基于角色的多步委托與撤消研究.pdf

1、委托是指委托用戶把擁有的權(quán)限委托給被委托用戶。根據(jù)委托深度將委托分為單步和多步委托，前者指委托用戶可以把委托權(quán)和權(quán)限指派給被委托用戶，被委托用戶不能將指派來的角色和委托權(quán)繼續(xù)指派；后者是指被委托用戶能將指派來的權(quán)限和委托權(quán)繼續(xù)指派給其他用戶。而基于角色的多步委托是實(shí)現(xiàn)多步委托的一種機(jī)制，只是以角色為單位進(jìn)行權(quán)限的委托，其中，發(fā)起角色委托動(dòng)作的用戶被稱為委托用戶或委托者(delegator)，委托出去的角色稱為委托角色(delegated

2、role)，接受委托角色的用戶稱為被委托用戶或受托者(delegatee)。
　　 委托撤消是委托授權(quán)的逆過程，其含義是指委托角色被取消的過程，即委托用戶可以撤回委托給其他用戶權(quán)限的特權(quán)。其中，角色權(quán)限的撤消可分為源用戶分配中的角色權(quán)限撤消和委托用戶分配中的角色權(quán)限撤消，如系統(tǒng)管理員撤消是對(duì)源用戶-角色分配的撤消。
　　 目前，對(duì)權(quán)限撤消的研究，主要集中在源用戶分配中角色權(quán)限的撤消，而對(duì)多步委托撤消的研究較少，為此，本文

3、在分析已有的權(quán)限撤消機(jī)制的基礎(chǔ)上，提出級(jí)聯(lián)撤消機(jī)制，并借助于有向圖來實(shí)現(xiàn)。本文開展的工作主要包括以下幾個(gè)方面：
　　 ①比較全面地總結(jié)了目前典型的訪問控制模型和委托模型，包括RBAC96、RBDM0、RDM2000和支持時(shí)間的委托模型。
　　 ②重點(diǎn)研究了多步委托授權(quán)實(shí)現(xiàn)、委托有向圖的生成和基于委托有向圖的多步委托級(jí)聯(lián)撤消。
　　 ③在分析多步委托授權(quán)實(shí)現(xiàn)的過程中，重點(diǎn)研究了時(shí)限限制，并給出了時(shí)限定義。其目的是為

4、系統(tǒng)的自動(dòng)撤消創(chuàng)造條件。
　　 ④在委托有向圖的生成過程中，通過定義兩個(gè)映射，使委托中的所有元素映射到有向圖中；定義了基于有向圖的多步委托授權(quán)算法，并通過舉例對(duì)算法加以左證；給出委托有向圖的性質(zhì)，并加以證明。
　　 ⑤主要研究了三種委托撤消機(jī)制：系統(tǒng)管理員撤消、基于時(shí)間自觸發(fā)的系統(tǒng)自動(dòng)撤消、級(jí)聯(lián)撤消機(jī)制。重點(diǎn)研究了級(jí)聯(lián)撤消，提出基于委托有向圖的級(jí)聯(lián)撤消算法；利用此算法對(duì)生成的委托有向圖進(jìn)行示例證明。最后，論證基于時(shí)間觸發(fā)