基于角色的访问控制模型的构成二

系统初始化时，PA和UA由安全管理员进行配置，配置PA意味着系统为每一个角色分配相应的操作权限，配置UA表示系统为每一个用户指定相应的角色身份。如果系统安全需求发生变化，安全管理员可修改PA和UA的配置，以及U、R和P的值。

user:S_U表示每一个会话是由哪个用户创建的，用户创建一个会话，系统就会激活他所拥有的角色集的一个子集，即roles(si)。会话s；具有的权限集P。；是这个子集中所有角色的权限的集合。

RBAC1

RBAC1包含RBACO的所有元素，并加入了角色等级的概念。在一个机构中不同的职务或角色不但具有不同的的权力，这些权力之间存在包含关系，职务越高，权力越大。RBAC1 用偏序关系来描述角色之间的等级关系，高级别的角色包含低级别角色的权限。利用角色等级的概念，可以实现多级安全中的访问控制。

在多级安全控制系统内，存取类的保密级别是线性排列的。例如： 公开<秘密<机密<绝密

其中，安全策略的一个要求就是：要想合法地获得信息，提出存取请求的人员的存取类的级别要大于信息的存取类级别。RBAC1中支持的层次关系可以容易地实现多级安全系统所要求的保密级别的线性排列的要求。

多级安全系统的另一个要求就是要能够支持范畴，为了获得信息的存取权，提出存取

注脚}f高j急毒1，≥毒、l{一^臣到蜀训l黪∞测（《I溉}／（登。0）

请求的人员必须具备一定的存取类，他的存取类的范畴的集合应该包括信息存取类的全部范畴。角色的层次结构RBAC1中的角色可以容易地实现所要求的保密存取类的范畴的要求。

RBAC2

RBAC2包含RBACO的所有元素，并加入了约束的概念。在绝大多数组织中，除了角色的层次关系而外，经常要考虑的问题是类似于下列情况：一个公司的采购员和出纳员虽然都不算是高层次的角色，但是，任何一个公司都绝不会允许同时分配给某一个具体人员以这两个角色的。因为很显然，这种工作安排必然导致欺诈行为的发生。不论一个具体的系统中，

是否具备等级角色的机制，约束机制都是很重要的。它是制定高层安全策略的有效机制，特别是在分布式的系统中，安全管理员可将它作为强制要求。通常情形下，约束作用于PA和UA，也可以作用在会话的和函数上。

最常见的约束条件就是互斥约束，一个用户在两个互斥的角色集中，只能分配给其中一 个集合中的角色。与角色互斥相似的是权限的互斥机制。例如，签字权，在任何实际的业务系统中都是非常重要的一个授权过程，而审计权一般都只授予角色一会计主任。简言之，对PA的约束可以防止系统内的重要的特权被失控地分散，从而保证了强制控制的可靠实施。

有时可以对角色附加数量的约束，譬如某个岗位只允许安排2个用户。这样系统管理员在执行UA的时候就受到公司规定的有效的约束。

此外，可以对角色施加前提约束，即某个用户被指派为角色A的前提条件是已经被指派为角色B。例如要扮演董事长的角色，必须先要被选人董事会；要成为项目的测试组成员， 必须要首先成为项图的成员。实际情况中类似的约束条件一般都是对有一定业务联系或关系的角色起作用。对用户指派的约束机制有一个弱点，即对同一个用户如果给予了两个以上的用户ID，系统是很难做出逻辑合理的判断的，系统对用户指派所做的约束安排就会失效。

RBAC3

RBAC3结合了RBAC1和RBAC2，同时具备角色等级和约束。但角色等级和约束之间存在一些矛盾。例如，测试工程师和程序员角色是互斥的，项目管理角色同时具有测试工程师和程序员角色的权限，违反了角色约束的互斥性。一般情况下，高级角色违反这种约束是可以接受的，而在其它情形下，则需要考虑这种排斥。在角色数量限制中也存在类似问题。 如，一个用户只能指派到最多一个角色中，项目管理的用户指派到他的下级角色就违反了这一约束。因此，在应用RBAC3时，需要根据系统的实际安全需求来制定合理的约束。