【正文】 RBAC/Web CGI 不修正它的原代碼，因而能被任何已存在的 UNIX 服務(wù)器用。 基于角色的訪問(wèn)控制在萬(wàn)維網(wǎng)中的應(yīng)用 為萬(wàn)維網(wǎng) (RBAC/Web)而設(shè)的基于角色的訪問(wèn)控制 (RBAC)是萬(wàn)維網(wǎng) (Web)服務(wù)器對(duì)基于角色的訪問(wèn)控制技術(shù)的具體執(zhí)行。這個(gè)靜態(tài)權(quán)責(zé)區(qū)分的關(guān)系同樣是一個(gè)和動(dòng)態(tài)權(quán)責(zé)區(qū)分關(guān)系一樣相互抵觸的利益關(guān)系，但是這個(gè)關(guān)系更強(qiáng)勁一些。因?yàn)閹舸?，部門經(jīng)理，內(nèi)部的審計(jì)員和出納員都是銀行的職員 ,他們的對(duì)應(yīng)角色也繼承了職員的角色。為了改善可讀性、清晰度和適應(yīng)性，角色層次被組織成層，而每個(gè) 層又包含著其它級(jí)別的細(xì)節(jié)。虛擬現(xiàn)實(shí)建模語(yǔ)言 是交談式的、網(wǎng)際企業(yè)式的、同時(shí)也是用于萬(wàn)維網(wǎng)的 3D 立體圖形語(yǔ)言。換句話說(shuō)，當(dāng)一位管理人建立角色授權(quán)的時(shí)候，靜態(tài)職責(zé)的分離迫使規(guī)則互斥；而當(dāng)一個(gè)用戶選擇角色的時(shí)候，動(dòng)態(tài)職責(zé)的分離迫使規(guī)則同樣互斥。自從面臨在類似的工作或機(jī)會(huì)中詐騙能夠發(fā)生后，分立的職責(zé)被認(rèn)為在防止詐騙方面是有價(jià)值的。每個(gè)角色又被分配一個(gè)或多個(gè)權(quán)限 (例如數(shù)據(jù)訪問(wèn)，劃除 ,創(chuàng)造 )。 本文描述了有關(guān)基于角色的訪問(wèn)控制和基于角色的訪問(wèn)控制在萬(wàn)維網(wǎng)環(huán)境下執(zhí)行（ RBAC/Web）的優(yōu)勢(shì)，而且在個(gè)別項(xiàng)目中基于角色的訪問(wèn)控制適用于一個(gè)企業(yè)內(nèi)網(wǎng)絡(luò)計(jì)算環(huán)境。這些內(nèi)部私人站點(diǎn)或使用基礎(chǔ)設(shè)施、因特網(wǎng)標(biāo)準(zhǔn)和萬(wàn)維網(wǎng)的“內(nèi)部網(wǎng)”是通過(guò)防火墻來(lái)與公共網(wǎng)絡(luò)相封鎖的。 引言 建立和維持一個(gè)萬(wàn)維網(wǎng)（ Web），作為美國(guó)工業(yè)的一種附屬形式，已經(jīng)成為了買賣和銷售戰(zhàn)略中的重點(diǎn)。 特別是對(duì)于嘗試使用萬(wàn)維網(wǎng)服務(wù)器來(lái)管理多媒體環(huán)境安全的組織來(lái)說(shuō)，最挑戰(zhàn)性的問(wèn)題之一在于管理大的網(wǎng)絡(luò)系統(tǒng)時(shí)，所面對(duì)的安全管理方面 的復(fù)雜性。clicking39。). VRML is an interactive, interworked, 3D graphics language for the Web. It is used to represent graphics, test, sound, and links to other content as either a static or dynamic picture on the Web. The inclusion of VRML into RBAC lets system administrators use an interactive puter model to check and validate the role structure, relationship, and privileges. Being able to view and interact with plex models, allows the administrator to identify conflicts, eradicate flaws and improve the implementation early in the RBAC setup. The VRML ponent will enable authorized users to navigate the RBAC database, finding and linking roles, and displaying attributes and graphics associated with those roles. By presenting a 3D model of established roles, the user can easily see which roles are mutually exclusive as well as the hierarchical structure of related roles and conflicts between roles (see Figure 2). VRML39。s structure. Traditionally, managing security has required mapping an anization39。 actions through the establishment and definition of roles, role hierarchies, relationships, and constraints. We define static separation of duty to mean that roles which have been specified as mutually exclusive cannot both be included in a user39。 of the graph where role relationships may have been obscured when viewed as a 39。s roles. Installation of the RBAC/Web CGI is similar to the installation of the Web server. 附錄 B：中文翻譯 Web 環(huán)境下基于角色的訪問(wèn)控制 John F. Barkley, D. Richard Kuhn, Lynne S. Rosenthal, Mark W. Skall, 和 Anthony V. Cincotta, 國(guó)家研究院所定規(guī)則及蓋瑟斯堡技術(shù)，馬里蘭 20899 摘要 建立和維持一個(gè)萬(wàn)維網(wǎng)（ Web），它作為美國(guó)工業(yè)的一種附屬形式，已經(jīng)成為了買賣和銷售戰(zhàn)略中的重點(diǎn)。本文描述了如何才能致力于在萬(wàn)維網(wǎng)上去應(yīng)用基于角色的訪問(wèn)控制。萬(wàn)維網(wǎng) 站的建立是用來(lái)分隔一些來(lái)自普通大眾的信息，提供給他唯一的選擇或設(shè)定“私人”用戶。 雖然互聯(lián)網(wǎng)和內(nèi)部網(wǎng)能為公司或政府機(jī)構(gòu)提供非常好的利益，但安全威脅依然殘留。傳統(tǒng)上來(lái)說(shuō) , 安全管理需要把組織的安全政策放置到一個(gè)相對(duì)低水平的控制上去 ,傳統(tǒng)地存取控制目錄。 角色層次是在一個(gè)組織里面組織角色而且定義關(guān)系和角色屬性的自然方法。且由靜止又動(dòng)態(tài)地經(jīng)過(guò)角色，角色等級(jí)，關(guān)系和限制的建立和定義管理使用者的行動(dòng)被達(dá)成了。 另外，管理工具正在被用以提高利用虛擬的真實(shí)靠模切語(yǔ)言（虛擬現(xiàn)實(shí)建模語(yǔ)言 ,發(fā)音 39。藉由一個(gè)確定角色的 3D 立體模型呈現(xiàn)，用戶能很容易地看出哪一個(gè)角色是互斥的和在角色之間的相關(guān)角色，以及沖突的階層結(jié)構(gòu)。 曲線圖結(jié)構(gòu)展示了角色的層次，角色 financial_advisor 繼承了角色account_rep。同樣的，因?yàn)橐粋€(gè)出納員有一個(gè)公開的現(xiàn)金抽屜且在關(guān)閉時(shí)一定結(jié)算了。虛擬現(xiàn)實(shí)建模語(yǔ)言允許復(fù)雜的 3D 立體物體為這一個(gè)目的而被產(chǎn)生。 NT 的 RBAC/Web 需要 Web 伺候器的無(wú)修正或原代碼的訪問(wèn)。 ?；?UNIX 的 RBAC/Web 可以使用表 1 中的所有組件。在這一個(gè)例子中，銀行的 政策是在 internal_auditor 和 account_rep 的角色之間有一個(gè)基本的利害沖突，這二個(gè)角色可能無(wú)法被相同的個(gè)體所授權(quán)。這個(gè)關(guān)系是一個(gè)抵觸的利益關(guān)系指標(biāo)，而 account_rep 角色的個(gè)體權(quán)限不能在另一半的 account_holder 或 teller 角色上被給予權(quán)限。 基于角色的訪問(wèn)控制舉例 考慮銀行的分公司。能夠觀察和互相影響復(fù)雜的模型，允許管理人識(shí)別沖突，根除缺點(diǎn)而且早在基于角色的訪問(wèn)控制安裝時(shí)就對(duì)安裝啟用進(jìn)行改良。一旦基于角色的訪問(wèn)控制結(jié)構(gòu)被確定是為了組織，首要的管理行動(dòng)是用戶進(jìn)入的許可和廢除并且缺乏對(duì)角色的分配指示。沒(méi)有單個(gè)的個(gè)體能夠運(yùn)行兩個(gè)交易。 基于角色的訪問(wèn)控制結(jié)構(gòu)可以提供給互斥的角色和角色有交疊處理職責(zé)的特權(quán)。 基于角色的訪問(wèn)控制描述 基于角色的訪問(wèn)控制 (RBAC) 是傳統(tǒng)的隨意權(quán)限控制 (DAC) 和強(qiáng)制性的訪問(wèn)控制 (MAC) 的替代品，在商業(yè)申請(qǐng)后成為了一種正在不斷吸引 人們注意的技術(shù) 。借助此單一途徑，為這些材料維護(hù)的費(fèi)用顯著地減少了，這也確保了流通任務(wù)的簡(jiǎn)化。公司紛紛抓住萬(wàn)維網(wǎng)這樣一個(gè)迅速的精簡(jiǎn)辦法 —— 甚至不惜轉(zhuǎn)變他們的組織。 RBAC 的概念和設(shè)計(jì)是為了能完全適應(yīng)企業(yè)內(nèi)部網(wǎng)和因特網(wǎng)。enter39。 and manipulate the view perspective of the 3D model, known as a scene graph. For example, the scene graph can be rotated to show the 39。s job responsibilities and petencies in the anization. Each role is assigned one or more privileges (., information access, deletion, creation), see Figure 1. It is a user39。s structure. Each user is assigned one or more roles, where roles are based on the user39。walkthrough39。s window is not permitted to sim