基于组织结构的RBAC 扩展模型及应用

基于本体的RBAC建模及应用研究张宇一;张保稳【期刊名称】《通信技术》【年(卷),期】2017(050)001【摘要】访问控制技术是保护企业信息安全的重要手段，其中基于角色的访问控制技术RBAC 的使用最为广泛。

于是，提出一种新的针对RBAC 的建模方法，即通过本体来描述RBAC 模型。

相比于常见的XACML、Ponder 等语言框架，本体能更好地表述RBAC 中的继承、限制等概念，并具有良好的可扩展性与推理能力。

具体的，着重介绍如何通过本体论软件protégé来表述RBAC 中的主体、客体、资源、角色以及它们之间的继承和限制关系，并通过案例验证来展示所建立模型的可用性与合理性。

%Access control technology is an important means to protect the information of enterprises. And RBAC(Role-Based Access Control) model is the most frequently used in among all the access control technologies. This article proposes a new method to model RBAC, that is,to describe RBAC model via ontology. Compared with the traditional frameworks such as XACML and Ponder, ontology has a better performance in expressing the concepts of inheritance and constraint of RBAC, and is of fairly good extendibility and reasoning capability. This article discusses how to express the subject, object, resource and role in RBAC via ontology-based software–protégé, including the inheritance and constraint relationship of among them. Finally some cases are used to verify the availability and reasonability of this model.【总页数】7页(P102-108)【作者】张宇一;张保稳【作者单位】上海交通大学电子信息与电气工程学院，上海200240;上海交通大学电子信息与电气工程学院，上海200240【正文语种】中文【中图分类】TP391【相关文献】1.基于本体的上下文建模与应用研究 [J], 陈立;宋自林;郑世明2.基于本体的图书智能检索系统的建模与应用研究 [J], 房巍;李万龙3.物联网技术在冶金炼焦过程的建模应用——评《基于本体与物联网的冶金炼焦过程语义化及建模应用研究》 [J], 黄保斐4.本体理论及在农业文献检索系统中的应用研究——以花卉学本体建模为例 [J], 李景;孟连生5.本体理论及在农业文献检索系统中的应用研究——以花卉学本体建模为例 [J], 李景;孟连生因版权原因，仅展示原文概要，查看原文内容请购买。

科技项目管理的RBAC--BLP模型设计与应用科技项目管理的 RBACBLP 模型设计与应用在当今科技飞速发展的时代，科技项目管理的重要性日益凸显。

有效的项目管理不仅能够提高项目的成功率，还能够优化资源配置，确保项目按时、按质完成。

在众多的项目管理方法和模型中，基于角色的访问控制（RBAC）和贝尔拉帕杜拉模型（BLP）的结合为科技项目管理提供了一种全新的思路和解决方案。

一、RBAC 与 BLP 模型概述RBAC 模型是一种通过定义角色，并为角色分配相应权限来实现访问控制的方法。

在这种模型中，用户不是直接被赋予权限，而是通过被分配到特定的角色来获取权限。

这样的设计大大简化了权限管理的复杂性，提高了管理效率。

BLP 模型则是一种用于保护机密性的访问控制模型。

它基于安全级别和访问规则来控制主体对客体的访问，确保信息不会从高安全级别流向低安全级别，从而保证信息的保密性。

二、科技项目管理中的需求与挑战在科技项目管理中，涉及到众多的人员、资源和信息。

不同的人员在项目中扮演着不同的角色，需要访问不同的资源和信息。

同时，由于科技项目往往涉及到机密技术和敏感信息，如何保证这些信息的安全成为了一个重要的挑战。

例如，项目的研发人员需要访问相关的技术资料和实验数据，而项目的管理人员则需要了解项目的进展和预算情况。

此外，在项目合作中，可能会涉及到与外部合作伙伴的信息共享，如何在保证信息安全的前提下实现有效的合作也是一个需要解决的问题。

三、RBACBLP 模型在科技项目管理中的设计为了应对科技项目管理中的需求和挑战，我们可以将 RBAC 和 BLP 模型进行结合，设计出一种适用于科技项目管理的访问控制模型。

首先，根据科技项目的特点和需求，定义不同的角色，如项目经理、研发人员、测试人员、质量管理人员等。

每个角色都有其明确的职责和权限范围。

然后，为每个角色分配相应的安全级别。

例如，项目经理可能具有较高的安全级别，能够访问项目的所有信息；而研发人员则根据其参与的具体项目模块，被分配不同的安全级别，只能访问与其工作相关的部分信息。

１引言分布开放系统的安全是一个重要问题，对此也进行了许多研究，提出了一些重要的安全管理模型，特别是访问安全模型，如早期的ＭＡＣ和ＤＡＣ［１］，直到最近的ＲＢＡＣ模型［２］。

在ＲＢＡＣ中，操作访问权限被关联到角色，用户通过角色映射成为一定角色的成员，从而间接地获得一定的权力。

角色是ＲＢＡＣ中的一个十分重要的概念，与组织管理的一般认知模型相一致，容易理解和应用。

角色的丰富多样性及角色的层次分类体系为角色的灵活管理提供了有效组织手段。

用户通过角色而间接获得授权，因而提供了访问控制管理的灵活性。

然而角色如何被配置到用户，却是与用户要承担的业务职责、与组织系统的管理政策和管理制度相关联，ＲＢＡＣ模型本身并不能够解决这一问题。

另外ＲＢＡＣ模型研究中，主要关注模型本身的一些元素及其关系特性，而对ＲＢＡＣ模型如何建立这一问题还缺乏比较明晰的研究成果。

对于这后一个问题，一些关于角色工程的研究为此提供了一些基本的成果。

文献［３］从ＲＢＡＣ模型中角色继承可能引起的问题出发，提出了一些角色的分类、聚类等措施，对角色层次体系与组织层次体系的融合或建立映射关系进行了分析。

文献［４］在关于ａｇｅｎｔ的研究中，从目标分解的角度，提出了ａｇｅｎｔ的角色定义框架。

但该框架里的角色定义完全是基于逻辑形式的，与ＲＢＡＣ模型中的操作性角色概念不同。

对于第一个问题，即如何把ＲＢＡＣ模型直接与组织的业务过程模型融合，从而建立安全可信的组织协同业务管理模型的研究尚未见报道。

本文从ＲＢＡＣ模型出发，通过义务的方式来描述角色之间的业务协同，从而扩展ＲＢＡＣ模型为ＲＢＡＯ（ＲｏｌｅＢａｓｅｄＡｃｃｅｓｓａｎｄＯｂｌｉｇａｔｉｏｎ）模型。

为促进角色的义务履行，进一步引入奖罚机制，为开放式组织业务系统的可信履行提供更好的保障。

另外，对如何分析建立ＲＢＡＯ模型的方法也进行了初步的探讨，并以具体实例来说明其应用。

本文其余内容组织如下：在第２章，对ＲＢＡＣ模型及其基本要素进行概述；第３章讨论ＲＢＡＣ模型的扩充模型ＲＢＡＯ；第４章介绍ＲＢＡＯ模型分析与建立的基本方法步骤；第５章以一个具体的实例来阐述基于ＲＢＡＯ模型的应用开发方法；最后是结束语。

2008年9月September 2008—183—计 算 机 工 程Computer Engineering 第34 第17期Vol 卷.34 No.17 ·安全技术·文章编号：1000—3428(2008)17—0183—03文献标识码：A中图分类号：TP309针对基于多父角色RBAC 模型的研究与应用史永昌，鲁书喜(平顶山学院计算机科学与技术学院，平顶山 467000)摘 要：针对基于角色的访问控制(RBAC)模型中由于继承关系产生的子角色不能拥有私有权限问题进行了研究。

当前的解决方案在表示同一机构或相同业务性质的角色共有特定权限方面存在不足，也不能满足多父角色权限继承的要求。

对RBAC 模型进行了扩展，给出一种基于域和域权限的解决方案，并结合实际项目具体分析系统实现权限管理的方法，提出多父角色权限继承的算法，解决了多父角色权限继承问题，在系统的安全管理中实现了基于角色和域的访问控制。

关键词：RBAC 模型；角色；权限；访问控制；域Research and Application on Multi Father Role Based RBAC ModelSHI Yong-chang, LU Shu-xi(Institute of Computer Science and Technology, Pingdingshan University, Pingdingshan 467000)【Abstract 】A problem that child role cannot obtain private permissions because of inherited relation in the Role-Based Access Control(RBAC)model is researched. The specific permission of the roles in same department or similar business, is not discussed in the past solutions, and the permission cannot be inherited by multi father role. Thus a new solution with domain and domain’s permission is presented. The method of permission management is analyzed, an algorithm to inherit permissions from one child for multi father roles is provided, and the question of inheritance is solved. The access control theory based on role and domain in the application system is realized. 【Key words 】Role-Based Access Control(RBAC) model; role; permission; access control; domain访问控制是安全技术的重要部分，而基于角色的访问控制(Role-Based Access Control, RBAC)作为目前主流的访问控制模型，成为研究的热点。

基于组织结构的RBAC 扩展模型及应用作者：范志顾治波来源：《电脑知识与技术》2013年第03期摘要：针对传统的基于角色的访问控制模型所存在的问题，提出了一种基于组织结构的RBAC扩展模型，该模型引入组织结构和用户组，有效地解决了目前RBAC权限管理存在的问题，满足大型企业对权限管理的精细化管理要求。

关键词：基于角色的访问控制；组织结构；访问控制模型；角色；用户组中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2013）03-0497-03在信息系统安全机制中，主流的访问控制策略有自主访问控制DAC、强制访问控制MAC 和基于角色的访问控制RBAC。

目前，基于RBAC的访问控制策略一直是信息系统安全机制的研究热点[1]，也得到了很好的应用[2-3]。

RBAC将用户与角色联系起来，简化了权限管理。

中国石油兰州石化公司是中国西部重要的炼化生产基地，近年来，兰州石化信息化建设和应用取得了良好的成效，随着企业规模的日益扩大和信息化建设水平的提高，信息系统和用户数量不断增长，对信息安全管理提出了新的挑战，现有的系统访问控制策略在部分功能上并不能完全满足公司对于信息安全的精细化管理要求。

传统的NIST标准RBAC模型由4个部件模型组成，其核心对象模型设计由用户、角色等构成，但在大型企业应用中存在角色授权复杂、授权工作量大等问题。

国内外学者对此都有相关的研究。

本文提出一种基于组织结构的RBAC扩展模型，并介绍该模型在兰州石化公司信息系统中的应用情况。

1 相关研究1.1 PMI角色模型华中科技大学的徐兰芳研究了用权限管理基础设施PMI的角色模型实现基于角色的访问控制的相关问题，提出了一种改进PMI角色模型[4]。

PMI角色模型实质上仍然是基于RBAC 的思想，与传统的RBAC模型相比，简化了对用户的管理，用XML文件表达策略，能够解决RBAC中的约束问题，通过远程和本地证书库，提高了健壮性和证书查询效率。

基于对象的RBAC权限控制模型在Web系统中的应用的研究报告随着互联网技术的发展和应用范围的不断扩大，Web系统在我们的日常工作和生活中扮演着越来越重要的角色。

然而，在Web系统中，如何有效地进行权限控制，确保数据的安全性和完整性变得至关重要，而基于对象的RBAC权限控制模型则是较为理想的解决方案之一。

基于对象的RBAC权限控制模型是一种基于角色的权限控制模型。

它通过对用户进行划分和角色赋权，可以控制他们能够访问的系统资源和所具有的操作权限。

同时，它还提供了对于对象实例级别的精细控制，更好地满足了Web系统的诸多安全需求。

在Web系统中，基于对象的RBAC权限控制模型可以应用于以下场景：1. 用户管理：通过将用户分配到不同的角色中，可以灵活地控制他们可以进行的操作和访问的资源范围，从而保证系统的安全性。

2. 数据管理：基于对象的RBAC权限控制模型的一个关键特点是它可以对对象实例进行精细的控制，因此在Web系统中可以应用于数据管理方面。

它可以确保只有具有特定角色的用户才能够访问或修改特定的数据。

3. 访问控制：对于Web系统来说，对于不同的页面或功能，需要进行不同的访问控制。

使用基于对象的RBAC权限控制模型，可以通过定义角色和资源之间的关系，灵活地进行控制，提高系统的安全性和可控性。

作为一种基于角色的权限控制模型，基于对象的RBAC权限控制模型具有以下优点：1. 灵活性：通过对角色和权限进行抽象，可以较为灵活地进行权限控制。

可以根据不同的系统需求定义不同的角色和权限。

2. 可扩展性：在Web系统中，需要不断地添加新的功能或数据，因此需要一个可扩展的权限控制模型。

基于对象的RBAC 权限控制模型可以通过添加新的角色或权限对象进行扩展。

3. 可维护性：对于Web系统来说，权限控制是一个长期的过程。

基于对象的RBAC权限控制模型可以通过定义清晰的角色和权限结构，使得系统的维护和管理变得更加简单和规范。

一种扩展的RBAC模型及其在信息系统开发中的应用
宋万里;张海飞;吴炜峰;何文洁
【期刊名称】《科技通报》
【年(卷),期】2015(31)9
【摘要】针对传统RBAC模型的不足,在对文献中改进的模型进行了分析、研究的基础上,提出了增加约束策略和配置个性化操作界面的扩展模型——MC-RBAC,给出了模型的形式化定义,同时对该模型进行了设计实现,并在具体的信息系统开发中得以应用。

实践表明,扩展后的模型能够实现操作和对象权限的细粒度控制,同时也实现了根据不同的角色自动配置不同功能的操作界面,提高了系统的安全性和配置的灵活性。

【总页数】4页(P136-139)
【关键词】基于角色的访问控制;约束策略;细粒度控制;个性化操作;信息系统【作者】宋万里;张海飞;吴炜峰;何文洁
【作者单位】南京交通职业技术学院;河海大学计算机与信息学院;南通纺织职业技术学院
【正文语种】中文
【中图分类】TP311
【相关文献】
1.一种RBAC改进模型及其在军事Web信息系统中的应用 [J], 贺德富;苏喜生;胡安胜;康勇
2.基于RBAC扩展的权限模型在用电信息采集系统中的应用 [J], 李蚌蚌
3.一种基于RBAC的权限管理模型在校园信息系统中的应用 [J], 生家锋
4.一种基于扩展RBAC的访问控制模型在SSL VPN系统中的应用 [J], 徐博; 郭淑琴; 陆敏飞
5.基于RBAC扩展的权限模型在用电信息采集系统中的应用 [J], 李蚌蚌
因版权原因，仅展示原文概要，查看原文内容请购买。

扩展的RBAC模型在数据共享服务平台中的应用袁文礼;陈平华;熊建斌【摘要】针对数据共享服务平台在实际运行中存在的权限管理的复杂性和数据的安全性问题,首先,分析了传统的RBAC(基于角色的访问控制)模型,然后,结合数据共享服务平台的实际需求,对典型的RBAC模型进行了扩展,经过扩展后的模型对角色和客体进行了抽象,增添了“特征”的概念,粗化了权限和角色的粒度,有效地减少了角色、权限的数量.此方案已经在数据共享服务平台中得到应用,结果表明这种扩展的RBAC模型不但有效地降低了授权管理的复杂度,而且让系统的维护和扩展变得更方便.最后给出了该模型在数据共享服务平台中的应用实例.%On the basis of analyzing the traditional RBAC (Role Based Access Control) model, with the actual demand of the data sharing service platform, extended RBAC model, in connection with the complexity of rights management and data security issues in actual operation of the data sharing service platform. Extended RBAC model abstracted the role and object, added a " feature" concept , coarsened the granularity of permissions and roles,these can effectively reduce the number of roles and privileges. This program has been applied in the data sharing service platform, the result shows that this model can effectively reduce the complexity of authorization management , and makes it convenient to be maintained and extended. Finally, the application example of this model in the data sharing service platform was given.【期刊名称】《计算机技术与发展》【年(卷),期】2012(022)008【总页数】5页(P221-224,228)【关键词】RBAC模型;数据共享;权限控制;角色【作者】袁文礼;陈平华;熊建斌【作者单位】广东工业大学计算机学院,广东广州 510006;广东工业大学计算机学院,广东广州 510006;广东工业大学计算机学院,广东广州 510006【正文语种】中文【中图分类】TP390 引言随着计算机技术的发展，政府和企业管理的信息化越来越普及，在不同时期根据不同需求建立了各种各样的应用系统。

扩展的RBAC模型在门户统一用户管理系统中的应用的开题报告一、选题背景随着互联网技术的发展，门户网站统一用户管理系统越来越被广泛应用于企业内部管理、政府公共服务、教育培训等领域。

门户网站统一用户管理系统主要通过集中管理、认证和授权来保障安全、方便的用户访问。

角色基于访问控制（RBAC）模型是一种常见的访问控制策略，通过角色与权限之间的关系来管理网站的访问权限，从而保障门户网站统一用户管理系统的安全性。

然而，传统的RBAC模型只适用于静态的、有限的授权管理，无法满足日益复杂的门户网站系统对动态、灵活、细粒度授权管理的需求，因此需要扩展RBAC模型，以满足门户网站统一用户管理系统的安全需求。

二、研究内容本研究将扩展RBAC模型应用于门户网站统一用户管理系统中，主要包括：1. 分析门户网站统一用户管理系统的授权需求，研究现有的RBAC模型所存在的问题，并提出扩展RBAC模型的需求。

2. 提出扩展RBAC模型的设计方案，包括基于属性的访问控制（ABAC）和基于策略的访问控制（PBAC）的方式，以及动态角色分配、角色委派和分级授权等特性的实现方式。

3. 根据门户网站统一用户管理系统的需求和设计方案，设计并实现扩展RBAC模型，并在模拟环境下进行测试和评估。

4. 结合门户网站统一用户管理系统实际应用，优化扩展RBAC模型的实现，提高系统安全性和操作效率。

三、研究意义本研究主要针对门户网站统一用户管理系统的安全需求进行探索和实践，扩展RBAC模型的应用必将在门户网站统一用户管理系统的实际应用中得到广泛应用和推广，具有重要的研究意义和实际价值。

1.丰富RBAC模型的授权特性，满足门户网站统一用户管理系统的动态、灵活、细粒度的访问授权需求，提高系统的安全性。

2. 为门户网站统一用户管理系统的设计和实现提供参考和指导，推动门户网站统一用户管理系统的应用和发展。

3. 基于扩展RBAC模型的特性和实现方式，对访问控制和安全领域的研究和发展提供启示和借鉴。

扩展RBAC模型及其在ERP系统中的应用
于小兵;郭顺生;杨明忠
【期刊名称】《计算机工程》
【年(卷),期】2009(35)24
【摘要】基于Core RBAC模型,提出扩展RBAC(基于角色访问控制)模型.该模型细化了客体集、操作集,提出了组别的概念,并对权限进行三维约束,实现了面向应用的RBAC体系结构,增强了系统的安全性和易维护性.结合企业信息化的典型代表--ERP系统,对扩展RBAC模型的具体实施进行分析.企业应用结果表明,该模型适用于企业信息化建设.
【总页数】3页(P165-167)
【作者】于小兵;郭顺生;杨明忠
【作者单位】武汉理工大学机电工程学院湖北省数字制造重点实验室,武汉,430070;武汉理工大学机电工程学院湖北省数字制造重点实验室,武汉,430070;武汉理工大学机电工程学院湖北省数字制造重点实验室,武汉,430070
【正文语种】中文
【中图分类】TP309.2
【相关文献】
1.一种RBAC优化模型在大型煤矿ERP系统中的应用 [J], 刘新强;曾兵义
2.基于RBAC扩展的权限模型在用电信息采集系统中的应用 [J], 李蚌蚌
3.一种基于扩展RBAC的访问控制模型在SSL VPN系统中的应用 [J], 徐博; 郭淑
琴; 陆敏飞
4.基于RBAC扩展的权限模型在用电信息采集系统中的应用 [J], 李蚌蚌
5.一种扩展的RBAC模型及其在信息系统开发中的应用 [J], 宋万里;张海飞;吴炜峰;何文洁
因版权原因，仅展示原文概要，查看原文内容请购买。

1 RBAC模型访问控制是针对越权使用资源的防御措施。

基本目标是为了限制访问主体<用户、进程、服务等）对访问客体<文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么[1]。

企业环境中的访问控制策略一般有三种：自主型访问控制方法、强制型访问控制方法和基于角色的访问控制方法<RBAC）。

其中，自主式太弱，强制式太强，二者工作量大，不便于管理[1]。

基于角色的访问控制方法是目前公认的解决大型企业的统一资源访问控制的有效方法。

其显著的两大特征是：1.减小授权管理的复杂性，降低管理开销；2.灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。

NIST<The National Institute of Standards and Technology，美国国家标准与技术研究院）标准RBAC模型由4个部件模型组成，这4个部件模型分别是基本模型RBAC0<Core RBAC）、角色分级模型RBAC1<Hierarchal RBAC）、角色限制模型RBAC2<Constraint RBAC）和统一模型RBAC3<Combines RBAC）[1]。

RBAC0模型如图1所示。

a. RBAC0定义了能构成一个RBAC控制系统的最小的元素集合。

在RBAC之中,包含用户users(USERS>、角色roles(ROLES>、目标objects(OBS>、操作operations(OPS>、许可权permissions(PRMS>五个基本数据元素，权限被赋予角色,而不是用户，当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的权限。

会话sessions是用户与激活的角色集合之间的映射。

RBAC0与传统访问控制的差别在于增加一层间接性带来了灵活性，RBAC1、RBAC2、RBAC3都是先后在RBAC0上的扩展。

既灵活又可重用--基于组件的RBAC应用模型
洪帆;叶身兴
【期刊名称】《计算机安全》
【年(卷),期】2005(000)001
【摘要】基于角色的访问控制(RBAC)提供了一种简单、灵活和方便的访问控制机制,只给角色分配权限,用户通过成为角色的成员而获得权限.组件(Component)技术提供面向对象、程序设计语言无关性、支持拖放和即插即用的软件开发概念.本文提出一种基于组件技术的RBAC应用模型,该模型既有RBAC的灵活性,又有组件的可重用性.
【总页数】2页(P20-21)
【作者】洪帆;叶身兴
【作者单位】华中科技大学计算机科学与技术学院;华中科技大学计算机科学与技术学院
【正文语种】中文
【相关文献】
1.基于RBAC的灵活集团委托模型 [J], 孙伟;汪磊;鲁骏
2.基于RBAC模型的权限组件 [J], 王志瑞;顾问;刘正涛
3.基于RBAC的灵活代理委托模型 [J], 孙伟;王淑礼;邬长安
4.基于改进RBAC模型的通用用户权限组件设计与实现 [J], 孙逊;鲜学丰;廖黎莉
5.基于RBAC的高灵活度权限管理与控制模型的研究 [J], 张家玥;魏嘉银;杨珉;张达敏
因版权原因，仅展示原文概要，查看原文内容请购买。