在URA97中只回收显式成员称为弱回收。 既要回收显式成员又要回收隐式成员称为强回收 若一个用户强回收E1，则将会弱回收E1和高于角色E1的所有角色 所以在角色层次关系中，强回收某角色将会对高于角色的角色产生
级联反应。 但是，URA97中的强回收仅当角色及其中所有向上的回收在
动态的管理角色的回收范围内才会起作用。 强回收在理论上和一系列弱回收相当，但是对管理者来说是一 种有用且方便的操作。
URA97 Revoke Model
URA97中角色集合通过如下的范围标识来规定:
[ x, y] {r R | x r r y} [ x, y) {r R | x r r y} ( x, y] {r R | x r r y} ( x, y) {r R | x r r y}
PRA97是URA97的一个复制品。
ARBAC99模型是ARBAC97模型的增强版，其中 URA99、PRA99 相对于URA97、PRA97发生了很 大变化。RRA99和RRA97一模一样。
(Production Engineer)
(Director) (Project lead)
(Engineer) (Engineering Department) (Employee)
由于基于角色访问控制(RBAC)的主要优点是省去了权限管理的 麻烦, 因此运用RBAC 本身来管理RBAC 是可行的
基于角色的访问控制是一种灵活的政策中立的访问控制技术
原理
ARBAC97模型
包括三部分：
URA97 用户--角色管理 PRA97 权限--角色管 RRA97 角色--层次管理
一个单位中的所有职工都属于最下级角色E 在工程部中, 有级别较低的角色ED 和级别最高的角色DIR .
在中间, 有两个工程角色Project1 和Project2,每一个工程都有各自 最高级的角色PL1 和PL2 ，以及最低级的角色E1 和E2 .
在PL 和E 两个角色中间,每个工程还有两个不同的角色PE1 ,PE2 和 QE1 ,QE2 .图1 可以扩展到拥有不同结构的多个部门
8
URA97 Revoke Model
在上表中பைடு நூலகம் PSO1可以回收居于角色E1到PL1之间的角色权限 PSO2可以回收居于角色E2到PL2之间的角色权限 DSO可以回收任何在ED和DIR角色之间的权限 DSO可以回收任何在ED和DIR角色之间的权限
定义5：
在工程部门的角色层次关系中，DIR的显式成员是其它 所有角色的隐式成员 所以一个用户可以同时成为一个角色的显式成员和隐式成员
11
PSO1(Project Secyrity Officer 1 )管理project1 中的PL1， PE1,QE1，E1
URA97 Grant Model
URA97 Grant Model
定义3 URA97 模型的用户-角色分派关系 can-assign Can- assign(x, y, z) 其中 x 代表管理角色, y 代表先决条件, z 代表角色范围。 比如: Can- assign(PSO1,ED,{E1})表示管理角色 PSO1 或者 PSO1 的上层角色能分配一个用户到角色 E1 中, 但该用户首先要满足具有 ED 角色。
基于角色的访问控制
吴红岩 S201507145
产生背景 在大型管理信息系统中, 可以有成百上千个用户, 每个用户
扮演着不同的角色, 每个角色可有不同的权限.管理好这些 用户、角色和权限, 以及他们之间的关系是一件复杂的事 务, 一般需要高度的集中, 并把这些任务交给一些管理小组 去做.显然，在大型管理信息系统中这样做是不现实的