基于属性的用户角色分配模型.pdfVIP

基于属性的用户一角色分配模型 程玉松1陈蔚宁2 1山东移动通信规划设计研究院有限公司 济南250021 2山东省济南电视台 济南250014 cn E-mail：ehengys@sdsebjn．sd 摘 要I针对基于角色的访问控制(Role-BasedAccess Control，RBAc)的不足，本文描述了一种能够实现 自动化的用户．角色分配模型。 关键词z属性角色授权 AModelfor Attribute··BasedUser-Role Assignment Chen ChengYuson91 Weinin92 MobileCommunication 1．Shandong COLTD．Jinan，250021 Planning＆DesigningAcademy Jinan TV,Jinan，250014 2．Shandong Abstract：Inallusiontothe ofRole—BasedAccess describeda scarcity Control(RBAC)，themodel， paper whichcan user automaticallyassigntOmle Words,attributeroleauthorization Key 1 引 言 用户对企业信息和资源的访问。但在很多企业环境中，用户的数量可能是成千上万，甚至是几十、 几百万，典型的例子像银行、连锁公司、受欢迎的web站点等等。RBAC仅提供对角色的手工分配方 式，在拥有大量用户的应用系统中，安全管理员手工实施用户到角色的分配，将成为一项强大且复 杂的任务。 2 RBAC模型 RBAC的核心概念是角色，角色阐明了授权策略的语法。权限和角色相联系，用户基于他们的 职责和权力分配合适的角色，用户可以很容易地重新分配角色。角色可以重新授权权限，组织中的 角色层次反射组织的职权范围和责任。图1为RBAC96模型11】： 图1 RBAC96模型 RBAC模型虽然提供了两级授权，简化了授权管理，但RBAC也存在技术上的不足和应用上的 局限性，主要是在RBAC系统中由安全管理员手工为用户分配和撤销角色，而且RBAC没有为企业 452 现代电子信息技术理}仑与应用 外部用户(如客户、合作伙伴等)提供灵活的授权机制。 ’3属性RBAC模型 针对RBAC模型的不足，本文扩展了RBAC的用户．角色分配关系，提出一种基于规则的用户一 角色分配模型，命名为属性RBAC或RA—RBAC(Based．AttributeRBAC)。在这个模型里，根据企 业安全策略定义分配用户到角色的规则，如果一个规则必须的条件不再满足，将允许动态收回用户 的角色分配。下圈为属性RBAC模型：