内容管理信息系统中访问控制方案的切换.pdf

第 42 卷 第 5 期 电 子 科 技 大 学 学 报
2013年9月 molishing and reconstructing.
Key words access control; attribute-based access control (ABAC)； information system; role-based
access control (RBAC)

基于角色的访问控制(role-based access control， 种授权模型，然后阐述如何实现RBAC模型转化成
RBAC)模型中，用户与权限相分离，权限与角色相 ABAC模型。
关联，用户通过成为适当的角色而获得相应的权限。 1 RBAC模型与ABAC模型
RBAC模型方便灵活、可有效降低大型系统的安全
管理成本和管理复杂性，已被广泛应用于各类计算 RBAC模型
机系统中。但RBAC模型在存在控制粒度粗和“角 RBAC模型是由文献[1]首次提出，之后，文献
色爆炸”等问题，特别是在分布式环境下，访问交 [2]提出了比较完整的基于角色的访问控制模型
互各方可能处于不同的安全域下，交互双方完全不 RBAC96模型。RBAC96模型由用户(user)、角色
了解对方的信息，RBAC的静态特性限制了其在分 (role)、权限(permission)、会话(session)、权限指派
布 式 环 境 下 的 应 用 。 而 基 于 属 性 的 访 问 控 制 (permission assignment)、角色指派(role assignment)
(attribute-based access control，ABAC)模型的提出， 等组成。角色是组织内与用户权利义务相关的一组
为分布式环境下进行更细粒度的访问控制提供了一 权限集合，权限是指对一个或多个对象上执行相关
种便捷有效的方法，并且ABAC模型可以与RBAC模 操作的许可。用户和角色之间是多对多的关系，用
型结合使用。本文首先对比研究了RBAC和ABAC两 户可以拥有多个角色，角色也可以被指派给多个用

收稿日期：2011  12  13; 修回日期：2012 06  05
基金项目：国家自然科学基