基于屬性規則的PRBAC參數模型研究與實現

歐陽榮彬，劉云峰，龍新征

(北京大學 計算中心，北京 100871)

基于屬性規則的PRBAC參數模型研究與實現

歐陽榮彬，劉云峰，龍新征

(北京大學 計算中心，北京 100871)

PRBAC模型可以實現細粒度的數據訪問控制.論文分析了以往有關RBAC數據權限的研究，總結了具體的實踐探索經驗，提出一種基于屬性規則的PRBAC參數模型，以實現通用的數據權限管理.筆者闡述了模型的設計思路，包括數據權限規則的形式組成、具體含義，還闡述了模型的實現方案，包括規則的實現形式、PRBAC參數應用時機、規則校驗的主要實現算法，以及相關的技術要點.論文還結合該模型在北京大學IAAA系統的應用實踐闡述了模型的優勢，即數據權限規則設置具有較強的通用性，靈活而便捷，最后指出模型實現方案可以在規則沖突檢驗方面進一步完善.

訪問控制；數據權限；PRBAC；屬性規則；參數模型

0 引言

1992年文獻[1]提出了基于角色的訪問控制模型(role-based access control， RBAC)，之后有關RBAC的研究不斷發展，并形成了相關標準.NIST(The National Institute of Standards and Technology，美國國家標準與技術研究院)的標準定義了三類RBAC模型，分別是基本模型(core RBAC)、角色分層模型(hierarchal RBAC)、角色限制模型(constraint RBAC)[2].

目前，RBAC模型已經成為一種廣泛應用的訪問控制模型，其簡潔、可擴展、易管理的特性被廣泛認可.在實際應用中，當一批用戶具有同等的功能權限，他們被授予一個相同的角色，但是這些用戶可以操作的數據對象卻可能是各不相同的，即他們應當具有相應的數據權限.RBAC標準模型并沒有明確定義數據權限模型，也沒……