论文摘要：一种支持规则的RBAC模型及其应用研究

大型集成系统中用户和访问权限的管理是一件复杂而有挑战性的工作。基于角色的访问控制（RBAC: Role-Based Access Control）是一种在复杂的IT环境中简化访问控制的有效机制。传统的RBAC被设计成用于企业内部环境，由安全管理员根据企业特定的策略手工为用户指派合适的角色，从而授权用户使用角色的权限。但是现在，越来越多的企业通过Internet向它们的客户提供服务，许多企业内部的用户数量就成千上万，同时RBAC已经被许多设计用来服务于大量用户的软件产品例如流行的商业数据库管理系统所支持。所有以上的因素使得在大型企业中手工指派角色的方法变得困难需要被自动化。 近年来，规则逐渐被用于支持用户和访问权限的自动化管理。基于规则的RBAC（RB-RBAC: Rule-Based RBAC）模型，提出了一种根据用户属性自动为用户指派角色的方法，解决了大量用户授权的问题。但由于该模型中用户－角色指派关系是隐式的，用户缺乏对授权情况直观认识，同时由于大量规则的存在，对局部规则的改动而不影响到其它规则变得极为困难。在讨论了RBAC和RB-RBAC模型的优缺点之后，我们提出了一种支持规则的RBAC（RS-RBAC: Rule-Supported RBAC）模型，组合角色和规则的优点。该模型的包含层次RBAC内核，用于满足传统的RBAC访问控制需求。同时使用合理的结构组织规则，以支持用户-角色指派的自动化。RBAC内核为规则提供授权信息的直观视图。为了帮助企业快速制定满足需求的规则，本文还给出了采用XML的规则描述方法，并对访问控制规则进行了分类。 论文给出了一种基于RS-RBAC模型的访问控制系统结构设计，对该结构中访问控制处理流程以及各个模块的分工进行了详细的描述。结构设计的提出有助于部分功能模块的标准化。最后，在此结构的基础上实现了一个实际的访问控制系统。