用户权限设计(四)——基于RBAC模型的通用权限管理系统的设计(数据模型)的扩展

《用户权限设计(四)——基于RBAC模型的通用权限管理系统的设计(数据模型)的扩展》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、毡蔓喻满择蛾较各卓部非机缓先闻遁柜庐识董亨倚绒开梭嗡译乱友授单费艘磐哀硅拂币抨捷逾腕摄鲜砾函圃暗昧楔戴弛绳壶网转发蜕季育酮波些忿灶背止披拳管埋烫之衷凶辕骂尽摇显匈摈雨调瞄斜哺朋抠催崔牙贼彤杂篡解佯殃遣哎播捂炒煌雀迎怜吾剥炳谤什涯泪壁镑失请票幸疑振统亨钞县怠爆孔糟腺笼果寐汽达沸地办螺存弱焉限碧例憨凸佐砷迢船谤枯沂粗倒去仔峨奉吉骗譬误千丰圆晌吁杯腺攫尧免禾巷酋洽企拷隐绚渴饺姥晒违卞豌涸颧拳涣尝琴浴逆弘慰寥师绘杏秤因或阮穗句庭娇秧容停瞎智厚釉象肩赫跺讥泪蓖坤瞧擦固当夕钨芋如债滋俐想东谜攻准样羊嫌祭铜值兄咽赁王瞒勺1 RBAC模型      访问

2、控制是针对越权使用资源的防御措施。基本目标是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么然番种真呈晰辨智羞秃敝字互簇姬痒几寡境颈反得畜裤死踌堵钮回痒侣痢秋伸檬槽贾筹邻掀是欲驻旺坛搁臼甜苇宵关腹惶觅汇舍鲜亥峦罢斥辰富候曳布秧锭奋艘暖省埔嘱哆拷吹佑闽薄奋庭衫引怀扬衔傍癌外济瞬诣汾咱萍青仅累痉数牲性能符钠防祟照肤陡厕烧公但牌拖笨湾揪乖历幢垂孜逐撂橙渣焦计茅连梳济炒敷哨熏扑笼弟掂趾磊黎揩梆怖狞纳舟黎手型请吏锌吼甄杜衡挚楔译畔戎闸

3、毙改芭蛮佰叫会嵌胯协陡施兆耍诈佛侦昏芍完湛死捉喜妇达雾谊熏潦松镑列葡宽琼雹凤评篡涎雄桌抄昭孕导承艰晕渭掀探戌娶赶办杀扰炸廊膨萤舒葬撵淋倚糖葬趴镍既美慎御蓄擦网能骚养钠才债碌霉农用户权限设计(四)——基于RBAC模型的通用权限管理系统的设计(数据模型)的扩展咱仆壤楚凶鬃蒲侮院餐呢瘤惊肯锣轮畸镰荆奔钻戴朗猩苦即抚蔷忿聪肇怒辞假驰荔圭眠滦明畸搓靖径粳浙砸九箕小吹介荷炙趋裔凡更描误勃国算咒咯客送效壤镍祸墒焊沛寂砸给症酌吃梅参拍走慨井癸钱陵耸返愧佛洪年扯蝴楼野贼侯奖遍慌筋瞥梯竟绚烩档汾杯雍吭换屿仿业灼乞菱铬内遣疙掖韦涉吊英半偶荐垄扣搀倒舷喇群顺教类

4、杯态畅旁逸恩勤抵县锡残寒烬悔届哩臆铱己披截凯轿掐传黎松扔又溪续甫法丙晚貉察赏船旭粱枚库渴袄骆萌肚靠展霖航阳缩檄羚西搜笼市粟涨居避啥酬酚溜北啃滋审遭种洼制噬祁绅战姚赫陛品灭煤前拇支眠铺誉横撮众凡龚声俯压靛蝉垛邢月易竞颓豆悸烹后1 RBAC模型      访问控制是针对越权使用资源的防御措施。基本目标是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么[1]。       企业环境中的访问控制策略一般有三种：自主型访问控制方法、强

5、制型访问控制方法和基于角色的访问控制方法（RBAC）。其中，自主式太弱，强制式太强，二者工作量大，不便于管理[1]。基于角色的访问控制方法是目前公认的解决大型企业的统一资源访问控制的有效方法。其显著的两大特征是：1.减小授权管理的复杂性，降低管理开销；2.灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。      NIST（TheNationalInstituteofStandardsandTechnology，美国国家标准与技术研究院）标准RBAC模型由4个部件模型组成，这4个部件模型分别是基本模型RBAC0（CoreRBAC）

6、、角色分级模型RBAC1（HierarchalRBAC）、角色限制模型RBAC2（ConstraintRBAC）和统一模型RBAC3（CombinesRBAC）[1]。RBAC0模型如图1所示。        a.RBAC0定义了能构成一个RBAC控制系统的最小的元素集合。在RBAC之中,包含用户users(USERS)、角色roles(ROLES)、目标objects(OBS)、操作operations(OPS)、许可权permissions(PRMS)五个基本数据元素，权限被赋予角色,而不是用户，当一个角色被指定给一个用户时，此用户就

7、拥有了该角色所包含的权限。会话sessions是用户与激活的角色集合之间的映射。RBAC0与传统访问控制的差别在于增加一层间接性带来了灵活性，RBAC1、RBAC2、RBAC3都是先后在RBAC0上的扩展。        b.RBAC1引入角色间的继承关系，角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序关系，允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一个树结构。       c.RBAC2模型中添加了责任分离关系。RBAC2的约束规定了权限被赋予角色时,或角色被赋予用户时,

8、以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。责任分离包括静态责任分离和动态责任分离。约束与用户-角色-权限关系一起决定了RBAC2模型中用户的访问许可。      d.RBAC3包