36、GURAG 管理模型：分层属性访问控制的高效解决方案

GURAG 管理模型：分层属性访问控制的高效解决方案

1. 引言

分层属性访问控制（HGABAC）在现代安全系统中具有重要地位，而 GURAG 作为其管理模型，为用户 - 组成员关系和属性分配提供了全面的管理框架。本文将深入探讨 GURAG 模型的各个子模型、操作规范及扩展功能。

2. GURAG 子模型

GURAG 模型主要由三个子模型构成，分别是用户属性分配（UAA）、用户 - 组属性分配（UGAA）和用户到用户 - 组分配（UGA）。

2.1 UAA 子模型

UAA 子模型负责处理用户集合值属性的添加或删除操作。它由两个关系组成，分别是 canAddattu 和 canDeleteattu 。
- (ar, Expr(ua), Z) ∈ canAddattu ：表示管理员角色 ar （或更高级别的角色）有权向满足 Expr(ua) 条件的用户的属性 attu 的允许范围 Z 中添加任何值。
- (ar, Expr(ua), Z) ∈ canDeleteattu ：表示管理员角色 ar （或更高级别的角色）有权从满足 Expr(ua) 条件的用户的属性 attu 的允许范围 Z 中删除任何值。删除操作仅影响用户直接分配的属性值。

示例规