文档介绍:华中科技大学
博士学位论文
角色工程中的角色与约束生成方法研究
姓名:马晓普
申请学位级别:博士
专业:计算机应用技术
指导教师:卢正鼎;李瑞轩
2011-05-16
华中科技大学博士学位论文
摘要
基于角色的访问控制(Role-Based Access Control, RBAC)是一种广泛应用的访
问控制机制,该机制中权限不再直接分配给用户,而是通过将权限与角色关联,用
户通过扮演角色来间接获得其所需权限,从而完成其所要完成的任务。利用基于角
色的访问控制机制可以支持职责分离原则、最小权限原则以及数据抽象功能。作为
构建和维护 RBAC 系统的角色工程技术(Role Engineering)一般分为自顶向下
(Top-Down)的方法和自底向上(Bottom-Up)的方法。通常,自顶向下的方法通
过对大量的企业用例或业务逻辑进行分析,进而抽取相应的角色,并为角色分配相
应的权限,从而构建 RBAC 系统;而自底向上的方法通过分析系统中已经存在的用
户和权限之间的分配关系,利用数据挖掘技术从中得到能反映这一分配关系所对应
的角色,并构建角色层次,从而构建系统,由于该方法能实现自动化或半自动化处
理,从而成为角色工程技术研究的重点。
针对现有角色工程技术将用户所拥有的不同权限看成是同等重要,拥有同样的
地位,从而造成包含有重要权限但出现频率较低的角色不被发现,进而造成重要角
色丢失的问题。提出一种基于权限权重的角色生成算法,算法利用权限间的初始相
似度与用户间的初始相似度所获得到的加强相似度信息来获取权限的权重信息,进
而利用该权重信息实现角色的生成。同时从实验角度验证算法的效率和准确性,并
与现有算法比较,实验结果表明基于权限权重的角色生成算法可在较短的时间内完
成角色的生成,并具有较高的准确率。
针对现有角色工程技术不能发现系统所需访问控制约束的问题,定义了 RBAC
系统下的访问控制约束,分析了这些访问控制约束的本质及其对系统安全的影响,
并提出了基于频繁权限项集的约束生成算法,该算法通过减少扫描用户权限分配表
的次数和扫描数据的规模以达到降低算法计算开销的目的。实验结果表明基于频繁
权限项集的约束生成算法的生成精度和效率均得到了提高。
研究了 RBAC 系统下最小权限原则问题。首先,针对传统最小权限原则问题研
究没有考虑约束以及权限冗余的问题,提出了δ近似最小权限原则问题和
minimizing-approx 最小权限原则问题,并给出了规范化的定义;其次,针对传统最
小权限原则问题把所有权限以及角色看成是同等重要的问题,提出了基于权重的最
I
华中科技大学博士学位论文
小权限原则优化问题,从而用来描述满足同一最小权限原则问题的角色组合之间的
优劣;接着,分析了不同情况下的最小权限原则问题及其优化问题的计算复杂度;
最后给出了求解不同最小权限原则问题的遗传算法,实例分析与性能评估表明了所
提出的求解算法的有效性。
通过上述方法构建的 RBAC 系统中的角色具有较好的可解释性;同时系统产生
的约束能进一步保证系统的安全策略得到合理的实施;而不同类型的最小权限原则
实现机制保证了系统具有一定的灵活性,从而有利于推动角色工程的发展,促进基
于角色的访问控制机制在企业安全应用中的应用。
关键词:基于角色的访问控制,角色工程,角色挖掘,权重,约束,最小权限原则
II
华中科技大学博士学位论文
Abstract
Role-based access control (RBAC) is the most popular access control model at
present that has been widely deployed in enterprise security management products. In this
security model, a set of permissions are assigned to users through roles. This change on
how to assign the permissions often reduces plexity of access control because the
number of users is generally much larger than that of roles in anization. Furthermore,
it can support three well-known security principles: the principl