面 示 r很 大 的 优 势 , 许 多 应 川 系统 , 别 是 在 特
Je 2) 6 ) c. ( 0
扩展 的基 于 角色 访 问控 制 模 型 E B C 其 应 用研 究 及 R A
张 建 军 毛 忠 军 张 利
( 肥 l业 大 学 机 械 汽 车 _程 学 院 安 徽 台 肥 合 丁 T 200) 3 0 9
【 摘
要 】 访问控制是 系统安全的重要技术 。 B C【 R A 基于角色的访问控帝模型 ) 目前得到广泛应用的访 问控制模 】 是
E RH
C 小需求 , 最 如用 户 、 角色 、 限 、 权 会话 等概念 ; B C 模 RA 1
型在R A 0 B C 的基础 上加 入 了角 色继 承 关系 可 以根 据
色 现 的问题 。
组织 内部 权 力和责仟 的结 构 来构造 角 色与角 色之 间的
层 次关 系 : B C 模 型在 R A 0 R A2 B C 的基 础 t 入 了用 户 加
色 相关 联 , 通过 给 用 户分 配适 当的 角色 以授予 用 户 权
的权 限 。例 如在 企业 某部 门中 .每个 成员都 有 一砦数 据, 只供 自己访 问 , 即使 足对 该部 门 的负责人 也 不能访 问 。R A 9 模 型是 通过 私有 角色来 解 决 , B C6 即如果一 个
与角色之 间 、 色 与角 色之 问 、 角 角色 与权 限之 问 的约束
关系 , 角色互 斥 、 色晟大成 员数 、 提角 色 、 提权 如 角 前 前 限等 ;R A 3 型是 对R A 和 R A 2 B C模 B C1 B C 的集 成 ,它不 仅 包括角色 的层次关 系 , 还包括 约束关 系 。
部 门所 属普通 操 作人 员的权 限 ) 为方便 权 限管理 提供 ,
了帮 助 。 但在实 际应 用 中 , 有些 角色并 不希 望继 承全部
基 于 角 色 的访 问 控 制 ( B C 是 被 广 为接 受 的 一 RA)
种访 问 控 制模 型 它 引入 角 色这 个 中介 , 权 限 和 角 将
E B C 型 ( 图1 舍 弃 了R A 9 模 型 中私 有 RA 模 见 ) B C6
研 究 的基 础上 , 1 9 年提 了一 个基 于 角 色 的访 问 于 96 控制 参 考模型 , B C 6 即R A 9 模型 。
R A 9 模 型 包 括4 不 同层 次 ,分别 为R A 0 B C6 个 B C、