訪問控制技術(shù)研究--學(xué)士論文.doc

畢 業(yè) 論 文（設(shè)計）論文題目 訪問控制技術(shù)研究 姓 名 學(xué) 號 院 系 專 業(yè) 指導(dǎo)教師 職 稱 中國合肥二o一o 年 六 月畢 業(yè) 論 文（設(shè) 計）任 務(wù) 書論文（設(shè)計）題目 訪問控制技術(shù)研究 院 系 名 稱 專 業(yè) （班 級） 學(xué) 生 姓 名 學(xué) 號 指 導(dǎo) 教 師 下發(fā)任務(wù)書日期 2011 年 1 月10日一、畢業(yè)論文（設(shè)計）的主要內(nèi)容隨著網(wǎng)絡(luò)應(yīng)用的逐步深入，安全問題日益受到關(guān)注。一個安全的網(wǎng)絡(luò)需要可靠的訪問控制服務(wù)作保證。訪問控制是在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的安全機(jī)制，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。因此對訪問控制的基本概念、訪問控制技術(shù)涉及的各項基本技術(shù)以及主要的訪問控制類型進(jìn)行了研究，如自主訪問控制技術(shù)（dac）、強(qiáng)制訪問控制技術(shù)（mac）和基于角色的訪問控制技術(shù)（rbac），并對每種訪問控制技術(shù)進(jìn)行了概念、實現(xiàn)方式以及其優(yōu)缺點的總結(jié)。其中對自主訪問控制技術(shù)（dac）中的訪問控制表和基于角色的訪問控制技術(shù)（rbac）的各個基本模型進(jìn)行了重點的討論分。二、畢業(yè)論文（設(shè)計）的基本要求根據(jù)畢業(yè)論文（設(shè)計）的主要內(nèi)容對各個研究的部分進(jìn)行相關(guān)的了解和研究：1、訪問控制技術(shù)的概念：所謂訪問控制，就是在鑒別用戶的合法身份后，通過某種途徑顯式地準(zhǔn)許或限制用戶對數(shù)據(jù)信息的訪問能力及范圍， 從而控制對關(guān)鍵資源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作造成破壞。2、訪問控制的技術(shù): 訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一，它涉及的技術(shù)也比較廣，它包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。對訪問控制的各個技術(shù)進(jìn)行了相關(guān)的敘述。3、根據(jù)訪問控制機(jī)制，訪問控制技術(shù)主要有三種：基于授權(quán)規(guī)則的、自主管理的自主訪問控制技術(shù)（dac），基于安全級的集中管理的強(qiáng)制訪問控制技術(shù)(mac)和基于授權(quán)規(guī)則的集中管理的基于角色的訪問控制技術(shù)（rbac）。重點對各個訪問控制技術(shù)的概念、實現(xiàn)方式、典型案例以及其優(yōu)缺點進(jìn)行了研究，其中對rbac進(jìn)行重點研究。三、應(yīng)收集的資料及主要參考文獻(xiàn)1百度百科：訪問控制技術(shù)2百度百科：訪問控制列表3思科經(jīng)典技術(shù)分享：訪問控制列表（acl）技術(shù)詳解4趙亮, 茅兵, 謝立. 訪問控制研究綜述j. 計算機(jī)工程,2004, 30( 2) . 5肖川豫（重慶大學(xué)）.訪問控制中權(quán)限的研究與應(yīng)用d. 20066jerome h saltzer,michael d schroeder .the protection of information in computer systems m. 1975(09)7劉偉(四川大學(xué)).基于角色的訪問控制研究及其應(yīng)用d. 20048 (電子政務(wù)工程服務(wù)網(wǎng))9劉偉(石河子大學(xué)).訪問控制技術(shù)研究j.農(nóng)業(yè)網(wǎng)絡(luò)信息2007年第七期 10李成鍇,詹永照,茅兵.謝立.基于角色的cscw系統(tǒng)訪問控制模型j. 軟件學(xué)報 2000(7)11許春根,江于,嚴(yán)悍.基于角色訪問控制的動態(tài)建模j. 計算機(jī)工程 2002(1)12張勇,張德運,蔣旭憲.基于認(rèn)證的網(wǎng)絡(luò)權(quán)限管理技術(shù)j. 計算機(jī)工程與設(shè)計 2001(2)13中國信息安全產(chǎn)品測評認(rèn)證中心,信息安全理論與技術(shù)m . 人民郵電出版社，2003914 david fferraiolo、drichard kuhn、ramaswamy chandramouli，rolebased access controlm. artech house，2003415american national standards institute s. inc american national standard for information technology-role based access control.2003/4/416汪厚祥, 李卉等.基于角色的訪問控制研究j.計算機(jī)應(yīng)用研究, 2004, (4) .四、畢業(yè)論文（設(shè)計）進(jìn)度計劃起訖日期工 作 內(nèi) 容備 注201011中旬2011.2.下旬2011.3上旬2011.32011.52011.52011.6中旬畢業(yè)論文（設(shè)計）統(tǒng)一選題確定畢業(yè)論文（設(shè)計）的題目提交畢業(yè)論文（設(shè)計）開題報告和任務(wù)書根據(jù)要求做好畢業(yè)論文（設(shè)計），完成畢業(yè)設(shè)計的初步定稿論文的修改、完善、定稿中間查閱資料，根據(jù)實際的工作或生活狀況確定題目根據(jù)題目以及所查閱的資料，確定畢業(yè)論文（設(shè)計）的內(nèi)容學(xué)士學(xué)位論文（設(shè)計）開題報告課題名稱訪問控制技術(shù)研究課題來源學(xué)校提供，自主選擇學(xué)生姓名 專業(yè) 學(xué)號 指導(dǎo)教師姓名 職稱 研究內(nèi)容訪問控制的基本概念、訪問控制技術(shù)涉及的各項基本技術(shù)以及主要的訪問控制類型，如自主訪問控制技術(shù)（dac）、強(qiáng)制訪問控制技術(shù)（mac）和基于角色的訪問控制技術(shù)（rbac），并對每種訪問控制技術(shù)進(jìn)行了概念、實現(xiàn)方式以及其優(yōu)缺點的總結(jié)。其中對自主訪問控制技術(shù)（dac）中的訪問控制表和基于角色的訪問控制技術(shù)（rbac）的各個基本模型進(jìn)行了重點的討論分析。研究計劃2010 11月中 畢業(yè)論文統(tǒng)一選題2011 2月底 確定畢業(yè)設(shè)計（論文）題目3月初旬 提交畢業(yè)論文（設(shè)計）開題報告和任務(wù)書3月中3月底 調(diào)研、查資料。4月初4月中 確定論文大綱，分類查閱相關(guān)資料4月底5月下 論文的初步撰寫，并進(jìn)行相關(guān)的資料查閱與修改5月底6月初 撰寫畢業(yè)論文，并與指導(dǎo)老師進(jìn)行討論以修改，對論文定稿，進(jìn)行論文答辯的ppt制作6月中 準(zhǔn)備論文答辯特色與創(chuàng)新1. 該技術(shù)當(dāng)前網(wǎng)絡(luò)發(fā)展與網(wǎng)絡(luò)安全重要性提高的必然重視性產(chǎn)物2. 該技術(shù)的發(fā)展快，潛力大，應(yīng)用廣3. 該技術(shù)具有較強(qiáng)的研究價值與實際應(yīng)用價值。指導(dǎo)教師意見教研室意見學(xué)院意見目 錄1 引言12 訪問控制的概念與策略13 訪問控制的技術(shù)23.1 入網(wǎng)訪問控制23.2 網(wǎng)絡(luò)權(quán)限控制33.3 目錄級安全控制33.4 屬性安全控制43.5 服務(wù)器安全控制44 訪問控制類型44.1 自主訪問控制（dac）54.1.1 自主訪問控制(dac)的實現(xiàn)機(jī)制54.1.2 自主訪問控制(dac)的訪問控制表54.1.3 自主訪問控制(dac)優(yōu)缺點74.2 強(qiáng)制訪問控制(mac) 84.2.1 強(qiáng)制訪問控制(mac)概念84.2.2 強(qiáng)制訪問控制(mac)優(yōu)缺點84.3 基于角色的訪問控制技術(shù)（rbac）94.3.1 基本模型rbac0 rbac0的基本構(gòu)成與實現(xiàn)機(jī)制 rbaco的形式定義114.3.2 角色分級模型rbacl rbacl的基本構(gòu)成與實現(xiàn)機(jī)制 rbacl的形式定義124.3.3 角色約束模型rbac2 rbac2的基本構(gòu)成 rbac2的形式定義 rbac2的實現(xiàn)機(jī)制134.3.4 基于角色的訪問控制技術(shù)（rbac）優(yōu)缺點145 典型案例一個基于角色的訪問控制系統(tǒng)155.1 系統(tǒng)的開發(fā)背景與開發(fā)目標(biāo)155.2 系統(tǒng)業(yè)務(wù)功能簡介165.3 系統(tǒng)分析165.3.1 組織結(jié)構(gòu)165.3.2 用戶和角色175.3.3 角色等級和權(quán)限的定義175.3.4 角色約束185.4 系統(tǒng)設(shè)計186 結(jié)束語19參考文獻(xiàn)19英文摘要20致謝20附錄21訪問控制技術(shù)研究摘要：訪問控制是信息安全的重要組成部分，也是當(dāng)前注重信息安全的人們關(guān)注的重點。本文對訪問控制的基本概念、訪問控制技術(shù)涉及的各項基本技術(shù)以及主要的訪問控制類型進(jìn)行了研究，如自主訪問控制技術(shù)（dac）、強(qiáng)制訪問控制技術(shù)（mac）和基于角色的訪問控制技術(shù)（rbac），并對每種訪問控制技術(shù)進(jìn)行了概念、實現(xiàn)方式以及其優(yōu)缺點的總結(jié)。其中對自主訪問控制技術(shù)（dac）中的訪問控制表和基于角色的訪問控制技術(shù)（rbac）的各個基本模型進(jìn)行了重點的討論分析。關(guān)鍵字：自主訪問控制技術(shù)，訪問控制表，強(qiáng)制訪問控制技術(shù)，基于角色的訪問控制技術(shù)1 引言隨著全球網(wǎng)絡(luò)化和信息化的發(fā)展，計算機(jī)網(wǎng)絡(luò)已經(jīng)深入到社會生活的各個方面，許多敏感的信息和技術(shù)都是通過計算機(jī)進(jìn)行傳輸、控制和管理，尤其是近年來網(wǎng)絡(luò)上各種新業(yè)務(wù)的興起，如網(wǎng)絡(luò)銀行、電子政務(wù)和電子商務(wù)的快速發(fā)展，網(wǎng)絡(luò)的重要性及其對社會的影響也越來越大。隨之而來的問題是網(wǎng)絡(luò)環(huán)境同益復(fù)雜， 安全問題也變得日益突出，僅僅依靠傳統(tǒng)的加密技術(shù)已不能滿足網(wǎng)絡(luò)安全的需要。國際標(biāo)準(zhǔn)化組織(iso)在網(wǎng)絡(luò)安全標(biāo)準(zhǔn)(is074982)中定義了5個層次型安全服務(wù)：身份認(rèn)證服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密服務(wù)、數(shù)據(jù)完整性服務(wù)和不可否認(rèn)服務(wù)，而訪問控制便是其中的一個重要組成部分。2 訪問控制的概念與策略所謂訪問控制，就是在鑒別用戶的合法身份后，通過某種途徑顯式地準(zhǔn)許或限制用戶對數(shù)據(jù)信息的訪問能力及范圍，從而控制對關(guān)鍵資源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作造成破壞。訪問控制技術(shù)的實現(xiàn)是基于訪問控制中權(quán)限的實現(xiàn)也就是訪問控制的策略。訪問控制策略定義了在系統(tǒng)運行期間的授權(quán)和非授權(quán)行為，即哪些行為是允許發(fā)生的，那些是不允許發(fā)生的。一般分為授權(quán)策略(authorization policies)和義務(wù)策略(obligation policies)。授權(quán)策略是指對于客體，那些操作是允許的，而那些操作是被禁止的；義務(wù)策略是指主體必須執(zhí)行或不必執(zhí)行的操作，是主體的義務(wù)。訪問控制的基本概念有： 1）主體(subjeet) 主體是指主動的實體，是訪問的發(fā)起者，它造成了信息的流動和系統(tǒng)狀態(tài)的改變，主體通常包括人、進(jìn)程和設(shè)備。2）客體(object) 客體是指包含或接受信息的被動實體，客體在信息流動中的地位是被動的，是處于主體的作用之下，對客體的訪問意味著對其中所包含信息的訪問。客體通常包括文件、設(shè)備、信號量和網(wǎng)絡(luò)節(jié)點等。3）訪問(access) 訪問(access)是使信息在主體(subject)和客體(object)之間流動的一種交互方式。4）權(quán)限(access permissions)訪問權(quán)限控制決定了誰能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。適當(dāng)?shù)脑L問控制能夠阻止未經(jīng)允許的用戶有意或無意地獲取數(shù)據(jù)。訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權(quán)(例如用戶配置文件、資源配置文件和控制列表)、授權(quán)核查、日志和審計等等1-2。訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一，它涉及的技術(shù)也比較廣，它包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。3 訪問控制的技術(shù)3.1 入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。 用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。對網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗證是防止非法訪問的第一道防線。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應(yīng)不少于6個字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過加密。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。 網(wǎng)絡(luò)管理員可以控制和限制普通用戶的賬號使用、訪問網(wǎng)絡(luò)的時間和方式。用戶賬號應(yīng)只有系統(tǒng)管理員才能建立。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的“證件”、用戶可以修改自己的口令，但系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個方面的限制：最小口令長度、強(qiáng)制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。 用戶名和口令驗證有效之后，再進(jìn)一步履行用戶賬號的缺省限制檢查。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。當(dāng)用戶對交費網(wǎng)絡(luò)的訪問“資費”用盡時，網(wǎng)絡(luò)還應(yīng)能對用戶的賬號加以限制，用戶此時應(yīng)無法進(jìn)入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對所有用戶的訪問進(jìn)行審計。如果多次輸入口令不正確，則認(rèn)為是非法用戶的入侵，應(yīng)給出報警信息。 3.2 網(wǎng)絡(luò)權(quán)限控制 網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽（irm）可作為兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限；審計用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用訪問控制表來描述。 3.3 目錄級安全控制 網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進(jìn)一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、訪問控制權(quán)限。用戶對文件或目標(biāo)的有效權(quán)限取決于以下兩個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個網(wǎng)絡(luò)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務(wù)器資源的訪問 ，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。 3.4 屬性安全控制 當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。 3.5 服務(wù)器安全控制 網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。4 訪問控制類型訪問控制機(jī)制可以限制對系統(tǒng)關(guān)鍵資源的訪問，防止非法用戶進(jìn)入系統(tǒng)及合法用戶對系統(tǒng)資源的非法使用。目前，訪問控制技術(shù)主要有三種：基于授權(quán)規(guī)則的、自主管理的自主訪問控制技術(shù)（dac），基于安全級的集中管理的強(qiáng)制訪問控制技術(shù)(mac)和基于授權(quán)規(guī)則的集中管理的基于角色的訪問控制技術(shù)（rbac）。其中rbac由于能進(jìn)行方便、安全、高效的授權(quán)管理，并且擁有策略中性化、最小特權(quán)原則支持、以及高校的訪問控制管理等諸多優(yōu)良的特性，是現(xiàn)在研究的熱點1。4.1 自主訪問控制(dac) 自主性訪問控制是在確認(rèn)主體身份及其所屬的組的基礎(chǔ)上對訪問進(jìn)行控制的一種控制策略。它的基本思想是：允許某個主體顯示的指定其他主體對該主體所擁有的信息資源是否可以訪問以及執(zhí)行。4.1.1 自主訪問控制(dac)的實現(xiàn)機(jī)制自主訪問控制有兩種實現(xiàn)機(jī)制：一是基于主體dac實現(xiàn)，它通過權(quán)限表表明主體對所有客體的權(quán)限，當(dāng)刪除一個客體時，需遍歷主體所有的權(quán)限表；另一種是基于客體的dac實現(xiàn)，它通過訪問控制鏈表acl(access control list)來表明客體對所有主體的權(quán)限，當(dāng)刪除一個主體時，要檢查所有客體的acl。為了提高效率，系統(tǒng)一般不保存整個訪問控制矩陣，是通過基于矩陣的行或列來實現(xiàn)訪問控制策略。基于行(主體)的矩陣是表明主體隊所有客體的權(quán)限，基于行的矩陣的優(yōu)點是能夠快速的找出該主體對應(yīng)的權(quán)限集。目前以基于列(客體) 的訪問控制表acl實際應(yīng)用較多，但是主要應(yīng)用于操作系統(tǒng)。acl的優(yōu)點是表述直觀、易于理解，比較容易查出對一定資源有訪問權(quán)限的所有用戶，能夠有效的實施授權(quán)管理。但在應(yīng)用到規(guī)模較大、關(guān)系復(fù)雜的企業(yè)時，管理員為了實現(xiàn)某個訪問策略需要在acl中設(shè)定大量的表項；而且當(dāng)某個用戶的職位發(fā)生變化時，管理員需要修改該用戶對所有資源的訪問權(quán)限，使得訪問控制的授權(quán)管理需要花費大量的人力，且容易出錯。4.1.2 自主訪問控制(dac)的訪問控制表 訪問控制表(access control list，acl)是基于訪問控制矩陣中列的自主訪問控制。它在一個客體上附加一個主體明晰表，來表示各個主體對這個客體的訪問權(quán)限。明細(xì)表中的每一項都包括主體的身份和主體對這個客體的訪問權(quán)限。如果使用組(group)或者通配符(wildcard)的概念，可以有效地縮短表的長度。acl實際上是一種把能夠訪問客體的主體列表與該客體結(jié)合在一起的形式，并以這種形式把訪問控制矩陣豎列的控制信息表達(dá)出來的一種實現(xiàn)方式3。acl的結(jié)構(gòu)如下圖4-1所示：圖4-1 acl結(jié)構(gòu)(acl structure)訪問控制表是實現(xiàn)自主訪問控制比較好的方式，下面通過例子進(jìn)行詳細(xì)說明。對系統(tǒng)中一個需要保護(hù)的客體oj附加的訪問控制表的結(jié)構(gòu)所示。圖4-2 訪問控制表舉例在上圖4-2的例子中，對于客體oj,主體s0具有讀(r)和執(zhí)行(e)的權(quán)利；主體s1只有讀的權(quán)利；主體s2只有執(zhí)行的權(quán)利；主體sm具有讀、寫(w)和執(zhí)行的權(quán)利。但是，在一個很大的系統(tǒng)中，可能會有非常多的主體和客體，這就導(dǎo)致訪問控制表非常長，占用很多的存儲空間，而且訪問時效率下降。解決這一問題就需要分組和使用通配符。在實際的多用戶系統(tǒng)中，用戶可以根據(jù)部門結(jié)構(gòu)或者工作性質(zhì)被分為有限的幾類。一般來說，一類用戶使用的資源基本上是相同的。因此，可以把一類用戶作為一個組，分配一個組名，簡稱“gn”，訪問是可以按照組名判斷。通配符“*”可以代替任何組名或者主體標(biāo)識符。這時，訪問控制表中的主體標(biāo)識為：主體標(biāo)識=id.gn 其中，id是主體標(biāo)識符，gn是主體所在組的組名。請看圖4-3的示例。圖4-3 帶有組和通配符的訪問控制表示例在上圖4-3的訪問控制表中，屬于info組的所有主體都對客體oj具有讀和執(zhí)行的權(quán)利；但是只有info組中的主體1iu才額外具有寫的權(quán)限；無論是哪一組中的zhang都可以讀客體oj；最后一個表項說明所有其他的主體，無論屬于哪個組，都不具備對oj有任何訪問權(quán)限。在訪問控制表中還需要考慮的一個問題是缺省問題。缺省功能的設(shè)置可以方便用戶的使用，同時也避免了許多文件泄露的可能。最基本的，當(dāng)一個主體生成一個客體時，該客體的訪問控制表中對應(yīng)生成者的表項應(yīng)該設(shè)置成缺省值，比如具有讀、寫和執(zhí)行權(quán)限。另外，當(dāng)某一個新的主體第一次進(jìn)入系統(tǒng)時，應(yīng)該說明它在訪問控制表中的缺省值，比如只有讀的權(quán)限。4.1.3 自主訪問控制(dac)優(yōu)缺點dac的優(yōu)點： 1)訪問控制的粒度足單個用戶，能夠在一定程度上實現(xiàn)權(quán)限隔離和資源保護(hù)。2)能夠不加控制地使信息從一個可以被寫的客體流向一個可以被讀的客體。3)用戶可以隨意地將自己擁有的訪問權(quán)限授予其他用戶，之后也可以隨意地將所授予的權(quán)限撤銷。4)由于自主訪問控制將用戶權(quán)限與用戶直接對應(yīng)，因此自主訪問控制具有較高的訪問效率。dac的缺點：1)信息在移動過程中其訪問權(quán)限的關(guān)系可能會發(fā)生改變，這使得管理員難以確定哪些用戶對哪些資源具有訪問權(quán)限，不利于實現(xiàn)統(tǒng)一的全局訪問控制，使其在資源共享方而難以控制。2)dac中資源管理比較分散，用戶間的關(guān)系不能在系統(tǒng)中體現(xiàn)出來，且不易管理，信息容易泄露，無法抵御特洛伊木馬的攻擊。一旦帶有特洛伊木馬的應(yīng)用程序被激活，它可以任意泄漏和破壞接觸到的信息，甚至改變這些信息的訪問授權(quán)模式。3)授權(quán)管理繁瑣，需要對每個資源指定可以訪問的用戶以及相應(yīng)的權(quán)限，當(dāng)用戶的情況發(fā)生變化時需要進(jìn)行大量的修改操作，并且每個子系統(tǒng)都要維護(hù)自己的訪問控制列表，使得整個系統(tǒng)的統(tǒng)一管理非常困難，容易產(chǎn)生安全漏洞2。4.2 強(qiáng)制訪問控制(mac) 4.2.1 強(qiáng)制訪問控制(mac)概念強(qiáng)制訪問控制(mac，mandatoryaccess control)是由美國政府和軍方聯(lián)合研究出的一種控制技術(shù)，目的是為了實現(xiàn)比dac更為嚴(yán)格的訪問控制策略。它是基于主體-客體的安全級別，要求主體客體關(guān)系具有良好的層次結(jié)構(gòu)，只允許信息從低安全級別的實體流向高安全級別的實體，一般用于多級安全軍事系統(tǒng)。每個主體和客體都有自己既定的安全屬性，主體對客體是否具有訪問權(quán)限取決于二者安全屬性之間的關(guān)系。mac 將主體和客體分級，預(yù)先定義用戶的可信任級別及信息的敏感程度(安全級別)，如可以分為絕密級、機(jī)密級、秘密級、無密級等。系統(tǒng)根據(jù)主體和客體的級別標(biāo)記來決定訪問模式。當(dāng)用戶提出訪問請求時，系統(tǒng)對兩者進(jìn)行比較以確定訪問是否合法，是一種系統(tǒng)強(qiáng)制主體服從事先制定的訪問控制策略。mac可以通過使用敏感標(biāo)記對所有用戶和資源強(qiáng)制執(zhí)行安全策略4。如下圖4-45：圖4-4 強(qiáng)制訪問控制訪問模式主體（用戶、進(jìn)程）：被分配一個安全等級；客體（文件、數(shù)據(jù)）：也被分配一個安全等級；訪問控制執(zhí)行時對主體和客體的安全級別進(jìn)行比較。4.2.2 強(qiáng)制訪問控制(mac)優(yōu)缺點mac的優(yōu)點是：1）它是管理集中，根據(jù)事先定義好的安全級別實現(xiàn)嚴(yán)格的權(quán)限管理，因此適合對于安全性要求較高的應(yīng)用環(huán)境，如美國軍方就一直使用這種訪問控制模型6。2）通過信息的單向流動來防止信息擴(kuò)散，能夠抵御特洛伊木馬對系統(tǒng)保密性的攻擊。mac的缺點是： 1)根據(jù)用戶的可信任級別及信息的敏感程度來確定它們的安全級別，在控制粒度上不能滿足最小權(quán)限原則。2)應(yīng)用領(lǐng)域比較窄，使用不靈活。一般只用于軍事等具有明顯等級觀念的行業(yè)或領(lǐng)域7-9。3)主體訪問級別和客體安全級別的劃分與現(xiàn)實要求無法一致，在同級別間缺乏控制機(jī)制，管理不便。因為只有子系統(tǒng)的管理員才能制定出合適該子系統(tǒng)的訪問控制模式，而整個系統(tǒng)的管理員不可能指定出適合各個子系統(tǒng)的統(tǒng)一的訪問控制模式。4)完整性方面控制不夠。重點強(qiáng)調(diào)信息從低安全級向高安全級的方向流動， 對高安全級信息的完整性保護(hù)強(qiáng)調(diào)不夠。4.3 基于角色的訪問控制技術(shù)（rbac）在傳統(tǒng)的訪問控制中，主體始終是和特定的實體捆綁對應(yīng)的。例如，用戶以固定的用戶名注冊，系統(tǒng)分配一定的權(quán)限，該用戶將始終以該用戶名訪問系統(tǒng)，直至銷戶。其間，用戶的權(quán)限可以變更，但必須在系統(tǒng)管理員的授權(quán)下才能進(jìn)行。然而在現(xiàn)實社會中，這種訪問控制方式表現(xiàn)出很多弱點，不能滿足實際需求?；诮巧脑L問控制模式(role based access control，rbac)就是為了克服傳統(tǒng)訪問控制中的問題而提出來的。迄今為止，已經(jīng)討論和發(fā)展了4種基于角色的訪問控制（role-base）模型，下圖4-5所示是它們之間的相互關(guān)系：圖4-5 rbac家族系列關(guān)系示意圖其中rbac0為基本模型，rbac1為角色分級模型，rbac2為角色限制模型，rbac3為統(tǒng)一模型10。4.3.1 基本模型rbac0 rbac0的基本構(gòu)成與實現(xiàn)機(jī)制下圖4-611給出了rbac0的基本構(gòu)成：圖4-6 rbaco的基本構(gòu)成rbaco由4個基本要素構(gòu)成，即用戶(u)、角色(r)、會話(s)和授權(quán)(p)，一個數(shù)據(jù)庫系統(tǒng)中，定義并存在著多個用戶，定義并存在著多個角色，同時對每個角色設(shè)置了多個權(quán)限關(guān)系，稱之為權(quán)限的賦予(pa)。授權(quán)機(jī)制從某個角度看可以視為在系統(tǒng)內(nèi)通過特定的操(action)將主體與動作客體(數(shù)據(jù)或其他資源)聯(lián)結(jié)起來，語義可以是允許讀、允許修改和允許創(chuàng)建等，在不同系統(tǒng)中，客體的種類可能非常不同，例如，在操作系統(tǒng)中考慮的客體一般是諸如文件、目錄、端口和設(shè)備籌，操作則為讀取、寫入、打開、關(guān)閉和運行等，在數(shù)據(jù)庫系統(tǒng)中則是考慮諸如關(guān)系、表、視圖、記錄、字段和值等。也可以針對具體應(yīng)用的需求將一個完整的子網(wǎng)絡(luò)視為一個授權(quán)操作處理的對象一角色，操作則為選取、修改、刪除和插入等。rolebase模型中授權(quán)就是將這些客體的存取訪問的權(quán)限在可靠的控制下連帶角色所需要的操作一起提供給那些角色所代表的用戶，通過授權(quán)的管理機(jī)制，可以給予一個角色以多個權(quán)限，而一個權(quán)限也可以賦予多個角色，同時一個用戶可以扮演多個角色，一個角色又可以接納多個用戶。不難看出，相比于用戶互相授權(quán)之間的直接關(guān)聯(lián)的做法，通過rolebase模型數(shù)據(jù)庫系統(tǒng)能夠以較為簡單的方式向最終用戶提供語義更加豐富的、得到完整的控制的存取功能10。 rbaco的形式定義rbaco模型的組成包括下列幾個部分：1)u、r、p以及s(用戶、角色、授權(quán)和會話)；2)pap*r，pa是授權(quán)到角色的多對多的關(guān)系：3)uau*r，ua是用戶到角色的多對多的關(guān)系：4)roles (si) r|(user(si)，r)ua其中，user：su，將各個會話映射到一個用戶去的函數(shù)user(si)。roles：s2r，將各個會話si與一個角色集合連接起來的映射，可以隨時間變化而變化，且會話si的授權(quán)srroles(si)p |(p，r)pa在role-base中每個角色至少具備一個授權(quán)，而每個用戶至少扮演一個角色，雖然在形式定義上并不要求這一點12。4.3.2 角色分級模型rbacl rbacl的基本構(gòu)成與實現(xiàn)機(jī)制下圖4-711給出了rbac1的基本構(gòu)成：圖4-7 rbacl的基本構(gòu)成在一般的單位或組織中，特權(quán)或職權(quán)通常是有繼承關(guān)系的，上級領(lǐng)導(dǎo)(角色)所得到的信息訪問權(quán)限高于下級職員的權(quán)限，因此在rolebase中引進(jìn)一定的層次結(jié)構(gòu)用以反映這個實際情況是自然的，在多級安全控制系統(tǒng)內(nèi)，存取類的保密級別是線性排列的。其中安全策略的一個要求就是：要想合法地獲得信息，提出存取請求的人員的存取類的級別就要大于信息的存取類級別，rbaci中支持的層次關(guān)系可以容易地實現(xiàn)多級安全系統(tǒng)所要求的保密級別的線性排列的要求。多級安全系統(tǒng)的另一個要求就是要能夠支持范疇的安排，其中的范疇是互相獨立的和無序的。為了獲得信息的存取權(quán)，提出存取請求的人員必須屬于一定的存取類，存取類的范疇的集合應(yīng)該包括信息存取類的全部范疇。角色的層次結(jié)構(gòu)rbacl，rh中的角色可以容易地實現(xiàn)所要求的保密存取類的范疇的要求。用數(shù)學(xué)的語言來說，就是要求所使用的安全模型必須是偏序的。rbac，對層次角色的支持包括了偏序模型的支持10。 rbacl的形式定義rbac1模型的組成包括下列幾個部分：1)u、r、p以及s(用戶、角色、授權(quán)和會話)；2)pap*r，pa是授權(quán)到角色的多對多的關(guān)系：3)uau*r，ua是用戶到角色的多對多的關(guān)系：4)rhr*r，rh是角色上的一個偏序關(guān)系，稱之為角色層次關(guān)系成支配關(guān)系，一般記作“”；5)roles (si) r|(rr)(user(si)，r)ua。其中：user：su，將各個會話映射到一個用戶去的函數(shù)user(si)。roles：s2r，將各個會話si與一個角色集合連接起來的映射，可以隨時間變化而變化，且會話si的授權(quán)srroles(si)p|(p，r)pa12。4.3.3 角色約束模型rbac rbac2的基本構(gòu)成下圖4-811給出了rbac2的基本構(gòu)成：圖4-8 rbac2的基本構(gòu)成 rbac2的形式定義rbac2，包含了rbaco所有的基本特性，除此之外增加了對rbaco的所有組成元素的核蠢過程，只有擁有有效值的元素才可被接受。在rbac2中約束條件指向ua、pa和會話中的user、role等函數(shù)。一般說來，最好是根據(jù)其實際的類型和屬性加以陳述。這樣就要考慮語言等環(huán)境，所以較難給約束模型一個嚴(yán)格的形式定義。在實際的安全數(shù)據(jù)庫管理系統(tǒng)中，約束條件和實現(xiàn)的方式各有不同，多數(shù)專家傾向于采取盡可能簡單而又高效的約束條件，作為實際rolebase系統(tǒng)的約束機(jī)制。 rbac2的實現(xiàn)機(jī)制rbaco的另一個增強(qiáng)方向是rbac2，即所謂的約束模型。rbacl和rbac2之間是互不相關(guān)的，因此也就是不可比較的。作為一個完整的安全模型，約束增強(qiáng)是非常重要的性能。在絕大多數(shù)組織中，除了角色的層次關(guān)系外，經(jīng)常要考慮的問題是類似于這樣的情況：一個公司的采購員和出納員雖然都不算是高層次的角色，但是任何一個公司都絕不會允許同時給某一個具體人員分配這兩個角色。因為，這種工作安排必然導(dǎo)致欺詐行為的發(fā)生。不論一個具體的系統(tǒng)中是否具備層次角色的機(jī)制，約束機(jī)制都是很重要的。特別是對于高級決策層，約束機(jī)制的作用更是重要。當(dāng)整體上確定了對某一個角色的分配的約束條件后，公司的領(lǐng)導(dǎo)層就可以不必再操心具體的實施了。當(dāng)role-base的管理集中在一個系統(tǒng)管理員時，約束機(jī)制至少可以使得管理工作輕松一些。對于一個特別大的系統(tǒng)，這是很重要的，因為高級系統(tǒng)管理人員就可以通過規(guī)定約束條件來指導(dǎo)和控制下級的系統(tǒng)管理人員的操作不致有失誤和越軌之處。實際上，通過約束機(jī)制，rolebaseac就可以實現(xiàn)強(qiáng)制安全控制，而且包括了對rolebase本身的管理和控制10。4.3.4 基于角色的訪問控制技術(shù)（rbac）優(yōu)缺點rbac的優(yōu)點：1）通過角色概念的引入，實現(xiàn)了用戶與訪問權(quán)限的邏輯分離，即先給角色分配權(quán)限，再給用戶分配相應(yīng)的角色，從而該用戶具有了與該角色相關(guān)聯(lián)的權(quán)限；2）實現(xiàn)了根據(jù)用戶在系統(tǒng)中所處的位置及作用設(shè)置相應(yīng)的訪問權(quán)限；3）rbac以對角色的控制取代了dac和mac中直接對用戶的控制，增加了系統(tǒng)的靈活性；4）最小特權(quán)原則的實施，保證了用戶只具有完成特定任務(wù)所必須的權(quán)限，防止了用戶具備過大的對系統(tǒng)資源進(jìn)行訪問的權(quán)限；5）方便管理員對權(quán)限的管理。在定義好了權(quán)限和角色后，只需進(jìn)行簡單的角色分配或取消，即可完成用戶權(quán)限的分配與取消。rbac的缺點：1）在rbac中進(jìn)行了職責(zé)分離，使得原來對身份標(biāo)識的竊取惡化為對角色的竊??；2）任何一個對象或主體會因此損害到整個對象組或用戶組；3）角色的繼承不加限制的權(quán)限授予會導(dǎo)致違背安全性策略；4）角色重疊的模糊本質(zhì)、為用戶指定多種角色以及將對象指定到多個對象訪問組，會使錯誤配置成為一種實際的風(fēng)險；5)最后rbac的角色層次圖中的許多都只有理論模型和算法描述,實現(xiàn)困難，并且許多理論框架依然不清楚，沒有完整的代數(shù)描述。對于模型中的限制的研究#將角色的互斥進(jìn)行分類，定義了理論上的安全級別，不過實際中幾乎無法使用，僅有理論意義。 再有，許多模型的代數(shù)描述非常復(fù)雜，很抽象，很難理解，需要很好的數(shù)學(xué)基礎(chǔ)，不易推廣13。5 典型案例一個基于角色的訪問控制系統(tǒng)5.1 系統(tǒng)的開發(fā)背景與開發(fā)目標(biāo)以下為某公司開發(fā)的一套在局域網(wǎng)絡(luò)環(huán)境下運行、b/s模式web版的業(yè)務(wù)系統(tǒng)管理軟件，軟件功能強(qiáng)大，包含9個大模塊，9大模塊下又包括100多個子模塊。由于數(shù)據(jù)涉密范圍不同，因此對用戶的操作權(quán)限有非常嚴(yán)格的限制。目前，在軟件的訪問控制實現(xiàn)上，采用傳統(tǒng)訪問控制策略，對系統(tǒng)中的所有用戶進(jìn)行一維的權(quán)限管理，這樣，一個用戶往往要針對9大模塊，以及9個模塊下的若干個子模塊進(jìn)行授權(quán)管理。在實現(xiàn)起來，操作很煩瑣，既不能有效適應(yīng)安全性需求，也不能快速實現(xiàn)。如下圖5-1：圖5-1 授權(quán)系統(tǒng)界面而單位各科室人員的調(diào)動又很頻繁，這樣就造成系統(tǒng)管理員的負(fù)擔(dān)很重，且多是重復(fù)勞動。為了解決這一問題，使管理人員從權(quán)限管理重復(fù)勞動的負(fù)擔(dān)中解放出來，根據(jù)他們在其本行業(yè)多年積累下來的經(jīng)驗，參考了其它同行的成功經(jīng)驗整合了先進(jìn)的思想，認(rèn)為基于角色的訪問控制能有效解決他們工作中遇到的問題。因此需要開發(fā)出一套功能完善而且又靈活方便的安全管理系統(tǒng)，以此提高業(yè)務(wù)軟件的安全性。5.2 系統(tǒng)業(yè)務(wù)功能簡介由于該處開發(fā)的業(yè)務(wù)管理系統(tǒng)涉密較深，不能詳細(xì)介紹它的功能、模塊。因此就對軟件進(jìn)行了脫密處理，就業(yè)務(wù)系統(tǒng)的基本架構(gòu)與功能菜單做一個簡單地、類似的介紹，但能反映出其設(shè)計思想。下圖5-2為業(yè)務(wù)軟件功能菜單示例：圖5-2 業(yè)務(wù)軟件功能菜單由上圖5-2可以看到，本業(yè)務(wù)管理系統(tǒng)包含4大模塊，數(shù)據(jù)查詢、數(shù)據(jù)維護(hù)、文秘管理和人事管理，而4大模塊又包含若干子模塊。其對數(shù)據(jù)按涉密范圍不同，分為a類數(shù)據(jù)和b類數(shù)據(jù)，被授予不同訪問權(quán)限的操作人員只能訪問他被授權(quán)的數(shù)據(jù)。例如：系統(tǒng)管理員只能為用戶分配權(quán)限，不能讀取、修改任何涉密數(shù)據(jù)；a類和b類數(shù)據(jù)的維護(hù)工作(增、刪、改)只能由專門的維護(hù)人員操作；從事于人事管理、行政管理的人員也不能訪問涉密數(shù)據(jù)：同樣的，具有訪問a類數(shù)據(jù)的用戶不能訪問b類數(shù)據(jù)，具有訪問b類數(shù)據(jù)的用戶也不能訪問a類數(shù)據(jù)。5.3 系統(tǒng)分析5.3.1 組織結(jié)構(gòu)下圖5-3為其組織結(jié)構(gòu)關(guān)系圖，它清晰地顯示了各部門之間的領(lǐng)導(dǎo)關(guān)系，以及每個部門內(nèi)部的人員職責(zé)分工等情況。圖5-3 組織結(jié)構(gòu)關(guān)系圖5.3.2 用戶和角色其實在現(xiàn)實生活中也經(jīng)常提到某人扮演了什么角色，處長還是副處長。不過在rbac中的角色與實際的角色概念有所不同。在一個rbac模型中，一個用戶可以被賦予多個角色，一個角色也可以對應(yīng)多個用戶，它們之間是多對多的關(guān)系，這些角色是根據(jù)系統(tǒng)的具體實現(xiàn)來定義的；同樣的一個角色可以擁有多個權(quán)限，一個權(quán)限也可以被多個角色所擁有。在他們這套系統(tǒng)里，用戶是指自然人，角色就是組織內(nèi)部一件工作的功能或者工作的頭銜，表示該角色成員所授予的職權(quán)和責(zé)任。他們根據(jù)組織機(jī)構(gòu)、業(yè)務(wù)崗位不同，定義了以下幾種角色：處長、數(shù)據(jù)查詢科科長，a類數(shù)據(jù)查詢科員，b類數(shù)據(jù)查詢科員。數(shù)據(jù)維護(hù)科科長，數(shù)據(jù)增、改科員，數(shù)據(jù)刪除科員。辦公室主任，辦公室科員，人事管理科科長，人事管理科數(shù)據(jù)維護(hù)科員，人事管理科普通科員，系統(tǒng)管理員。5.3.3 角色等級和權(quán)限的定義rbac模型中引入了角色等級來反映一個組織的職權(quán)和責(zé)任分布的偏序關(guān)系，以上應(yīng)用系統(tǒng)為例，上圖顯示了該應(yīng)用系統(tǒng)中角色的簡化等級。其中高等級角色在上方，低等級角色在下方。等級最低的角色是科員，科長、主任高于科員，處長高于科長，所以科長繼承了科員，處長繼承了科長，顯然角色等級關(guān)系具有反身性、傳遞性和非對稱性，是一個偏序關(guān)系。由上圖5-3，我們可以看到，我們定義了12個角色，數(shù)據(jù)增、改科員負(fù)責(zé)a、b類數(shù)據(jù)的增加和修改，但不具備刪除數(shù)據(jù)功能：數(shù)據(jù)刪除科員負(fù)責(zé)a、b類數(shù)據(jù)的刪除；數(shù)據(jù)維護(hù)科科長繼承了數(shù)據(jù)增、改科員和數(shù)據(jù)刪除科員的權(quán)限，既能對數(shù)據(jù)進(jìn)行增、刪、改、查：a類數(shù)據(jù)查詢科員只能查詢數(shù)據(jù)庫中的a類數(shù)據(jù)；b類數(shù)據(jù)查詢科員只能查詢數(shù)據(jù)庫中的b類數(shù)據(jù)；而數(shù)據(jù)查詢科的科長繼承了a類數(shù)據(jù)查詢科員和b類數(shù)據(jù)查詢科員的權(quán)限，能對a、b類數(shù)據(jù)進(jìn)行查詢；辦公室科員負(fù)責(zé)本處的收發(fā)文登記；辦公室主任繼承了數(shù)據(jù)查詢科科長和辦公室科員的權(quán)限，既能查詢a、b類數(shù)據(jù)，也能查看收發(fā)文情況；人事科的普通科員只能查詢黨員管理、警銜管理、工資管理的數(shù)據(jù)：人事科數(shù)據(jù)維護(hù)員繼承了人事科普通科員的權(quán)限，還能對黨員管理、警銜管理、工資管理的數(shù)據(jù)進(jìn)行增、刪、改、查：人事科科長繼承了人事科數(shù)據(jù)維護(hù)員的權(quán)限，擁有了數(shù)據(jù)維護(hù)員的權(quán)限：處長在這里處于最高級別，他繼承了數(shù)據(jù)維護(hù)科科長、辦公室主任人事科科長的權(quán)限，能進(jìn)行所有的權(quán)限操作。同時還有一個系統(tǒng)維護(hù)員的角色，它只能對用戶進(jìn)行權(quán)限分配，而不能訪問所有的數(shù)據(jù)。5.3.4 角色約束rbac模型引進(jìn)了約束概念。rbac中的一個基本的約束稱為“相互排斥”角色約束，由于角色之間相互排斥，一個用戶最多只能分配到這兩個角色中的一個。例如：在數(shù)據(jù)查詢科科員當(dāng)中，一個人不能即查詢a類數(shù)據(jù)，又查詢b類數(shù)據(jù)，在數(shù)據(jù)維護(hù)科科員當(dāng)中，一個人不能對數(shù)據(jù)進(jìn)行增、刪、改的所有操作。另外，“基本限制”約束規(guī)定了一個角色可被分配的最大用戶數(shù)。在我們研制的系統(tǒng)中，處長這個角色最多被賦予5個人，數(shù)據(jù)維護(hù)科科長、