[论文报告—基于角色的访问控制模型分析.pptVIP

定义1 对RBAC0模型定义如下： U,R,P,S (用户，角色，许可，回话) PA?P? R (许可分配，多对多的关系) UA?U? R (用户分配，多对多的关系) User:S→U (每一会话si对应单一用户user(si)的映射) Roles:S→2R (会话si到角色集合role(si) ?{r | (user(si), r) ∈UA}的映射，并且si具有许可Ur ∈ roles (si) {p | (p, r) ∈PA}) 定义2 对RBAC1模型定义如下： U,R,P,S ,PA,UA与RBAC0相同 RH?R? R (是关于R的关系) Roles:S?2R (其中roles(si) ?{r|(?r‘≥r)[(user(si), r’)∈UA} 以及会话si具有许可Ur ∈ roles (si) { p |(?r‘≥r)[(p, r’)∈PA] }) 定义3 对RBAC2模型定义如下： RBAC2同样以RBAC0为基础，同时增加了条件集，用以限制RBAC0中各个组成部分，决定各个组成部分的值是否合法，只有合法的值才能更新模型。 定义4 对RBAC3模型定义如下： RBAC3同时包含了RBAC1和RBAC2，因此它具备了角色分级和约束条件，相应的，由于传递性，它间接地包含了个RBAC0。 正文 模型分析（2.2） （1）URA97：讨论对用户分配UA的管理。 管理角色等级图中的管理角色被授权对规则角色等级中各角色进行管理。例如图2(a)中管理角色PSO1可以指派用户为角色PE1，QE1，E1，但要求他们首先是角色ED的成员。 URA97中取消与分配无关，这与RBAC的宗旨相一致，即授予与取消成员资格是由于组织安全策略的原因而非仅仅靠单个管理者的意愿。例如，一个用户是PE1与E1的角色，PE1由E1继承而来，删除了用户的E1角色成员资格，它仍可通过角色PE1获得E1的许可。 （2）PRA97：讨论许可的分配与取消。 从角色的角度看，用户与许可科具有相同的特征。于是PRA97与URA97可一一对应。 （3）RRA97：角色-角色分配。 区分了3种角色： 能力角色(A)：只用于操作许可或其他能力角色作为其成员的角色。 组角色(G)：只拥有用户或其他组角色作为其成员的角色。 UP-Role角色(UPR)：对成员资格没有限制的角色。 正文 实现范例（3） 3.1 RBAC规则模型包括角色 总体基本角色TBR、部门基本角色DBRi、部门内部角色IDRij、部门负责人DLi、总负责人TD。 3.2 ARBAC规则模型包括角色 部门级安全员DSOi、企业级系统安全员SSO、部门内组级安全员IGSO。 3.3 运行方式 这个方案在企业的Internet上实现。 系统设置一个认证中心，用户登录后先向认证中心发送用户名和密码，得到确认后，用户端显示出其可拥有的角色。 选择规则角色，用户则直接进入角色操作 用户-角色分配 选择管理角色，则又分三种情况 许可-角色分配 角色-角色分配 《基于角色的访问控制模型分析》 ——论文汇报 2010年10月29日 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 论文来源及作者介绍 论文来源 刊物 中文核心期刊《计算机工程》 刊期 1999年8月 第25卷第8期 该杂志被收录情况 全国计算机类中文核心期刊 工业和信息化部精品期刊 英国《科学文摘》 俄罗斯《文摘杂志》 中国科技论文统计与分析用刊 中国科学引文数据库来源期刊 美国《剑桥科学文摘》 清华同方CNKI全文收录 万方数字化期刊群全文上网 美国《乌利希期刊指南》