【正文】 RBAC/Web CGI 不修正它的原代碼，因而能被任何已存在的 UNIX 服務器用。 基于角色的訪問控制在萬維網(wǎng)中的應用 為萬維網(wǎng) (RBAC/Web)而設的基于角色的訪問控制 (RBAC)是萬維網(wǎng) (Web)服務器對基于角色的訪問控制技術的具體執(zhí)行。這個靜態(tài)權責區(qū)分的關系同樣是一個和動態(tài)權責區(qū)分關系一樣相互抵觸的利益關系，但是這個關系更強勁一些。因為帳戶代表，部門經理，內部的審計員和出納員都是銀行的職員 ,他們的對應角色也繼承了職員的角色。為了改善可讀性、清晰度和適應性，角色層次被組織成層，而每個 層又包含著其它級別的細節(jié)。虛擬現(xiàn)實建模語言 是交談式的、網(wǎng)際企業(yè)式的、同時也是用于萬維網(wǎng)的 3D 立體圖形語言。換句話說，當一位管理人建立角色授權的時候，靜態(tài)職責的分離迫使規(guī)則互斥；而當一個用戶選擇角色的時候，動態(tài)職責的分離迫使規(guī)則同樣互斥。自從面臨在類似的工作或機會中詐騙能夠發(fā)生后，分立的職責被認為在防止詐騙方面是有價值的。每個角色又被分配一個或多個權限 (例如數(shù)據(jù)訪問，劃除 ,創(chuàng)造 )。 本文描述了有關基于角色的訪問控制和基于角色的訪問控制在萬維網(wǎng)環(huán)境下執(zhí)行（ RBAC/Web）的優(yōu)勢，而且在個別項目中基于角色的訪問控制適用于一個企業(yè)內網(wǎng)絡計算環(huán)境。這些內部私人站點或使用基礎設施、因特網(wǎng)標準和萬維網(wǎng)的“內部網(wǎng)”是通過防火墻來與公共網(wǎng)絡相封鎖的。 引言 建立和維持一個萬維網(wǎng)（ Web），作為美國工業(yè)的一種附屬形式，已經成為了買賣和銷售戰(zhàn)略中的重點。 特別是對于嘗試使用萬維網(wǎng)服務器來管理多媒體環(huán)境安全的組織來說，最挑戰(zhàn)性的問題之一在于管理大的網(wǎng)絡系統(tǒng)時，所面對的安全管理方面 的復雜性。clicking39。). VRML is an interactive, interworked, 3D graphics language for the Web. It is used to represent graphics, test, sound, and links to other content as either a static or dynamic picture on the Web. The inclusion of VRML into RBAC lets system administrators use an interactive puter model to check and validate the role structure, relationship, and privileges. Being able to view and interact with plex models, allows the administrator to identify conflicts, eradicate flaws and improve the implementation early in the RBAC setup. The VRML ponent will enable authorized users to navigate the RBAC database, finding and linking roles, and displaying attributes and graphics associated with those roles. By presenting a 3D model of established roles, the user can easily see which roles are mutually exclusive as well as the hierarchical structure of related roles and conflicts between roles (see Figure 2). VRML39。s structure. Traditionally, managing security has required mapping an anization39。 actions through the establishment and definition of roles, role hierarchies, relationships, and constraints. We define static separation of duty to mean that roles which have been specified as mutually exclusive cannot both be included in a user39。 of the graph where role relationships may have been obscured when viewed as a 39。s roles. Installation of the RBAC/Web CGI is similar to the installation of the Web server. 附錄 B：中文翻譯 Web 環(huán)境下基于角色的訪問控制 John F. Barkley, D. Richard Kuhn, Lynne S. Rosenthal, Mark W. Skall, 和 Anthony V. Cincotta, 國家研究院所定規(guī)則及蓋瑟斯堡技術，馬里蘭 20899 摘要 建立和維持一個萬維網(wǎng)（ Web），它作為美國工業(yè)的一種附屬形式，已經成為了買賣和銷售戰(zhàn)略中的重點。本文描述了如何才能致力于在萬維網(wǎng)上去應用基于角色的訪問控制。萬維網(wǎng) 站的建立是用來分隔一些來自普通大眾的信息，提供給他唯一的選擇或設定“私人”用戶。 雖然互聯(lián)網(wǎng)和內部網(wǎng)能為公司或政府機構提供非常好的利益，但安全威脅依然殘留。傳統(tǒng)上來說 , 安全管理需要把組織的安全政策放置到一個相對低水平的控制上去 ,傳統(tǒng)地存取控制目錄。 角色層次是在一個組織里面組織角色而且定義關系和角色屬性的自然方法。且由靜止又動態(tài)地經過角色，角色等級，關系和限制的建立和定義管理使用者的行動被達成了。 另外，管理工具正在被用以提高利用虛擬的真實靠模切語言（虛擬現(xiàn)實建模語言 ,發(fā)音 39。藉由一個確定角色的 3D 立體模型呈現(xiàn)，用戶能很容易地看出哪一個角色是互斥的和在角色之間的相關角色，以及沖突的階層結構。 曲線圖結構展示了角色的層次，角色 financial_advisor 繼承了角色account_rep。同樣的，因為一個出納員有一個公開的現(xiàn)金抽屜且在關閉時一定結算了。虛擬現(xiàn)實建模語言允許復雜的 3D 立體物體為這一個目的而被產生。 NT 的 RBAC/Web 需要 Web 伺候器的無修正或原代碼的訪問。 。基于 UNIX 的 RBAC/Web 可以使用表 1 中的所有組件。在這一個例子中，銀行的 政策是在 internal_auditor 和 account_rep 的角色之間有一個基本的利害沖突，這二個角色可能無法被相同的個體所授權。這個關系是一個抵觸的利益關系指標，而 account_rep 角色的個體權限不能在另一半的 account_holder 或 teller 角色上被給予權限。 基于角色的訪問控制舉例 考慮銀行的分公司。能夠觀察和互相影響復雜的模型，允許管理人識別沖突，根除缺點而且早在基于角色的訪問控制安裝時就對安裝啟用進行改良。一旦基于角色的訪問控制結構被確定是為了組織，首要的管理行動是用戶進入的許可和廢除并且缺乏對角色的分配指示。沒有單個的個體能夠運行兩個交易。 基于角色的訪問控制結構可以提供給互斥的角色和角色有交疊處理職責的特權。 基于角色的訪問控制描述 基于角色的訪問控制 (RBAC) 是傳統(tǒng)的隨意權限控制 (DAC) 和強制性的訪問控制 (MAC) 的替代品，在商業(yè)申請后成為了一種正在不斷吸引 人們注意的技術 。借助此單一途徑，為這些材料維護的費用顯著地減少了，這也確保了流通任務的簡化。公司紛紛抓住萬維網(wǎng)這樣一個迅速的精簡辦法 —— 甚至不惜轉變他們的組織。 RBAC 的概念和設計是為了能完全適應企業(yè)內部網(wǎng)和因特網(wǎng)。enter39。 and manipulate the view perspective of the 3D model, known as a scene graph. For example, the scene graph can be rotated to show the 39。s job responsibilities and petencies in the anization. Each role is assigned one or more privileges (., information access, deletion, creation), see Figure 1. It is a user39。s structure. Each user is assigned one or more roles, where roles are based on the user39。walkthrough39。s window is not permitted to sim