本發明公開了一種T?RBACG的訪問控制模型構建方法，該模型設置了角色管理者、任務管理者、權限管理者、同時考慮到了任務上下文、任務生命周期、任務狀態屬性來提高任務權限的動態管理，以及更好的細粒度。本發明旨在對原有的T?RBAC模型的缺陷進行改進，提高模型的安全性，權限的細粒度，權限的動態管理。提高T?RBAC模型的安全性，細粒度，實現動態管理。

技術領域

本發明涉及計算機安全領域，具體地說是一種T-RBACG的訪問控制模型構建方法，應用于各種需要利用到訪問控制應用中。

背景技術

訪問控制是通過某種途徑顯示地允許或是限制主體對客體訪問權限和范圍的一種方法，通過對關鍵資源的訪問控制，防止非法用戶的入侵或者合法用戶的誤操作造成的破壞。常見模型：基于角色的訪問控制（RBAC），該模型引入了角色的概念，用角色作為權限與用戶之間的橋梁，權限先分配給角色，然后再給用戶分配角色，由此來完成賦予用戶權限，這樣的方式將用戶與權限分離，加強了安全性，且比較靈活簡化。但是RBAC模型沒有嚴格的區分授權與分權，且存在最小權限的假象，因此不能夠對權限進行動態的管理。基于任務的訪問控制（TBAC），該模型引入了任務的概念，以任務為中心，實現了動態授權，增強了安全性，但是TBAC中和還存在沒有將任務和角色清楚的分開，也不支持角色層次等級等問題，因此沒有得到廣泛的應用。

近年研究結合了以上兩種模型的優點，提出了一種基于任務和角色的訪問控制模型T-RBAC，T-RBAC將三層訪問控制模型改為4層，在角色和權限之間加入了任務，先將訪問的權限分配給任務，再將任務分配給角色，任務是角色與權限之間的橋梁，將兩者連接起來。這樣簡化了任務的分配與管理，同時還保留了TBAC中的權限動態管理的優點。但是模型在細粒度權限控制等方面存在一些可改進的地方。部分研究者對模型引入了上下文來控制任務的執行環境，但是沒有考慮任務的自身狀態，部分研究者從控制的角度出發，通過對角色和權限的分類來提高安全性和管理的動態性。有些研究者從角色細化出發，提出了基于組和角色的訪問控制模型，將角色按組劃分，由此來提升權限控制的維度。但是并沒有考慮任務的細粒度，任務的上下文屬性，動態授權不靈活，權限監管不到位，權限分配及永久擁有等問題。

發明內容

本發明的目的是針對T-RBAC模型在任務分配、權限管理上存在的不足，提出了一種T-RBACG的訪問控制模型構建方法，所構建的模型提高原模型的細粒度的權限管理，更好的滿足職責分離和最小權限原則，安全性更高。

實現本發明目的的具體技術方案是：

一種T-RBACG的訪問控制模型構建方法，特點是該方法包括以下具體步驟：

步驟1：任務分配

執行任務時，任務管理者對權限管理者請求分配權限，賦予任務權限，任務管理者根據任務類型對角色管理者請求角色，當角色分配到任務時，角色才得到對應的權限；任務管理者對任務進行管理和監控，對任務進行動態的調動與分配，根據任務所需的角色，將任務分配給對應的角色；

步驟2：權限分配

權限管理者根據任務的上下文屬性、任務生命周期、任務約束條件任務屬性，分配給任務所需的權限；權限的分發與回收由權力管理者掌控；

步驟3：角色分配

用戶激活角色后，角色管理者對角色進行動態管理與監控，記錄角色的行為與狀態，并根據任務的要求、角色約束條件、任務約束條件為任務尋找角色；

步驟4：模型構建