姚全營 姚淑珍 黃 河 譚火彬

(北京航空航天大學(xué) 軟件學(xué)院，北京100191)

基于角色的訪問控制(RBAC，Role Based Access Control)于1992年由文獻［1］提出，其基本特征在于用戶和訪問權(quán)限之間引入了角色的概念.在進行訪問控制時，將訪問權(quán)限分配給角色，然后用戶再通過所屬的角色來獲得該角色所擁有的訪問權(quán)限.其中，用戶與角色、角色和權(quán)限之間是多對多的關(guān)系.RBAC中用會話表示用戶和角色之間的關(guān)系，用戶通過建立會話激活角色，得到相應(yīng)的訪問權(quán)限，用戶和會話是一對多的關(guān)系.

RBAC利用角色實現(xiàn)用戶對資源的訪問控制，提高了系統(tǒng)的資源管理能力和安全性.但隨著系統(tǒng)應(yīng)用動態(tài)要求的提高，傳統(tǒng)的RBAC模型越來越不適應(yīng)系統(tǒng)的訪問控制要求，主要有以下一些局限性:①由于RBAC模型利用主體標(biāo)識進行靜態(tài)授權(quán)，并且沒有規(guī)定權(quán)限在客體類上的應(yīng)用范圍，因此該模型缺乏足夠的靈活性和動態(tài)性.例如在傳統(tǒng)的RBAC模型中，用戶一旦通過角色擁有了某類權(quán)限，無論其所處的環(huán)境如何變化，它都可以無限制地進行相應(yīng)的操作.②很多系統(tǒng)在行業(yè)實際應(yīng)用中，由于行業(yè)部門機構(gòu)龐大，當(dāng)為部門內(nèi)部用戶授權(quán)時就顯得比較混亂，授權(quán)也顯得不夠靈活.而在RBAC的規(guī)范中沒有提到關(guān)于用戶是如何組織的，管理起來非常繁瑣.

對于局限①，提出了一種帶有上下文感知的動態(tài)訪問控制［2］.因為在動態(tài)應(yīng)用環(huán)境中，主體的訪問除與自身的標(biāo)識有關(guān)系外，還與其所處的上下文環(huán)境有關(guān)，這些上下文包括時間、安全級別和網(wǎng)絡(luò)狀況等.對于局限②，加入了用戶組這一概念［3］，它是指一群用戶的集合，這樣可以使系統(tǒng)適合于分散式權(quán)限管理.當(dāng)按樹形結(jié)構(gòu)方式將行業(yè)內(nèi)所涉及的部門按行政或其他隸屬關(guān)系進行組織時，授權(quán)就會清晰得多.

1 帶有上下文動態(tài)感知的訪問控制

上下文是普適計算中的一個概念［4］，于2000年由Anind.K.Dey提出.其定義為:對于描述一個實體狀態(tài)或動作的特征以及該實體所操作的對象有用的所有信息.計算環(huán)境中有了上下文的參與，就把傳統(tǒng)的計算環(huán)境轉(zhuǎn)換成了有感知的環(huán)境，當(dāng)上下文變化時，系統(tǒng)的訪問結(jié)果也應(yīng)發(fā)生變化.

文中的上下文感知信息指任何與安全相關(guān)的并且可以控制用戶對客體訪問的信息.帶有上下文動態(tài)感知的訪問控制采用“基于角色，結(jié)合上下文，在訪問過程中提供動態(tài)實時的權(quán)限”.因此，在這種訪問控制中角色的訪問權(quán)限并非一成不變的，而是隨上下文的變比而變化.提出了帶有上下文動態(tài)感知的訪問控制模型，如圖1所示.

圖1 帶有動態(tài)訪問控制的RBAC模型

該模型中的部分概念和定義［5］如下:

定義1 上下文信息CONS.用戶或角色所處的當(dāng)前應(yīng)用環(huán)境信息.CONS={CONS1，CONS2，…，CONSn}，n≥ 1，?i，j，i≠j，CONSi ≠CONSj，其中CONSi代表與應(yīng)用中訪問控制有關(guān)的安全環(huán)境屬性.上下文服務(wù)器將每次檢索到的上下文信息存儲到上下文信息庫中，并對上下文信息庫進行實時更新.

定義2 上下文條件COND.它是由上下文值、上下文變量和運算符構(gòu)成的一個布爾表達式，COND= ＜ CONSi＞ ＜OP＞ ＜Value＞，其中OP是邏輯操作符或用戶自定義運算符，Value是管理員設(shè)定值.上下文條件用來比較當(dāng)前上下文屬性CONSi與設(shè)定上下文屬性值Value是否一致，滿足條件返回真，否則為假.

定義3 上下文約束規(guī)則CONR.是一個上下文條件決定規(guī)則表達式，用于描述復(fù)雜的安全要求，限制主體行為的規(guī)則.CONR=CL1∪CL2∪…∪CLn，CL=COND1∩COND2∩…∩CONDn，主體只有在滿足特定的限制條件時才能執(zhí)行相應(yīng)的操作.例如，有上下文集合CONS={TIME，NUMBER，TRUSTLEVEL}，其訪問規(guī)則為只有在時間段9:00～17:00之間并且編號在01～09之間的員工才能訪問被保護的資源，否則要求用戶具有高的信任級別，該規(guī)則可以表示為:CONR={TIME＞9:00∩TIME＜17:00∩ NUMBER ＞01∩NUMBER ＜09∩TRUSTLEVEL=NORMAL}∪{TRUST≥ HIGH}.

2 基于用戶組的訪問控制

用戶組是具有某一類共同特征的若干用戶組成的集合，一個用戶可以屬于多個用戶組，一個用戶組可以包含許多不同的用戶.角色直接授權(quán)給用戶組，而不是用戶，所以傳統(tǒng)的為用戶分配角色就轉(zhuǎn)化成為用戶組分配角色，用戶組內(nèi)的用戶繼承所屬用戶組所擁有的角色.

這樣，在對用戶授權(quán)的時候根據(jù)用戶的身份，將用戶包含到某個特定的用戶組中，就完成了用戶的授權(quán).當(dāng)用戶的身份發(fā)生變化后，只需將用戶從一個用戶組移出，再移入另一個用戶組，就完成了用戶的重新授權(quán)，這大大減少了角色分配時的工作量，能夠更加方便和靈活地對用戶授權(quán)并且動態(tài)地添加用戶，提高了權(quán)限控制的靈活性與可維護性.改進后的權(quán)限模型如圖2所示.

圖2 基于用戶組的RBAC模型

該模型中的部分概念和相關(guān)定義如下:

定義4 用戶集合USERS={u1，u2，…，um}，其中ui(1≤i≤m)為用戶標(biāo)識，即 ui=userId，如ZhangSan，LiSi等.

定義5 用戶組集合 GROUPS={g1，g2，…，gn}，其中g(shù)i(1≤i≤m)為用戶組的標(biāo)示，即gi=經(jīng)理組等.

定義6 角色集合ROLES={r1，r2，… ，rn}，其中ri(1≤i≤n)為系統(tǒng)中存在的角色，如administrator，Manager，Employee 等.

定義7 權(quán)限集 PERM={p1，p2，… ，pk}，其中pi(1≤i≤k)為系統(tǒng)中所具備的權(quán)限.例如對資源的Browse和Download權(quán)限.

結(jié)合圖2，o1，o2與o3是系統(tǒng)中受保護的資源，財務(wù)組和人力資源組全是物理組，對應(yīng)著具體的部門，經(jīng)理組和雇員組屬于邏輯組，是具有某一類共同特征的若干用戶組成的集合，user1被分到財務(wù)組里的經(jīng)理組，經(jīng)理組又同時擁有Manager和Employee兩個角色，Manger擁有瀏覽和下載o1，o2，o3的權(quán)限.

3 帶有上下文感知的RGBACC

3.1 模型的定義

在原有的RBAC的基礎(chǔ)上，再結(jié)合上面提到的上下文動態(tài)感知和用戶組訪問控制，本文提出了帶有上下文感知的基于角色和用戶組的訪問控制(RGBACC，Role and Group Based Access Control with Context)模型，如圖3所示.

圖3 RGBACC模型

為了實現(xiàn)RGBACC模型，定義了以下集合:

定義8 用戶集合USERS={u1，u2，… ，ux}，其中ui為用戶標(biāo)識，即 ui=userId，如ZhangSan，LiSi等.

定義9 客體集合 OBJECTS={o1，o2，…，oy}，其中oi為客體標(biāo)示，即用戶所能訪問的客體.

定義10 角色集合ROLES={r1，r2，… ，rn}，其中ri為系統(tǒng)中存在的角色，如administrator，Manager，Employee 等.

定義11 權(quán)限集PREMS={(o，d)，(o，f)|o∈O}，其中d表示對客體的下載權(quán)限，f表示對客體的瀏覽權(quán)限.

定義12 密級標(biāo)識SEC-IDENTITY={TS，C，S，G}，客體的密級標(biāo)識含有該客體的名稱、ID、所屬部門、秘密等級等屬性，其中秘密等級分為4個級別:絕秘級TS(Top Secret)、機密級C(Confidential)、保密級S(Secret)以及一般級G(General)，其級別順序為TS＞C＞S＞G.

定義13 用戶組集合 GROUPS={g1，g2，…，gn}，其中g(shù)i為用戶組的標(biāo)示，每一個用戶組都對應(yīng)著現(xiàn)實社會中的一個或者多個部門，如gi包含信息部、發(fā)展部等部門.

定義14 部門集合DEPARTMENTS={d1，d2，… ，dn}，其中dj為每個部門的標(biāo)識，每一個部門都對應(yīng)著企業(yè)中一個真實的部門，如dj對應(yīng)著系統(tǒng)部.

定義15 用戶環(huán)境集合ENVIRONMENTS={e1，e2，… ，em}，其中 ei為每個環(huán)境的標(biāo)識，每一個環(huán)境信息都包括用戶的IP地址，當(dāng)前時間，當(dāng)前日期等元素.

定義16 會話集合 SESSIONS={s1，s2，…sn}，其中sj為每一個會話的標(biāo)識，當(dāng)用戶被賦予相應(yīng)的角色并獲得該角色所被賦予的相應(yīng)權(quán)限的時候，就會激活一個會話.

3.2RGBACC的形式化描述

圖3定義了RGBACC模型的基本元素和各元素之間的關(guān)系，該模型支持最小特權(quán)原則，體現(xiàn)了最基本的角色控制思想.RGBACC模型的形式化定義如下:

1)使用 USERS，ROLES，OBJECTS，PERMS，GROUPS， DEPARTMENTS， ENVIRONMENTS，SEC-IDENTITY，SESSIONS分別表示用戶集合、角色集合、操作對象集合、操作權(quán)限集合、用戶組集合、部門集合、環(huán)境集合、密級標(biāo)識集合與會話集合.

2)URA?USERS×ROLES，表示用戶與角色間多對多的指派關(guān)系，每個用戶可以分配多個角色，每個角色可以指派給多個用戶.

3)PRA?PERMS×ROLES，表示許可權(quán)與角色之間多對多的指派關(guān)系，每個角色具有多個操作權(quán)限.

4)GUA?GROUPS×USERS，表示用戶組與用戶之間多對多的指派關(guān)系，每個用戶組可以包含多個用戶，每個用戶可以分配給多個用戶組.

5)GRA?GROUPS×ROLES，表示用戶組與角色之間多對多的指派關(guān)系，每個用戶組可以分配多個角色，每個角色可以指派給多個用戶組.

6)DGA?DEPARTMENTS×GROUPS，表示部門與用戶組之間多對多的指派關(guān)系，每個用戶組可以屬于多個部門，每個部門又可以指派給多個用戶組.

7)DOA?DEPARTMENTS×OBJECTS，表示部門與對象之間多對多的指派關(guān)系，每個部門可以擁有多個對象，每個對象又可以屬于多個部門.

8)DUA?DEPARTMENTS×USERS，表示部門與用戶之間一對多的指派關(guān)系，每個部門可以擁有多個用戶，每個用戶只能屬于一個部門.

9)EUA?ENVIRONMENTS×USERS，表示上下文環(huán)境與用戶之間多對多的指派關(guān)系，每種上下文環(huán)境可以控制多種用戶，每個用戶可以被多種上下文環(huán)境控制.

10)SOA?SEC-IDENTITY ×OBJECTS，表示密級標(biāo)識與操作對象之間一對多的關(guān)系，每種密級標(biāo)識可以標(biāo)識多個操作對象，每種操作對象只能被指定一種密級標(biāo)識.

11)assigned_users:(r:ROLES)→2USERS，為角色r分配一個用戶集合，assigned_users(r)={u∈USERS|(u，r)∈URA}.

12)assigned_permissions(r:ROLES)→2PRMS，為一個角色r分配一個操作權(quán)限集合，表示該角色r所擁有的權(quán)限，assigned_permissions(r)={p∈PRMS|(p，r)∈PRA}.

13)assigned_sec－identity(o:OBJECTS)→2SEC-IDENTITY，為一個操作對象o分配一個秘密等級，表示該操作對象 o所擁有的密級標(biāo)識，assigned_sec-identity(o)={s∈SEC －IDENTITY|(s，o)∈SOA}.

14)session_users(s:SESSION)→USERS，會話s到該會話中激活的用戶集合的映射.

15)session_roles(s:SESSION)→2ROLES，會話s到該會話激活的角色集合的映射，session_roles(si)?{r∈ROLES|(session_users(si)，r)∈URA.

16)avail_session_perms(s:SESSIONS)→2PRMS，在會話s中，每個用戶具有一個操作權(quán)限集合，即

17)assigned_groups:(u:USERS)→2GROUPS，為用戶u分配一個用戶組集合，assigned_groups(u)={g∈GROUPS|(g，u)∈GUA}.

18)assigned_groups:(r:ROLES)→2GROUPS，為角色r分配一個用戶組集合，assigned_groups(u)={g∈GROUPS|(g，r)∈GRA}.

19)assigned_departments:(g:GROUPS)→2DEPARTMENTS，為用戶組 g分配一個部門集合，assigned_departments(g)={d∈DEPARTMENTS|(d，g)∈DGA}.

20)assigned_departments:(o:OBJECTS)→2DEPARTMENTS，為對象o分配一個部門集合，assigned_departments(o)={d∈DEPARTMENTS|(d，o)∈DOA}.

21)assigned_departments:(u:USERS)→2DEPARTMENTS，為用戶u分配一個部門，assigned_departments(u)={d∈DEPARTMENTS|(d，u)∈DUA}.

22)assigned_enviroments:(u:USERS)→2USERS，為用戶 u分配一個上下文環(huán)境集合，assigned_enviroments(u)={e∈ENVIRONMENTS|(e，u)∈EUA}.

4RGBACC模型的安全性描述

4.1 約束 RGBACC

約束RGBACC在RGBACC的基礎(chǔ)上增加了約束的概念，如圖4所示.在現(xiàn)實生活中，有時要求某些職務(wù)不能由同一人擔(dān)任，這就是責(zé)任分離.一般其目的是通過指定具有不同技能和不同利益的人去完成一個完整的商業(yè)(工業(yè)，政府)行為.將這一點抽象到RGBACC系統(tǒng)中，就得到了約束RGBACC.約束RGBACC在RGBACC模型中添加了責(zé)任分離關(guān)系(separation of duty relationship).責(zé)任分離關(guān)系包括靜態(tài)職者分離(SSD，Static Separation of Duty，也稱為靜態(tài)授權(quán)約束)和動態(tài)職責(zé)分離(DSD，Dynamic Separation of Duty，也稱為動態(tài)授權(quán)約束).

圖4 約束RGBACC

在基于角色訪問控制中，分配權(quán)限時將相互沖突的角色分配給同一個用戶可能產(chǎn)生利益沖突.可以通過使用靜態(tài)授權(quán)約束來阻止這種類型的沖突，也就是說在指定角色給用戶的過程中附加限制(作用于URA關(guān)系)，若兩個角色被指定具有靜態(tài)約束，則一個用戶不能同時被指定給這兩個角色.

SSD，即在系統(tǒng)初始化的時候，當(dāng)角色分配給用戶時判斷是否已將沖突的角色給了同一個用戶.即在RGBACC標(biāo)準(zhǔn)中，沖突的角色被定義為一個二元關(guān)系，就是說，任何一個用戶只能擁有其中的一個.

SSD 的形式化描述［5］:

SSD?(2ROLES× N)，?(rs，n)∈SSD，?t?rs:|t|≥n? ∩r∈tassigned_users(r)= ?.

DSD，指相沖突的角色可以同時給一個人，但是在一次會話中不能同時扮演兩個沖突的角色.

DSD的形式化描述:

DSD?(2ROLES× N)，?rs∈s2ROLES，n∈N，(rs，n)∈DSD?n≥2，|rs|≥n，并且?s∈SESSIONS，?rs∈2ROLES，?role_subset∈2ROLES，?n∈N，(rs，n)?DSD，role_subset?rs，role_subset?session_roles(s)?|role_subset|＜ n.

4.2 安全屬性定義

這些安全屬性主要實現(xiàn)了對角色基數(shù)、角色繼承與角色職責(zé)分離關(guān)系的限制，對實際系統(tǒng)的開發(fā)具有較強的指導(dǎo)作用.下面給出這些安全屬性的形式化定義:

1)每個角色的授權(quán)用戶數(shù)不能超過該角色的基數(shù)(cardinality):?r∈ROLES?|authorized_users(r)|≤ cardinality(r).

2)角色自己不能直接或間接地繼承自己:?r∈ROLES?┐(r→+r).

3)分配給同一用戶的兩個角色之間不具有直接或間接的繼承關(guān)系:?u∈USERS，?r1，r2∈ROLES，r1，r2∈assigned_roles(u)?┐(r1→+r2).

4)兩個靜態(tài)互斥的角色不能被賦予給同一用戶:?u∈USERS，?r1，r2∈ROLES，(r1，r2)∈SSD，r1∈assigned_roles(u)?r2?assigned_roles(u).

5)每個角色不能與自己具有靜態(tài)職責(zé)分離的關(guān)系:?r∈ROLES?(r，r)?SSD.

6)靜態(tài)職責(zé)分離關(guān)系是具有對稱性的:?r1，r2∈ROLES，(r1，r2)∈ssd?(r2，r1)∈SSD.

7)具有靜態(tài)職責(zé)分離關(guān)系的兩個角色之間沒有繼承關(guān)系:?r1，r2∈ROLES，r1→+r2?(r1，r2)?SSD.

8)一個角色不能同時繼承具有靜態(tài)職責(zé)分離關(guān)系的兩個角色:?r，r1，r2∈ROLES，r→+r1，

9)若一個角色的父角色與另一角色R具有靜態(tài)職責(zé)分離關(guān)系，則該角色與R也具有靜態(tài)職責(zé)分離關(guān)系，形式化描述:?r，r1，r2∈ROLES，

10)用戶的活動角色集合是該用戶授權(quán)角色集合的一個子集:?u∈USERS，active_roles(u)?authorized_roles(u).

11)用戶不能同時激活具有動態(tài)職責(zé)分離關(guān)系的兩個角色:?u∈USERS，?r1，r2∈ROLES，r1，r2∈activate_roles(u)?(r1，r2)?DSD.

12)兩個角色不能同時具有靜態(tài)職責(zé)分離或動態(tài)職責(zé)分離關(guān)系:?r1，r2∈ROLES，(r1，r2)∈DSD?(r1，r2)?SSD.

13)角色不能與自身動態(tài)職責(zé)分離:?r∈ROLES?(r，r)?DSD.

14)動態(tài)職責(zé)分離關(guān)系具有對稱性:?r1，r2∈ROLES，(r1，r2)∈DSD?(r2，r1)∈DSD.

15)具有動態(tài)職責(zé)分離關(guān)系的兩個角色間無繼承關(guān)系:?r1，r2∈ROLES，r1→+r2?(r1，r2)?DSD.

16)角色不能同時繼承具有動態(tài)職責(zé)分離關(guān)系的兩個角色:?r，r1，r2∈ROLES，r→+r1，r→+r2?(r1，r2)?DSD.

17)上述安全若角色的父角色與角色R具有動態(tài)職責(zé)分離關(guān)系，則該角色與R也具有動態(tài)職責(zé)分離關(guān)系，形式化描述為:?r，r1，r2∈ROLES，r→+r1，(r1，r2)∈DSD?(r，r2)∈DSD.

規(guī)則比較詳細地描述了角色之間的繼承性、靜態(tài)職責(zé)分離與動態(tài)職責(zé)分離等關(guān)系所應(yīng)滿足的一些約束條件.

4.3 安全訪問規(guī)則

在一些訪問控制中，這些安全訪問屬性主要實現(xiàn)了對用戶基本訪問控制、訪問范圍控制、動態(tài)環(huán)境控制.下面給出了這些安全的訪問控制規(guī)則:

1)用戶被賦予的角色所擁有的權(quán)限應(yīng)該大于或者等于所訪問的被密級標(biāo)識的對象的秘密等級:?u∈USERS，?r∈ROLES，?p∈PRMS，?s∈SEC-IDENTITY，r∈assigned_roles(u)，p∈assigned_permissions(r)，s∈ assigned_secrects(o)?p≥ s.

2)該用戶所能訪問對象的范圍是該用戶所屬的部門與該用戶所屬的用戶組的部門的并集，再交上該用戶所訪問的對象所屬的部門:?u∈USERS，?g?GROUPS，?o∈OBJECTS，?d1，d2，d3∈ DEPARTMENTS，g∈ assigned_groups(u)，d1∈assigned_departments(u)，d2∈assigned_departments(g)，d3∈assigned_departments(o)?UserAccess? (d1∩d2)∪d3.

3)用戶當(dāng)前的動態(tài)環(huán)境信息必須符合管理員為該用戶所設(shè)置的環(huán)境信息:?u∈USERS，?e1，e2∈ENVIRONMENTS，e1∈getCurEnvi(u)，e2∈assigned_enviroments(u)?e1?e2.

4.4 互斥角色之間的約束條件

在RGBACC模型中，分配給同一個角色的各種權(quán)限必須滿足功能權(quán)限的互斥關(guān)系，權(quán)限的互斥關(guān)系是在定義業(yè)務(wù)模塊功能權(quán)限時就已經(jīng)定義好了，對業(yè)務(wù)安全比較敏感的若干權(quán)限不應(yīng)該分配給同一角色.為了方便定理的證明，定義了如下一些函數(shù)關(guān)系:

E:role×role—職責(zé)互斥的角色對的集合.

P［i］:授予角色 i的權(quán)限集合.

M［i］:授予角色i的用戶集合.

A［s］:主體s當(dāng)前激活的角色集合.

靜態(tài)互斥:(?u)(?i，j)|i≠j:(i，j)∈E?u∈M［i］∧u?M［j］

定理1［7］如果角色i和j互斥，那么不存在這樣一個角色 k，k＞i∧k＞j，不存在一個公共的上界.

證明:假設(shè)存在一個角色k和互斥的角色i，j有這樣的關(guān)系:

根據(jù)式(1)，得到

(i，j)?E

這和假設(shè)矛盾，故結(jié)論成立. 證畢由定理1，可得到下面的一則推理.

推理1 在一個系統(tǒng)中如果存在互斥的角色，那么不能存在一個包含所有角色的根角色，即

這個推理的結(jié)論是:如果一個系統(tǒng)采用靜態(tài)互斥，存在一個根角色的前提是:不存在互斥角色;如果一個系統(tǒng)采用動態(tài)互斥，存在根角色的前提是:所有角色不能同時處于激活狀態(tài)，而且因為根角色繼承所有角色，根角色永遠不能被激活.

定理2［7］在一個系統(tǒng)中存在互斥角色i，j那么 P［i］和 P［j］(不相交或者 P［i］和 P［j］中至少有一項權(quán)限對方角色沒有).

證明:如果系統(tǒng)實施完全互斥，根據(jù)

得:P［i］∩P［j］=?

如果系統(tǒng)采用部分互斥，因為(?i，j)(?p)|i≠j:(i，j)∈E?(p∈P［i］?p?P［j］)，所以P［i］和P［j］至少有一項權(quán)限對方角色沒有成立. 證畢

這個定理的涵義是，互斥的角色可以存在一個共同的下界，它們可以共同是這個共同下界角色的父角色.

5 結(jié)論

本文擴展了傳統(tǒng)的RBAC，提出了帶有上下文感知的基于角色和用戶組的訪問控制模型RGBACC.RGBACC不僅繼承了RBAC模型的優(yōu)點，而且加入了上下文感知和用戶組功能，不僅彌補了RBAC應(yīng)用在動態(tài)系統(tǒng)中的缺陷，而且方便了用戶的集中管理，提高了訪問控制方面的性能，在今后的工作中，需進一步研究約束規(guī)則庫的動態(tài)管理和約束規(guī)則，并把該模型應(yīng)用到實踐中.

References)

［1］Foster I，Kesselman C，Tuecke S.The anatomy of the grid:enabling scalable virtual organization［J］.International Journal of Supercomputer Applications，2001，2150:200 － 222

［2］姚寒冰，胡和平，李瑞軒.上下文感知的動態(tài)訪問控制［J］.計算機工程與科學(xué)，2007，29(5):1－3 Yao Hanbing，Hu Heping，Li Ruixuan.Dynamic access control on context-aware［J］.Computer Engineering and Science，2007，29(5):1－3(in Chinese)

［3］葉小玲，吳敏.高效業(yè)務(wù)管理系統(tǒng)中權(quán)限模型的研究與實現(xiàn)［J］.計算機工程與設(shè)計，2010，31(2):351 －377 Ye Xiaoling，Wu Min.Research and implementation of permissions model in efficient business management system［J］.Computer Engineering and Design，2010，31(2):371 －377(in Chinese)

［4］Weiser M.The computer for the 21th Century［J］.Scientific A-merican，2001，265(3):94 －104

［5］張沙沙，姜華，謝圣獻，等.基于上下文感知的RBAC動態(tài)訪問控制研究［J］.計算機安全，2009(8):5－8 Zhang Shasha，Jiang Hua，Xie Shengxian，et al.Research of RBAC dynamic access control based on contexta ware［J］.Computer Security，2009(8):5 －8

［6］Gligor V D，Gavrila S I，F(xiàn)erraiolo D F.On the formal definition of separation of duty policies and their composition［C］//Computer Society .Washington D C:IEEE，2007:172 －185

［7］楊曉靜.RBAC模式中互斥角色的性質(zhì)及其安全性［J］.計算機應(yīng)用，2003，12(23):138 －142 Yang Xiaojing.The nature and safety of Exclusive role in RBAC［J］.Computer Application，2003，12(23):138 －142