1、訪問控制是信息安全保障機制的核心內容,著重于解決與數(shù)據(jù)機密性、完整性和可用性相關的問題。基于角色的訪問控制模型RBAC是當前研究得較為深入的訪問控制模型。RBAC模型中的用戶-角色關系的分配工作依賴于管理員的手工操作。隨著系統(tǒng)的規(guī)模和開放性的增加,用戶規(guī)模也隨之不斷擴大,這項工作也變得十分復雜而難以完成。基于規(guī)則和角色的訪問控制模型RB-RBAC在RBAC模型的基礎上引入了用戶屬性和授權規(guī)則,使得用戶-角色分配能夠自動完成。不過,RB-

2、RBAC模型也存在著以下兩點不足：一、除用戶-角色分配之外,角色-權限分配也非常重要,因為資源數(shù)量龐大且經(jīng)常容易產生變化,這項工作也非常復雜,而這一點在RB-RBAC模型中沒有得到改進。二、RB-RBAC模型中訪問控制判決過程考慮的因素過于單一,無法適應更為復雜和安全性要求更高的系統(tǒng)安全策略要求。本文在研究RB-RBAC模型的基礎上提出了改進后的RB-RBACex模型。該模型在資源屬性表達式的基礎上提出了權限表達式的概念,通過角色與權限

3、表達式的關聯(lián)實現(xiàn)了角色-權限關系的動態(tài)分配,大大降低了這項工作的復雜度,并能很好的適應資源的新增、刪除、屬性修改等變化情況。此外,在模型中通過引入角色激活條件實現(xiàn)了多元判決的思想,在訪問判決的決策過程中不僅僅考慮用戶被授予的角色,還全面地考慮用戶屬性、環(huán)境屬性、系統(tǒng)整體安全狀況等多種因素,有效地解決了RB-RBAC模型中訪問控制判決因素過于單一的問題,使得其能夠適應更為復雜的訪問控制需要。權限管理基礎設施PMI是一個通用的授權管理和授權