【正文】 b administrators with a capability for the first time to centrally administer and regulate user access to information in a manner that is consistent with the current set of laws, regulations, and practices that face their business today. Although this paper focuses on intras, the benefits, concepts and implementation of RBAC/Web are also applicable to a pany’ s inter environment where restrictive access to information is desired. RBAC Description Rolebased access control (RBAC) [1], [2], [3], [4], [5] is an alternative to traditional discretionary (DAC) and mandatory access control (MAC) policies that is attracting increasing attention [6], particularly for mercial applications. The principal motivation behind RBAC is the desire to specify and enforce enterprisespecific security policies in a way that maps naturally to an anization39。s job responsibilities and petencies in the anization. Each role is assigned one or more privileges (., information access, deletion, creation), see Figure 1. It is a user39。vermal39。 and manipulate the view perspective of the 3D model, known as a scene graph. For example, the scene graph can be rotated to show the 39。, 2D graph. To improve readability, clarity and flexibility, the role hierarchy is anized into layers, where each layer contains another level of detail. By 39。enter39。促成客戶藉由 Web 網(wǎng)頁按他們的方法獲得他們想要的訊息，而不是通過處理操作員或聲音回應(yīng)系統(tǒng)，以增加客戶接口的效率。 RBAC 的概念和設(shè)計是為了能完全適應(yīng)企業(yè)內(nèi)部網(wǎng)和因特網(wǎng)?；诮巧脑L問控制組件能被用于商務(wù)的萬維網(wǎng)服務(wù)器上，并且不需要服務(wù)器軟件的修正。公司紛紛抓住萬維網(wǎng)這樣一個迅速的精簡辦法 —— 甚至不惜轉(zhuǎn)變他們的組織。此外，在企業(yè)內(nèi)部運行的萬維網(wǎng)站經(jīng)常是為其雇員而產(chǎn)生設(shè)立的。借助此單一途徑，為這些材料維護的費用顯著地減少了，這也確保了流通任務(wù)的簡化。已經(jīng)存在的萬維網(wǎng)服務(wù)器能有效地提供所有的或不存在訪問給一個特別的網(wǎng)站，許多流行的萬維網(wǎng)伺候器甚至能更清楚而又細膩地提供訪問控制，他們提供非常原始的工具來管理這些單一企業(yè)的遠程控制。 基于角色的訪問控制描述 基于角色的訪問控制 (RBAC) 是傳統(tǒng)的隨意權(quán)限控制 (DAC) 和強制性的訪問控制 (MAC) 的替代品，在商業(yè)申請后成為了一種正在不斷吸引 人們注意的技術(shù) 。 在角色以組織中的使用者其工作職責(zé)和能力為基礎(chǔ)的地方，每個使用者被分配一個或多個角色。 基于角色的訪問控制結(jié)構(gòu)可以提供給互斥的角色和角色有交疊處理職責(zé)的特權(quán)。 職責(zé)的分離 基于角色的訪問控制機制可能被系統(tǒng)管理人用在執(zhí)行一種政策分立的職責(zé)。沒有單個的個體能夠運行兩個交易。根據(jù)動態(tài)的職責(zé)分離，用戶也許被授權(quán)了兩個互斥的角色，但是不能同時操控這兩個角色。一旦基于角色的訪問控制結(jié)構(gòu)被確定是為了組織，首要的管理行動是用戶進入的許可和廢除并且缺乏對角色的分配指示。）。能夠觀察和互相影響復(fù)雜的模型，允許管理人識別沖突，根除缺點而且早在基于角色的訪問控制安裝時就對安裝啟用進行改良。舉例來說，當(dāng)看“平面” 或 2 D 曲線圖的時候，角色關(guān)系可能已經(jīng)被隱藏的情況下場景曲線圖可能被旋轉(zhuǎn)來顯示曲線圖的“背部”。 基于角色的訪問控制舉例 考慮銀行的分公司。因此，被授權(quán)的角色 financial_advisor 能夠創(chuàng)建和修改帳戶。這個關(guān)系是一個抵觸的利益關(guān)系指標(biāo)，而 account_rep 角色的個體權(quán)限不能在另一半的 account_holder 或 teller 角色上被給予權(quán)限。 角色 internal_auditor 的表現(xiàn)形式是一個紅色的六面體形狀是為了說明這些角色與 account_rep 有一個“靜態(tài)權(quán)責(zé)區(qū)分”（ SSD） 的關(guān)系。在這一個例子中，銀行的 政策是在 internal_auditor 和 account_rep 的角色之間有一個基本的利害沖突，這二個角色可能無法被相同的個體所授權(quán)。除此之外，當(dāng)角色被應(yīng)用的時候，虛擬現(xiàn)實建模語言的聲音能力可能可能被利用上，在引起利害沖突、 當(dāng)不合適的程序被用或其他問題的時候給予聲音的警告?；?UNIX 的 RBAC/Web 可以使用表 1 中的所有組件。 最簡單的方法是經(jīng)由 RBAC/Web 通用網(wǎng)關(guān)接口（ CGI）。 。 RBAC URL 被 RBAC/Web CGI通過網(wǎng)絡(luò)服務(wù)器來處理。 NT 的 RBAC/Web 需要 Web 伺候器的無修正或原代碼的訪問。因為 RBAC/Web 點沒有瀏覽器上的需求 , 任何瀏覽器都能被用于一個特殊的用以增強 RBAC/Web服務(wù)器的 Web服務(wù)器。虛擬現(xiàn)實建模語言允許復(fù)雜的 3D 立體物體為這一個目的而被產(chǎn)生。如果兩個角色間有一個動態(tài)權(quán)責(zé)區(qū)分的關(guān)系，那么他們可能同樣被一個個體所授權(quán)，但是那個個體不可能同時在兩個角色上被運用。同樣的，因為一個出納員有一個公開的現(xiàn)金抽屜且在關(guān)閉時一定結(jié)算了。 在圖 2中，角色 account_rep是突出的，為了顯示其他角色關(guān)系， account_rep的表現(xiàn)形式是一個暗球的形狀。 曲線圖結(jié)構(gòu)展示了角色的層次，角色 financial_advisor 繼承了角色account_rep。通過一個角色，角色能開啟和展現(xiàn)相關(guān)的角色層或角色信息。藉由一個確定角色的 3D 立體模型呈現(xiàn)，用戶能很容易地看出哪一個角色是互斥的和在角色之間的相關(guān)角色，以及沖突的階層結(jié)構(gòu)。它用來表現(xiàn)圖形，測試，聲音和萬維網(wǎng)上任意靜態(tài)或動態(tài)圖象的鏈接內(nèi)容。 另外，管理工具正在被用以提高利用虛擬的真實靠模切語言（虛擬現(xiàn)實建模語言 ,發(fā)音 39。 管理和顯示角色 使用基于角色的訪問控制 /萬維網(wǎng)管理工具的角色被建立和操縱。且由靜止又動態(tài)地經(jīng)過角色，角色等級，關(guān)系和限制的建立和定義管理使用者的行動被達成了。分立的職責(zé)必須是為了交易的特殊集合，沒有簡單單一的被允許去執(zhí)行所有在集合里的交易。 角色層次是在一個組織里面組織角色而且定義關(guān)系和角色屬性的自然方法。 只有進入決定特權(quán)使用者的角色范圍之內(nèi)后，使用者的全體操作才被允許。傳統(tǒng)上來說 , 安全管理需要把組織的安全政策放置到一個相對低水平的控制上去 ,傳統(tǒng)地存取控制目錄。今天在此將會第一次提供給萬維網(wǎng)管理人一種核心管理能力和管理使用者訪問信息的方式，同時與法規(guī)流向保持一致并適應(yīng)他們的商務(wù)要求。 雖然互聯(lián)網(wǎng)和內(nèi)部網(wǎng)能為公司或政府機構(gòu)提供非常好的利益，但安全威脅依然殘留。萬維網(wǎng)能被當(dāng)作一種可供選擇的便宜而又強有力的通信形式。萬維網(wǎng) 站的建立是用來分隔一些來自普通大眾的信息，提供給他唯一的選擇或設(shè)定“私人”用戶。許多公司示范了一個設(shè)計良好的萬維網(wǎng)能讓他們在收益性上產(chǎn)生積極的效果。本文描述了如何才能致力于在萬維網(wǎng)上去應(yīng)用基于角色的訪問控制。今天，安全管理昂貴和容易出錯是因為管理人通常單獨為每個在系統(tǒng)上的使用者指定訪問控制目錄。s roles. Installation of the RBAC/Web CGI is similar to the installation of the Web server. 附錄 B：中文翻譯 Web 環(huán)境下基于角色的訪問控制 John F. Barkley, D. Richard Kuhn, Lynne S. Rosenthal, Mark W. Skall, 和 Anthony V. Cincotta, 國家研究院所定規(guī)則及蓋瑟斯堡技術(shù)，馬里蘭 20899 摘要 建立和維持一個萬維網(wǎng)（ Web）