访问控制是信息系统安全的重要方面,也是近年来国内外研究的热点。特别是基于角色(Role-Based Access Control:RBAC)的访问控制机制,更是企业级应用的核心。基于角色访问控制机制能显著增强访问控制能力,降低授权管理的复杂性,提高系统访问安全。 基于角色的带多约束特性访问控制模型(m-CRBAC)通过从现实环境中汲取角色,包括主体角色、环境角色、客体角色和临时角色,从而提供更强的表达能力和灵活的管理控制能力。它符合目前多变的企业人员结构和组织结构,结合细粒度的权限划分和充分的授权约束,进一步对传统RBAC做出了扩展,满足动态访问控制的要求。 本文对传统RBAC和TRBAC(Time Constraints Role-Based Access Control)进行了分析,将多约束机制与RBAC访问控制机制关联,从而实现相应于真实环境状态和当前任务等上下文信息的动态权限管理。通过将权限细化,分为功能权限、系统权限和用户权限,并且在时间维度上对角色指派和授权进行控制,实现了细粒度的角色权限控制,能够很好的解决职责动态分离等复杂的约束问题,为安全主动的访问控制奠定了基础。 本文的研究工作改善了RBAC访问控制机制的控制能力,对从真实企业角色环境和权限环境到系统逻辑角色环境和权限环境作出了比较合理的推导,使m-CRBAC访问控制机制更能符合当前企业组织结构和运作机制。本文为在动态环境下应用的访问控制机制提供了有意义的参考。