基于角色訪問(wèn)控制約束的研究綜述

顧春華+高遠(yuǎn)+田秀霞

摘要：基于角色的訪問(wèn)控制（Role-Based Access Control， RBAC）憑借其出色的靈活性、可擴(kuò)展性以及較高的安全性成為了企業(yè)信息應(yīng)用的首選模型。約束作為RBAC系統(tǒng)的一套強(qiáng)制性規(guī)則，是保證RBAC系統(tǒng)的安全原則得以實(shí)施的前提。該文就RBAC系統(tǒng)中約束的意義以及必要性進(jìn)行了簡(jiǎn)要的說(shuō)明，結(jié)合近年來(lái)的文獻(xiàn)資料對(duì)RBAC系統(tǒng)中約束的主要研究方向進(jìn)行了詳盡的總結(jié)，對(duì)每個(gè)研究方向存在的缺陷也一并進(jìn)行了說(shuō)明。最后，對(duì)約束研究在未來(lái)的發(fā)展趨勢(shì)進(jìn)行了合理的展望。

關(guān)鍵詞：基于角色的訪問(wèn)控制；約束；研究現(xiàn)狀；發(fā)展趨勢(shì)

中圖分類(lèi)號(hào)：TP311.5 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）35-0024-04

A Review of Research on Role - based Access Control Constraints

GU Chun-hua， GAO Yuan， TIAN Xiu-xia

（Institute of Computer Science and Technology， Shanghai University of Electric Power， Shanghai 200082）

Abstract： RBAC （Role-Based Access Control） with its excellent flexibility， scalability and high security has become the preferred model for enterprise information applications. Constraints As a set of mandatory rules for RBAC systems， it is a prerequisite for ensuring that the security principles of RBAC systems are implemented. In this paper， the meaning and necessity of constraint in RBAC system are briefly described. Combined with the literature in recent years， the main research direction of RBAC system constraints were summarized， the flaws in each research direction are also described. Finally， a reasonable outlook was given to the future development of the constraint research.

Key words： Role-Based Access Control； constraint； research status； development trend

隨著大數(shù)據(jù)時(shí)代的到來(lái)，云計(jì)算、分布式儲(chǔ)存的快速發(fā)展，各個(gè)企業(yè)數(shù)據(jù)保有量的快速增長(zhǎng)，如何在保證企業(yè)數(shù)據(jù)應(yīng)用安全的前提下，提高數(shù)據(jù)存儲(chǔ)和管理的效率已成為各相關(guān)研究人員以及企業(yè)的研究重點(diǎn)。在各種訪問(wèn)控制模型中，基于角色的訪問(wèn)控制模型（Role-Based Access Control， RBAC）[1] 與傳統(tǒng)的訪問(wèn)控制模型相比具有簡(jiǎn)化系統(tǒng)管理、 提高企業(yè)生產(chǎn)力、 減少新員工的適應(yīng)期和增加系統(tǒng)安全性和完整性等優(yōu)點(diǎn)[2]。

保證企業(yè)信息系統(tǒng)數(shù)據(jù)的安全性和完整性是對(duì)訪問(wèn)控制模型最基本的要求。為了充分體現(xiàn)基于角色訪問(wèn)控制的優(yōu)勢(shì)，各類(lèi)約束的使用至關(guān)重要：

1） RBAC系統(tǒng)的約束是RBAC系統(tǒng)安全和功能得以保證的一套強(qiáng)制性規(guī)則[3]。它是一系列的強(qiáng)約束集合，約束的集合可能會(huì)隨系統(tǒng)環(huán)境的變化而動(dòng)態(tài)變化。

2） 約束條件為RBAC系統(tǒng)提供基本的分配原則?，F(xiàn)實(shí)應(yīng)用的信息系統(tǒng)千差萬(wàn)別，如果沒(méi)有最小特權(quán)原則，權(quán)責(zé)分離原則等約束的存在，RBAC系統(tǒng)模型難免會(huì)和企業(yè)需求出現(xiàn)沖突，難以保證系統(tǒng)的穩(wěn)定高效運(yùn)行。

3） 在大型的信息系統(tǒng)中，為了提高系統(tǒng)的運(yùn)行效率，權(quán)限以及角色的分配過(guò)程難免會(huì)出現(xiàn)“自治”的情況：遵循一定的約束條件，以繼承等方式自發(fā)地傳遞權(quán)限或角色信息。此時(shí)約束條件存在的意義就在于保證“自治”的過(guò)程不會(huì)出現(xiàn)權(quán)限越級(jí)、權(quán)限濫用等安全問(wèn)題。

1 RBAC模型概述

訪問(wèn)控制技術(shù)最早興起于20世紀(jì)70年代，它的出現(xiàn)主要是為了解決大型主機(jī)之間共享數(shù)據(jù)訪問(wèn)的管理問(wèn)題[4]。最早的訪問(wèn)控制模型主要使用的是自主訪問(wèn)控制（Discretionary Access Control， DAC）和強(qiáng)制訪問(wèn)控制（Mandatory Access Control， MAC）。但隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，DAC和MAC已經(jīng)不能滿足日漸增長(zhǎng)的實(shí)際需求，之后RBAC應(yīng)運(yùn)而生。

1992年David Ferraiolo和Rick Kuhn提出了首個(gè)RBAC模型，被稱(chēng)作Ferraiolo-Kuhn92[5]模型。隨后于1996年，美國(guó)George Mason大學(xué)的Sandhu等提出了具有框架性意義的RBAC96[6]模型。RBAC96模型描述了完備的基礎(chǔ)理論，確立了用戶-角色-權(quán)限的基本映射框架，具有里程碑式的意義。2001年，F(xiàn)erraiolo和Kuhn根據(jù)RBAC96模型提出了RBAC模型的一致性建議，即NIST RBAC[7]。隨后經(jīng)過(guò)相關(guān)研究人員的進(jìn)一步研究提煉，美國(guó)國(guó)家信息技術(shù)標(biāo)準(zhǔn)委員會(huì)（ANSI/INCITS）于2004年2月將NIST RBAC制定為美國(guó)國(guó)家標(biāo)準(zhǔn)（ANSI INCITS 359-2004）[8]，擴(kuò)充標(biāo)準(zhǔn)化后的模型稱(chēng)為RBAC2004模型。endprint

RBAC2004模型主要元素包括用戶U，角色R，權(quán)限P，會(huì)話S。主要過(guò)程包括用戶角色指派過(guò)程（User Assignment，UA）以及角色權(quán)限指派過(guò)程（Permission Assignment，PA）。同時(shí)，為了適應(yīng)大型系統(tǒng)，引入了角色層次（Role hierarchy，RH）的概念，實(shí)現(xiàn)上下級(jí)角色之間權(quán)限的繼承，父角色繼承子角色的權(quán)限，子權(quán)限繼承父角色的用戶，避免了為每一個(gè)角色重復(fù)分配權(quán)限，節(jié)約了系統(tǒng)的運(yùn)行以及維護(hù)開(kāi)銷(xiāo)[9]。

2 RBAC約束條件的定義

約束是一組限制關(guān)系，它用來(lái)判定RBAC系統(tǒng)的各個(gè)部分組成的值是否可以被接受，只有可接受的值才被許可[6]。一個(gè)系統(tǒng)的約束條件可以表示為一個(gè)集合稱(chēng)作約束集，每一個(gè)約束條件都是約束集的元素。最基本的約束包括勢(shì)約束、職責(zé)分離約束、最小特權(quán)原則以及上下文約束[6]等。

在RBAC模型中，約束條件被用在UA、PA、 RH以及權(quán)限資源操作當(dāng)中，用以規(guī)范各個(gè)過(guò)程中的行為，加強(qiáng)系統(tǒng)的安全性、表達(dá)能力和應(yīng)用效果。RBAC模型以其約束條件如圖1所示。

圖1 RBAC模型及約束

3 RBAC約束條件的主要研究方向

3.1 勢(shì)約束

勢(shì)約束（Cardinality constraint，CC），由Ferraiolo等在1999年提出的一個(gè)附加的RBAC約束種類(lèi)[10]。勢(shì)約束規(guī)定了UA和PA過(guò)程中各個(gè)對(duì)象之間的約束關(guān)系。它主要通過(guò)會(huì)話S來(lái)限制對(duì)象元素的最大數(shù)量，故又稱(chēng)為基數(shù)約束。如一個(gè)部門(mén)經(jīng)理的權(quán)限賬戶在不同的時(shí)間內(nèi)可以由不同的人登錄操作，但在某一個(gè)時(shí)間節(jié)點(diǎn)內(nèi)，有且只有一人能夠登錄該賬戶。

勢(shì)約束在較為復(fù)雜的系統(tǒng)中一般不會(huì)單獨(dú)使用，它會(huì)結(jié)合時(shí)間約束、資源約束等約束條件，作為一個(gè)附加約束來(lái)構(gòu)成動(dòng)態(tài)的系統(tǒng)約束集。文獻(xiàn)[11]描述了一種使用包括勢(shì)約束在內(nèi)的約束集RBAC模型。文章結(jié)合模型以及算法分析描述了這種多約束模型在高適應(yīng)性和安全性方面的優(yōu)勢(shì)。

此外，文獻(xiàn)[12]提出一種基于模型勢(shì)約束的角色構(gòu)建算法，降低了角色的狀態(tài)成本，也是勢(shì)約束在RBAC模型中另一種功用的開(kāi)發(fā)。

3.2 職責(zé)分離約束

作為信息安全領(lǐng)域的重要機(jī)制，職責(zé)分離約束[13]于1975年由Saltzer 和 Schroeder提出并定名為“Separation of Privilege”[14]。隨后在1987年，Clark 和 Wilson對(duì)其進(jìn)行了擴(kuò)充：提出了保證安全性和完整性兩個(gè)方面的兩套標(biāo)準(zhǔn)[15]。隨后相關(guān)研究人員的不斷完善使之逐漸成為一個(gè)理論體系。

職責(zé)分離（Separation of Duty， SoD）在RBAC模型中主要的作用是為高層組織安全策略提供一種有力的機(jī)制，能夠防止系統(tǒng)的沖突和欺騙的發(fā)生[16]。RBAC中的職責(zé)分離約束主要分為兩大類(lèi)：一類(lèi)為單自治域中的職責(zé)分離約束研究；二類(lèi)為多自治域中的職責(zé)分離約束研究[17]。

3.2.1 單自治域職責(zé)分離

單自治域職責(zé)分離約束主要包括靜態(tài)職責(zé)分離和動(dòng)態(tài)職責(zé)分離兩類(lèi)。

1） 靜態(tài)職責(zé)分離 靜態(tài)職責(zé)分離指任意角色擁有的任意兩個(gè)用戶是非互斥的，即若k個(gè)用戶擁有權(quán)限集P，則靜態(tài)權(quán)限分離原則不允許n（n

2） 動(dòng)態(tài)職責(zé)分離 由于角色繼承關(guān)系，父角色可能從其子角色繼承了互斥權(quán)限，從而變相地打破了靜態(tài)職責(zé)分離原則[18]。動(dòng)態(tài)職責(zé)分離約束允許一個(gè)用戶同時(shí)擁有互斥的角色，但是在一個(gè)會(huì)話的時(shí)間節(jié)點(diǎn)內(nèi)，該用戶只能以一個(gè)固定的角色訪問(wèn)系統(tǒng)資源。

文獻(xiàn)[18]對(duì)單自治域職責(zé)分離進(jìn)行優(yōu)化，利用劃分私有角色和歷史記錄解決了職責(zé)分離的問(wèn)題，提出了I-TRBAC模型。另外，針對(duì)角色繼承可能造成的違背職責(zé)分離原則的情況，文獻(xiàn)[19]，針對(duì)角色繼承提出了權(quán)限傳播深度閾值的優(yōu)化算法，算法通過(guò)分析靜態(tài)職責(zé)分離約束權(quán)限集與用戶集之間的關(guān)系，減少了用戶的復(fù)雜度。

3.2.2 多自治域職責(zé)分離

隨著大數(shù)據(jù)、云計(jì)算以及分布式存儲(chǔ)的快速發(fā)展，人們已經(jīng)不僅僅滿足于傳統(tǒng)的單自治域系統(tǒng)。不同部門(mén)、不同企業(yè)甚至不同自治域間信息的共享成為了近些年的發(fā)展趨勢(shì)。這就對(duì)跨域信息共享過(guò)程中的安全問(wèn)題提出了更加苛刻的要求。其中最具代表性的模型是Kapadia在2000年提出的自治域間實(shí)現(xiàn)角色動(dòng)態(tài)映射和轉(zhuǎn)化的模型IRBAC2000[20]。IRBAC2000模型將自治域內(nèi)的角色層次拓展到全局域中，實(shí)現(xiàn)了動(dòng)態(tài)的角色跨域變換，從而實(shí)現(xiàn)了多自治域間的授權(quán)操作。但該模型雖然提出了角色關(guān)聯(lián)的概念，但卻沒(méi)有建立對(duì)應(yīng)的約束機(jī)制，在實(shí)際應(yīng)用中難免會(huì)出現(xiàn)沖突的情況。文獻(xiàn)[21]利用矩陣來(lái)判別多自治域間的映射關(guān)系，并通過(guò)矩陣的變換解決了多自治域間互操作過(guò)程中的職責(zé)分離約束沖突問(wèn)題。針對(duì)多域互操作角色沖突難以檢測(cè)的問(wèn)題，陳勝等[22]對(duì)角色的本質(zhì)進(jìn)行了分析，之后列舉了角色沖突的各種類(lèi)型，并實(shí)現(xiàn)了一個(gè)帶角色互斥檢測(cè)的角色分配控制器，便于多域互操作職責(zé)分離約束的實(shí)際制定。

文獻(xiàn)[23]對(duì)多域靜態(tài)職責(zé)分離約束進(jìn)行了定義：

其中表示多自治域角色訪問(wèn)系統(tǒng)中的一個(gè)權(quán)限集，表示系統(tǒng)中的不同自治域，為正整數(shù)，且滿足。該約束禁止少于k個(gè)域的用戶共同擁有權(quán)限集中的權(quán)限。

雖然已有對(duì)多域靜態(tài)職責(zé)分離約束的定義，但尚未有研究者針對(duì)多自治域互操作職責(zé)分離約束制定一套完備的理論。

3.3 最小特權(quán)原則

作為信息安全領(lǐng)域的一個(gè)基本原則，最小特權(quán)原則于1975年由Saltzer J.H等人提出[24]。其最初的應(yīng)用范圍就是計(jì)算機(jī)的信息保護(hù)。隨后，經(jīng)過(guò)理論的逐漸完善，美國(guó)國(guó)防部頒布的“可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)（Trusted Computer System Evaluation Criteria）” [25]把最小特權(quán)原則作為B2級(jí)的要求制定為安全標(biāo)準(zhǔn)。

最小特權(quán)原則的定義為：分配給系統(tǒng)中的每一個(gè)進(jìn)程和用戶的特權(quán)應(yīng)該是他們完成工作所必須享有特權(quán)的最小集合[26]。RBAC中的最小特權(quán)原則通過(guò)限制用戶所能獲取的角色進(jìn)而限制用戶在完成某個(gè)任務(wù)時(shí)所需要的全部權(quán)限，從而保證用戶擁有的權(quán)限不多于該任務(wù)所需的最小權(quán)限集，從而達(dá)到保證系統(tǒng)信息安全的目的。

RBAC系統(tǒng)最小特權(quán)原則的實(shí)現(xiàn)大多歸結(jié)到確定最小角色集的問(wèn)題上。最小角色集應(yīng)滿足：擁有的權(quán)限剛好能滿足用戶需要的全部權(quán)限集。而因?yàn)榻巧^承以及多域互操作的快速發(fā)展，角色之間的關(guān)系復(fù)雜性更高，如何在錯(cuò)綜復(fù)雜的角色關(guān)系網(wǎng)中確定最小角色集成為了研究的難點(diǎn)。文獻(xiàn)[27]在角色集和權(quán)限集中間引入了最小角色集來(lái)清晰角色間的關(guān)系。作者形式化定義了角色繼承的兩種形式：多角色完全繼承和多角色部分繼承，并引入了權(quán)限繼承路徑的概念來(lái)生成最小角色。Chen和Jason[28]等人提出了重載覆蓋的方法實(shí)現(xiàn)角色間關(guān)系的優(yōu)化，并在文中給出了最小特權(quán)原則問(wèn)題另一種改進(jìn)解決方案。

但由于RBAC系統(tǒng)的泛用性，針對(duì)角色劃分算法的改進(jìn)在具體實(shí)現(xiàn)的過(guò)程中效果往往不理想。對(duì)RBAC模型中最小特權(quán)原則的研究，需要研究者從其他方面例如任務(wù)流等方向，找出新的切入點(diǎn)。

3.4 時(shí)間約束

在傳統(tǒng)RBAC模型約束中，用戶只能通過(guò)角色來(lái)獲得權(quán)限，這雖然簡(jiǎn)化了用戶授權(quán)的復(fù)雜性，加強(qiáng)了系統(tǒng)的安全性，但是用戶角色關(guān)聯(lián)關(guān)系不夠靈活，不能隨時(shí)間動(dòng)態(tài)變化。針對(duì)這一問(wèn)題，Bertino等于1998年首次提出時(shí)態(tài)授權(quán)的概念，明確了RBAC系統(tǒng)中授權(quán)的時(shí)態(tài)依賴[29]。隨后，2000年，Gal和Atluri提出了時(shí)態(tài)授權(quán)模型（Temporal Data Authorization Model，TDAM），進(jìn)一步說(shuō)明了RBAC模型對(duì)時(shí)態(tài)的依賴性[30]。2001年，Bertino等人再次提出了TRBAC模型的完整構(gòu)架[31]。這個(gè)模型的基本思想是在RBAC模型的基礎(chǔ)上通過(guò)周期的時(shí)態(tài)檢測(cè)使角色處于許可和非許可狀態(tài)[32]。文獻(xiàn)[33]提出一個(gè)具有時(shí)間約束的動(dòng)態(tài)角色訪問(wèn)控制模型，根據(jù)時(shí)間狀態(tài)的不同將權(quán)限分為四種狀態(tài)：有效、無(wú)效、激活和阻塞。并制定了權(quán)限狀態(tài)的轉(zhuǎn)化算法，以及權(quán)限轉(zhuǎn)化最短時(shí)間的相應(yīng)算法。該模型有效地解決了時(shí)間敏感活動(dòng)的訪問(wèn)控制問(wèn)題，并具有更強(qiáng)、更細(xì)致的安全描述能力。文獻(xiàn)[34]提出了HARBAC模型，將時(shí)間約束作為模型的一項(xiàng)屬性，實(shí)現(xiàn)了權(quán)限的動(dòng)態(tài)授予。

目前在RBAC系統(tǒng)中引入的時(shí)間約束主要有兩種：連續(xù)時(shí)間約束和周期時(shí)間約束。

1） 連續(xù)時(shí)間約束?，F(xiàn)實(shí)世界里時(shí)間是連續(xù)的量，而計(jì)算機(jī)所能表達(dá)的量都是離散的。所以所謂的連續(xù)時(shí)間約束對(duì)于計(jì)算機(jī)而言實(shí)際是離散的長(zhǎng)段時(shí)間。它對(duì)RBAC模型在時(shí)間維度上進(jìn)行了擴(kuò)展，對(duì)會(huì)話和全局系統(tǒng)狀態(tài)空間進(jìn)行擴(kuò)展，以實(shí)現(xiàn)解決計(jì)算時(shí)間約束變化算法[35]。連續(xù)時(shí)間約束又可以分為激活時(shí)間范圍約束、激活時(shí)間長(zhǎng)度約束以及時(shí)間范圍內(nèi)激活時(shí)間長(zhǎng)度約束。可以根據(jù)系統(tǒng)狀態(tài)和實(shí)際情況選用。

2） 周期時(shí)間約束。引入類(lèi)似日歷的概念，周期性地對(duì)角色的可用狀態(tài)進(jìn)行檢測(cè)，即角色的狀態(tài)隨周期時(shí)間變化。周期性的時(shí)間約束增強(qiáng)了RBAC活動(dòng)約束機(jī)制，模型TRBAC就是使用的這種時(shí)間約束。

第一種時(shí)間約束在實(shí)際的應(yīng)用中表現(xiàn)并不出色，例如，當(dāng)時(shí)間的細(xì)粒度很細(xì)時(shí)，時(shí)間狀態(tài)的監(jiān)測(cè)會(huì)占用大量的系統(tǒng)資源[35]。第二種周期性的時(shí)間約束則比較符合現(xiàn)實(shí)中角色的規(guī)律性活動(dòng)。

時(shí)間約束的加入使RBAC模型在實(shí)現(xiàn)的過(guò)程中更加符合實(shí)際情況，但時(shí)間的細(xì)粒度和系統(tǒng)資源之間的平衡很難掌握：細(xì)粒度過(guò)細(xì)占用大量系統(tǒng)資源拖累系統(tǒng)，而細(xì)粒度過(guò)粗會(huì)影響角色的時(shí)態(tài)屬性。

3.5 上下文約束

上下文是普適計(jì)算中的一個(gè)概念[36]，于2000年由Anind.K.Dey提出。其定義為：對(duì)于描述一個(gè)實(shí)體狀態(tài)或動(dòng)作的特征以及該實(shí)體所操作的對(duì)象有用的所有信息[37]。上下文可以看作對(duì)象的一個(gè)特定屬性，該屬性的值可能在系統(tǒng)環(huán)境變化時(shí)隨之變化，或者對(duì)于同一個(gè)客體對(duì)象，不同的主體有不同的取值。

把上下文引進(jìn)RBAC系統(tǒng)中，即在為用戶劃分角色以及權(quán)限的過(guò)程中，加入上下文的信息作為屬性，保證該用戶只有滿足一定的前提條件并處于相應(yīng)的上下文域中時(shí)，才能擁有該權(quán)限。結(jié)合上下文約束，能夠保證訪問(wèn)控制過(guò)程中權(quán)限的動(dòng)態(tài)性以及實(shí)時(shí)性，且能提高系統(tǒng)的安全性以及穩(wěn)定性。

文獻(xiàn)[38]根據(jù)上下文策略，提出了上下文感知的RBAC動(dòng)態(tài)訪問(wèn)控制模型CDAC（Context-aware Dynamic Access Control Mode），將之應(yīng)用在醫(yī)院的門(mén)戶系統(tǒng)中并較傳統(tǒng)的RBAC系統(tǒng)全局策略更加靈活，可擴(kuò)展性更高。

文獻(xiàn)[39]把上下文作為角色的一個(gè)屬性，將RBAC的角色進(jìn)行了擴(kuò)充，避免了把上下文約束添加到RBAC策略中心之后系統(tǒng)的復(fù)雜度變大的問(wèn)題，實(shí)現(xiàn)了機(jī)動(dòng)靈活的權(quán)限配置管理。

如今的上下文約束條件大多是針對(duì)某些方面或者是根據(jù)既定的規(guī)則確定的。但現(xiàn)實(shí)情況下的上下文域不計(jì)其數(shù)，如何制定一個(gè)統(tǒng)一的規(guī)則，或者結(jié)合機(jī)器學(xué)習(xí)使RBAC系統(tǒng)的策略中心能夠根據(jù)樣本策略進(jìn)行自我學(xué)習(xí)可能是未來(lái)的一個(gè)研究方向。

4 總結(jié)與展望

由以上總結(jié)可知，由于實(shí)際環(huán)境的快速變化，新技術(shù)的不斷發(fā)展等因素影響，新的約束不斷地被提出，包括最小特權(quán)原則和職責(zé)分離原則這兩大基石在內(nèi)的已有約束也在被不斷地完善，RBAC系統(tǒng)中的約束研究在理論方面已經(jīng)有了長(zhǎng)足的發(fā)展。但還有以下問(wèn)題亟須解決，或許是未來(lái)的一些發(fā)展趨勢(shì)：

1） RBAC系統(tǒng)是一項(xiàng)應(yīng)用型的技術(shù)，實(shí)現(xiàn)的過(guò)程更加關(guān)鍵。就目前的研究來(lái)看，由于應(yīng)用環(huán)境復(fù)雜多樣，雖然系統(tǒng)的核心并沒(méi)有大的變化，但可移植性并不高，這就造成許多理論上針對(duì)模型約束的改進(jìn)在實(shí)現(xiàn)的過(guò)程中效果并不理想。

2） 約束的作用很大一方面是為了提高系統(tǒng)的安全性，RBAC系統(tǒng)的安全性是一項(xiàng)重要的指標(biāo)，但現(xiàn)在并沒(méi)有一個(gè)明確的方法來(lái)量化系統(tǒng)的安全性，這就造成許多基于約束改進(jìn)安全性的模型只能停留在理論的層次。endprint

3） 過(guò)多的約束會(huì)占用大量系統(tǒng)資源而約束過(guò)少系統(tǒng)的安全性和穩(wěn)定性不能滿足實(shí)際的需求，如何在兩者之間找到一個(gè)平衡的閾值是研究者需要解決的一個(gè)問(wèn)題。

另外，下一代的訪問(wèn)控制模型-UCON（Usage Control）模型也已經(jīng)漸漸地步入了大眾的視野。UCON集傳統(tǒng)的訪問(wèn)控制、信任管理以及數(shù)字版權(quán)管理于一體，能夠更好地滿足現(xiàn)代信息系統(tǒng)的要求。而隨著UCON研究的發(fā)展，其策略中心關(guān)于約束的研究也可能成為未來(lái)的一個(gè)研究熱點(diǎn)。

參考文獻(xiàn)：

[1] Feng Deng-guo， Zhang Min， Li Hao. Big data security and privacy protection[J]. Chinese Journal of Computer，2014，37（1）：246-258.

[2] Ma Xiao-pu， Li Rui-xuan， Hu Jin-wei. Role engineering in access control[J]. Journal of Chinese Computer Systems，2013，34（6）：1301-1306.

[3] 馬曉普，趙莉，李瑞軒. 基于角色訪問(wèn)控制中的約束研究[J]. 小型微型計(jì)算機(jī)系統(tǒng)，2015，（09）：1982-1987.

[4] 李鳳華，蘇铓，史國(guó)振，馬建峰. 訪問(wèn)控制模型研究進(jìn)展及發(fā)展趨勢(shì)[J]. 電子學(xué)報(bào)，2012，（04）：805-813.

[5] Ferraiolo D， Kuhn R. Role-based Access Control[C]. Proceedings of 15th National Computer Security Conference， 1992.

[6] Sandhu R， Coyne E， Feinstein H， et al. Role-based Access Control Models[J]. IEEE Computer， 1996， 29（2）：38-47.

[7] Ferraiolo D， Sandhu R， Gavrila S. A Proposed Standard for Role Based Access Control[J]. ACM Transactions on Information and System Security， 2001，4（3）.

[8] American National Standard 359-2004 is the Information Technology Industry Consensus Standard for RBAC[EB/OL]. http：//csrc.nist.gov/rbac/，2005-10-20.

[9] 熊厚仁，陳性元，杜學(xué)繪，王義功. 基于角色的訪問(wèn)控制模型安全性分析研究綜述[J]. 計(jì)算機(jī)應(yīng)用研究，2015，（11）：3201-3208.

[10] 陳軍冰，王志堅(jiān)，艾萍，許發(fā)見(jiàn). 關(guān)于RBAC模型中約束的研究綜述[J]. 計(jì)算機(jī)工程，2006（9）：1-3.

[11] 汪杰，孫玲芳. 多約束的基于角色的訪問(wèn)控制擴(kuò)展模型[J]. 信息技術(shù)，2011（3）：110-113.

[12] 李華青. 基于勢(shì)約束的角色挖掘算法研究[D].華中科技大學(xué)，2013.

[13] Chen Hong，Li Ning-hui. Constraints generation for separation of duty[C]. Proceedings of the 7th ACM Symposium on Access Control Models and Technologies，Lake Tahoe，California，USA，June，2006：130-138.

[14] Saltzer J H， Schroeder M D.The protection of information in computer systems[C].Proceedings of the IEEE， 1975，63（9）：1278-1308.

[15] Crampton J， Loizou G. Administrative scope： A foundation for role based administrative models[J].ACM Transactions on Information and System Security，2003，6（2）：201- 231.

[16] Dang Nguyen，Jaehong Park，Ravi Sandhu. A provenance-based access control model for dynamic separation of duties[C]. 2013 Eleventh Annual Conference on Privacy， Security and Trust （ PST），2013： 247- 256.

[17] 趙莉. 角色訪問(wèn)控制中的職責(zé)分離約束[J]. 電子技術(shù)與軟件工程，2016（20）：216-218.

[18] 馮俊，王箭. 一種基于T-RBAC的訪問(wèn)控制改進(jìn)模型[J]. 計(jì)算機(jī)工程，2012（16）：138-141.

[19] 高川，朱群雄. RBAC角色繼承關(guān)系中私有權(quán)限問(wèn)題的研究[J]. 計(jì)算機(jī)應(yīng)用，2010（5）：1230-1232+1235.

[20] Apu K， AI-Muhtadi J， Campbell R， et al.IRBAC2000： secure interoperability using dynamic role translation[R]. Technical Report： UIUCDCS-R-2000-2162，2000：1-8.endprint

[21] Wang Xin-yu， Yang Xiao-hua， Huang Chao， et al. Security violation detection for RBAC based interoperation in distributed environment[J]. IEICE TRANS.INF.& SYST， 2008， 91（5）：1447- 1456.

[22] 陳勝，婁淵勝，張文淵. RBAC模型中角色互斥研究及應(yīng)用[J]. 計(jì)算機(jī)技術(shù)與發(fā)展，2012（12）：21-24+28.

[23] Ma Xiao-pu，Li Rui-xuan，Lu Zheng-ding，et al. Global static separation of duty in multi-domains[C]. Proceeding of the 2009 International Conference on Multimedia Information Networking and Security， Wuhan， China， 2009： 18- 20.

[24] 王瑞，楊震暉. 論網(wǎng)絡(luò)環(huán)境下最小特權(quán)原則與隱私權(quán)的法律保護(hù)[J]. 北方工業(yè)大學(xué)學(xué)報(bào)，2014（2）：13-17.

[25] 王志剛，孫允標(biāo). 最小特權(quán)原理應(yīng)用研究[J]. 計(jì)算機(jī)工程，2005（15）：125-126+141.

[26] 李翔，曹淼，李勤爽. 程序行為監(jiān)控技術(shù)與“最小特權(quán)”原則[J]. 信息安全與通信保密，2008（12）：97，98.

[27] 蔡婷，聶清彬，歐陽(yáng)凱，周敬利. 基于角色擴(kuò)展的RBAC模型[J]. 計(jì)算機(jī)應(yīng)用研究，2016（3）：882-885.

[28] Chen Liang， Jason Crampton. Inter-domain role mapping and least privilege[C]. Proceeding of the 12th ACM Symposiums on Access Control Models and Technologies， 2007：157-162.

[29] Bertino E，Bettini C， Ferrari E. An Access Control Model Supporting Periodicity Constraints and Temporal Reasoning[J]. ACM Trans.Database Syst.， 1998， 23（3）：231-285.

[30] Gal A， Atlurl V. An Authorization Model for Temporal Data[C].Proceedings of 7th ACM Conference on Computer and Communication Security， 2000： 144-153.

[31] Bertino E， Bonatti P， Ferrar E. T RBAC ： A Temporal Rolebased Access Control Model[J] . ACM T ransactions on Information and Sy stems Security， 2001，4（3）：191-233.

[32] 金光明，沈曄，袁定蓮，張坤，龐琨. 帶時(shí)間約束的訪問(wèn)控制模型的研究與應(yīng)用[J]. 軟件工程師，2015（3）：30-34.

[33] 向華萍，付智輝，陳紅麗. 具有時(shí)間約束的動(dòng)態(tài)角色的訪問(wèn)控制策略[J]. 河北科技大學(xué)學(xué)報(bào)，2010（6）：558-563.

[34] 熊厚仁，陳性元，費(fèi)曉飛，桂海仁. 基于屬性和RBAC的混合擴(kuò)展訪問(wèn)控制模型[J]. 計(jì)算機(jī)應(yīng)用研究，2016（7）：2162-2169.

[35] 張新華，陳軍冰. 時(shí)間約束的RBAC模型及應(yīng)用[J]. 計(jì)算機(jī)技術(shù)與發(fā)展，2007（6）：246-249.

[36] Weiser M. The computer for the 21th Century[J].Scientific American，1991，265（3）：94-104.

[37] Mostefaoui G， Brezillon P. A Generic Framework for Context-Based Distributed Authorizations[A]. Proc of the 4th Intl and Interdisciplinary Conf on Modeling and listing Context[C].2003.204-217.

[38] 張沙沙，姜華，謝圣獻(xiàn)，李秋靜. 基于上下文感知的RBAC動(dòng)態(tài)訪問(wèn)控制研究[J]. 計(jì)算機(jī)安全，2009（8）：5-8.

[39] 許淳，王文發(fā)，李竹林，劉芬. 一種基于角色的多約束動(dòng)態(tài)權(quán)限管理模型研究[J]. 電子設(shè)計(jì)工程，2016（19）：31-33.

[40] Pullamsetty Harika， Marreddy Negajyothi， John C John， et al.Meeting cardinality constraints in role mining[J].IEEE Transaction on Dependable and Secure Computing，2015，12（1）：71-84.endprint