【導讀】隨著網(wǎng)絡應用的逐步深入，安全問題日益受到關注。的訪問控制服務作保證。訪問控制是在保障授權用戶能獲取所需資源的同時拒絕非。絡資源不被非法使用和訪問，它是保證網(wǎng)絡安全最重要的核心策略之一。其中對自主訪問控制技術中的訪問控制表和基于角色的訪問控。制技術的各個基本模型進行了重點的討論分。源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作造成破壞。于授權規(guī)則的集中管理的基于角色的訪問控制技術。[4]趙亮,茅兵,謝立.訪問控制研究綜述[J].計算機工程,2021,30.以及其優(yōu)缺點的總結。3月底調研、查資料。5月下論文的初步撰寫，并進行相關的資料查閱與修改。6月初撰寫畢業(yè)論文，并與指導老師進行討論以修改，對

　　

【正文】 全 性。 系統(tǒng)業(yè)務功能簡介 由于 該處開發(fā)的業(yè)務管理系統(tǒng)涉密較深，不能詳細介紹它的功能、模塊。因此就 對軟件進行了脫密處理，就業(yè)務系統(tǒng)的基本架構與功能菜單做一個簡單地、類似的介紹，但能反映出 其 設計思想。 下 圖 52為業(yè)務軟件功能菜單示例： 圖 52 業(yè)務軟件功能菜單 由上圖 52可以看到，本業(yè)務管理系統(tǒng)包含 4大模塊，數(shù)據(jù)查詢、數(shù)據(jù)維護、文秘管理和人事管理，而 4大模塊又包含若干子模塊。 其對 數(shù)據(jù)按涉密范圍不同，分為 A類數(shù)據(jù)和 B類數(shù)據(jù)，被授予不同訪問權限的操作人員只能訪問他被授權的數(shù)據(jù)。例如：系統(tǒng)管理員只能為 用戶分配權限，不能讀取、修改任何涉密數(shù)據(jù)； A類和 B類數(shù)據(jù)的維護工作 (增、刪、改 )只能由專門的維護人員操作；從事于人事管理、行政管理的人員也不能訪問涉密數(shù)據(jù)：同樣的，具有訪問 A類數(shù)據(jù)的用戶不能訪問B類數(shù)據(jù)，具有訪問 B類數(shù)據(jù)的用戶也不能訪問 A類數(shù)據(jù)。 系統(tǒng)分析 組織結構 下 圖 53為 其 組織結構關系圖，它清晰地顯示了各部門之間的領導關系，以及每個部門內部的人員職責分工等情況。 圖 53 組織結構關系圖 用戶和角色 其實在現(xiàn)實生活中也經(jīng)常提到某人扮演了什么角色，處長還是副處長。不 過在 RBAC中的角色與實際的角色概念有所不同。在一個 RBAC模型中，一個用戶可以被賦予多個角色，一個角色也可以對應多個用戶，它們之間是多對多的關系，這些角色是根據(jù)系統(tǒng)的具體實現(xiàn)來定義的；同樣的一個角色可以擁有多個權限，一個權限也可以被多個角色所擁有。 在他們 這套系統(tǒng)里，用戶是指自然人，角色就是組織內部一件工作的功能或者工作的頭銜，表示該角色成員所授予的職權和責任。 他們 根據(jù)組織機構、業(yè)務崗位不同，定義了以下幾種角色：處長、數(shù)據(jù)查詢科科長， A類數(shù)據(jù)查詢科員， B類數(shù)據(jù)查詢科員。數(shù)據(jù)維護科科長，數(shù)據(jù)增、改科員，數(shù)據(jù) 刪除科員。辦公室主任，辦公室科員，人事管理科科長，人事管理科數(shù)據(jù)維護科員，人事管理科普通科員，系統(tǒng)管理員。 角色等級和權限的定義 RBAC模型中引入了角色等級來反映一個組織的職權和責任分布的偏序關系，以 上 應用系統(tǒng)為例，上圖顯示了該應用系統(tǒng)中角色的簡化等級。其中高等級角色在上方，低等級角色在下方。等級最低的角色是科員，科長、主任高于科員，處 長高于科長，所以科長繼承了科員，處長繼承了科長，顯然角色等級關系具有反身性、傳遞性和非對稱性，是一個偏序關系。 由上圖 53，我們可以看到，我們定義了 12個角色 ，數(shù)據(jù)增、改科員負責 A、 B類數(shù)據(jù)的增加和修改，但不具備刪除數(shù)據(jù)功能：數(shù)據(jù)刪除科員負責 A、 B類數(shù)據(jù)的刪除；數(shù)據(jù)維護科科長繼承了數(shù)據(jù)增、改科員和數(shù)據(jù)刪除科員的權限，既能對數(shù)據(jù)進行增、刪、改、查： A類數(shù)據(jù)查詢科員只能查詢數(shù)據(jù)庫中的 A類數(shù)據(jù)； B類數(shù)據(jù)查詢科員只能查詢數(shù)據(jù)庫中的 B類數(shù)據(jù)；而數(shù)據(jù)查詢科的科長繼承了 A類數(shù)據(jù)查詢科員和 B類數(shù)據(jù)查詢科員的權限，能對 A、 B類數(shù)據(jù)進行查詢；辦公室科員負責本處的收發(fā)文登記；辦公室主任繼承了數(shù)據(jù)查詢科科長和辦公室科員的權限，既能查詢 A、 B類數(shù)據(jù)，也能查看收發(fā)文情況；人事科的普通科員只 能查詢黨員管理、警銜管理、工資管理的數(shù)據(jù)：人事科數(shù)據(jù)維護員繼承了人事科普通科員的權限，還能對黨員管理、警銜管理、工資管理的數(shù)據(jù)進行增、刪、改、查：人事科科長繼承了人事科數(shù)據(jù)維護員的權限，擁有了數(shù)據(jù)維護員的權限：處長在這里處于最高級別，他繼承了數(shù)據(jù)維護科科長、辦公室主任．人事科科長的權限，能進行所有的權限操作。同時還有一個系統(tǒng)維護員的角色，它只能對用戶進行權限分配，而不能訪問所有的數(shù)據(jù)。 角色約束 RBAC 模型引進了約束概念。 RBAC 中的一個基本的約束稱為“相互排斥”角色約束，由于角色之間相互排斥 ，一個用戶最多只能分配到這兩個角色中的一個。例如：在數(shù)據(jù)查詢科科員當中，一個人不能即查詢 A 類數(shù)據(jù)，又查詢 B 類數(shù)據(jù)，在數(shù)據(jù)維護科科員當中，一個人不能對數(shù)據(jù)進行增、刪、改的所有操作。 另外，“基本限制”約束規(guī)定了一個角色可被分配的最大用戶數(shù)。在我們研制的系統(tǒng)中，處長這個角色最多被賦予 5 個人，數(shù)據(jù)維護科科長、數(shù)據(jù)查詢科科長、辦公室主任、人事科科長最多被賦予 3 個人， 各科科員最多被賦予 12 人。這些都是由處內組織機構正常編制確定的。 系統(tǒng)設計 基于角色 的系統(tǒng)安全控制模型是目前國際上流行的先進的安全管理控制方法。 他們 的安全管理系統(tǒng)也根據(jù)自身的需要有選擇性的吸收其部分思想。其特點 是通過分配和取消角色來完成用戶權限的授予和取消，并且提供了角色分配規(guī)則和操作檢查規(guī)則。安全管理人員根據(jù)需要定義各種角色，并設置合適的訪問權限，而用戶根據(jù)其責任和資歷再被指派為不同的角色。這樣，整個訪問控制過程就分成兩個部分，即訪問權限與角色相關聯(lián)，角色再與用戶關聯(lián)，從而實現(xiàn)了用戶與訪問權限的邏輯分離 [4]。 6 結束語 本文對訪問控制做了一個扼要的概述， 訪問控制技術作為信息安全的重要組成部分 ， 對系統(tǒng)的安全運行提供了重要的保障 。 訪問控制技術主 要包括自主訪問控制技術 、 強制訪問控制技術和基于角色的訪問控制技術 ， 每種訪問控制技術都有很好的實際應用 。本文對各個主流的訪問控制技術的概念、原理、適用性范圍以及優(yōu)缺點進行了相關的闡述，其中 RBAC是重點，因為 RBAC具備更容易理解和實現(xiàn) 、 使用靈活 、 易于管理等優(yōu)點 ， 是現(xiàn)在研究的熱點。目前，不論學術界還是工業(yè)界 ， 對 RBAC的研究都還在繼續(xù) ， 相信不久的將來有關 RBAC的理論會變的更加完善和成熟 ,并得到更多的應用 . 主要參考文獻 [1]趙亮 , 茅兵 , 謝立 . 訪問控制研究綜述 [J]. 計算機工程 ,2021, 30( 2) . [2]肖川豫（重慶大學 ） .訪問控制中權限的研究與應用 [D]. 2021 [3]Jerome H Saltzer,Michael D Schroeder .The Protection of Information in Computer Systems [M]. 1975(09) [4]劉偉 (四川大學 ).基于角色的訪問控制研究及其應用 [D]. 2021 [5] (電子政務工程服務網(wǎng) ) [6]劉偉 (石河子大學 ).訪問控制技術研究 [J].《農業(yè)網(wǎng)絡信息》 2021年 第七期 [7]李成鍇 ,詹永照 ,茅兵 .謝立 .基于角色的 CSCW系統(tǒng)訪問控制模型 [J]. 軟件學報 2021(7) [8]許春根 ,江于 ,嚴悍 .基于角色訪問控制的動態(tài)建模 [J]. 計算機工程 2021(1) [9]張勇 ,張德運 ,蔣旭憲 .基于認證的網(wǎng)絡權限管理技術 [J]. 計算機工程與設計 2021(2) [10]中國信息安全產品測評認證中心 ,《信息安全理論與技術》 [M] . 人民郵電出版社， 2021． 9 [11] David F． Ferraiolo、 D． Richard Kuhn、 Ramaswamy Chandramouli， Role— Based Access Control[M]. Artech House， 2021． 4 [12]American National Standards Institute [S]. Inc American National Standard for Information TechnologyRole Based Access [13]汪厚祥 , 李卉等 .基于角色的訪問控制研究 [J]. 計算機應用研究 , 2021, (4) . 英文摘要 Research of Access Control Technology Abstract: Access to information security control is an important part of the current security information is also the importance of the priority. Access Control of the basic concepts and access control techniques involved in the basic technique, and the main access control type of the study, such as the Discretionary Access Control technology (DAC), Mandatory Access Control technology (MAC) and RoleBased Access Control (RBAC),and for each visit control technology for the concept and implementation and its strengths and weaknesses summary. The visit to the Discretionary Access Control technology (DAC) of Access Control List (ACL) and the RoleBased Access Control (RBAC) the basic model of the focus of discussion and analysis . Key word: Discretionary Access Control technology。 Access Control List。 Mandatory Access Control technology。 RoleBased Access Control technology 致謝 四年的本科生學習生涯就要結束了，回首這四年來的經(jīng)歷，雖然短暫，但是收獲卻頗豐。這篇代表著本科生階段收獲總結的畢業(yè)論文，從整理思路、研究、選題到開題，再到正 式撰寫至今，共歷時五個月。在此論文完成之際， 向我的畢業(yè)設計指導 老師致以衷心的感謝和誠摯的敬意。在此我要對支持、幫助我的所有人表示衷心的感謝。 感謝我的父母，他們是我永遠的動力和堅強的后盾。 感謝所有關心過我，鼓勵過我和幫助過我的人們。 附錄 基于角色的訪問控制的模型的定義 —— 英文 1） 基 本 模型 RBAC0定 義 The RBAC0 Model has the following ponents: U,R,P, and S(users, roles,permissions,and respectively session) PA? P * R, a manytomany permission to role assignment relation UA? U * R, a manytomany user to role assignment relation user: S→U , a function mapping each session Si to the single user user(Si) (constant for the session‘s lifetime) roles: S→2 R , a function mapping each session Si to a set of roles roles(Si) {r∣ (user(Si),r) ∈UA}(which can change with time) and session Si has the permissions∪ r roles(Si) {p∣ (p,r) ∈ PA} 2） 分級模型 RBAC1定 義 The RBAC1 Model has the following ponents: U,R,P,S,PA,UA and user are unchanged form RBAC0 RH? R *R is a partial order on R called the role hierarchy or role dominanace relation, also written as ≥ roles: S→2 R is modified from RBAC0 to require roles(Si){r∣ r’ ≥r[(user(Si),r)∈ UA]} (which can change with time) and session Si has the permissions∪ r∈ roles(Si) {p∣ r”≤ r[(p,r”) ∈ PA]} 3） 限制模型 RBAC2定 義 The RBAC2 is unchanged from RBAC0 except for requiring that there be a collection of constraints that determine whether or not values of various ponents of RBAC0 are acceptable. Only acceptable values will be permitted. 4） 統(tǒng)一模型 RBAC3定 義 RBAC3 bines RBAC1 and RBAC2 to provide both roles hierarchies and constraints. 5） 模型