RBAC模型框架_第1頁
RBAC模型框架_第2頁
RBAC模型框架_第3頁
RBAC模型框架_第4頁
RBAC模型框架_第5頁
已閱讀5頁,還剩3頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、5.3 RBAC 模型框架1RBAC 模型框架RBAC是基于角色的訪問控制(Role Based Access Control)的英文縮寫。RBAC的基本思想是:將訪問權限分配給角色;通過賦予用戶不同的角色,授予用戶角色所擁有的訪問權限。RBAC可以看做是訪問控制模型和安全策略實現(xiàn)的一種框架,通過在用戶(主體)和操作(權限)之間的加入角色的的概念是的訪問控制模型的實現(xiàn)得到簡化,結合等級和約束來描述各種安全策略。RBAC的基本概念:為用戶分配角色,為角色配置權限,用戶通過其所擔任的角色獲得相關的訪問權限。RBAC遵循的三個基本原則:最小特權、責任分離、數(shù)據(jù)抽象2最小特權:引入會話的概念。一個會話

2、中只賦予用戶要完成任務所必需的角色,這就保證了分配給用戶的特權不超過用戶完成其工作所必需的權限。責任分離:用戶不能同時擁有互斥的角色,避免產(chǎn)生安全的漏洞,例如一個職員同時得到采購員和出納兩個角色,就可能產(chǎn)生欺騙行為。數(shù)據(jù)抽象:除了操作系統(tǒng)中提供的讀、寫以及執(zhí)行權限之外,RBAC中可以根據(jù)實際應用的需要定義抽象的訪問權限,如賬號的借款和貸款。3角色層次在核心RBAC的基礎上可以為角色引入層次(Role Hierarchy,RH)的概念,對應的模型稱為層次RBAC。按照層次的不同限制,分為通用(General)層次RBAC和受限(Limited)層次RBAC。RH被認為是RBAC模型中一個主要的方

3、面,在RBAC的產(chǎn)品中都應當實現(xiàn)。層次是數(shù)學上的偏序集。RH的基本想法是,高層角色可獲得低層角色的權限,低層角色的用戶集包含高層角色的用戶集。層次RBAC的合理性:重復授權不是有效的而且在管理上是冗余的。應用RBAC角色層次模型可以提高效率,支持結構化。通用RH可以使用 任意偏序關系;而受限RH則對角色繼承做了一定的限制,使得角色之間形成了一個很簡單的樹形結構,也可以是倒置的樹。如果角色的某些權限不可用于繼承,必須把該角色定義為一個私有角色,并將不可繼承的權限分配給該角色。4受約束的RBAC受約束的RBAC引入了職責分離(Separation of Duty,SD)概念,職責分離是實際組織中用

4、于防止其成員獲得超越自身職責范圍的權限,解決利益沖突問題。SD作為一種安全原則在很多商業(yè)、工業(yè)和政府部門的系統(tǒng)中得以實現(xiàn)。SD有兩種:靜態(tài)SD(SSD)和動態(tài)SD(DSD)。1. 靜態(tài)職責分離(SSD) SSD設置用戶角色授權的約束。根據(jù)SSD規(guī)則,用戶不能被授予某一角色集中的一個或多個。2. 動態(tài)職責分離(DSD)DSD通過限制用戶會話中激活的角色,限制用戶可獲得的權限。DSD的目的和SSD一樣,也是為了減少用戶可能獲得的許可權以防止用戶超越權限。SSD直接對用戶的許可空間進行約束,而DSD則是通過對用戶會話所激活的角色進行約束來實現(xiàn)對用戶許可權的限制。 5NIST RBAC 參考模型的應用

5、NIST RBAC 參考模型引進了與現(xiàn)實聯(lián)系緊密的角色概念,從而使模型細化的過程更平滑,使現(xiàn)實和計算機實現(xiàn)策略不矛盾。除了其便于授權管理、便于根據(jù)工作需要分級、便于任務分擔等優(yōu)勢外,NIST RBAC 模型與RBAC96一樣,是一種與策略無關的訪問控制技術,它不局限于特定的安全策略,幾乎可以描述任何安全策略。此外,NIST RBAC 模型使得安全管理更符合應用領域的機構或組織的實際情況,很容易將現(xiàn)實世界的管理方式和安全策略映射到信息系統(tǒng)中。對于實施整個組織的網(wǎng)絡信息系統(tǒng)的安全策略,NIST RBAC 能夠提高網(wǎng)絡服務的安全性。6NIST RBAC 參考模型提供了一個分析現(xiàn)有系統(tǒng)的能力,評價其對

6、RBAC 的支持程度的框架,NIST 希望它能作為將來軟件開發(fā)人員在未來系統(tǒng)中實現(xiàn)RBAC 的準則。NIST2001 標準還對RBAC的功能進行了分類與描述,敘述如下。 (1)管理功能:建立和維護RBAC 的元素和關系 (2)支持系統(tǒng)功能:在用戶和IT系統(tǒng)的交互過程中,RBAC 實現(xiàn)的功能需求要支持系統(tǒng)的功能。 (3)審核功能:審核管理RBAC 中元素的關系是否在邏輯上是正確的。7RBAC 的缺陷與局限性:參考模型只針對有關主體的角色抽象、訪問約束等安全特征進行了較為深入細致的描述,缺乏訪問控制過程中對受訪客體的安全特征的抽象,在一定程度上降低了模型對現(xiàn)實世界的表達能力。NIST RBAC 自身缺乏良好的自我管理能力,在大型的分布式應用環(huán)境下,需要設置的角色成千上萬,而系統(tǒng)的用戶不計其數(shù)。管理數(shù)量巨大的用戶、角色及其他們之間的關系是一項十分艱巨的任務,由一個或只有少數(shù)成員的安全管理員進

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論