【正文】 ich cause conflicts of interest or other problems, or when improper procedures are used. RBAC for World Wide Web Applications Role Based Access Control (RBAC) for the World Wide Web (RBAC/Web) is an implementation of RBAC for use by World Wide Web (Web) servers. Because RBAC/Web places no requirements on a browser, any browser that can be used with a particular Web server can be used with that server enhanced with RBAC/Web. RBAC/Web is implemented for both UNIX (., for Netscape, NCSA, CERN, or Apache servers) and Windows NT (., for Inter Information Server, WebSite, or Purveyor) environments. Components of RBAC/Web are shown in Table 1. RBAC/Web for UNIX uses all of the ponents in Table 1. Because builtin NT security mechanisms are closely patible with RBAC, the NT version uses only the Database, Session Manager, and Admin Tool ponents. RBAC/Web for NT requires no modification of Web server internals or access to source code. With RBAC/Web for UNIX, there are two ways to use RBAC/Web with a UNIX Web server. The simplest way is by means of the RBAC/Web CGI. The RBAC/Web CGI can be used with any existing UNIX server without modifying its source code. RBAC URLs are passed through the Web server and processed by the RBAC/Web CGI. RBAC/Web configuration files map URLs to file names, while providing access control based on the user39。許多公司示范了一個設(shè)計良好的萬維網(wǎng)能讓他們在收益性上產(chǎn)生積極的效果。 特別是對于嘗試使用萬維網(wǎng)服務(wù)器來管理多媒體環(huán)境安全的組織來說，最挑戰(zhàn)性的問題之一在于管理大的網(wǎng)絡(luò)系統(tǒng)時，所面對的安全管理方面 的復(fù)雜性。 基于角色的訪問控制（ RBAC）是一種逐漸吸引人們注意的技術(shù)，特別是在商務(wù)應(yīng)用上，因?yàn)樗哂袦p少大型網(wǎng)絡(luò)應(yīng)用的復(fù)雜性和費(fèi)用的潛力。它提供了一個安全有效的方法去管理和組織其萬維網(wǎng)信息的訪問。為使用萬維網(wǎng)協(xié)議的網(wǎng)絡(luò)服務(wù)器提供基于角色的訪問控制的安全和軟件組件，這些內(nèi)容都已經(jīng)被實(shí)現(xiàn)并且在本文中得到了描 述。 引言 建立和維持一個萬維網(wǎng)（ Web），作為美國工業(yè)的一種附屬形式，已經(jīng)成為了買賣和銷售戰(zhàn)略中的重點(diǎn)。促成客戶藉由 Web 網(wǎng)頁按他們的方法獲得他們想要的訊息，而不是通過處理操作員或聲音回應(yīng)系統(tǒng)，以增加客戶接口的效率。 越來越多的新公司開始使用萬維網(wǎng)技術(shù)去為公眾或私人以及國內(nèi)客戶提供服務(wù)。具體才說，公共網(wǎng)絡(luò)封鎖住了使用者的帳戶和密碼以免公開。這些內(nèi)部私人站點(diǎn)或使用基礎(chǔ)設(shè)施、因特網(wǎng)標(biāo)準(zhǔn)和萬維網(wǎng)的“內(nèi)部網(wǎng)”是通過防火墻來與公共網(wǎng)絡(luò)相封鎖的。過剩的企業(yè)信息（ ,訓(xùn)練材料，目錄 ,表格）能經(jīng)由萬維網(wǎng)制作而被轉(zhuǎn)換為電子形式。如此一 來，企業(yè)計算機(jī)的一個目的：創(chuàng)造一個公司的大型系統(tǒng)，在其下分布的信息科技系統(tǒng)內(nèi)的各部分是能被實(shí)現(xiàn)的。熱心者們往往集中于人或生意上，而忽視了以使用網(wǎng)絡(luò)作為運(yùn)行和管理商業(yè)安全的方式。 本文描述了有關(guān)基于角色的訪問控制和基于角色的訪問控制在萬維網(wǎng)環(huán)境下執(zhí)行（ RBAC/Web）的優(yōu)勢，而且在個別項(xiàng)目中基于角色的訪問控制適用于一個企業(yè)內(nèi)網(wǎng)絡(luò)計算環(huán)境。雖然本文的焦點(diǎn)在于企業(yè)內(nèi)部網(wǎng)、利益、觀念和和基于角色的訪問控制在萬維網(wǎng)環(huán)境下的執(zhí)行，但對數(shù)據(jù)的限制訪問需要可以應(yīng)用在公司的因特網(wǎng)環(huán)境中。 在基于角色的訪問控制背后的主要推動力是自然的對組織結(jié)構(gòu)進(jìn)行規(guī)定和加強(qiáng)企業(yè)專項(xiàng)安全性策略的渴望。 藉由基于角色的訪問控制技術(shù)，安全在一個比較接近符合組織結(jié)構(gòu)的水平上被處理。每個角色又被分配一個或多個權(quán)限 (例如數(shù)據(jù)訪問，劃除 ,創(chuàng)造 )?；诮巧脑L 問控制的安全管理使得只有當(dāng)特定的操作者被判斷其動作可以被運(yùn)行 ,然后分配職員到適當(dāng)?shù)慕巧蟛拍苓M(jìn)行。 舉例來說，一些一般的操作可能被所有的職員允許 ,當(dāng)其他的操作可能是對一個角色的特性時候。 在基于角色的訪問控制軟件全部處理后，被互斥的角色或組織角色的復(fù)雜引入也調(diào)節(jié)了誰能運(yùn)行什么行動 ,何時 , 從哪里 , 以什么次序 , 和在某些情形之下表示關(guān)系的環(huán)境。自從面臨在類似的工作或機(jī)會中詐騙能夠發(fā)生后，分立的職責(zé)被認(rèn)為在防止詐騙方面是有價值的。最常用的例子是 交易的分期付款和授權(quán)付款。系統(tǒng)管理人對企業(yè)傳統(tǒng)的處理生意的方式是一個自然而又抽象化的程度控制訪問。 我們定義靜態(tài)職責(zé)的分離意味著互斥的給定角色不 能同時被包括在用戶的授權(quán)權(quán)限集合里。換句話說，當(dāng)一位管理人建立角色授權(quán)的時候，靜態(tài)職責(zé)的分離迫使規(guī)則互斥；而當(dāng)一個用戶選擇角色的時候，動態(tài)職責(zé)的分離迫使規(guī)則同樣互斥。管理工具允許系統(tǒng)管理員產(chǎn)生并且定義角色，角色層次，關(guān)系和限制。這些維護(hù)工作使用管理工 具將被容易運(yùn)行。vermal39。虛擬現(xiàn)實(shí)建模語言 是交談式的、網(wǎng)際企業(yè)式的、同時也是用于萬維網(wǎng)的 3D 立體圖形語言?；诮巧脑L問控制的虛擬現(xiàn)實(shí)建模語言 讓系統(tǒng)管理人使用一個交談式計算機(jī)模型檢查，而且使角色結(jié)構(gòu)，關(guān)系和特權(quán)有效。 虛擬現(xiàn)實(shí)建模語言 成 份將會使經(jīng)認(rèn)可的使用者能夠執(zhí)行基于角色的訪問控制數(shù)據(jù)庫，發(fā)現(xiàn)而且鏈接角色，而且顯示屬性和被和那些角色整合的圖形。虛擬現(xiàn)實(shí)置標(biāo)語言的導(dǎo)航控制允許使用者以交互式“初排”而且操縱 3D 立體模型的視野遠(yuǎn)景 ,即一個場景曲線圖。為了改善可讀性、清晰度和適應(yīng)性，角色層次被組織成層，而每個 層又包含著其它級別的細(xì)節(jié)。例如，與特權(quán)相關(guān)的角色或一個用戶的從屬清單。 在這環(huán)境中 ,有角色 , 像是部門經(jīng)理，講話者和帳戶代表。單獨(dú)被授權(quán)的角色 financial_advisor 被允許進(jìn)行所有account_rep 角色所能進(jìn)行的活動。因?yàn)閹舸恚块T經(jīng)理，內(nèi)部的審計員和出納員都是銀行的職員 ,他們的對應(yīng)角色也繼承了職員的角色。出納員角色和 account_holder 以黃色矩形顯示是為了說明這些角色與 account_rep 有一個“動態(tài)權(quán)責(zé)區(qū)分”（ DSD）的關(guān)系。銀行的政策是帳戶代表或銀行職員能有銀行的帳戶，但是如此的個體在處理其它的帳戶時候不可能同時處理他們的個人帳戶。一個坐在遠(yuǎn)離出納員桌子上的 account_rep 角色即使被授權(quán)了出納員的 角色也不能同時被允許擁有出納員的個體行動權(quán)限。這個靜態(tài)權(quán)責(zé)區(qū)分的關(guān)系同樣是一個和動態(tài)權(quán)責(zé)區(qū)分關(guān)系一樣相互抵觸的利益關(guān)系，但是這個關(guān)系更強(qiáng)勁一些。如果兩個角色間有一個靜態(tài)權(quán)責(zé)區(qū)分的關(guān)系，那么他們不可能同樣被一個個體所授權(quán)。 使用虛擬現(xiàn)實(shí)建模語言的管理工具的新版本將會允許我們以一種自然的方法表現(xiàn)相互抵觸的利益或是其它關(guān)系，而且是由無數(shù)的情況所組成的。使用者能“進(jìn)入”一個被挑選出的角色而且探究一些和那個角色相互關(guān)聯(lián)的程度方面的細(xì)節(jié)（也就是數(shù)據(jù)）。 基于角色的訪問控制在萬維網(wǎng)中的應(yīng)用 為萬維網(wǎng) (RBAC/Web)而設(shè)的基于角色的訪問控制 (RBAC)是萬維網(wǎng) (Web)服務(wù)器對基于角色的訪問控制技術(shù)的具體執(zhí)行。RBAC/Web 同時被 UNIX（舉例來說，對網(wǎng)景， NCSA， CERN 或阿帕契伺候器）和Windows NT（舉例來說 , 對英特網(wǎng)數(shù)據(jù)伺候器，網(wǎng)站或承辦商）環(huán)境所應(yīng)用 RBAC/Web 的組件在表 1 中被顯示。因?yàn)閮?nèi)建的 NT 安全機(jī)制與基于角色的訪問控制非常適合， NT 版本只使用數(shù)據(jù)庫，會話管理員，和管理工具組件?；?UNIX 的 RBAC/Web 有兩種途徑以 UNIX Web 服務(wù)器來使用 RBAC/Web。 RBAC/Web CGI 不修正它的原代碼，因而能被任何已存在的 UNIX 服務(wù)器用。當(dāng)提供基于用戶的角色以訪問控制的時候， RBAC/Web配置文件名的網(wǎng)址文件圖， RBAC/Web CGI 的安裝與 Web 的安裝類