引言
基于角色的访问控制(Role-Based Access Control – RBAC)是应用安全领域一项十分重要的访问控制模型,它主要通过角色分层(Role Hierarchies)、责任分离(Separation
of Duty)等技术来将访问权限与用户分离来简化安全管理。在最新的一些软件技术平台中,如 .NET 和 J2EE ,都可以看到 RBAC 的许多影子,在大多数开放源码的软件中,RBAC 的应用也是随处可见,如 CommunityServer,DNN 等。
一般来说,应用软件开发人员在开发软件时,除了利用基础平台提供的一部分安全控制功能外,大多数情况下,要自己在应用程序内部实现:用户认证、授权等功能,RBAC 就是授权控制的一个很重要的实现手段。
一方面是 RBAC 的大量应用,一方面则是 RBAC 方面资料的严重缺乏:除了在一些教科书和学术论文上对于 RBAC 及与之对应的MAC(强制访问控制)、DAC(自主访问控制) 做一些简单介绍外,很难在市面上看到深入介绍 RBAC 的书籍,而且现在的 RBAC 正面临着许多新的、复杂的应用环境,如跨应用程序授权、与 XML Web Services 的结合应用、单一登录(SSO)等。
好书推荐
书名:《Role-Based.Access.Control》
作者:David F. Ferraiolo, D. Richard Kuhn and Ramaswamy Chandramouli
ISBN:1580533701
出版机构:Artech House
出版时间:2003
页数:316 pages
本书涉及 RBAC 所有内容,详细介绍了 RBAC 模型以及如何利用它来模拟其它访问控制模型。覆盖 RBAC 管理的框架和工具。适全软件开发人员、安全管理员以及学生阅读。
此书的作者(Ferraiolo, Kuhn, and Chandramouli )是美国国家标准与技术研究院(NIST)计算机安全分部的几位安全专家。
此书得到了国外的一些组织和杂志大力推荐,将此书列为“必读”(IEEE),“总体上来说,这是一本非常棒的书”(Linux Journal)。
在 Amazon.com 上,此书得到五个星,且价值不菲(85$),得到了很好的评价,详见:http://www.amazon.com/exec/obidos/tg/detail/-/1580533701/002-5336112-1476838?v=glance
个人想法
这是一本专业关注 RBAC 的书籍,个人觉得它对于一些从事安全领域、安全基础软件开发、应用安全等方面的人员尤其有用,能够有效地应用 RBAC 优秀的安全模型。
我想和一个很好的朋友来共同翻译这本书,在征求了出版社的意见时,他们反馈说这本书已出版两年,对于 IT 书籍来说,价值也不大而且面向的读者偏向专业,以中高端人员为主,所以他们不赞成出此书。
而我则认为 RBAC 是一项基础的安全模型,发展和应用前景很广,随着应用开发人员对于安全认识的逐步深入,以及 .NET/J2EE 带来的 RBAC 的大量应用,肯定会产生相当数量的、不断增长的读者群,而市场上鲜见此类书籍,所以这本书还是值得去翻译和引进的。
如果您读到这里,请在评论中留下您的想法,不甚感谢。
附:书籍简介及目录
这是第一本关于基于角色的访问控制方面的书籍,RBAC 是一种安全模型,在大型的网络应用中,被设计用来降低安全管理的成本与复杂性。RBAC 通过使用角色、分层和约束来组织权限进而简化安全管理。这本书介绍了 RBAC 的
这些组成部分,并且介绍了如何在一个网络环境中如何对 RBAC 进行管理和支持,以及如何将其同现有的基础架构集成等。
由于角色分层和角色设计对于 RBAC 来说是至关重要的,您可以在此书中了解到如何有效的实施它们来保护整体的访问控制,同时也详细涉及了一些专门的主题,如责任分离,将 RBAC 同军事安全模型组合,最近的一些标准化方向的进展和努力等。这本书也向您介绍了市场上多种 RBAC 相关的产品,以及在企业范围安全中部署 RBAC 的一些移植途经。
目录:
第一章:简介
第二章:访问控制策略、模型和概念机制及案例
第三章:RBAC 的核心功能
第四章:角色的层次
第五章:职责分隔和 RBAC 系统的限制
第六章:RBAC、MAC、DAC
第七章:NIST 建议的 RBAC 标准
第八章:RBAC 的角色管理
第九章:使用 RBAC 和 XML 技术的企业访问控制框架
第十章:在企业 IT 架构中集成 RBAC
第十一章:RBAC 移植案例研究 — Multiline 保险公司
第十二章:商业软件中的 RBAC 特性
附录A: RBAC 模型的 XML 架构
附录B: RBAC 模型的 XML 编码数据
太好了,我也搜索了很多RBAC方面的资料,对于这个标准,说起来简单,但真正能够了解的透彻还真不是那么容易的事情。个人感觉,每个做企业信息化的开发人员和项目经理都应该深入的了解RBAC,国外的OASIS标准化组织已经有针对RBAC的XML Schema,Java也有Sun的实现,.NET还没有……最近正浏览这方面的东西,moslem的书确实很需要。
重视标准是进步的标志!!!
有些主题的书可能只会“流行”,过了一段时间后,大家就完全忘记了。而有些主题的书则不会过时。出版社的想法过于功利主义(当然也不能全怨他们),目前市场上的书良莠不起,整个出版市场混乱不堪,也基本上是出于此情况。
RBAC绝对值得翻译!最好不止是翻译,而是自己加上工作中的一些体会,把“汉化”做成“本地化”,才能够更加适应国内的市场。
开心的想法和我很接近,其实本书以理论为主,有一些很好的实现,如 .NET Enterprise Library 中的 Security & Cryptography Application Block 中就有 RBAC 的具体实现,对于开发人员来说,都是非常好的参考资料。另外象 Java Authentication and Authorization Service (JAAS) 中,也有很多 RBAC 的东西,都非常值得去拿出来整理。
只不过,我不太清楚在翻译书的时候,能不能加上一些自己理解的内容,或者一些参考实现之类的东西。
我认为非常有必要!
严重支持有能力的进行翻译!我只能勉强读懂些英文书。
狠狠的支持
可以结合CS、DNN这些大家都比较熟悉的源码串讲一下,另外附上自己的心得体会,相信一定会很好的
RBAC 非常的有用。这是角色-权限 的基础。非常希望能翻译出来…
我目前是一名信息安全转业的三年级本科学生,也在课上和课余进行过相关的研究,对此书有很浓厚的兴趣。在此恳请您考虑能否将一部分翻译或者校对工作交给我。
我接触计算机较早,英语水平也还不错,并且志愿参加,不要求任何酬劳。主要的目的是因为在学校里和实际业界接触很少,希望能借此机会提高自己。
非常感谢。
我的messenger: foxisme_AT_hotmail_DOT_net
严重支持!翻译的时候最好加进一些成熟应用的例子,理论结合实际,就比较好了,适合国人。
to: moslem
就我和编辑打交道的经验来看,在不修改原文的情况下可以增加一些例如译注这样的东西的。但是像webcopy那样的增加一些例子的话可能不行,原作者也不会答应的 🙂
绝对支持出版这样的书,出来了送我一本哈 😀
从章节来看,着本书主要是理论知识,要是增加一些成熟应用例子的话,还不如直接出本实例应用方面的书,结合CS或者其他一些成熟系统的安全实现来介绍,企不更好?
支持moslem~!
从我的开发经历来说,在做系统访问控制时也找了RBAC的资料,虽然这些资料的基本思想相同,但是始终没有提升到标准的高度,甚至其中一些思想是冲突的。所以翻译这样一本书还是非常有必要的!
同时如前面各位所说的,如果能够加入一些典型场景的举例,对阅读者来说,无疑会是一件事半功倍的事情!
支持!去年写关于RBAC的论文时发现了这本书,可是没有电子版,只好看N多Kuhn的英文论文。
国内的关于RBAC的论文几乎就是国外的论文的翻译,学术界也就这个水平,可想而知翻译这本书的必要性了。
不过说真的理论挺好,可是应用起来还是挺麻烦的,缺少一个通用的框架。
我的Email:[email protected]
支持!
我最近有点忙,这阵子忙过了可以做做翻译。我上次翻译的那本《商务智能》已经印刷好几次了,想修订一下改掉些错字啥的,出版社还嫌麻烦不肯。
如果大家都有兴趣的话,不如每个人负责一部分,共同把他翻译出来算了,如果需要的话,算我一个,目前我正读研二,研究的课题也需要用到rbac,非常希望能看到中文的rbac方面的资料。QQ:43231655
还需要翻译吗?
我可以提供所需的经费.
VINSON ZHANG
[email protected]
有些内容好!
如果可以,我也想在翻译上出一份力,我也正在备考CISSP,是做信息安全售前工程师的,希望能喝大家一起学习!!
非常值得翻译,如果可以,我也想出一份力
绝对有必要翻译
强烈支持!!!去年我做一个项目时,遇到了该问题,并做了一些研究,虽然很多都不是很透彻,但最终用它做了硕士毕业论文,现在还想就角色分层和继承做进一步的研究。本人英文还可以,如果可以,翻译算我一个,联系方式:[email protected]
我现在公司参与的项目也正遇到这个难题(这样才搜到您的blog来的哈),我对其本身也挺有兴趣.9月我才上研一,英语水平自认还行,如果您愿意,我也可以免费为您作一些翻译和校对工作.
email:[email protected]
最近想重整一下,做一个企业管理软件的平台。权限管理这样的机制是一个重要的话题。看了一些关于RBAC的资料,大至了解了基本的思想,但很多的细节由于太过于抽象所以还没完全领悟。这些文章过于偏向理论,如果和实际的应用设计相关联,没有很好的例子。总感觉RBAC架构复杂,实际应用中会存在很多效率和资源占用的问题。但这在理论中都没有分析。
强烈support!!
我现读研二,研究方向也是网络安全的,如果需要的话,算我一个,也可以免费为您作一些翻译和校对工作也希望能看到本书的出版。
要是没有出饭社出的话,那我们就一人翻译一点,大家再共享交流也好。呵呵
[email protected]
我正在参与一个数据共享中心的项目,导师要求大量阅读这方面的资料,谢谢以上给为提供英文下载地址[email protected]
我是研一的,方向也是网络安全的。可能看到的有点晚。如果还有分,也算我一个。
email:[email protected]
我也正好关注到这本书和这类问题,另外RBAC还是比较偏向应用安全的,我以为,跟网络安全沾点边仅仅是因为现在的应用软件可以做到网络上去(就是BS),如果需要翻译的话,我愿意帮忙,[email protected]
原来是微软的MVP,高山仰止,那么这个翻译的事情你一个人就可以完成了,是我唐突了。你正在进行翻译么?
Hi, I’m making degree dissertation about RBAC. I have also interest in translation. Can somebody tell me what is the current status about translation? email: [email protected]
需要多一份力量不?[email protected]
我现在正在准备的硕士毕业论文就是关于改进RBAC模型的,然后采用JAAS、J2EE core pattern 、AOP AspectJ实现,非常希望能够参与翻译,有钱没钱没关系,自我感觉英语水平不错,对RBAC也有一定的认识和理解。email:[email protected]
QQ:39744911
支持!
翻译工作快快进行吧。而且建议翻译完了能够发布在网上,大家可以对翻译稿进行评审和修改。就像是Java编程思想的翻译书稿,达到博采众长的效果。
如果可以的话我也可以帮忙翻译,我现在读研二,我的论文也与这个有关。
非常有必要.支持!
我搞访问控制,特别是RBAC,有几篇关于这个方向的论文,有兴趣交流一下:
[email protected]
我不同意国内的RBAC论文全是翻译的,某些中文论文是,但英文论文不是,你不可能骗老外的,比如SCI和EI检索的
最近需要一些这方面的资料,请问有没有翻译好的,那个英文电子文档下不下来,不知道可以去哪儿下,谢谢:)
支持!
不知道现在翻译的工作进行的如何了?或者直接购买英文原版的在哪里可以买到?
现在好像不能下载了吧?
谁有电子版的,帮忙发一份到邮箱吧[email protected]
非常感谢!那个下载的链接下不了啊。