對傳統訪問控制模型進行了分析，指出它們缺點和存在的問題；介紹了基于角色的訪問控制模型及其優點，提出了一種基于角色的訪問控制模型，對傳統的BLP模型進行改造，并給出了簡要的證明。
關 鍵 詞 訪問控制; 基于角色的訪問控制; 基于格的訪問控制; 強制訪問控制

Research of Access Control of Role-Based MAC
TIAN Jing-dong1，HE Zai-lang2，WANG Xiang-dong3，ZHANG Yu-sen4
(1. PLA 77546th Unit Lasa 850000; 2. PLA Engineer Command College Xuzhou JiangSu 221004; 3. Institute of Communication Engineering, PLA Univ. of Sci. & Tech. Nanjing 210007; 4. Institute of Command Automation, PLA Univ. of Sci. & Tech. Nanjing 210042)
Abstract This article analyzes the traditional access control models, points out their defects and existing problems. Particularly, a role-based access control model and its merits are introduced in this article. And then, the advanced methods of reconstructing the traditional BLP models with role-based access control model is proposed and a brief theoretical analysis is given.
Key words access control; role-based access control; lattice-based access control; mandatory access control

訪問控制技術是任何安全信息系統的重要環節。訪問控制主要解決系統的機密性和完整性方面的問題。20世紀70年代，Bell，Biba，LaPadula和Denning對訪問控制技術領域進行基礎研究，并建立了基于格的強制訪問策略模型(LBAC)，其理論和概念幾乎可以用到任何涉及信息流的場合。最具有代表性的兩個模型是Bell-LaPadula模型(簡稱BLP模型)和Biba模型，被廣泛應用于許多系統中。BLP模型主要解決機密性問題，Biba模型主要解決完整性問題，但是它們在實現過程中的缺陷，影響了它們的可用性。
1 Bell-LaPadula模型
Bell-LaPadula模型用強制訪問控制來加強自主訪問控制，以執行信息流策略。Bell-LaPadula模型的訪問控制分為兩步：(1) 自主訪問控制矩陣D，但D的內容可以被主體修改，一個操作的實現在D中的驗證還不夠充分；(2) 操作必須被強制訪問控制策略批準。
強制訪問控制策略用主體和對象的安全級別來表達。用()sλ和()oλ分別表示主體s和對象o的安全級別；用表示安全級別間的支配關系，那么Bell-LaPadula模型的主要性質表現為： ??
(1) 簡單安全特性，即當且僅當()()soλλ??，主體s可以讀對象o。
(2) *-特性，即當且僅當()()oλλ??，主體s可以寫對象o。有時也表現為嚴格的*-特性，即當且僅當()()soλλ=，主體s可以寫對象o。
但是，Bell-LaPadula模型不能完全抵抗特洛伊木馬，也不能解決隱蔽信道問題[1]。
Biba模型和BLP模型沒有本質的區別，都只允許安全格中一個方向的信息流，即BLP模型允許信息上流，Biba模型允許信息下流[1]。
本文對傳統的BLP模型進行改造，提出了一種基于角色的訪問控制模型。
2 基于角色訪問的控制模型(RBAC)
RBAC是傳統的強制訪問控制(Mandatory Access Control，MAC)和DAC最有希望的替換品。在基于角色的訪問控制(Role-Based Access Control，RBAC)中，許可(Permission)都與角色(Role)相關。用戶(User)都分配適當的角色，因而獲得角色的許可，簡化了許可的管理。角色可以根據一個部門的工作來創建，于是用戶可以根據自身的責任和資格來分配適當的角色。用戶可以方便地從一個角色被分配到另一個角色。角色可以根據應用和系統的變化授予新的許可，也可以根據需要，撤銷許可。
策略中立是RBAC的一個重要特點；RBAC的另一個特點是有能力根據組織需求的變化修改策略。這些特點可以彌補BLP模型的不足。