角色工程中的角色與約束生成方法研究.pdf

1、基于角色的訪問控制（Role-Based Access Control，RBAC）是一種廣泛應(yīng)用的訪問控制機制，該機制中權(quán)限不再直接分配給用戶，而是通過將權(quán)限與角色關(guān)聯(lián)，用戶通過扮演角色來間接獲得其所需權(quán)限，從而完成其所要完成的任務(wù)。利用基于角色的訪問控制機制可以支持職責(zé)分離原則、最小權(quán)限原則以及數(shù)據(jù)抽象功能。作為構(gòu)建和維護RBAC 系統(tǒng)的角色工程技術(shù)（Role Engineering）一般分為自頂向下（Top-Down）的方法和自底向

2、上（Bottom-Up）的方法。通常，自頂向下的方法通過對大量的企業(yè)用例或業(yè)務(wù)邏輯進行分析，進而抽取相應(yīng)的角色，并為角色分配相應(yīng)的權(quán)限，從而構(gòu)建RBAC系統(tǒng)；而自底向上的方法通過分析系統(tǒng)中已經(jīng)存在的用戶和權(quán)限之間的分配關(guān)系，利用數(shù)據(jù)挖掘技術(shù)從中得到能反映這一分配關(guān)系所對應(yīng)的角色，并構(gòu)建角色層次，從而構(gòu)建系統(tǒng)，由于該方法能實現(xiàn)自動化或半自動化處理，從而成為角色工程技術(shù)研究的重點。
　　 針對現(xiàn)有角色工程技術(shù)將用戶所擁有的不同權(quán)限看

3、成是同等重要，擁有同樣的地位，從而造成包含有重要權(quán)限但出現(xiàn)頻率較低的角色不被發(fā)現(xiàn)，進而造成重要角色丟失的問題。提出一種基于權(quán)限權(quán)重的角色生成算法，算法利用權(quán)限間的初始相似度與用戶間的初始相似度所獲得到的加強相似度信息來獲取權(quán)限的權(quán)重信息，進而利用該權(quán)重信息實現(xiàn)角色的生成。同時從實驗角度驗證算法的效率和準確性，并與現(xiàn)有算法比較，實驗結(jié)果表明基于權(quán)限權(quán)重的角色生成算法可在較短的時間內(nèi)完成角色的生成，并具有較高的準確率。
　　 針對現(xiàn)

4、有角色工程技術(shù)不能發(fā)現(xiàn)系統(tǒng)所需訪問控制約束的問題，定義了RBAC系統(tǒng)下的訪問控制約束，分析了這些訪問控制約束的本質(zhì)及其對系統(tǒng)安全的影響，并提出了基于頻繁權(quán)限項集的約束生成算法，該算法通過減少掃描用戶權(quán)限分配表的次數(shù)和掃描數(shù)據(jù)的規(guī)模以達到降低算法計算開銷的目的。實驗結(jié)果表明基于頻繁權(quán)限項集的約束生成算法的生成精度和效率均得到了提高。
　　 研究了RBAC 系統(tǒng)下最小權(quán)限原則問題。首先，針對傳統(tǒng)最小權(quán)限原則問題研究沒有考慮約束以及權(quán)

5、限冗余的問題，提出了δ近似最小權(quán)限原則問題和minimizing-approx 最小權(quán)限原則問題，并給出了規(guī)范化的定義；其次，針對傳統(tǒng)最小權(quán)限原則問題把所有權(quán)限以及角色看成是同等重要的問題，提出了基于權(quán)重的最小權(quán)限原則優(yōu)化問題，從而用來描述滿足同一最小權(quán)限原則問題的角色組合之間的優(yōu)劣；接著，分析了不同情況下的最小權(quán)限原則問題及其優(yōu)化問題的計算復(fù)雜度；
　　 最后給出了求解不同最小權(quán)限原則問題的遺傳算法，實例分析與性能評估表明了所