何长龙，李伟平，魏明欣

    摘要：本文主要分析了采用RBAC模型的授权管理系统中，传统的用户?角色指派方法的发展和应用情况，并分析在分布环境下，由于用户数量巨大、指派关系复杂，其传统的用户?角色指派方法存在的问题会变得相当复杂。为此，本文继续对RB?RBAC模型分析的基础上，分析了一种角色自动指派的方法，并对该自动指派方法规则进行深入剖析和讨论，在此基础上，本文提出了独特的基于规则的授权管理系统设计和实现方法。?

    关键词： RBAC、URA、角色指派、规则、授权管理、自动化

1 引言?

    信息技术的飞速发展，加速了信息系统向网络化和分布式发展的历程，由于网络信息技术发展本身存在的技术缺陷，促使信息安全技术发展迫在眉睫，尤其是访问控制技术作为保护资源、防止非法访问的手段，已经成为信息安全不可缺少的基本方法。在分布式、大用户量、以及分级管理的环境下，基于传统访问控制模型设计的授权管理系统，已经越来越不能满足安全访问管理的要求。?

    近年来，基于角色的访问控制RBAC（Role Base Access）作为访问控制模型的理想候选，近年来得到了广泛的研究，并以其灵活性、方便性和安全性在许多系统中得到普遍应用，在用户数量较小的情况下，基于角色的访问控制模型不但可以有效地管理信息的存取，而且简化了数据授权与维护的管理程序，提升了数据的安全性，但是，随着网络应用业务复杂度的增加和应用范围的持续扩大，用户和角色数量快速增加，关系变得十分复杂，给用户?角色指派管理提出了巨大挑战。一个有吸引力的解决方案是：根据规则自动指派用户的角色。这个自动指派过程应当基于用户已拥有的属性进行。?

    本文将在对RBAC参考模型分析的基础上，指出其存在的局限性，介绍一种RBAC扩展模型，并对这种可管理的基于角色的访问控制模型进行详细说明后，给出该模型应用的示例及基于该模型设计的授权管理系统的架构。?

2 基于角色的访问控制技术 ?

    美国国防部1985年发布的可信计算机系统评估准则（TCSEC）中描述了两种典型的访问控制策略：自主访问控制（DAC）和强制访问控制（MAC）。在计算机应用系统中，信息不属于系统的某个用户而是属于某个机构或部门，访问控制要基于主体在机构中的职能，DAC不适用于这类需求，另外DAC授权管理繁琐，必须处理级联授权和每一个主体客体访问关系；而MAC在控制粒度上不满足最小特权原则，因为具有一定安全级别的主体可以访问与其安全级别相匹配的所有客体！此外，计算机系统的用户种类繁多，数量巨大，访问权限动态变化，因而使用DAC和MAC进行系统的安全管理变得很困难。?

    另外，随着对象的数量的增加，跨应用程序查询授予特定组或角色的访问权限会变得越来越困难。为了精确地确定给用户或组授予了何种权限，管理员必须检查每一个对象上的权限。虽然继承功能看起来简化了这方面的工作，但是每个对象都避免继承权限的能力仍使得有必要查看每个对象，以完全理解授权策略。由于有太多的对象需要查询，所以有时就很少检验关于特定组或用户的访问控制状态。基于角色的访问控制（RBAC）简化了访问控制管理，并且允许根据用户工作角色来管理权限，从而在组织中提供了更好的可管理性。?

    NIST RBAC参考模型在用户和访问权限之间引入了角色的概念，它的基本特征是根据安全策略划分角色，对每个角色分配操作许可；为用户指派角色，用户通过角色间接地对信息资源进行访问。?

 

图1NIST RBAC参考模型

(责任编辑：adminadmin2008)