计算机技术与人工智能 Computer Technology and Artificial Intelligence


            一系列权限的集合。当用户或权限发生变动时，系统可以很灵活地将该用户从一

            个角色转移到另一个角色来实现权限的转换，降低了管理的复杂度。另外在组织
            机构发生职能改变时，应用系统只需要对角色进行重新授权或取消某些权限，就
            可以使系统重新适应需要。与用户相比，角色是相对稳定的。
                角色由系统管理员定义，角色成员的增减也只能由系统管理员来执行，即只

            有系统管理员有权定义和分配角色。用户与客体无直接联系，只有通过角色才享
            有该角色所对应的权限，从而访问相应的客体。
                （4）基于任务的访问控制

                传统的访问控制模型都是基于主体和客体观点的被动安全模型，在被动安全
            模型中授权是静态的，没有考虑到操作的上下文，因此存在一些缺陷：在执行任
            务之前，主体就已有权限，或者在执行完任务后继续拥有权限，这样就导致主体
            拥有额外的权限，系统安全面临极大的危险。针对上述问题，人们提出了基于任

            务的访问控制（TBAC）模型。
                基于任务的访问控制（TBAC）模型是一种以任务为中心的，并采用动态授
            权的主动安全模型，该模型的基本思想是：授予用户的访问权限，不仅仅依赖于

            主体和客体，还依赖于主体当前执行的任务和任务的状态。当任务处于活动状态
            时，主体拥有访问权限。一旦任务被挂起，主体拥有的访问权限就被冻结。如果
            任务恢复执行，主体将重新拥有访问权限。任务处于终止状态时，主体拥有的权

            限马上被撤销。TBAC适用于工作流、分布式处理、多点访问控制的信息处理以
            及事务管理系统中的决策制定，但最显著的应用还是在安全工作流管理中。
                （三）访问控制的安全策略

                1.访问控制安全策略
                访问控制技术的实现以访问控制策略的表达、分析和实施为主。其中，访问
            控制策略定义了系统安全保护的目标，访问控制模型对访问控制策略的应用和实
            施进行了抽象和描述，访问控制框架描述了访问控制系统的具体实现、组成架构

            和部件之间的交互流程。访问控制安全策略主要有如下三种。
                （1）入网访问控制策略
                为网络访问提供了第一层访问控制。控制哪些用户能够登录到服务器并获取

            网络资源，控制准许用户入网的时间和登录入网的工作站。用户的入网访问控制
            分为用户名和口令的识别与验证、用户账号的默认限制检查。只要其中的任何一


            276