RBAC中分層角色挖掘算法研究.pdf

1、基于角色的訪問控制(Role-Based Access Control, RBAC)克服了自主訪問控制（DAC）和強制訪問控制（MAC）的缺點，不僅可以應用于大型企業(yè)，而且可以有效地管理部署云服務器。RBAC系統(tǒng)是通過使用角色（Roles）與角色層次（Role Hierarchies）來組織權限（Privileges）的，使得管理更靈活，更方便，角色集的好壞直接關系到組織機構應用RBAC策略的成功與否。
　　角色分層即角色之間的偏

2、序關系是RBAC策略的一個約束，不僅滿足了多級安全的需求，而且層次高的角色擁有它的孩子節(jié)點的權限，減小了安全管理的代價。目前許多角色挖掘算法要么只找到了最優(yōu)的角色集，算法目標單一，沒有找到這些角色之間的繼承關系，要么算法的時間復雜度是指數級。因此， RBAC策略中角色分層挖掘算法還需要進一步研究。
　　首先，本文研究了角色工程的定義、實現(xiàn)角色工程的方法，分析了現(xiàn)有的角色挖掘問題的解決方法。
　　其次，給出了角色分層挖掘問題的

3、定義以及解決此問題的方法步驟：第一步是基本角色挖掘問題，即找到角色數最少的角色集并且使得用戶/角色分配關系與角色/權限分配關系完全符合初始的用戶/權限分配關系；第二步角色分層構造問題，使得RBAC狀態(tài)整體復雜性達到最小?；谏鲜鏊枷?，利用矩陣分塊思想和集合之間的交差運算實現(xiàn)了基本角色挖掘算法，利用有向圖的深度優(yōu)先遍歷算法實現(xiàn)了角色分層構造算法，并且給出了相關的理論證明，最后還對構造出的角色分層結構進行了優(yōu)化，即去掉冗余角色。雖然結果比H

4、M算法平均差了11.9％，但是線性時間內實現(xiàn)了分層角色挖掘算法，時間復雜度是2O(U)， U是初始用戶數，HM算法時間復雜度是指數級。
　　最后，本文分析了活動目錄（Active Directory）服務的訪問控制機制，然后給出了RBAC以及分層角色挖掘算法在AD中的模擬應用系統(tǒng)。該系統(tǒng)抽象出了在單域環(huán)境下的權限集，實現(xiàn)了用戶信息的管理，權限信息的管理，角色信息管理，以及顯示用戶/權限、角色/權限分配關系的功能。驗證了該算法的實用