顧春華+高遠(yuǎn)+田秀霞

摘要：基于角色的訪問控制（Role-Based Access Control， RBAC）憑借其出色的靈活性、可擴(kuò)展性以及較高的安全性成為了企業(yè)信息應(yīng)用的首選模型。約束作為RBAC系統(tǒng)的一套強制性規(guī)則，是保證RBAC系統(tǒng)的安全原則得以實施的前提。該文就RBAC系統(tǒng)中約束的意義以及必要性進(jìn)行了簡要的說明，結(jié)合近年來的文獻(xiàn)資料對RBAC系統(tǒng)中約束的主要研究方向進(jìn)行了詳盡的總結(jié)，對每個研究方向存在的缺陷也一并進(jìn)行了說明。最后，對約束研究在未來的發(fā)展趨勢進(jìn)行了合理的展望。

關(guān)鍵詞：基于角色的訪問控制；約束；研究現(xiàn)狀；發(fā)展趨勢

中圖分類號：TP311.5 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）35-0024-04

A Review of Research on Role - based Access Control Constraints

GU Chun-hua， GAO Yuan， TIAN Xiu-xia

（Institute of Computer Science and Technology， Shanghai University of Electric Power， Shanghai 200082）

Abstract： RBAC （Role-Based Access Control） with its excellent flexibility， scalability and high security has become the preferred model for enterprise information applications. Constraints As a set of mandatory rules for RBAC systems， it is a prerequisite for ensuring that the security principles of RBAC systems are implemented. In this paper， the meaning and necessity of constraint in RBAC system are briefly described. Combined with the literature in recent years， the main research direction of RBAC system constraints were summarized， the flaws in each research direction are also described. Finally， a reasonable outlook was given to the future development of the constraint research.

Key words： Role-Based Access Control； constraint； research status； development trend

隨著大數(shù)據(jù)時代的到來，云計算、分布式儲存的快速發(fā)展，各個企業(yè)數(shù)據(jù)保有量的快速增長，如何在保證企業(yè)數(shù)據(jù)應(yīng)用安全的前提下，提高數(shù)據(jù)存儲和管理的效率已成為各相關(guān)研究人員以及企業(yè)的研究重點。在各種訪問控制模型中，基于角色的訪問控制模型（Role-Based Access Control， RBAC）[1] 與傳統(tǒng)的訪問控制模型相比具有簡化系統(tǒng)管理、 提高企業(yè)生產(chǎn)力、 減少新員工的適應(yīng)期和增加系統(tǒng)安全性和完整性等優(yōu)點[2]。

保證企業(yè)信息系統(tǒng)數(shù)據(jù)的安全性和完整性是對訪問控制模型最基本的要求。為了充分體現(xiàn)基于角色訪問控制的優(yōu)勢，各類約束的使用至關(guān)重要：

1） RBAC系統(tǒng)的約束是RBAC系統(tǒng)安全和功能得以保證的一套強制性規(guī)則[3]。它是一系列的強約束集合，約束的集合可能會隨系統(tǒng)環(huán)境的變化而動態(tài)變化。

2） 約束條件為RBAC系統(tǒng)提供基本的分配原則。現(xiàn)實應(yīng)用的信息系統(tǒng)千差萬別，如果沒有最小特權(quán)原則，權(quán)責(zé)分離原則等約束的存在，RBAC系統(tǒng)模型難免會和企業(yè)需求出現(xiàn)沖突，難以保證系統(tǒng)的穩(wěn)定高效運行。

3） 在大型的信息系統(tǒng)中，為了提高系統(tǒng)的運行效率，權(quán)限以及角色的分配過程難免會出現(xiàn)“自治”的情況：遵循一定的約束條件，以繼承等方式自發(fā)地傳遞權(quán)限或角色信息。此時約束條件存在的意義就在于保證“自治”的過程不會出現(xiàn)權(quán)限越級、權(quán)限濫用等安全問題。

1 RBAC模型概述

訪問控制技術(shù)最早興起于20世紀(jì)70年代，它的出現(xiàn)主要是為了解決大型主機之間共享數(shù)據(jù)訪問的管理問題[4]。最早的訪問控制模型主要使用的是自主訪問控制（Discretionary Access Control， DAC）和強制訪問控制（Mandatory Access Control， MAC）。但隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，DAC和MAC已經(jīng)不能滿足日漸增長的實際需求，之后RBAC應(yīng)運而生。

1992年David Ferraiolo和Rick Kuhn提出了首個RBAC模型，被稱作Ferraiolo-Kuhn92[5]模型。隨后于1996年，美國George Mason大學(xué)的Sandhu等提出了具有框架性意義的RBAC96[6]模型。RBAC96模型描述了完備的基礎(chǔ)理論，確立了用戶-角色-權(quán)限的基本映射框架，具有里程碑式的意義。2001年，F(xiàn)erraiolo和Kuhn根據(jù)RBAC96模型提出了RBAC模型的一致性建議，即NIST RBAC[7]。隨后經(jīng)過相關(guān)研究人員的進(jìn)一步研究提煉，美國國家信息技術(shù)標(biāo)準(zhǔn)委員會（ANSI/INCITS）于2004年2月將NIST RBAC制定為美國國家標(biāo)準(zhǔn)（ANSI INCITS 359-2004）[8]，擴(kuò)充標(biāo)準(zhǔn)化后的模型稱為RBAC2004模型。endprint

RBAC2004模型主要元素包括用戶U，角色R，權(quán)限P，會話S。主要過程包括用戶角色指派過程（User Assignment，UA）以及角色權(quán)限指派過程（Permission Assignment，PA）。同時，為了適應(yīng)大型系統(tǒng)，引入了角色層次（Role hierarchy，RH）的概念，實現(xiàn)上下級角色之間權(quán)限的繼承，父角色繼承子角色的權(quán)限，子權(quán)限繼承父角色的用戶，避免了為每一個角色重復(fù)分配權(quán)限，節(jié)約了系統(tǒng)的運行以及維護(hù)開銷[9]。

2 RBAC約束條件的定義

約束是一組限制關(guān)系，它用來判定RBAC系統(tǒng)的各個部分組成的值是否可以被接受，只有可接受的值才被許可[6]。一個系統(tǒng)的約束條件可以表示為一個集合稱作約束集，每一個約束條件都是約束集的元素。最基本的約束包括勢約束、職責(zé)分離約束、最小特權(quán)原則以及上下文約束[6]等。

在RBAC模型中，約束條件被用在UA、PA、 RH以及權(quán)限資源操作當(dāng)中，用以規(guī)范各個過程中的行為，加強系統(tǒng)的安全性、表達(dá)能力和應(yīng)用效果。RBAC模型以其約束條件如圖1所示。

圖1 RBAC模型及約束

3 RBAC約束條件的主要研究方向

3.1 勢約束

勢約束（Cardinality constraint，CC），由Ferraiolo等在1999年提出的一個附加的RBAC約束種類[10]。勢約束規(guī)定了UA和PA過程中各個對象之間的約束關(guān)系。它主要通過會話S來限制對象元素的最大數(shù)量，故又稱為基數(shù)約束。如一個部門經(jīng)理的權(quán)限賬戶在不同的時間內(nèi)可以由不同的人登錄操作，但在某一個時間節(jié)點內(nèi)，有且只有一人能夠登錄該賬戶。

勢約束在較為復(fù)雜的系統(tǒng)中一般不會單獨使用，它會結(jié)合時間約束、資源約束等約束條件，作為一個附加約束來構(gòu)成動態(tài)的系統(tǒng)約束集。文獻(xiàn)[11]描述了一種使用包括勢約束在內(nèi)的約束集RBAC模型。文章結(jié)合模型以及算法分析描述了這種多約束模型在高適應(yīng)性和安全性方面的優(yōu)勢。

此外，文獻(xiàn)[12]提出一種基于模型勢約束的角色構(gòu)建算法，降低了角色的狀態(tài)成本，也是勢約束在RBAC模型中另一種功用的開發(fā)。

3.2 職責(zé)分離約束

作為信息安全領(lǐng)域的重要機制，職責(zé)分離約束[13]于1975年由Saltzer 和 Schroeder提出并定名為“Separation of Privilege”[14]。隨后在1987年，Clark 和 Wilson對其進(jìn)行了擴(kuò)充：提出了保證安全性和完整性兩個方面的兩套標(biāo)準(zhǔn)[15]。隨后相關(guān)研究人員的不斷完善使之逐漸成為一個理論體系。

職責(zé)分離（Separation of Duty， SoD）在RBAC模型中主要的作用是為高層組織安全策略提供一種有力的機制，能夠防止系統(tǒng)的沖突和欺騙的發(fā)生[16]。RBAC中的職責(zé)分離約束主要分為兩大類：一類為單自治域中的職責(zé)分離約束研究；二類為多自治域中的職責(zé)分離約束研究[17]。

3.2.1 單自治域職責(zé)分離

單自治域職責(zé)分離約束主要包括靜態(tài)職責(zé)分離和動態(tài)職責(zé)分離兩類。

1） 靜態(tài)職責(zé)分離 靜態(tài)職責(zé)分離指任意角色擁有的任意兩個用戶是非互斥的，即若k個用戶擁有權(quán)限集P，則靜態(tài)權(quán)限分離原則不允許n（n

2） 動態(tài)職責(zé)分離 由于角色繼承關(guān)系，父角色可能從其子角色繼承了互斥權(quán)限，從而變相地打破了靜態(tài)職責(zé)分離原則[18]。動態(tài)職責(zé)分離約束允許一個用戶同時擁有互斥的角色，但是在一個會話的時間節(jié)點內(nèi)，該用戶只能以一個固定的角色訪問系統(tǒng)資源。

文獻(xiàn)[18]對單自治域職責(zé)分離進(jìn)行優(yōu)化，利用劃分私有角色和歷史記錄解決了職責(zé)分離的問題，提出了I-TRBAC模型。另外，針對角色繼承可能造成的違背職責(zé)分離原則的情況，文獻(xiàn)[19]，針對角色繼承提出了權(quán)限傳播深度閾值的優(yōu)化算法，算法通過分析靜態(tài)職責(zé)分離約束權(quán)限集與用戶集之間的關(guān)系，減少了用戶的復(fù)雜度。

3.2.2 多自治域職責(zé)分離

隨著大數(shù)據(jù)、云計算以及分布式存儲的快速發(fā)展，人們已經(jīng)不僅僅滿足于傳統(tǒng)的單自治域系統(tǒng)。不同部門、不同企業(yè)甚至不同自治域間信息的共享成為了近些年的發(fā)展趨勢。這就對跨域信息共享過程中的安全問題提出了更加苛刻的要求。其中最具代表性的模型是Kapadia在2000年提出的自治域間實現(xiàn)角色動態(tài)映射和轉(zhuǎn)化的模型IRBAC2000[20]。IRBAC2000模型將自治域內(nèi)的角色層次拓展到全局域中，實現(xiàn)了動態(tài)的角色跨域變換，從而實現(xiàn)了多自治域間的授權(quán)操作。但該模型雖然提出了角色關(guān)聯(lián)的概念，但卻沒有建立對應(yīng)的約束機制，在實際應(yīng)用中難免會出現(xiàn)沖突的情況。文獻(xiàn)[21]利用矩陣來判別多自治域間的映射關(guān)系，并通過矩陣的變換解決了多自治域間互操作過程中的職責(zé)分離約束沖突問題。針對多域互操作角色沖突難以檢測的問題，陳勝等[22]對角色的本質(zhì)進(jìn)行了分析，之后列舉了角色沖突的各種類型，并實現(xiàn)了一個帶角色互斥檢測的角色分配控制器，便于多域互操作職責(zé)分離約束的實際制定。

文獻(xiàn)[23]對多域靜態(tài)職責(zé)分離約束進(jìn)行了定義：

其中表示多自治域角色訪問系統(tǒng)中的一個權(quán)限集，表示系統(tǒng)中的不同自治域，為正整數(shù)，且滿足。該約束禁止少于k個域的用戶共同擁有權(quán)限集中的權(quán)限。

雖然已有對多域靜態(tài)職責(zé)分離約束的定義，但尚未有研究者針對多自治域互操作職責(zé)分離約束制定一套完備的理論。

3.3 最小特權(quán)原則

作為信息安全領(lǐng)域的一個基本原則，最小特權(quán)原則于1975年由Saltzer J.H等人提出[24]。其最初的應(yīng)用范圍就是計算機的信息保護(hù)。隨后，經(jīng)過理論的逐漸完善，美國國防部頒布的“可信計算機系統(tǒng)評價標(biāo)準(zhǔn)（Trusted Computer System Evaluation Criteria）” [25]把最小特權(quán)原則作為B2級的要求制定為安全標(biāo)準(zhǔn)。

最小特權(quán)原則的定義為：分配給系統(tǒng)中的每一個進(jìn)程和用戶的特權(quán)應(yīng)該是他們完成工作所必須享有特權(quán)的最小集合[26]。RBAC中的最小特權(quán)原則通過限制用戶所能獲取的角色進(jìn)而限制用戶在完成某個任務(wù)時所需要的全部權(quán)限，從而保證用戶擁有的權(quán)限不多于該任務(wù)所需的最小權(quán)限集，從而達(dá)到保證系統(tǒng)信息安全的目的。

RBAC系統(tǒng)最小特權(quán)原則的實現(xiàn)大多歸結(jié)到確定最小角色集的問題上。最小角色集應(yīng)滿足：擁有的權(quán)限剛好能滿足用戶需要的全部權(quán)限集。而因為角色繼承以及多域互操作的快速發(fā)展，角色之間的關(guān)系復(fù)雜性更高，如何在錯綜復(fù)雜的角色關(guān)系網(wǎng)中確定最小角色集成為了研究的難點。文獻(xiàn)[27]在角色集和權(quán)限集中間引入了最小角色集來清晰角色間的關(guān)系。作者形式化定義了角色繼承的兩種形式：多角色完全繼承和多角色部分繼承，并引入了權(quán)限繼承路徑的概念來生成最小角色。Chen和Jason[28]等人提出了重載覆蓋的方法實現(xiàn)角色間關(guān)系的優(yōu)化，并在文中給出了最小特權(quán)原則問題另一種改進(jìn)解決方案。

但由于RBAC系統(tǒng)的泛用性，針對角色劃分算法的改進(jìn)在具體實現(xiàn)的過程中效果往往不理想。對RBAC模型中最小特權(quán)原則的研究，需要研究者從其他方面例如任務(wù)流等方向，找出新的切入點。

3.4 時間約束

在傳統(tǒng)RBAC模型約束中，用戶只能通過角色來獲得權(quán)限，這雖然簡化了用戶授權(quán)的復(fù)雜性，加強了系統(tǒng)的安全性，但是用戶角色關(guān)聯(lián)關(guān)系不夠靈活，不能隨時間動態(tài)變化。針對這一問題，Bertino等于1998年首次提出時態(tài)授權(quán)的概念，明確了RBAC系統(tǒng)中授權(quán)的時態(tài)依賴[29]。隨后，2000年，Gal和Atluri提出了時態(tài)授權(quán)模型（Temporal Data Authorization Model，TDAM），進(jìn)一步說明了RBAC模型對時態(tài)的依賴性[30]。2001年，Bertino等人再次提出了TRBAC模型的完整構(gòu)架[31]。這個模型的基本思想是在RBAC模型的基礎(chǔ)上通過周期的時態(tài)檢測使角色處于許可和非許可狀態(tài)[32]。文獻(xiàn)[33]提出一個具有時間約束的動態(tài)角色訪問控制模型，根據(jù)時間狀態(tài)的不同將權(quán)限分為四種狀態(tài)：有效、無效、激活和阻塞。并制定了權(quán)限狀態(tài)的轉(zhuǎn)化算法，以及權(quán)限轉(zhuǎn)化最短時間的相應(yīng)算法。該模型有效地解決了時間敏感活動的訪問控制問題，并具有更強、更細(xì)致的安全描述能力。文獻(xiàn)[34]提出了HARBAC模型，將時間約束作為模型的一項屬性，實現(xiàn)了權(quán)限的動態(tài)授予。

目前在RBAC系統(tǒng)中引入的時間約束主要有兩種：連續(xù)時間約束和周期時間約束。

1） 連續(xù)時間約束?，F(xiàn)實世界里時間是連續(xù)的量，而計算機所能表達(dá)的量都是離散的。所以所謂的連續(xù)時間約束對于計算機而言實際是離散的長段時間。它對RBAC模型在時間維度上進(jìn)行了擴(kuò)展，對會話和全局系統(tǒng)狀態(tài)空間進(jìn)行擴(kuò)展，以實現(xiàn)解決計算時間約束變化算法[35]。連續(xù)時間約束又可以分為激活時間范圍約束、激活時間長度約束以及時間范圍內(nèi)激活時間長度約束?？梢愿鶕?jù)系統(tǒng)狀態(tài)和實際情況選用。

2） 周期時間約束。引入類似日歷的概念，周期性地對角色的可用狀態(tài)進(jìn)行檢測，即角色的狀態(tài)隨周期時間變化。周期性的時間約束增強了RBAC活動約束機制，模型TRBAC就是使用的這種時間約束。

第一種時間約束在實際的應(yīng)用中表現(xiàn)并不出色，例如，當(dāng)時間的細(xì)粒度很細(xì)時，時間狀態(tài)的監(jiān)測會占用大量的系統(tǒng)資源[35]。第二種周期性的時間約束則比較符合現(xiàn)實中角色的規(guī)律性活動。

時間約束的加入使RBAC模型在實現(xiàn)的過程中更加符合實際情況，但時間的細(xì)粒度和系統(tǒng)資源之間的平衡很難掌握：細(xì)粒度過細(xì)占用大量系統(tǒng)資源拖累系統(tǒng)，而細(xì)粒度過粗會影響角色的時態(tài)屬性。

3.5 上下文約束

上下文是普適計算中的一個概念[36]，于2000年由Anind.K.Dey提出。其定義為：對于描述一個實體狀態(tài)或動作的特征以及該實體所操作的對象有用的所有信息[37]。上下文可以看作對象的一個特定屬性，該屬性的值可能在系統(tǒng)環(huán)境變化時隨之變化，或者對于同一個客體對象，不同的主體有不同的取值。

把上下文引進(jìn)RBAC系統(tǒng)中，即在為用戶劃分角色以及權(quán)限的過程中，加入上下文的信息作為屬性，保證該用戶只有滿足一定的前提條件并處于相應(yīng)的上下文域中時，才能擁有該權(quán)限。結(jié)合上下文約束，能夠保證訪問控制過程中權(quán)限的動態(tài)性以及實時性，且能提高系統(tǒng)的安全性以及穩(wěn)定性。

文獻(xiàn)[38]根據(jù)上下文策略，提出了上下文感知的RBAC動態(tài)訪問控制模型CDAC（Context-aware Dynamic Access Control Mode），將之應(yīng)用在醫(yī)院的門戶系統(tǒng)中并較傳統(tǒng)的RBAC系統(tǒng)全局策略更加靈活，可擴(kuò)展性更高。

文獻(xiàn)[39]把上下文作為角色的一個屬性，將RBAC的角色進(jìn)行了擴(kuò)充，避免了把上下文約束添加到RBAC策略中心之后系統(tǒng)的復(fù)雜度變大的問題，實現(xiàn)了機動靈活的權(quán)限配置管理。

如今的上下文約束條件大多是針對某些方面或者是根據(jù)既定的規(guī)則確定的。但現(xiàn)實情況下的上下文域不計其數(shù)，如何制定一個統(tǒng)一的規(guī)則，或者結(jié)合機器學(xué)習(xí)使RBAC系統(tǒng)的策略中心能夠根據(jù)樣本策略進(jìn)行自我學(xué)習(xí)可能是未來的一個研究方向。

4 總結(jié)與展望

由以上總結(jié)可知，由于實際環(huán)境的快速變化，新技術(shù)的不斷發(fā)展等因素影響，新的約束不斷地被提出，包括最小特權(quán)原則和職責(zé)分離原則這兩大基石在內(nèi)的已有約束也在被不斷地完善，RBAC系統(tǒng)中的約束研究在理論方面已經(jīng)有了長足的發(fā)展。但還有以下問題亟須解決，或許是未來的一些發(fā)展趨勢：

1） RBAC系統(tǒng)是一項應(yīng)用型的技術(shù)，實現(xiàn)的過程更加關(guān)鍵。就目前的研究來看，由于應(yīng)用環(huán)境復(fù)雜多樣，雖然系統(tǒng)的核心并沒有大的變化，但可移植性并不高，這就造成許多理論上針對模型約束的改進(jìn)在實現(xiàn)的過程中效果并不理想。

2） 約束的作用很大一方面是為了提高系統(tǒng)的安全性，RBAC系統(tǒng)的安全性是一項重要的指標(biāo)，但現(xiàn)在并沒有一個明確的方法來量化系統(tǒng)的安全性，這就造成許多基于約束改進(jìn)安全性的模型只能停留在理論的層次。endprint

3） 過多的約束會占用大量系統(tǒng)資源而約束過少系統(tǒng)的安全性和穩(wěn)定性不能滿足實際的需求，如何在兩者之間找到一個平衡的閾值是研究者需要解決的一個問題。

另外，下一代的訪問控制模型-UCON（Usage Control）模型也已經(jīng)漸漸地步入了大眾的視野。UCON集傳統(tǒng)的訪問控制、信任管理以及數(shù)字版權(quán)管理于一體，能夠更好地滿足現(xiàn)代信息系統(tǒng)的要求。而隨著UCON研究的發(fā)展，其策略中心關(guān)于約束的研究也可能成為未來的一個研究熱點。

參考文獻(xiàn)：

[1] Feng Deng-guo， Zhang Min， Li Hao. Big data security and privacy protection[J]. Chinese Journal of Computer，2014，37（1）：246-258.

[2] Ma Xiao-pu， Li Rui-xuan， Hu Jin-wei. Role engineering in access control[J]. Journal of Chinese Computer Systems，2013，34（6）：1301-1306.

[3] 馬曉普，趙莉，李瑞軒. 基于角色訪問控制中的約束研究[J]. 小型微型計算機系統(tǒng)，2015，（09）：1982-1987.

[4] 李鳳華，蘇铓，史國振，馬建峰. 訪問控制模型研究進(jìn)展及發(fā)展趨勢[J]. 電子學(xué)報，2012，（04）：805-813.

[5] Ferraiolo D， Kuhn R. Role-based Access Control[C]. Proceedings of 15th National Computer Security Conference， 1992.

[6] Sandhu R， Coyne E， Feinstein H， et al. Role-based Access Control Models[J]. IEEE Computer， 1996， 29（2）：38-47.

[7] Ferraiolo D， Sandhu R， Gavrila S. A Proposed Standard for Role Based Access Control[J]. ACM Transactions on Information and System Security， 2001，4（3）.

[8] American National Standard 359-2004 is the Information Technology Industry Consensus Standard for RBAC[EB/OL]. http：//csrc.nist.gov/rbac/，2005-10-20.

[9] 熊厚仁，陳性元，杜學(xué)繪，王義功. 基于角色的訪問控制模型安全性分析研究綜述[J]. 計算機應(yīng)用研究，2015，（11）：3201-3208.

[10] 陳軍冰，王志堅，艾萍，許發(fā)見. 關(guān)于RBAC模型中約束的研究綜述[J]. 計算機工程，2006（9）：1-3.

[11] 汪杰，孫玲芳. 多約束的基于角色的訪問控制擴(kuò)展模型[J]. 信息技術(shù)，2011（3）：110-113.

[12] 李華青. 基于勢約束的角色挖掘算法研究[D].華中科技大學(xué)，2013.

[13] Chen Hong，Li Ning-hui. Constraints generation for separation of duty[C]. Proceedings of the 7th ACM Symposium on Access Control Models and Technologies，Lake Tahoe，California，USA，June，2006：130-138.

[14] Saltzer J H， Schroeder M D.The protection of information in computer systems[C].Proceedings of the IEEE， 1975，63（9）：1278-1308.

[15] Crampton J， Loizou G. Administrative scope： A foundation for role based administrative models[J].ACM Transactions on Information and System Security，2003，6（2）：201- 231.

[16] Dang Nguyen，Jaehong Park，Ravi Sandhu. A provenance-based access control model for dynamic separation of duties[C]. 2013 Eleventh Annual Conference on Privacy， Security and Trust （ PST），2013： 247- 256.

[17] 趙莉. 角色訪問控制中的職責(zé)分離約束[J]. 電子技術(shù)與軟件工程，2016（20）：216-218.

[18] 馮俊，王箭. 一種基于T-RBAC的訪問控制改進(jìn)模型[J]. 計算機工程，2012（16）：138-141.

[19] 高川，朱群雄. RBAC角色繼承關(guān)系中私有權(quán)限問題的研究[J]. 計算機應(yīng)用，2010（5）：1230-1232+1235.

[20] Apu K， AI-Muhtadi J， Campbell R， et al.IRBAC2000： secure interoperability using dynamic role translation[R]. Technical Report： UIUCDCS-R-2000-2162，2000：1-8.endprint

[21] Wang Xin-yu， Yang Xiao-hua， Huang Chao， et al. Security violation detection for RBAC based interoperation in distributed environment[J]. IEICE TRANS.INF.& SYST， 2008， 91（5）：1447- 1456.

[22] 陳勝，婁淵勝，張文淵. RBAC模型中角色互斥研究及應(yīng)用[J]. 計算機技術(shù)與發(fā)展，2012（12）：21-24+28.

[23] Ma Xiao-pu，Li Rui-xuan，Lu Zheng-ding，et al. Global static separation of duty in multi-domains[C]. Proceeding of the 2009 International Conference on Multimedia Information Networking and Security， Wuhan， China， 2009： 18- 20.

[24] 王瑞，楊震暉. 論網(wǎng)絡(luò)環(huán)境下最小特權(quán)原則與隱私權(quán)的法律保護(hù)[J]. 北方工業(yè)大學(xué)學(xué)報，2014（2）：13-17.

[25] 王志剛，孫允標(biāo). 最小特權(quán)原理應(yīng)用研究[J]. 計算機工程，2005（15）：125-126+141.

[26] 李翔，曹淼，李勤爽. 程序行為監(jiān)控技術(shù)與“最小特權(quán)”原則[J]. 信息安全與通信保密，2008（12）：97，98.

[27] 蔡婷，聶清彬，歐陽凱，周敬利. 基于角色擴(kuò)展的RBAC模型[J]. 計算機應(yīng)用研究，2016（3）：882-885.

[28] Chen Liang， Jason Crampton. Inter-domain role mapping and least privilege[C]. Proceeding of the 12th ACM Symposiums on Access Control Models and Technologies， 2007：157-162.

[29] Bertino E，Bettini C， Ferrari E. An Access Control Model Supporting Periodicity Constraints and Temporal Reasoning[J]. ACM Trans.Database Syst.， 1998， 23（3）：231-285.

[30] Gal A， Atlurl V. An Authorization Model for Temporal Data[C].Proceedings of 7th ACM Conference on Computer and Communication Security， 2000： 144-153.

[31] Bertino E， Bonatti P， Ferrar E. T RBAC ： A Temporal Rolebased Access Control Model[J] . ACM T ransactions on Information and Sy stems Security， 2001，4（3）：191-233.

[32] 金光明，沈曄，袁定蓮，張坤，龐琨. 帶時間約束的訪問控制模型的研究與應(yīng)用[J]. 軟件工程師，2015（3）：30-34.

[33] 向華萍，付智輝，陳紅麗. 具有時間約束的動態(tài)角色的訪問控制策略[J]. 河北科技大學(xué)學(xué)報，2010（6）：558-563.

[34] 熊厚仁，陳性元，費曉飛，桂海仁. 基于屬性和RBAC的混合擴(kuò)展訪問控制模型[J]. 計算機應(yīng)用研究，2016（7）：2162-2169.

[35] 張新華，陳軍冰. 時間約束的RBAC模型及應(yīng)用[J]. 計算機技術(shù)與發(fā)展，2007（6）：246-249.

[36] Weiser M. The computer for the 21th Century[J].Scientific American，1991，265（3）：94-104.

[37] Mostefaoui G， Brezillon P. A Generic Framework for Context-Based Distributed Authorizations[A]. Proc of the 4th Intl and Interdisciplinary Conf on Modeling and listing Context[C].2003.204-217.

[38] 張沙沙，姜華，謝圣獻(xiàn)，李秋靜. 基于上下文感知的RBAC動態(tài)訪問控制研究[J]. 計算機安全，2009（8）：5-8.

[39] 許淳，王文發(fā)，李竹林，劉芬. 一種基于角色的多約束動態(tài)權(quán)限管理模型研究[J]. 電子設(shè)計工程，2016（19）：31-33.

[40] Pullamsetty Harika， Marreddy Negajyothi， John C John， et al.Meeting cardinality constraints in role mining[J].IEEE Transaction on Dependable and Secure Computing，2015，12（1）：71-84.endprint