角色工程中的角色與約束生成方法研究.pdf

1、基于角色的訪問控制（Role-Based Access Control，RBAC）是一種廣泛應用的訪問控制機制，該機制中權限不再直接分配給用戶，而是通過將權限與角色關聯，用戶通過扮演角色來間接獲得其所需權限，從而完成其所要完成的任務。利用基于角色的訪問控制機制可以支持職責分離原則、最小權限原則以及數據抽象功能。作為構建和維護RBAC 系統的角色工程技術（Role Engineering）一般分為自頂向下（Top-Down）的方法和自底向

2、上（Bottom-Up）的方法。通常，自頂向下的方法通過對大量的企業(yè)用例或業(yè)務邏輯進行分析，進而抽取相應的角色，并為角色分配相應的權限，從而構建RBAC系統；而自底向上的方法通過分析系統中已經存在的用戶和權限之間的分配關系，利用數據挖掘技術從中得到能反映這一分配關系所對應的角色，并構建角色層次，從而構建系統，由于該方法能實現自動化或半自動化處理，從而成為角色工程技術研究的重點。
　　 針對現有角色工程技術將用戶所擁有的不同權限看

3、成是同等重要，擁有同樣的地位，從而造成包含有重要權限但出現頻率較低的角色不被發(fā)現，進而造成重要角色丟失的問題。提出一種基于權限權重的角色生成算法，算法利用權限間的初始相似度與用戶間的初始相似度所獲得到的加強相似度信息來獲取權限的權重信息，進而利用該權重信息實現角色的生成。同時從實驗角度驗證算法的效率和準確性，并與現有算法比較，實驗結果表明基于權限權重的角色生成算法可在較短的時間內完成角色的生成，并具有較高的準確率。
　　 針對現

4、有角色工程技術不能發(fā)現系統所需訪問控制約束的問題，定義了RBAC系統下的訪問控制約束，分析了這些訪問控制約束的本質及其對系統安全的影響，并提出了基于頻繁權限項集的約束生成算法，該算法通過減少掃描用戶權限分配表的次數和掃描數據的規(guī)模以達到降低算法計算開銷的目的。實驗結果表明基于頻繁權限項集的約束生成算法的生成精度和效率均得到了提高。
　　 研究了RBAC 系統下最小權限原則問題。首先，針對傳統最小權限原則問題研究沒有考慮約束以及權

5、限冗余的問題，提出了δ近似最小權限原則問題和minimizing-approx 最小權限原則問題，并給出了規(guī)范化的定義；其次，針對傳統最小權限原則問題把所有權限以及角色看成是同等重要的問題，提出了基于權重的最小權限原則優(yōu)化問題，從而用來描述滿足同一最小權限原則問題的角色組合之間的優(yōu)劣；接著，分析了不同情況下的最小權限原則問題及其優(yōu)化問題的計算復雜度；
　　 最后給出了求解不同最小權限原則問題的遺傳算法，實例分析與性能評估表明了所