角色工程中的角色與約束生成方法研究.pdf

1、基于角色的訪(fǎng)問(wèn)控制（Role-Based Access Control，RBAC）是一種廣泛應(yīng)用的訪(fǎng)問(wèn)控制機(jī)制，該機(jī)制中權(quán)限不再直接分配給用戶(hù)，而是通過(guò)將權(quán)限與角色關(guān)聯(lián)，用戶(hù)通過(guò)扮演角色來(lái)間接獲得其所需權(quán)限，從而完成其所要完成的任務(wù)。利用基于角色的訪(fǎng)問(wèn)控制機(jī)制可以支持職責(zé)分離原則、最小權(quán)限原則以及數(shù)據(jù)抽象功能。作為構(gòu)建和維護(hù)RBAC 系統(tǒng)的角色工程技術(shù)（Role Engineering）一般分為自頂向下（Top-Down）的方法和自底向

2、上（Bottom-Up）的方法。通常，自頂向下的方法通過(guò)對(duì)大量的企業(yè)用例或業(yè)務(wù)邏輯進(jìn)行分析，進(jìn)而抽取相應(yīng)的角色，并為角色分配相應(yīng)的權(quán)限，從而構(gòu)建RBAC系統(tǒng)；而自底向上的方法通過(guò)分析系統(tǒng)中已經(jīng)存在的用戶(hù)和權(quán)限之間的分配關(guān)系，利用數(shù)據(jù)挖掘技術(shù)從中得到能反映這一分配關(guān)系所對(duì)應(yīng)的角色，并構(gòu)建角色層次，從而構(gòu)建系統(tǒng)，由于該方法能實(shí)現(xiàn)自動(dòng)化或半自動(dòng)化處理，從而成為角色工程技術(shù)研究的重點(diǎn)。
　　 針對(duì)現(xiàn)有角色工程技術(shù)將用戶(hù)所擁有的不同權(quán)限看

3、成是同等重要，擁有同樣的地位，從而造成包含有重要權(quán)限但出現(xiàn)頻率較低的角色不被發(fā)現(xiàn)，進(jìn)而造成重要角色丟失的問(wèn)題。提出一種基于權(quán)限權(quán)重的角色生成算法，算法利用權(quán)限間的初始相似度與用戶(hù)間的初始相似度所獲得到的加強(qiáng)相似度信息來(lái)獲取權(quán)限的權(quán)重信息，進(jìn)而利用該權(quán)重信息實(shí)現(xiàn)角色的生成。同時(shí)從實(shí)驗(yàn)角度驗(yàn)證算法的效率和準(zhǔn)確性，并與現(xiàn)有算法比較，實(shí)驗(yàn)結(jié)果表明基于權(quán)限權(quán)重的角色生成算法可在較短的時(shí)間內(nèi)完成角色的生成，并具有較高的準(zhǔn)確率。
　　 針對(duì)現(xiàn)

4、有角色工程技術(shù)不能發(fā)現(xiàn)系統(tǒng)所需訪(fǎng)問(wèn)控制約束的問(wèn)題，定義了RBAC系統(tǒng)下的訪(fǎng)問(wèn)控制約束，分析了這些訪(fǎng)問(wèn)控制約束的本質(zhì)及其對(duì)系統(tǒng)安全的影響，并提出了基于頻繁權(quán)限項(xiàng)集的約束生成算法，該算法通過(guò)減少掃描用戶(hù)權(quán)限分配表的次數(shù)和掃描數(shù)據(jù)的規(guī)模以達(dá)到降低算法計(jì)算開(kāi)銷(xiāo)的目的。實(shí)驗(yàn)結(jié)果表明基于頻繁權(quán)限項(xiàng)集的約束生成算法的生成精度和效率均得到了提高。
　　 研究了RBAC 系統(tǒng)下最小權(quán)限原則問(wèn)題。首先，針對(duì)傳統(tǒng)最小權(quán)限原則問(wèn)題研究沒(méi)有考慮約束以及權(quán)

5、限冗余的問(wèn)題，提出了δ近似最小權(quán)限原則問(wèn)題和minimizing-approx 最小權(quán)限原則問(wèn)題，并給出了規(guī)范化的定義；其次，針對(duì)傳統(tǒng)最小權(quán)限原則問(wèn)題把所有權(quán)限以及角色看成是同等重要的問(wèn)題，提出了基于權(quán)重的最小權(quán)限原則優(yōu)化問(wèn)題，從而用來(lái)描述滿(mǎn)足同一最小權(quán)限原則問(wèn)題的角色組合之間的優(yōu)劣；接著，分析了不同情況下的最小權(quán)限原則問(wèn)題及其優(yōu)化問(wèn)題的計(jì)算復(fù)雜度；
　　 最后給出了求解不同最小權(quán)限原則問(wèn)題的遺傳算法，實(shí)例分析與性能評(píng)估表明了所