摘要: 引言 基于角色的访问控制（Role-Based Access Control - RBAC）是应用安全领域一项十分重要的访问控制模型，它主要通过角色分层（Role Hierarchies）、责任分离（Separation of Duty）等技术来将访问权限与用户分离来简化安全管理。在最新的一些软件技术平台中，如 .NET 和 J2EE ，都可以看到 RBAC 的许多影子，在大多数开放源码的软件中，RBAC 的应用也是随处可见，如 CommunityServer，DNN 等。 一般来说，应用软件开发人员在开发软件时，除了利用基础平台提供的一部分安全控制功能外，大多数情况下，要自己在应用程序内部实现：用户认证、授权等功能，RBAC 就是授权控制的一个很重要的实现手段。 一方面是 RBAC 的大量应用，一方面则是 RBAC 方面资料的严重缺乏：除了在一些教科书和学术论文上对于 RBAC 及与之对应的MAC（强制访问控制）、DAC（自主访问控制） 做一些简单介绍外，很难在市面上看到深入介绍 RBAC 的书籍，而且现在的 RBAC 正面临着许多新的、复杂的应用环境，如跨应用程序授权、与 XML Web Services 的结合应用、单一登录（SSO）等。 好书推荐 书名：《Role-Based.Access.Control》作者：David F. Ferraiolo, D. Richard Kuhn and Ramaswamy ChandramouliISBN：1580533701出版机构：Artech House出版时间：2003页数：316 pages 本书涉及 RBAC 所有内容，详细介绍了 RBAC 模型以及如何利用它来模拟其它访问控制模型。覆盖 RBAC 管理的框架和工具。适全软件开发人员、安全管理员以及学生阅读。 此书的作者（Ferraiolo, Kuhn, and Chandramouli ）是美国国家标准与技术研究院（NIST）计算机安全分部的几位安全专家。 此书得到了国外的一些组织和杂志大力推荐，将此书列为“必读”（IEEE），“总体上来说，这是一本非常棒的书”（Linux Journal）。 在 Amazon.com 上，此书得到五个星，且价值不菲（85$），得到了很好的评价，详见：http://www.amazon.com/exec/obidos/tg/detail/-/1580533701/002-5336112-1476838?v=glance 个人想法 这是一本专业关注 RBAC 的书籍，个人觉得它对于一些从事安全领域、安全基础软件开发、应用安全等方面的人员尤其有用，能够有效地应用 RBAC 优秀的安全模型。 我想和一个很好的朋友来共同翻译这本书，在征求了出版社的意见时，他们反馈说这本书已出版两年，对于 IT 书籍来说，价值也不大而且面向的读者偏向专业，以中高端人员为主，所以他们不赞成出此书。 而我则认为 RBAC 是一项基础的安全模型，发展和应用前景很广，随着应用开发人员对于安全认识的逐步深入，以及 .NET/J2EE 带来的 RBAC 的大量应用，肯定会产生相当数量的、不断增长的读者群，而市场上鲜见此类书籍，所以这本书还是值得去翻译和引进的。 如果您读到这里，请在评论中留下您的想法，不甚感谢。 附：书籍简介及目录 这是第一本关于基于角色的访问控制方面的书籍，RBAC 是一种安全模型，在大型的网络应用中，被设计用来降低安全管理的成本与复杂性。RBAC 通过使用角色、分层和约束来组织权限进而简化安全管理。这本书介绍了 RBAC 的这些组成部分，并且介绍了如何在一个网络环境中如何对 RBAC 进行管理和支持，以及如何将其同现有的基础架构集成等。 由于角色分层和角色设计对于 RBAC 来说是至关重要的，您可以在此书中了解到如何有效的实施它们来保护整体的访问控制，同时也详细涉及了一些专门的主题，如责任分离，将 RBAC 同军事安全模型组合，最近的一些标准化方向的进展和努力等。这本书也向您介绍了市场上多种 RBAC 相关的产品，以及在企业范围安全中部署 RBAC 的一些移植途经。 目录： 第一章：简介第二章：访问控制策略、模型和概念机制及案例第三章：RBAC 的核心功能第四章：角色的层次第五章：职责分隔和 RBAC 系统的限制第六章：RBAC、MAC、DAC第七章：NIST 建议的 RBAC 标准第八章：RBAC 的角色管理第九章：使用 RBAC 和 XML 技术的企业访问控制框架第十章：在企业 IT 架构中集成 RBAC第十一章：RBAC 移植案例研究 -- Multiline......[阅读全文]