基于角色的訪問控制技術研究及應用.pdf

1、隨著網絡時代的日益發(fā)展，網絡安全更加重要，訪問控制技術可以控制對關鍵資源的訪問，防止非法用戶的侵入或合法用戶的不慎操作造成的破壞，但是傳統(tǒng)的訪問控制已經不能滿足安全性需求。由此提出了基于角色的訪問控制(RBAC)，它在用戶和權限之間加入了角色，使用戶和權限間接關聯，角色是根據用戶在企業(yè)中的職權和責任來分配的，實現了用戶和權限的邏輯分離。所以增強了權限控制的靈活性，減少了授權管理的復雜性，降低了管理開銷。這樣就在繼承傳統(tǒng)訪問控制優(yōu)勢的基礎

2、上，克服了傳統(tǒng)訪問控制的不足。
　　本文首先對傳統(tǒng)的訪問控制自主訪問控制(DAC)和強制訪問控制(MAC)進行簡要的分析，并與基于角色的訪問控制RBAC進行了比較。然后詳細描述了RBAC96模型、ARBAC97模型和ARBAC02模型，分析了RBAC模型的特點和優(yōu)勢。根據RBAC模型的不足，對RBAC模型進行了改進，本文為角色和權限加入了職能屬性，采用分散分配機制，管理員根據職能將管理權分派給下級管理角色，由下級管理角色進行相應職

3、能的角色和權限的分配，這種分散分配機制有效減輕了管理員的負擔;加入審計功能，審計員可以向管理員提交審計報告以避免非法用戶進行的不當操作;針對管理員權限過大的問題，加入了監(jiān)督員角色，對于權限等級過高的權限分配需要監(jiān)督員審核后才能分配給角色，增加了權限分配的安全性;同時管理員可以禁用用戶賬號，增加角色數量限制，進一步提高了系統(tǒng)的安全性;將權限細分為操作和客體，并且把不需要被其他角色繼承的權限設定為私有權限，保證了權限的細粒度分配和選擇性繼承