一种基于组织扩展的RBAC模型EzRBAC的研究与应用.pdfVIP

种基于组织扩展的RBAC 模型（Ex-RBAC ）的研究与应用 一种基于组织扩展的RBAC 模型（Ex-RBAC）的研究与应用 磊 （江苏方天电力技术有限公司，江苏 南京 2 11102） 要：RBAC 模型是当前常见的权限与访问控制模型，该模型在大多数应用系统中采用。RBAC 是RBAC 模型的核 0 心部分。根据集团型企业的特点，从组织角度对 RBAC 模型进行了扩展，使Ex-RBAC 模型能较好的支持企业实际 应用，解决权限粒度设计等问题。 关键词：RBAC；安全；访问控制；集团型企业 0 引言 了 以角色 为 中心 的访 问控制 模型 RBAC [2] （Role-Based Access Control ） 。角色是指 个组 随着计算机技术、通信技术和互联网技术的飞 织或任务中的工作或位置，代表了一种资格、权利 速发展以及在各行各业中的广泛应用，计算机安全 和责任。 般采用R 表示全体角色的集合。角色是 性研究日益重要。如何控制设置资源的访问权限， 一种语义综合体，可以是一种抽象概念，也可以对 建立安全可靠的权限管理与访问控制机制是当前研 [3] 应于具体应用领域内的职位和权利 。 究的 个重点。随着各行业信息化程度的不断加深， 1992 年，美国国家标准与技术研究所 （NIST） 在各类应用 统也必须建立安全可靠的权限管理与 的David Ferraiolo 和Richard Kuhn 在综合了大量的 访问控制机制。在大型集团企业中，由于企业组织 实际研究之后，率先提出基于角色的访问控制模型 机构复杂，应用 统众多，因此权限需求严格，控 框架，并给出了RBAC 模型的一种形式化定义。该 制机制显得更为重要。基于此，本文选取了常见的 模型第 次引入了角色的概念并给出其基本语义， 权限与访问控制模型，综合集团型企业的特点，讨 指出 RBAC 模型实现了最小权限原则(Least 论了模型的改进思路与使用方法。 Privilege ）和职责分离原则 （Separation of Duty ）。 所谓访问控制（Access Control ）是指实施允许 该模型中给出了一种集中式管理的 RBAC 管理方 被授权的主体对某些客体的访问，同时拒绝向非授 案。Ravi Sandhu 和他领导的George Mason 大学信 权的主体提供服务的策略，简单的说，访问控制就 息安全技术实验室