访问控制中的角色工程

发布时间：2019-07-15 08:32

【摘要】：基于角色的访问控制机制与传统访问控制机制相比具有众多的优点,从而成为企业建立安全应用的首选模型.而要体现基于角色访问控制机制的优点,则首先需要通过角色工程技术从企业也已存在的非角色访问控制系统出发构建适合企业安全需要的基于角色的访问控制系统,从而推动了角色工程技术成为计算机学科的一个热点研究课题.文中从基于角色的访问控制机制的优点出发,简要介绍了角色工程技术的基本原理,总结了角色工程技术及角色优化的分类,评述了自顶向下和自底向上角色工程技术的特点,阐述了角色更新的意义,最后对角色工程技术的发展趋势进行了展望.
文内图片：

图片说明：分析系统中所有的功能需求并构建适合各功能需求所对应的角色和权限，然后再分析每个用户的业务逻辑从而实现用户和角色之间的映射来构建基于角色的访问控制系统．在自顶向下角色工程技术中，Fernadez等人［8］在对企业用例及用例序列分析的基础上获取用例所需权限以及构建描述用例所对应角色的方法来构建基于角色的访问控制系统;GustalNeumann等人［9］在分析场景的基础上来构建各场景所需角色及权限，并最终基于场景所对应的角色进来构建适合企业功能和安全需求的访问控制系统．自顶向下角色工程方法的流程如图1所示，其一般过程可描述如下．图1自顶向下角色工程方法流程Fig．1Top-downroleengineeringprocess1)分析系统用例并通过场景的方式对用例进行标注和模型化;2)将场景的每一步操作转化为操作+对象的形式并用一个唯一的标识符将该操作+对象表示为权限的形式，如Perm_1={operation，object};3)分析并定义系统所需约束并将其存储于约束目录当中;4)利用面向对象程序设计思想中定义类层次结构的方法对初始获取到的场景模型进行更进一步的合并与分拆，以确保场景模型的完整性;5)依据获取到的约束分析不同的场景进而定义任务和用户任务集合，并通过任务、任务集合以及权限集合构建访问控制系统所需角色集合以及角色与角色之间的层次关系，并基于此构建基于角色的访问控制系统．自顶向下角色工程技术从企业特定业务逻辑出发，基于领域专家知识构建基于角色的访问控制系统，确保了系统的功能性和安全性需求可以通过构建的角色进行合理地映射．然而对于拥有众多用户和包含大量业务逻辑的企业来说，该方法却显得费时费力并难以执行．基于此，角色工程技术的研究重点逐渐转移到如何通过系统中已有的用户和权限之间的
文内图片：

图片说明：，然而该方法生成的角色的解释性较差，缺乏相应的语义信息．基于此，IanMolloy等人［14］利用概念格(ConceptLattices)的方式对仅含有用户和权限之间分配关系的系统所生成的角色进行优化，使得生成的角色具有更好的语义信息和层次关系，并设计了属性挖掘(AttributeMiner)算法对包含有用户属性信息的系统进行角色生成，从而使得生成的角色在反映系统需求的同时，能合理表征用户相关属性信息，从而确保生成的访问控制系统更加具有可解释性，从而较好地实现了自顶向下角色工程技术与自底向上角色工程技术的有机融合．图2表示的角色和用户及用户和角色之间的分配关系图Fig．2Graphrepresentationofroletousersandroletopermissionassignments2)基于图论的思想．该优化方法首先通过系统生成的角色、角色与用户间的分配关系以及角色和权限之间的分配关系入手构建如图2所示的角色和用户及用户和角色之间的分配关系图，并基于该分配关系图对事先选取的优化标准进行动态优化，以其获得满足特定要求的结果集，从而达到优化ＲBAC系统的目的．其中DanaZhang等人［15］通过图优化算法(GraphOptimizationAlgorithm)使得新生成的角色间的层次关系能达到减少角色和用户、权限和用户之间分配边多少的目的，从而间接减轻了系统实施角色分配的复杂度，以达到优化构建基于角色访问控制系统的目的，充分发挥基于角色访问控制系统的优势;Ene等人［18］利用贪心算法以其找到能反映系统给定的用户和权限之间分配关系的最小角色集合，，从而到达优化系统的目的．3)基于权限权重的思想．传统角色挖掘方法以全部权限拥有同等地位，具有同样重要程度进行角色生成和系统构建的，然而在现实系统当中，不同权限的重要程度是不一样的，例如:针对医院信息?
【作者单位】：南阳师范学院计算机与信息技术学院;华中科技大学计算机科学与技术学院;卡塔尔大学工程学院;
【基金】：国家自然科学基金项目(61173170,60873225)资助
【分类号】：TP393.08

【相似文献】