基于角色的访问控制(RBAC)是近几年在访问控制领域新兴的研究热点,由于在满足目前大量存在的商业和政府部门等系统安全需求方面显示了极大的优势,因此作为传统访问控制机制的替代和补充而引起了广泛的关注。 RBAC的核心思想就是将访问权限与角色相联系,通过给用户分配合适的角色,使用户与访问权限间接关联。角色是根据用户在企业中的职权和责任来设定的,这样就与企业的现实组织结构相吻合;而权限在管理上是与角色相关的,使得权限与用户在逻辑上分离开来,简化了授权管理,增强了权限控制的灵活性。 本文针对现存的访问控制技术进行了介绍。首先对传统的访问控制DAC、MAC和基于角色的访问控制RBAC进行了简单分析和比较,然后介绍和分析了两个比较成熟的基于角色访问控制模型RBAC96和NIST RBAC模型。 在此基础上,本文首先针对RBAC模型在实际应用中存在权限定义维护困难、系统扩展性方面存在不足等方面的问题进行了讨论。提出结合过程定义,建立一种基于过程的RBAC方案。在基于过程的RBAC中,以过程为载体进行权限、角色的定义,实现动态的用户/角色分配,使得RBAC在具体应用中更加简单、灵活并具有很强的可扩展性。其次,针对基于过程的RBAC进行了角色约束机制的扩展研究,对传统的RBAC模型的约束机制进行了补充。最后讨论了如何利用基于过程的RBAC机制实现系统本身的访问控制,这使得基于过程的RBAC机制在实现上具有较强的优势。 本文最后给出了一个基于过程的RBAC系统的实例。针对其功能、体系结构及其关键设计与实现进行了全面的介绍。该工具基于Web,提供从过程定义到权限/角色定义、人员角色分配、权限验证以及相应的维护与管理的支持。