基于角色的访问控制模型RBAC是目前主流的访问控制模型,它比传统的自主访问控制和强制访问控制更优越,同时也提供了更高的灵活性和扩展性。随着网络的普及,协同办公,协同资源访问受到人们的青睐。如何进行有效的协同工作,是访问控制模型必须管理的工作,但是传统的基于角色的访问控制模型在这方面存在不足,本文就以下方面的问题提出自己的解决方案,弥补传统的RBAC模型的不足。 首先,如何在不同的管理域之间实行有效的访问控制模型。在不同的管理域中,因为协同工作的需要,资源要求共享,用户要求能够跨管理域操作资源。而传统的RBAC模型的资源是由统一的管理域管理,用户如果要求跨管理域访问资源,必须首先在被访问的资源的管理域中登记注册。当用户访问多个管理域中的不同资源时,用户就得拥有多个注册信息,并且在访问不同的管理域中的资源时,还得多次的重复登陆。这种方式存在几个问题,用户必须记住在不同管理域中所登记的信息,用户做相同的工作必须先后多次登陆不同的管理域,而在不同的管理域中还要顾及非本系统的用户访问系统资源而带来的资源使用的不确定性,系统资源的安全性等问题。为了解决这一问题,本文给出一种基于委托的角色管理模型,当用户需要跨管理域访问资源时,不需要重复地进行登陆,直接使用管理域中授予的委托角色完成工作,这种委托角色是由所登陆的管理域管理的,这样保证了角色的合法性,也保证了安全性。 第二个问题是,在传统的基于角色的访问控制模型中,存在角色继承关系,同样在本文中给出的委托机制也存在委托传递关系。当系统在授予角色,检验角色时,可能要求访问到角色的所有权限时才能做出正确的操作,这时就存在角色的遍历问题。由于角色的层次较多,这种多层关系必然使得遍历的时间较长,影响系统的反应速度。本文提出缓存机制来解决这一问题。 本文进一步的提出了一种功能函数描述语言,使得开发人员只要设计出符合该功能函数语言的访问控制系统,就能够保证这不同的访问控制系统能够在功能层上实现协同工作。