【摘要】：基于角色的訪問控制機制與傳統(tǒng)訪問控制機制相比具有眾多的優(yōu)點,從而成為企業(yè)建立安全應用的首選模型.而要體現(xiàn)基于角色訪問控制機制的優(yōu)點,則首先需要通過角色工程技術從企業(yè)也已存在的非角色訪問控制系統(tǒng)出發(fā)構建適合企業(yè)安全需要的基于角色的訪問控制系統(tǒng),從而推動了角色工程技術成為計算機學科的一個熱點研究課題.文中從基于角色的訪問控制機制的優(yōu)點出發(fā),簡要介紹了角色工程技術的基本原理,總結了角色工程技術及角色優(yōu)化的分類,評述了自頂向下和自底向上角色工程技術的特點,闡述了角色更新的意義,最后對角色工程技術的發(fā)展趨勢進行了展望.
文內圖片：
圖片說明： 分析系統(tǒng)中所有的功能需求并構建適合各功能需求所對應的角色和權限，然后再分析每個用戶的業(yè)務邏輯從而實現(xiàn)用戶和角色之間的映射來構建基于角色的訪問控制系統(tǒng)．在自頂向下角色工程技術中，F(xiàn)ernadez等人［8］在對企業(yè)用例及用例序列分析的基礎上獲取用例所需權限以及構建描述用例所對應角色的方法來構建基于角色的訪問控制系統(tǒng);GustalNeumann等人［9］在分析場景的基礎上來構建各場景所需角色及權限，并最終基于場景所對應的角色進來構建適合企業(yè)功能和安全需求的訪問控制系統(tǒng)．自頂向下角色工程方法的流程如圖1所示，其一般過程可描述如下．圖1自頂向下角色工程方法流程Fig．1Top-downroleengineeringprocess1)分析系統(tǒng)用例并通過場景的方式對用例進行標注和模型化;2)將場景的每一步操作轉化為操作+對象的形式并用一個唯一的標識符將該操作+對象表示為權限的形式，如Perm_1={operation，object};3)分析并定義系統(tǒng)所需約束并將其存儲于約束目錄當中;4)利用面向對象程序設計思想中定義類層次結構的方法對初始獲取到的場景模型進行更進一步的合并與分拆，以確保場景模型的完整性;5)依據獲取到的約束分析不同的場景進而定義任務和用戶任務集合，并通過任務、任務集合以及權限集合構建訪問控制系統(tǒng)所需角色集合以及角色與角色之間的層次關系，并基于此構建基于角色的訪問控制系統(tǒng)．自頂向下角色工程技術從企業(yè)特定業(yè)務邏輯出發(fā)，基于領域專家知識構建基于角色的訪問控制系統(tǒng)，確保了系統(tǒng)的功能性和安全性需求可以通過構建的角色進行合理地映射．然而對于擁有眾多用戶和包含大量業(yè)務邏輯的企業(yè)來說，該方法卻顯得費時費力并難以執(zhí)行．基于此，角色工程技術的研究重點逐漸轉移到如何通過系統(tǒng)中已有的用戶和權限之間的
文內圖片：
圖片說明： ，然而該方法生成的角色的解釋性較差，缺乏相應的語義信息．基于此，IanMolloy等人［14］利用概念格(ConceptLattices)的方式對僅含有用戶和權限之間分配關系的系統(tǒng)所生成的角色進行優(yōu)化，使得生成的角色具有更好的語義信息和層次關系，并設計了屬性挖掘(AttributeMiner)算法對包含有用戶屬性信息的系統(tǒng)進行角色生成，從而使得生成的角色在反映系統(tǒng)需求的同時，能合理表征用戶相關屬性信息，從而確保生成的訪問控制系統(tǒng)更加具有可解釋性，從而較好地實現(xiàn)了自頂向下角色工程技術與自底向上角色工程技術的有機融合．圖2表示的角色和用戶及用戶和角色之間的分配關系圖Fig．2Graphrepresentationofroletousersandroletopermissionassignments2)基于圖論的思想．該優(yōu)化方法首先通過系統(tǒng)生成的角色、角色與用戶間的分配關系以及角色和權限之間的分配關系入手構建如圖2所示的角色和用戶及用戶和角色之間的分配關系圖，并基于該分配關系圖對事先選取的優(yōu)化標準進行動態(tài)優(yōu)化，以其獲得滿足特定要求的結果集，從而達到優(yōu)化ＲBAC系統(tǒng)的目的．其中DanaZhang等人［15］通過圖優(yōu)化算法(GraphOptimizationAlgorithm)使得新生成的角色間的層次關系能達到減少角色和用戶、權限和用戶之間分配邊多少的目的，從而間接減輕了系統(tǒng)實施角色分配的復雜度，以達到優(yōu)化構建基于角色訪問控制系統(tǒng)的目的，充分發(fā)揮基于角色訪問控制系統(tǒng)的優(yōu)勢;Ene等人［18］利用貪心算法以其找到能反映系統(tǒng)給定的用戶和權限之間分配關系的最小角色集合，，從而到達優(yōu)化系統(tǒng)的目的．3)基于權限權重的思想．傳統(tǒng)角色挖掘方法以全部權限擁有同等地位，具有同樣重要程度進行角色生成和系統(tǒng)構建的，然而在現(xiàn)實系統(tǒng)當中，不同權限的重要程度是不一樣的，例如:針對醫(yī)院信息?
【作者單位】： 南陽師范學院計算機與信息技術學院;華中科技大學計算機科學與技術學院;卡塔爾大學工程學院;
【基金】：國家自然科學基金項目(61173170,60873225)資助
【分類號】：TP393.08

【相似文獻】

相關期刊論文 前10條

1 隆益民;防火墻技術[J];現(xiàn)代計算機;2000年09期

2 李江立;;淺析網絡應用風險與安全防范[J];金融電子化;2001年01期

3 趙遐,懷進鵬;基于XML的多粒度訪問控制系統(tǒng)[J];計算機工程與應用;2002年21期

4 劉道斌,白碩;基于工作流狀態(tài)的動態(tài)訪問控制[J];計算機研究與發(fā)展;2003年03期

5 龔靜;計算機網絡安全策略的探討[J];福建電腦;2004年05期

6 孔芳;應用層用戶安全機制的設計研究[J];計算機與現(xiàn)代化;2005年02期

7 郭瑞旭 ,何新民;訪問控制框架中的策略加權[J];計算機安全;2005年05期

8 周兆祥;校園網絡的安全[J];廣西大學學報(自然科學版);2005年03期

9 蔡筱梅;朱宏;;在PKI中構建PRBAC應用的研究與實現(xiàn)[J];福建電腦;2006年02期

10 傅翠嬌;曹慶華;;計算機網絡系統(tǒng)安全漏洞的研究[J];現(xiàn)代電子技術;2006年01期

相關會議論文 前10條

1 鐘鳴;周斌;賈焰;;基于角色的訪問控制在Web服務中的研究與實現(xiàn)[A];第二十一屆中國數據庫學術會議論文集（技術報告篇）[C];2004年

2 周鋼;;操作系統(tǒng)訪問控制機制的安全性分析和測試[A];第14屆全國計算機安全學術交流會論文集[C];1999年

3 張平;谷利澤;楊義先;;局域網內身份認證和設備訪問控制的新技術[A];第一屆中國高校通信類院系學術研討會論文集[C];2007年

4 萬仲保;吳軍;;基于角色訪問控制組件的設計與實現(xiàn)[A];全國計算機安全學術交流會論文集（第二十二卷）[C];2007年

5 普繼光;佘X;;基于角色的訪問控制技術[A];第九屆全國青年通信學術會議論文集[C];2004年

6 邢攸姿;;舉起信息安全的大旗 保證網絡與信息安全[A];中國航海學會航標專業(yè)委員會測繪學組學術研討會學術交流論文集[C];2006年

7 周國勇;;基于多重訪問控制的網絡邊界防御技術研究[A];全國計算機安全學術交流會論文集（第二十四卷）[C];2009年

8 許訪;沈昌祥;;基于任務的強制訪問控制模型[A];第十八次全國計算機安全學術交流會論文集[C];2003年

9 鄒翔;沈寒輝;;政府/行業(yè)網絡信息交換與共享安全體系及關鍵技術研究[A];全國計算機安全學術交流會論文集（第二十二卷）[C];2007年

10 楊晨;馬文平;王新梅;;基于智能卡的用戶認證訪問控制方案[A];2006北京地區(qū)高校研究生學術交流會——通信與信息技術會議論文集（下）[C];2006年

相關重要報紙文章 前10條

1 安廣;讓證券公司網絡更安全[N];計算機世界;2002年

2 CPW記者　曾憲勇;Sinfor M5100-AC訪問控制機制完善[N];電腦商報;2005年

3 本報記者 胡英;訪問控制[N];計算機世界;2002年

4 孫成;修改文件訪問控制權限 我用Cacls.exe[N];中國電腦教育報;2004年

5 張兵;利用WinSock2 SPI 進行網絡內容訪問控制[N];網絡世界;2002年

6 王小強;用戶級訪問控制的實現(xiàn)[N];電腦報;2003年

7 丁仁義;訪問控制守隘[N];中國計算機報;2002年

8 ;細粒度的訪問控制和日志管理[N];中國計算機報;2003年

9 湖北省房縣縣委黨校網絡中心 王 銳;搭建校園網安全訪問控制體系[N];計算機世界;2004年

10 ;摸索中的身份管理[N];網絡世界;2006年

相關博士學位論文 前10條

1 江頡;面向電子服務的訪問控制關鍵技術研究[D];浙江大學;2010年

2 蔡偉鴻;基于EUCON的訪問控制技術研究[D];華南理工大學;2012年

3 李赤松;訪問控制中授權一致性問題的研究[D];華中科技大學;2012年

4 陳溪源;基于角色的訪問控制在分布式環(huán)境下應用的關鍵問題研究[D];浙江大學;2010年

5 顏學雄;Web服務訪問控制機制研究[D];解放軍信息工程大學;2008年

6 滕猛;分布對象中間件安全關鍵技術研究[D];國防科學技術大學;2003年

7 張方舟;分布式環(huán)境下資源訪問控制關鍵問題研究[D];中國科學院研究生院（計算技術研究所）;2006年

8 沈玉龍;無線傳感器網絡數據傳輸及安全技術研究[D];西安電子科技大學;2007年

9 閆璽璽;開放網絡環(huán)境下敏感數據安全與防泄密關鍵技術研究[D];北京郵電大學;2012年

10 李春艷;分級防火墻系統(tǒng)中動態(tài)訪問控制技術研究[D];哈爾濱工程大學;2004年

相關碩士學位論文 前10條

1 王新勝;RBAC模型的研究及其應用框架的實現(xiàn)[D];江蘇大學;2003年

2 張少華;多域訪問控制環(huán)境中的安全性分析研究[D];湖南大學;2010年

3 袁洪濤;北內PDM信息系統(tǒng)安全策略的研究與應用[D];北京工業(yè)大學;2011年

4 李凱豐;多租戶模式下的信息系統(tǒng)安全問題研究[D];西安電子科技大學;2011年

5 黃連紅;基于權限控制的信息采集與發(fā)布系統(tǒng)[D];華北電力大學（北京）;2011年

6 王宇峰;網絡數據庫安全技術研究[D];西南石油學院;2003年

7 袁娟;分布式路由平臺中的訪問控制研究[D];山東大學;2010年

8 王清山;基于角色的校園網Web服務訪問控制的設計與實現(xiàn)[D];電子科技大學;2010年

9 陳海勇;基于SDSI規(guī)范的RBAC原型設計與實現(xiàn)[D];中國人民解放軍信息工程大學;2003年

10 卿利;安全子網的雙向認證訪問控制研究[D];電子科技大學;2003年

本文編號：2514575