基于角色的訪問控制技術(shù)研究及應(yīng)用.pdf

1、隨著網(wǎng)絡(luò)時代的日益發(fā)展，網(wǎng)絡(luò)安全更加重要，訪問控制技術(shù)可以控制對關(guān)鍵資源的訪問，防止非法用戶的侵入或合法用戶的不慎操作造成的破壞，但是傳統(tǒng)的訪問控制已經(jīng)不能滿足安全性需求。由此提出了基于角色的訪問控制(RBAC)，它在用戶和權(quán)限之間加入了角色，使用戶和權(quán)限間接關(guān)聯(lián)，角色是根據(jù)用戶在企業(yè)中的職權(quán)和責(zé)任來分配的，實現(xiàn)了用戶和權(quán)限的邏輯分離。所以增強了權(quán)限控制的靈活性，減少了授權(quán)管理的復(fù)雜性，降低了管理開銷。這樣就在繼承傳統(tǒng)訪問控制優(yōu)勢的基礎(chǔ)

2、上，克服了傳統(tǒng)訪問控制的不足。
　　本文首先對傳統(tǒng)的訪問控制自主訪問控制(DAC)和強制訪問控制(MAC)進行簡要的分析，并與基于角色的訪問控制RBAC進行了比較。然后詳細描述了RBAC96模型、ARBAC97模型和ARBAC02模型，分析了RBAC模型的特點和優(yōu)勢。根據(jù)RBAC模型的不足，對RBAC模型進行了改進，本文為角色和權(quán)限加入了職能屬性，采用分散分配機制，管理員根據(jù)職能將管理權(quán)分派給下級管理角色，由下級管理角色進行相應(yīng)職

3、能的角色和權(quán)限的分配，這種分散分配機制有效減輕了管理員的負擔(dān);加入審計功能，審計員可以向管理員提交審計報告以避免非法用戶進行的不當(dāng)操作;針對管理員權(quán)限過大的問題，加入了監(jiān)督員角色，對于權(quán)限等級過高的權(quán)限分配需要監(jiān)督員審核后才能分配給角色，增加了權(quán)限分配的安全性;同時管理員可以禁用用戶賬號，增加角色數(shù)量限制，進一步提高了系統(tǒng)的安全性;將權(quán)限細分為操作和客體，并且把不需要被其他角色繼承的權(quán)限設(shè)定為私有權(quán)限，保證了權(quán)限的細粒度分配和選擇性繼承