【正文】 陣，是通過(guò)基于矩陣的行或列來(lái)實(shí)現(xiàn)訪問(wèn)控制策略。如果使用組 (group)或者通配符 (wildcard)的概念，可以有效地縮短表的長(zhǎng)度。一般來(lái)說(shuō)，一類用戶使用的 資源基本上是相同的。最基本的，當(dāng)一個(gè)主體生成一個(gè)客體時(shí)，該客體的訪問(wèn)控制表中對(duì)應(yīng)生成者的表項(xiàng)應(yīng)該設(shè)置成缺省值，比如具有讀、寫(xiě)和執(zhí)行權(quán)限。一旦帶有特洛伊木馬的應(yīng)用程序被激活，它可以任意泄漏和破壞接觸到的信息，甚至改變這些信息的訪問(wèn)授權(quán)模式。 MAC 可以通過(guò)使用敏感標(biāo)記對(duì)所有用戶和資源強(qiáng)制執(zhí)行安全策略 [4]。因?yàn)橹挥凶酉到y(tǒng)的管理員才能制定出合適該子系統(tǒng)的訪問(wèn)控制模式，而整個(gè)系統(tǒng)的管理員不可能指定出適合各個(gè) 子系統(tǒng)的統(tǒng)一的訪問(wèn)控制模式。迄今為止，已經(jīng)討論和發(fā)展了 4 種基于角色的訪問(wèn)控制（ RoleBase）模型，下圖 45 所示是它們之間的相互關(guān)系： 圖 45 RBAC 家族系列關(guān)系示意圖 其中 RBAC0 為基本模型， RBAC1 為角色分級(jí)模型， RBAC2 為角色限制模型， RBAC3 為統(tǒng)一模型 [10]。 角色分級(jí)模型 RBACl RBACl的基本構(gòu)成與實(shí)現(xiàn)機(jī)制 下圖 47[11]給出了 RBAC1 的基本構(gòu)成： 圖 47 RBACl的基本構(gòu)成 在一般的單位或組織中，特權(quán)或職權(quán)通常是有繼承關(guān)系的，上級(jí)領(lǐng)導(dǎo) (角色 )所得到的信息訪問(wèn)權(quán)限高于下級(jí)職員的權(quán)限，因此在 ROLE— BASE中引進(jìn)一定 的層次結(jié)構(gòu)用以反映這個(gè)實(shí)際情況是自然的，在多級(jí)安全控制系統(tǒng)內(nèi)，存取類的保密級(jí)別是線性排列的。 其中： User： S→U ， 將各個(gè)會(huì)話映射到一個(gè)用戶去的函數(shù) user(Si)。 RBACl和 RBAC2之間是互不相關(guān)的，因此也就是不可比較的。對(duì)于一個(gè)特別大的系統(tǒng)，這是很重要的，因?yàn)楦呒?jí)系統(tǒng)管理人員就可以通過(guò)規(guī)定約束條件來(lái)指導(dǎo)和控制下級(jí)的系統(tǒng)管理人員的操作不致有失誤和越軌之處。由于數(shù)據(jù)涉密范圍不同，因此對(duì)用戶的操作權(quán)限有非常嚴(yán)格的限制。 下 圖 52為業(yè)務(wù)軟件功能菜單示例： 圖 52 業(yè)務(wù)軟件功能菜單 由上圖 52可以看到，本業(yè)務(wù)管理系統(tǒng)包含 4大模塊，數(shù)據(jù)查詢、數(shù)據(jù)維護(hù)、文秘管理和人事管理，而 4大模塊又包含若干子模塊。 他們 根據(jù)組織機(jī)構(gòu)、業(yè)務(wù)崗位不同，定義了以下幾種角色：處長(zhǎng)、數(shù)據(jù)查詢科科長(zhǎng)， A類數(shù)據(jù)查詢科員， B類數(shù)據(jù)查詢科員。 角色約束 RBAC 模型引進(jìn)了約束概念。其特點(diǎn) 是通過(guò)分配和取消角色來(lái)完成用戶權(quán)限的授予和取消，并且提供了角色分配規(guī)則和操作檢查規(guī)則。 Mandatory Access Control technology。 感謝所有關(guān)心過(guò)我，鼓勵(lì)過(guò)我和幫助過(guò)我的人們。目前，不論學(xué)術(shù)界還是工業(yè)界 ， 對(duì) RBAC的研究都還在繼續(xù) ， 相信不久的將來(lái)有關(guān) RBAC的理論會(huì)變的更加完善和成熟 ,并得到更多的應(yīng)用 . 主要參考文獻(xiàn) [1]趙亮 , 茅兵 , 謝立 . 訪問(wèn)控制研究綜述 [J]. 計(jì)算機(jī)工程 ,2021, 30( 2) . [2]肖川豫（重慶大學(xué) ） .訪問(wèn)控制中權(quán)限的研究與應(yīng)用 [D]. 2021 [3]Jerome H Saltzer,Michael D Schroeder .The Protection of Information in Computer Systems [M]. 1975(09) [4]劉偉 (四川大學(xué) ).基于角色的訪問(wèn)控制研究及其應(yīng)用 [D]. 2021 [5] (電子政務(wù)工程服務(wù)網(wǎng) ) [6]劉偉 (石河子大學(xué) ).訪問(wèn)控制技術(shù)研究 [J].《農(nóng)業(yè)網(wǎng)絡(luò)信息》 2021年 第七期 [7]李成鍇 ,詹永照 ,茅兵 .謝立 .基于角色的 CSCW系統(tǒng)訪問(wèn)控制模型 [J]. 軟件學(xué)報(bào) 2021(7) [8]許春根 ,江于 ,嚴(yán)悍 .基于角色訪問(wèn)控制的動(dòng)態(tài)建模 [J]. 計(jì)算機(jī)工程 2021(1) [9]張勇 ,張德運(yùn) ,蔣旭憲 .基于認(rèn)證的網(wǎng)絡(luò)權(quán)限管理技術(shù) [J]. 計(jì)算機(jī)工程與設(shè)計(jì) 2021(2) [10]中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心 ,《信息安全理論與技術(shù)》 [M] . 人民郵電出版社， 2021． 9 [11] David F． Ferraiolo、 D． Richard Kuhn、 Ramaswamy Chandramouli， Role— Based Access Control[M]. Artech House， 2021． 4 [12]American National Standards Institute [S]. Inc American National Standard for Information TechnologyRole Based Access [13]汪厚祥 , 李卉等 .基于角色的訪問(wèn)控制研究 [J]. 計(jì)算機(jī)應(yīng)用研究 , 2021, (4) . 英文摘要 Research of Access Control Technology Abstract: Access to information security control is an important part of the current security information is also the importance of the priority. Access Control of the basic concepts and access control techniques involved in the basic technique, and the main access control type of the study, such as the Discretionary Access Control technology (DAC), Mandatory Access Control technology (MAC) and RoleBased Access Control (RBAC),and for each visit control technology for the concept and implementation and its strengths and weaknesses summary. The visit to the Discretionary Access Control technology (DAC) of Access Control List (ACL) and the RoleBased Access Control (RBAC) the basic model of the focus of discussion and analysis . Key word: Discretionary Access Control technology。 系統(tǒng)設(shè)計(jì) 基于角色 的系統(tǒng)安全控制模型是目前國(guó)際上流行的先進(jìn)的安全管理控制方法。 由上圖 53，我們可以看到，我們定義了 12個(gè)角色 ，數(shù)據(jù)增、改科員負(fù)責(zé) A、 B類數(shù)據(jù)的增加和修改，但不具備刪除數(shù)據(jù)功能：數(shù)據(jù)刪除科員負(fù)責(zé) A、 B類數(shù)據(jù)的刪除；數(shù)據(jù)維護(hù)科科長(zhǎng)繼承了數(shù)據(jù)增、改科員和數(shù)據(jù)刪除科員的權(quán)限，既能對(duì)數(shù)據(jù)進(jìn)行增、刪、改、查： A類數(shù)據(jù)查詢科員只能查詢數(shù)據(jù)庫(kù)中的 A類數(shù)據(jù)； B類數(shù)據(jù)查詢科員只能查詢數(shù)據(jù)庫(kù)中的 B類數(shù)據(jù)；而數(shù)據(jù)查詢科的科長(zhǎng)繼承了 A類數(shù)據(jù)查詢科員和 B類數(shù)據(jù)查詢科員的權(quán)限，能對(duì) A、 B類數(shù)據(jù)進(jìn)行查詢；辦公室科員負(fù)責(zé)本處的收發(fā)文登記；辦公室主任繼承了數(shù)據(jù)查詢科科長(zhǎng)和辦公室科員的權(quán)限，既能查詢 A、 B類數(shù)據(jù)，也能查看收發(fā)文情況；人事科的普通科員只 能查詢黨員管理、警銜管理、工資管理的數(shù)據(jù)：人事科數(shù)據(jù)維護(hù)員繼承了人事科普通科員的權(quán)限，還能對(duì)黨員管理、警銜管理、工資管理的數(shù)據(jù)進(jìn)行增、刪、改、查：人事科科長(zhǎng)繼承了人事科數(shù)據(jù)維護(hù)員的權(quán)限，擁有了數(shù)據(jù)維護(hù)員的權(quán)限：處長(zhǎng)在這里處于最高級(jí)別，他繼承了數(shù)據(jù)維護(hù)科科長(zhǎng)、辦公室主任．人事科科長(zhǎng)的權(quán)限，能進(jìn)行所有的權(quán)限操作。在一個(gè) RBAC模型中，一個(gè)用戶可以被賦予多個(gè)角色，一個(gè)角色也可以對(duì)應(yīng)多個(gè)用戶，它們之間是多對(duì)多的關(guān)系，這些角色是根據(jù)系統(tǒng)的具體實(shí)現(xiàn)來(lái)定義的；同樣的一個(gè)角色可以擁有多個(gè)權(quán)限，一個(gè)權(quán)限也可以被多個(gè)角色所擁有。 系統(tǒng)業(yè)務(wù)功能簡(jiǎn)介 由于 該處開(kāi)發(fā)的業(yè)務(wù)管理系統(tǒng)涉密較深，不能詳細(xì)介紹它的功能、模塊。 再有，許多模型的代數(shù)描述非常復(fù)雜，很抽象，很難理解，需要很好的數(shù)學(xué)基礎(chǔ)，不易推廣 [13]。當(dāng)整體上確定了對(duì)某一個(gè)角 色的分配的約束條件后，公司的領(lǐng)導(dǎo)層就可以不必再操心具體的實(shí)施了。在實(shí)際的安全數(shù)據(jù)庫(kù)管理系統(tǒng)中，約束條件和實(shí)現(xiàn)的方式各有不同，多數(shù)專家傾向于采取盡可能簡(jiǎn)單而又高效的約束條件，作為實(shí)際 ROLE— BASE系統(tǒng)的約束機(jī)制。 RBAC，對(duì)層次角色的支持包括了偏序模型的支持 [10]。 RBACO的形式定義 RBACO模型的組成包括下列幾個(gè)部分： 1)U、 R、 P以及 S(用戶、角色、授權(quán)和會(huì)話 )； 2)PA? P*R， PA是授權(quán)到角色的多對(duì)多的關(guān)系： 3)UA? U*R， UA是用戶到角色的多對(duì)多的關(guān)系： 4)roles (Si) {r|(user(Si)， r)∈ UA} 其中， User： S→U ，將各個(gè)會(huì)話映射到一個(gè)用戶去的函數(shù) user(Si)。然而在現(xiàn)實(shí)社會(huì)中，這種訪問(wèn)控制方式表現(xiàn)出很多弱點(diǎn)，不能滿足實(shí)際需求。一般只用于軍事等具有明顯等級(jí)觀念的行業(yè)或領(lǐng)域 [79]。系統(tǒng)