[发明专利]一种T-RBACG的访问控制模型构建方法

说明书

本发明公开了一种T‑RBACG的访问控制模型构建方法，该模型设置了角色管理者、任务管理者、权限管理者、同时考虑到了任务上下文、任务生命周期、任务状态属性来提高任务权限的动态管理，以及更好的细粒度。本发明旨在对原有的T‑RBAC模型的缺陷进行改进，提高模型的安全性，权限的细粒度，权限的动态管理。提高T‑RBAC模型的安全性，细粒度，实现动态管理。

技术领域

本发明涉及计算机安全领域，具体地说是一种T-RBACG的访问控制模型构建方法，应用于各种需要利用到访问控制应用中。

背景技术

访问控制是通过某种途径显示地允许或是限制主体对客体访问权限和范围的一种方法，通过对关键资源的访问控制，防止非法用户的入侵或者合法用户的误操作造成的破坏。常见模型：基于角色的访问控制（RBAC），该模型引入了角色的概念，用角色作为权限与用户之间的桥梁，权限先分配给角色，然后再给用户分配角色，由此来完成赋予用户权限，这样的方式将用户与权限分离，加强了安全性，且比较灵活简化。但是RBAC模型没有严格的区分授权与分权，且存在最小权限的假象，因此不能够对权限进行动态的管理。基于任务的访问控制（TBAC），该模型引入了任务的概念，以任务为中心，实现了动态授权，增强了安全性，但是TBAC中和还存在没有将任务和角色清楚的分开，也不支持角色层次等级等问题，因此没有得到广泛的应用。

近年研究结合了以上两种模型的优点，提出了一种基于任务和角色的访问控制模型T-RBAC，T-RBAC将三层访问控制模型改为4层，在角色和权限之间加入了任务，先将访问的权限分配给任务，再将任务分配给角色，任务是角色与权限之间的桥梁，将两者连接起来。这样简化了任务的分配与管理，同时还保留了TBAC中的权限动态管理的优点。但是模型在细粒度权限控制等方面存在一些可改进的地方。部分研究者对模型引入了上下文来控制任务的执行环境，但是没有考虑任务的自身状态，部分研究者从控制的角度出发，通过对角色和权限的分类来提高安全性和管理的动态性。有些研究者从角色细化出发，提出了基于组和角色的访问控制模型，将角色按组划分，由此来提升权限控制的维度。但是并没有考虑任务的细粒度，任务的上下文属性，动态授权不灵活，权限监管不到位，权限分配及永久拥有等问题。

发明内容

本发明的目的是针对T-RBAC模型在任务分配、权限管理上存在的不足，提出了一种T-RBACG的访问控制模型构建方法，所构建的模型提高原模型的细粒度的权限管理，更好的满足职责分离和最小权限原则，安全性更高。

实现本发明目的的具体技术方案是：

一种T-RBACG的访问控制模型构建方法，特点是该方法包括以下具体步骤：

步骤1：任务分配

执行任务时，任务管理者对权限管理者请求分配权限，赋予任务权限，任务管理者根据任务类型对角色管理者请求角色，当角色分配到任务时，角色才得到对应的权限；任务管理者对任务进行管理和监控，对任务进行动态的调动与分配，根据任务所需的角色，将任务分配给对应的角色；

步骤2：权限分配

权限管理者根据任务的上下文属性、任务生命周期、任务约束条件任务属性，分配给任务所需的权限；权限的分发与回收由权力管理者掌控；

步骤3：角色分配

用户激活角色后，角色管理者对角色进行动态管理与监控，记录角色的行为与状态，并根据任务的要求、角色约束条件、任务约束条件为任务寻找角色；

步骤4：模型构建