PDF《第26 卷第 6 期》

收稿日期: 2008唱09唱21;

修回日期: 2008唱11唱17 基金项目: 粤港重大突破招标资助项目(2006A25007002);

国家星火计划资助项目 (2007EA780068) 作者简介:张世龙(1976唱),男,黑龙江嫩江人,讲师,硕士,CCF 会员,主要研究方向为软件工程和计算机应用研究( shilongzh@163.

com);

沈玉利(1955唱),男,山东费县人,教授,博士,主要研究方向为模式识别与智能系统、农业信息管理. RBAC 模型 中角 色继 承关 系的 研究 与改 进倡张世龙, 沈玉利 (广东海洋大学 信息学院, 广东 湛江 524088) 摘要: 针对 RBAC96 模型中私有权限实现方法的不足,分析了现有改进方案的研究现状和不足,引入继承属 性的概念,通过继承属性值实现权限公有与私有的划分,提出了角色继承时只创建继承关系的继承方案. 引入 权限重载概念,给出了多角色继承及权限重载时的冲突解决规则,采用广度优先搜索算法实现了角色权限的动 态获取;

结合实例说明了角色继承、权限重载、解除继承关系的实现方法. 关键词: 角色继承;

私有权限;

继承属性;

权限重载;

广度优先搜索算法 中图分类号: TP311 文献标志码: A 文章编号: 1001唱3695(2009)06唱2362唱03 doi:10.

3969 / j. issn. 1001唱3695. 2009. 06.

109 Research and improvement of role inheritance in RBAC model ZHANG Shi唱long, SHEN Yu唱li (College of Information,Guangdong Ocean University, Zhanjiang Guangdong 524088, China) Abstract: In order to overcome the shortages of the implement method of RBAC96 model'

s private permission, put forward a new inheritance scheme after the research, analyzed shortages of current improvement scheme, which only created inheritance relation. Introduced the concepts of inheritance attribution and permission override, and could identify the private permission in this scheme through inheritance attibution value. Presented the conflict rules about multiple roles inheritance and permission o唱verride.With the help of the breadth唱first search algorithm, could get role permission dynamically.Finally, illustrated the methods of role inheritance, permission override and remove inheritance relation with some examples. Key words: role inheritance;

private permission;

inheritance attribution;

permission override;

breadth唱first search algorithm 基于角色的访问控制(role唱based access control,RBAC)是 目前应用得较为广泛的一种访问控制技术,采用 RBAC,便于 实现最小特权和减少授权管理的工作量,是解决大型企业统一 资源访问控制的有效方法. 为方便权限管理,Sandhu 等人提 出的 RBAC96 模型中引入了角色层次,但该层次关系中的权限 处理有缺陷,即低级角色的全部权限都被高级角色继承,而不 能拥有自己的私有权限,这一点不能全面反映实际应用中复杂 的角色层次关系. 对此,RBAC96 模型通过引入私有角色来解 决这个问题,但私有角色的引入导致角色数量倍增,增加了管 理员对角色管理的复杂性. 针对 RBAC96 模型中私有权限的继承问题,张少敏 [1] 、樊 银亭 [2] 、王建明 [3] 、李键 [4] 、顾春华 [5] 等人从不同的角度对 RBAC96 模型进行了权限类别及继承方式的扩展,探讨了解决 公有权限、私有权限及权限继承问题的研究方案. 以上方案虽 然从理论角度对 RBAC96 模型中私有权限的继承问题有所改 进,但都存在着不同程度的不足. 本文的创新性在于通过权限 对角色分配时的继承属性值来标志私有权限,在权限继承过程 中采用只创建继承关系的非冗余继承方式,给出了继承过程中 的多角色继承及权限重载的冲突解决规则,改进了 RBAC96 模 型中私有权限的继承问题,规避了现有研究方案的不足.