RBAC中用户激活约束研究.pdfVIP

全国网络与信息安全技术研讨会’助7 ·瑞矿· RBAC中的用户激活约束研究 袁中兰1，夏光升2，李小标2，代战峰2 100876) (1．北京交通大学计算机与信息技术学院，北京 1000044；2．北京邮电大学信息安全中心，北京 摘要： 对RBAC中的角色激活特性进行研究，提出了带有用户激活特性的URBAC模型和TURBAC模 型。 关键词： RBAC，角色，用户激活 RearchOntheConstraintofUser inRBAC Activity YUAN Xiao．bia02，DAI Zhong。lanl，XIAGuang．shen92，LI Zhan．fen92 (1．Computer JiaotongUniversity，BeijinglO0044)、(2．BeijingUniversityofPostsandTeleeommunieationa, andIaformatioaTechnology,Beijing Beijing100876) On Abstract：NewaccesscontrolmodelsnamedURBACandTURBACarc basedtheresearchonthe proposed constraintofuser inRBAC． activity words： keywords：keyRBAC；Role；UserActivity I引言 随着信息技术和计算机技术的不断发展和大规模应用，信息系统中需要保护的资源越来越多，对信 息系统，特别是大型信息系统中的资源的访问控制成为一个日益紧迫的问题。1992年，由美国NIST的研 access Mansion大学的Sandhu教授正式提出了比较完整的基于 contr01)技术[1]，1996年美国George 角色访问控制框架RBAC96模型，此后国内外研究者在RBAC96模型的基础上提出了许多扩展模型。由于 RBAC易于管理，可以有效地减少大型系统安全管理成本、管理复杂性和发生错误的概率，而且能为管理 员提供一个比较好的实现安全政策的环境，十多年来，得到了研究机构和工业界的广泛关注，逐渐成为 在信息安全领域访问控制方面的研究热点和重点。 虽然RBAC96模型已经被广泛接受，但没有对其中的约束模型(RBAc2)给出详尽的形式化定义和系 统的描述，这极大地削弱了系统的安全性和模型的描述能力，因此约束从一开始就是RBAc研究的主要内 容之一，研究者通过扩展RBAc的约束来增强它的表达能力，以适应不同情况下的权限管理。早期对约束 的研究主要集中在权责分离上[3-6]，后来其研究内容扩展到其他方面，包括角色的用户数目约束[2]、 时间和依赖性约束[7-11]等。 然而迄今为止，很少有人关注到授权管理中的用户的重要性：用户是P,BAC中的重要组成部分，是RBAC 中的主体。在实际应用环境中，在某个角色被激活时，可能需要其他用户的合作才能完成。例如： 1) 银行处理人民币业务的柜员可能被指派了可以进行大额取款的角色，但在激活该角色时，可能 需要主管给予配合，但是主管可能又不具备使用大额取款角色指派的权限； 2) 在涉密文件的访问过程中，访问者可能需要多个被指派相同角色的足够数量的用户共同协助， ·衙· 全国霸络与信息安全技术研讨会’900／ 才能激活该相应角色来访问涉密文件。 因此，角色和用户之间，除了存在RBAC中描述的指派关系外，还存在用户对角色的作用关系。本文 正是从