基于用户组的RBAC部分权限委托模型

基于用户组的ＲＢＡＣ部分权限委托模型

作者：袁 园 梁少华 来源：《商情》2008年第47期

【摘 要】现有的许多授权模型都不支持部分权限的委托。它们要不就把角色的所有权限委托出去，要不就不能进行权限的委托。权限的委托应该反映真实世界中的情况。本文根据现实情况提出了一种新的RBAC授权模型，该模型支持单步委托。它主要关心的是建立临时用户组来解决部分授权问题。

【关键词】部分授权 用户组 RBAC 委托 1 引言

访问控制是信息安全技术的重要组成部分，经历了多个发展阶段。当前访问控制的研究重点和热点是基于角色的访问控制-RBAC。其中又以Sandhu提出的RBAC96模型的应用最为广泛。委托（delegation）又称为转授权，它表示系统中某个处于活动的实体（可以是用户，也可以是代表用户的程序、进程等）将自己的权力转授给其他活动实体，使被授予的实体可以代表授给实体执行相应的权力。委托的类型有多种，目前研究的重点是基于角色的用户——用户委托。

现实生活中，在某组织中执行某一角色的人员因为要离开几天，他不得不把自己权限临时委托给另一个人代替，但是同时又不想把自己所有的权限委托出去。这就出现了权限部分委托的问题。

2 RBAC基本模型

RBAC的核心思想就是将访问权限与角色相联系，通过给用户分配适合的角色，让用户与访问权限相联系。角色是根据组织内为完成各种不同的任务需要而设置的，根据用户在组织中的职权和责任来设定他们的角色，用户可以在角色间进行转换，系统可以添加、删除角色，还可以对角色的权限进行添加、删除。这样通过应用RBAC可将安全性放在一个接近组织结构的自然层面上进行管理。

现在有许多不同的RBAC模型，在这里我们仅限于讨论一般层次的RBAC模型，它也是应用最普遍的RBAC模型标准。 定义一：RBAC基本概念

龙源期刊网 http://www.qikan.com.cn

U、R和P（用户集合、角色集合和权限集合） PAR×R（PA是角色和权限的分配关系） UAU×R（UA是用户和角色的分配关系）

RHR×R（RH是R上的一种偏序关系，表示角色间的继承关系） 3基于用户组的RBAC部分授权模型

现有的许多授权模型都不支持部分权限的委托，如RBDM、RDM2000等。它们要不就把角色的所有权限委托出去，要不就不能进行权限的委托。显然这样是不够的，权限的委托是应该反映真实世界中的情况。在这一部分，我们阐述一个基于组的权限部分委托模型。该模型是基于RBAC96模型的，它支持单步委托。它主要关心的是建立临时用户组来解决部分授权问题，而重点不在于授权的过程。

在这个模型中，UAR和PAR是由系统的安全管理员来管理的。而UAG和PAG是由单一的某个用户（该组的创建人）来管理的，也只有他才能删除该组。 4 小结

本文提出了一种新的访问控制授权模型。该模型解决的主要问题是在委托授权时，用户可以通过建立一个用户组，对打算授予出去的权限进行一定的控制。达到逼近真实情况的要求。 本模型并不支持多步委托。也就是说，当一个用户在某个用户组中得到了本身不属于他的权限，而该用户在建立用户组时，不能将本身不属于自己的权限委托出去。这样做的好处在于，在撤消用户组的时候方便、快捷。坏处在于，与现实世界还是具有一定的差距，这也是我们下一步将继续的工作。

参考文献：

[1]Ezedin Barka，Ravi Sandhu，A role-based delegation model and some extensions，Proceedings Of 23rd National Information Systems Security Conference (NISSC)，Baltimore，USA，2000：101-114.

龙源期刊网 http://www.qikan.com.cn

[2]Longhua Zhang，Gail-Joon Ahn，Bei-Tseng Chu，A rule-based framework for role-based delegation，Proceedings of 6th ACM Symposium on Access Control Models and Technologies (SACMAT)，Chantilly，VA，200：153-162.

[3]Xinwen Zhang，Sejong Oh，Ravi Sandhu，PBDM：A Flexible Delegation Model in RBAC，Proceedings of SACMAT’03，Como，Italy，2003：149-157.

[4]赵青松，孙玉芳，孙波.RPRDM：基于重复和部分角色的转授权模型，计算机研究与发展，2003，40：221-227.

[5]孙波，赵庆松，孙玉芳.TRDM——具有时限的基于角色的转授权模型.计算机研究与发展，2004，（7）.

（作者单位：长江大学计算机科学学院）