随着信息技术的发展,各种来自内部和外部的攻击正源源不断地威胁着信息资源,于是保护信息资源的安全已成为一项刻不容缓的任务。访问控制是种行之有效的重要保护措施之一。近年来,基于角色的访问控制(Role-Based Access Control,简称RBAC)策略以其独特的优点,得到了越来越广泛的应用。　　虽然 RBAC安全策略有着增加灵活性、支持分布式管理等众多优点,但是要将其有效地应用在现实中,还存在很多问题有待进一步解决。比如说,最小权限问题。在访问控制中,用户拥有的权限越多,对信息资源的威胁也就越大。如何保证每个用户可以拥有尽可能少的权限来完成其工作,就是一个值得研究的课题。而本课题恰恰就是研究如何进行用户-角色分配,以保证最小权限原则的。　　本论文首先证明了找到满足最小权限原则的用户-角色分配方案是NP难的。通过数学抽象的方法,可以将如何按照用户的任务需求来给用户分配最适合的角色以行使其职责的问题转化为相应的数学模型。然后通过对转化后问题的分析与论证,最终得出本文所研究的课题是NP难的。　　其次,本文设计了用户-角色分配的近似算法。本文利用RBAC安全策略中的最小权限原则,设定了一些参数,并设计了贪婪算法GA-UA,可以得到某种意义下的局部最优解。根据实际应用的要求,对用户-角色的分配方案添加静态职责分离(Static Separation of Duty,简称SSD)的约束,并设计了满足该约束条件的GA-UASSD算法。同时,本文还对所设计的算法进行了详细的性能分析,最终得出了近似比在每个角色都不含有冗余权限的情况下是Н(γ),在每个角色都仅含有一个目标权限和所有的冗余权限的情况下是|T|(1+ln|T|)。　　最后,本文分别针对角色的添加与删除两种情况,重新调整了用户-角色分配算法,以保证调整后的用户-角色分配算法依然可以满足最小权限原则和静态职责分离约束。