【正文】 b administrators with a capability for the first time to centrally administer and regulate user access to information in a manner that is consistent with the current set of laws, regulations, and practices that face their business today. Although this paper focuses on intras, the benefits, concepts and implementation of RBAC/Web are also applicable to a pany’ s inter environment where restrictive access to information is desired. RBAC Description Rolebased access control (RBAC) [1], [2], [3], [4], [5] is an alternative to traditional discretionary (DAC) and mandatory access control (MAC) policies that is attracting increasing attention [6], particularly for mercial applications. The principal motivation behind RBAC is the desire to specify and enforce enterprisespecific security policies in a way that maps naturally to an anization39。s job responsibilities and petencies in the anization. Each role is assigned one or more privileges (., information access, deletion, creation), see Figure 1. It is a user39。vermal39。 and manipulate the view perspective of the 3D model, known as a scene graph. For example, the scene graph can be rotated to show the 39。, 2D graph. To improve readability, clarity and flexibility, the role hierarchy is anized into layers, where each layer contains another level of detail. By 39。enter39。促成客戶(hù)藉由 Web 網(wǎng)頁(yè)按他們的方法獲得他們想要的訊息，而不是通過(guò)處理操作員或聲音回應(yīng)系統(tǒng)，以增加客戶(hù)接口的效率。 RBAC 的概念和設(shè)計(jì)是為了能完全適應(yīng)企業(yè)內(nèi)部網(wǎng)和因特網(wǎng)。基于角色的訪(fǎng)問(wèn)控制組件能被用于商務(wù)的萬(wàn)維網(wǎng)服務(wù)器上，并且不需要服務(wù)器軟件的修正。公司紛紛抓住萬(wàn)維網(wǎng)這樣一個(gè)迅速的精簡(jiǎn)辦法 —— 甚至不惜轉(zhuǎn)變他們的組織。此外，在企業(yè)內(nèi)部運(yùn)行的萬(wàn)維網(wǎng)站經(jīng)常是為其雇員而產(chǎn)生設(shè)立的。借助此單一途徑，為這些材料維護(hù)的費(fèi)用顯著地減少了，這也確保了流通任務(wù)的簡(jiǎn)化。已經(jīng)存在的萬(wàn)維網(wǎng)服務(wù)器能有效地提供所有的或不存在訪(fǎng)問(wèn)給一個(gè)特別的網(wǎng)站，許多流行的萬(wàn)維網(wǎng)伺候器甚至能更清楚而又細(xì)膩地提供訪(fǎng)問(wèn)控制，他們提供非常原始的工具來(lái)管理這些單一企業(yè)的遠(yuǎn)程控制。 基于角色的訪(fǎng)問(wèn)控制描述 基于角色的訪(fǎng)問(wèn)控制 (RBAC) 是傳統(tǒng)的隨意權(quán)限控制 (DAC) 和強(qiáng)制性的訪(fǎng)問(wèn)控制 (MAC) 的替代品，在商業(yè)申請(qǐng)后成為了一種正在不斷吸引 人們注意的技術(shù) 。 在角色以組織中的使用者其工作職責(zé)和能力為基礎(chǔ)的地方，每個(gè)使用者被分配一個(gè)或多個(gè)角色。 基于角色的訪(fǎng)問(wèn)控制結(jié)構(gòu)可以提供給互斥的角色和角色有交疊處理職責(zé)的特權(quán)。 職責(zé)的分離 基于角色的訪(fǎng)問(wèn)控制機(jī)制可能被系統(tǒng)管理人用在執(zhí)行一種政策分立的職責(zé)。沒(méi)有單個(gè)的個(gè)體能夠運(yùn)行兩個(gè)交易。根據(jù)動(dòng)態(tài)的職責(zé)分離，用戶(hù)也許被授權(quán)了兩個(gè)互斥的角色，但是不能同時(shí)操控這兩個(gè)角色。一旦基于角色的訪(fǎng)問(wèn)控制結(jié)構(gòu)被確定是為了組織，首要的管理行動(dòng)是用戶(hù)進(jìn)入的許可和廢除并且缺乏對(duì)角色的分配指示。）。能夠觀察和互相影響復(fù)雜的模型，允許管理人識(shí)別沖突，根除缺點(diǎn)而且早在基于角色的訪(fǎng)問(wèn)控制安裝時(shí)就對(duì)安裝啟用進(jìn)行改良。舉例來(lái)說(shuō)，當(dāng)看“平面” 或 2 D 曲線(xiàn)圖的時(shí)候，角色關(guān)系可能已經(jīng)被隱藏的情況下場(chǎng)景曲線(xiàn)圖可能被旋轉(zhuǎn)來(lái)顯示曲線(xiàn)圖的“背部”。 基于角色的訪(fǎng)問(wèn)控制舉例 考慮銀行的分公司。因此，被授權(quán)的角色 financial_advisor 能夠創(chuàng)建和修改帳戶(hù)。這個(gè)關(guān)系是一個(gè)抵觸的利益關(guān)系指標(biāo)，而 account_rep 角色的個(gè)體權(quán)限不能在另一半的 account_holder 或 teller 角色上被給予權(quán)限。 角色 internal_auditor 的表現(xiàn)形式是一個(gè)紅色的六面體形狀是為了說(shuō)明這些角色與 account_rep 有一個(gè)“靜態(tài)權(quán)責(zé)區(qū)分”（ SSD） 的關(guān)系。在這一個(gè)例子中，銀行的 政策是在 internal_auditor 和 account_rep 的角色之間有一個(gè)基本的利害沖突，這二個(gè)角色可能無(wú)法被相同的個(gè)體所授權(quán)。除此之外，當(dāng)角色被應(yīng)用的時(shí)候，虛擬現(xiàn)實(shí)建模語(yǔ)言的聲音能力可能可能被利用上，在引起利害沖突、 當(dāng)不合適的程序被用或其他問(wèn)題的時(shí)候給予聲音的警告。基于 UNIX 的 RBAC/Web 可以使用表 1 中的所有組件。 最簡(jiǎn)單的方法是經(jīng)由 RBAC/Web 通用網(wǎng)關(guān)接口（ CGI）。 。 RBAC URL 被 RBAC/Web CGI通過(guò)網(wǎng)絡(luò)服務(wù)器來(lái)處理。 NT 的 RBAC/Web 需要 Web 伺候器的無(wú)修正或原代碼的訪(fǎng)問(wèn)。因?yàn)?RBAC/Web 點(diǎn)沒(méi)有瀏覽器上的需求 , 任何瀏覽器都能被用于一個(gè)特殊的用以增強(qiáng) RBAC/Web服務(wù)器的 Web服務(wù)器。虛擬現(xiàn)實(shí)建模語(yǔ)言允許復(fù)雜的 3D 立體物體為這一個(gè)目的而被產(chǎn)生。如果兩個(gè)角色間有一個(gè)動(dòng)態(tài)權(quán)責(zé)區(qū)分的關(guān)系，那么他們可能同樣被一個(gè)個(gè)體所授權(quán)，但是那個(gè)個(gè)體不可能同時(shí)在兩個(gè)角色上被運(yùn)用。同樣的，因?yàn)橐粋€(gè)出納員有一個(gè)公開(kāi)的現(xiàn)金抽屜且在關(guān)閉時(shí)一定結(jié)算了。 在圖 2中，角色 account_rep是突出的，為了顯示其他角色關(guān)系， account_rep的表現(xiàn)形式是一個(gè)暗球的形狀。 曲線(xiàn)圖結(jié)構(gòu)展示了角色的層次，角色 financial_advisor 繼承了角色account_rep。通過(guò)一個(gè)角色，角色能開(kāi)啟和展現(xiàn)相關(guān)的角色層或角色信息。藉由一個(gè)確定角色的 3D 立體模型呈現(xiàn)，用戶(hù)能很容易地看出哪一個(gè)角色是互斥的和在角色之間的相關(guān)角色，以及沖突的階層結(jié)構(gòu)。它用來(lái)表現(xiàn)圖形，測(cè)試，聲音和萬(wàn)維網(wǎng)上任意靜態(tài)或動(dòng)態(tài)圖象的鏈接內(nèi)容。 另外，管理工具正在被用以提高利用虛擬的真實(shí)靠模切語(yǔ)言（虛擬現(xiàn)實(shí)建模語(yǔ)言 ,發(fā)音 39。 管理和顯示角色 使用基于角色的訪(fǎng)問(wèn)控制 /萬(wàn)維網(wǎng)管理工具的角色被建立和操縱。且由靜止又動(dòng)態(tài)地經(jīng)過(guò)角色，角色等級(jí)，關(guān)系和限制的建立和定義管理使用者的行動(dòng)被達(dá)成了。分立的職責(zé)必須是為了交易的特殊集合，沒(méi)有簡(jiǎn)單單一的被允許去執(zhí)行所有在集合里的交易。 角色層次是在一個(gè)組織里面組織角色而且定義關(guān)系和角色屬性的自然方法。 只有進(jìn)入決定特權(quán)使用者的角色范圍之內(nèi)后，使用者的全體操作才被允許。傳統(tǒng)上來(lái)說(shuō) , 安全管理需要把組織的安全政策放置到一個(gè)相對(duì)低水平的控制上去 ,傳統(tǒng)地存取控制目錄。今天在此將會(huì)第一次提供給萬(wàn)維網(wǎng)管理人一種核心管理能力和管理使用者訪(fǎng)問(wèn)信息的方式，同時(shí)與法規(guī)流向保持一致并適應(yīng)他們的商務(wù)要求。 雖然互聯(lián)網(wǎng)和內(nèi)部網(wǎng)能為公司或政府機(jī)構(gòu)提供非常好的利益，但安全威脅依然殘留。萬(wàn)維網(wǎng)能被當(dāng)作一種可供選擇的便宜而又強(qiáng)有力的通信形式。萬(wàn)維網(wǎng) 站的建立是用來(lái)分隔一些來(lái)自普通大眾的信息，提供給他唯一的選擇或設(shè)定“私人”用戶(hù)。許多公司示范了一個(gè)設(shè)計(jì)良好的萬(wàn)維網(wǎng)能讓他們?cè)谑找嫘陨袭a(chǎn)生積極的效果。本文描述了如何才能致力于在萬(wàn)維網(wǎng)上去應(yīng)用基于角色的訪(fǎng)問(wèn)控制。今天，安全管理昂貴和容易出錯(cuò)是因?yàn)楣芾砣送ǔ为?dú)為每個(gè)在系統(tǒng)上的使用者指定訪(fǎng)問(wèn)控制目錄。s roles. Installation of the RBAC/Web CGI is similar to the installation of the Web server. 附錄 B：中文翻譯 Web 環(huán)境下基于角色的訪(fǎng)問(wèn)控制 John F. Barkley, D. Richard Kuhn, Lynne S. Rosenthal, Mark W. Skall, 和 Anthony V. Cincotta, 國(guó)家研究院所定規(guī)則及蓋瑟斯堡技術(shù)，馬里蘭 20899 摘要 建立和維持一個(gè)萬(wàn)維網(wǎng)（ Web）