本论文研究角色与任务相结合的访问控制技术及其在电子政务系统中的应用。访问控制作为国际化标准组织定义的五项标准安全服务之一,是实现信息系统安全的一项重要机制。然而,传统的访问控制技术——自主型访问控制和强制型访问控制,已远不能适应当代系统安全的需要,而基于角色的访问控制(Role-Based Access Control,简称RBAC)和基于任务的访问控制(Task-Based Access Control,简称TBAC)成为近年访问控制技术研究热点。 作者在参加宜宾商务局信息管理系统(以下简称“宜宾商务系统”)开发工作中,访问控制的设计采用了RBAC和TBAC相结合的基本思想,初步的实践表明:与仅采用RBAC或TBAC的控制方式相比,二者相结合的访问控制方式更能够充分发挥两种方式的优点,弥补各自的不足,是一种值得进一步探讨的访问控制技术。 本论文反映的研究工作及其贡献包括: 1.采用RBAC和TBAC相结合的思想,设计并实现了“宜宾商务局信息管理系统”的访问控制,使用实践表明访问控制在方便性、灵活性和安全性方面比传统方式更优。 2.进一步界定了RBAC中“角色”和TBAC中“任务”内涵。 3.对宏观的“角色”和“任务”进一步细化为树型结构的“角色类”、“角色子类”和“任务类”、“任务子类”等。 4.在传统方式远程访问中常采用CA与角色挂钩的方式,在宜宾商务系统设计中,笔者探索性地将CA功能仅限于身份认证,而与角色相分离,以便在RBAC和TBAC相结合的访问控制中使角色易于重用。 5.为将来进一步改善TBAC模型,建议: ①将授权处理过程状态细化,明确划分多个阶段; ②在授权规则的依赖关系中加入状态因素,使任务进程迁移更加清晰。