基于角色的訪問控制研究

孫俊麗

摘 要： 本文基于角色的訪問控制，簡單介紹了核心思想，詳細(xì)分析了RBAC96模型，歸納了工作原理，為更深入研究奠定了理論基礎(chǔ)。

關(guān)鍵詞： 角色 訪問控制 模型

20世紀(jì)90年代初期，美國國家標(biāo)準(zhǔn)和技術(shù)研究院[2]對一種新的訪問控制技術(shù)著手組織——基于角色的訪問控制技術(shù)（RBAC）。這種技術(shù)能優(yōu)化授權(quán)管理，通過弱化授權(quán)管理的復(fù)雜性、降低管理開銷等提高各項(xiàng)特性[3]，還能提供一個(gè)比較好的安全環(huán)境給管理員。

1.RBAC總體描述

RBAC的核心思想就是將角色與訪問權(quán)限聯(lián)系起來，通過對用戶分配合適的角色，讓用戶與訪問權(quán)限相聯(lián)系。系統(tǒng)管理員可以根據(jù)職能或機(jī)構(gòu)的需求策略，創(chuàng)建角色、對角色分配權(quán)限和對用戶分配角色。用戶可以根據(jù)需要進(jìn)行角色轉(zhuǎn)換，系統(tǒng)可以添加、編輯和刪除角色，還可以對角色進(jìn)行權(quán)限的添加和刪除。

2.RBAC模型

RBAC96模型是1996年由Ravi Sandhu等人提出來的。該模型為開發(fā)實(shí)際的應(yīng)用系統(tǒng)提供了一個(gè)總方針，并為RBAC用戶提供了評判系統(tǒng)的標(biāo)準(zhǔn)。

該模型分四個(gè)層次，具有如圖1所示的包含關(guān)系。

圖1 RBAC96模型間的關(guān)系

RBAC0是最基本的模型，包含了RBAC模型的核心部分，規(guī)定了任何RBAC系統(tǒng)所必需的最小需求。RBAC1在RBAC0基礎(chǔ)上定義了角色的繼承關(guān)系，在RBAC0的基礎(chǔ)上增加了角色等級(jí)。RBAC2在RBAC0基礎(chǔ)上定義了限制的概念。RBAC3是一個(gè)完整的RBAC模型，在包含了RBAC0的基礎(chǔ)上，也包含了RBAC1和RBAC2。

定義1：RBAC0（基本模型）包含如下元素：

（1）若干實(shí)體集U，R，P，S：用戶集，角色集，權(quán)限集，會(huì)話集。

（2）UA？哿U×R，用戶與角色分配，多對多的關(guān)系。

（3）PA？哿P×R，權(quán)限與角色分配，多對多的關(guān)系。……