ARBAC97 基于角色访问控制ppt课件.ppt

《ARBAC97 基于角色访问控制ppt课件.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、4用于权限-角色指派的PRA97模型PRA97模型是用来处理角色-权限指派和回收的对于角色来说，用户和权限具有相似的特性。它们是通过角色结合在一起的必需实体因此，可假设PRA97是URA97的一个拷贝1先决条件的概念也和URA97中的一样，只不过布尔表达式现在是用来判断特定角色中的权限的成员和非成员资格2定义6在PRA97模型中用下面这个关系来进行权限--角色指派和回收can_assignpAR×CR×2Rcan_revokepAR×2Rcan_assignp(x,y,Z)是指管理角色x的一个成员（或者一个比x角色更

2、高的管理角色的成员）可以将权限指派到Z范围之内的常规角色中，但是该权限当前所在的角色的成员或非成员应该满足先决条件ycan_revokep(x,Y)是指管理角色x的一个成员（或者一个比x角色更高的管理角色的成员）可以将权限从范围Y之内的常规角色y(y∈Y)中回收3表VExampleofcan_assignpandcan_revokepAdministrativeRolePrereq.ConditionRoleRangeDSODIR[PL1,PL1]DSODIR[PL2,PL2]PSO1PL1∧QE1[PE1,PE1]PS

3、O1PL1∧PE1[QE1,QE1]PSO2PL2∧QE2[PE2,PE2]PSO2PL2∧PE2[QE2,QE2](a)can_assignp4表VExampleofcan_assignpandcan_revokepAdministrativeRoleRoleRangeDSO(ED,DIR)PSO1[QE1,QE1]PSO1[PE1,PE1]PSO2[QE2,QE2]PSO2[PE2,PE2](b)can_revokep56表V是这些关系的一个例子。DSO可以将指派到DIR角色的任何可用权限指派到角色PL1和PL2这样

4、一个权限在层次关系中可以向下指派。PSO1可以指派PL1、PE1或者QE1三者之中任何一者的权限，但不能同时对两者进行操作7表V(a)中的其余行亦可同样理解在表V（b）中，DSO可以回收任何在ED和DIR角色之间的角色的权限。PSO1可以回收居于角色PE1到QE2之间的角色权限，PSO2也具有类似的权限8PRA97中的回收是弱回收，因此回收后通过继承权限仍有可能存在。如同在URA97中一样，可以根据弱回收来定义强回收对权限的强回收是根据角色的层次关系向下级联（对用户资格的强回收则是向上级联）9定义7如果（P,x）∈PA我

5、们说权限P被显式地指派到角色x如果存在x’

6、派到y，将P从所有的这些y之中弱回收。如果任何一个弱回收失败，那么Alice的强回收也就无效；只有当所有的弱回收都成功时，强回收才成功125角色－角色分配的RRA97模型5.1Abilities,Group和UP-Roles在角色—角色指派中，区分三种类型的角色，如下所示：－Abilities成员只能是权限和其他Abilities的角色－Groups成员只能是用户和其他Groups的角色13－UP-Roles对成员无任何限制的角色，例如它们的成员可以包括用户、权限、groups、abilities和其他UP-RolesU

7、P-Roles意指包含用户(User)和权限(Permission)的角色(Role)用术语角色(role)表示以上的三种角色或者仅指UP-Roles，具体情况需要根据上下文来判别以上三种类型的角色相互不相交，各不相同，分别记为A、G和UPR14区分三种类型角色的主要原因是要用不同的管理模型来建立它们之间的关系。首先要区分的是abilities一个ability是一个权限的集合，应当作为一个单一的单元指派给一个角色15比如，在银行应用中开一个帐户需要多种不同的权限，仅仅将这些权限的一部分指派到一个角色是没有意义的，因为需

8、要整个权限的集合才能正确完成任务。因此应用开发者可以把这些权限组成一个集合，称之为abilities，它必须整体作为一个单元指派给角色16ability的作用是集合权限以便管理员可以将它们作为一个单一的单元对待，因此将abilities指派到角色就和将权限指派到角色是十分相似的。为了方便，将abilities组织成层