基于角色的访问控制模型是一种重要的存取控制技术,得到了较为广泛的研究和使用:例如Ravi Sandhu、David Ferraiolo、Richard Kuhn、Axel Kern等专家都对基于角色的访问控制模型做了大量的研究,并且该模型已广泛使用在企业、政府等基于C/S和B/S架构的信息系统的访问控制中。 今天分布式应用得到了蓬勃的发展,但是由于传统的基于角色访问控制模型的提出是基于集中式访问控制背景,它仅仅针对主体的某一个属性对主体进行抽象、归类,所以抽象度不高;同时由于传统基于角色访问控制模型没有考虑客体也可以抽象、归类,在权限描述的时候只能针对具体的客体来描述访问权限,而不能针对某一类客体来描述访问权限等原因,导致了传统的基于角色访问控制模型存在角色和权限的冗余。并且传统的基于角色访问控制模型在进行分布式访问请求(访问属于非本企业的客体)时,只能以对等角色的身份提出访问请求,而不能进行更多角色的选择,从而导致了安全漏洞。角色和权限的冗余无疑增加了角色管理的复杂性,对等角色又不便于最小权限控制,这些传统的基于角色访问控制模型的不足,使其已不适合分布式访问控制的特点。 为了解决传统的基于角色访问控制模型的不足,作者提出了如下几点改进,以使基于角色的访问控制模型适合分布式访问控制的特点: 第一:借鉴DTE模型域和型的思想,提出了通过引入主体和客体的属性(区域)参数以及虚拟权限,这样可以对主体和客体进行高度抽象和归类,减少角色的冗余。 第二:通过扩展权限的定义,区别主体、访问的客体属于相同企业和属于不同企业时的权限,这样可以减少权限的冗余。 第三:主体在访问非本企业的客体时可以首先申请分配一个临时角色,一旦该临时角色的分配得到许可后,主体就可以以临时角色的身份提出访问请求,这样便于最小权限的控制。 通过这些改进,新的分布式环境下基于角色的访问控制模型极大地减少了角色的规模,降低了角色管理的复杂性,为进一步解决角色冲突等问题奠定了基础。 本文的研究成果已经在电子商务综合服务平台项目的访问控制中得以使用。