rbac)。其中,自主式太弱,強制式太強,二者工作量大,不便於管理。基於角色的訪問控制方法是目前公認的解決大型企業的統一資源訪問控制的有效方法。
其顯著的兩大特徵是:1.減小授權管理的複雜性,降低管理開銷;2.
靈活地支援企業的安全策略,並對企業的變化有很大的伸縮性。對角色授權即基於角色的訪問控制(rbac)。
(the national institute of standards and technology,美國國家標準與技術研究院)標準rbac模型由4個部件模型組成,這4個部件模型分別是基本模型rbac0(core rbac)、角色分級模型rbac1(hierarchal rbac)、角色限制模型rbac2(constraint rbac)和統一模型rbac3(combines rbac)。
rbac0
定義了能構成乙個rbac控制系統的最小的元素集合。在rbac之中,包含使用者users(users)、角色roles(roles)、目標objects(obs)、操作operations(ops)、許可權permissions(prms)五個基本資料元素,許可權被賦予角色,而不是使用者,當乙個角色被指定給乙個使用者時,此使用者就擁有了該角色所包含的許可權。會話sessions是使用者與啟用的角色集合之間的對映。
rbac0與傳統訪問控制的差別在於增加一層間接性帶來了靈活性,rbac1、rbac2、rbac3都是先後在rbac0上的擴充套件。rbac0的模型如下圖:
rbac1
rbac1引入角色間的繼承關係,角色間的繼承關係可分為一般繼承關係和受限繼承關係。一般繼承關係僅要求角色繼承關係是乙個絕對偏序關係,允許角色間的多繼承。而受限繼承關係則進一步要求角色繼承關係是乙個樹結構。
角色繼承時繼承角色的所有操作許可權。rbac1模型如下圖:
rbac2
模型中新增了責任分離關係。rbac2的約束規定了許可權被賦予角色時,或角色被賦予使用者時,以及當使用者在某一時刻啟用乙個角色時所應遵循的強制性規則。責任分離包括靜態責任分離和動態責任分離。
約束與使用者-角色-許可權關係一起決定了rbac2模型中使用者的訪問許可。 rbac2模型如下圖:
rbac3
包含了rbac1和rbac2,既提供了角色間的繼承關係,有提供了責任分離關係。rbac3模型如下圖:
一種對rbac改進的訪問控制許可權模型:
rbac) 是目前公認的解決大型企業的統一資源訪問控制的有效方法。然而某些情況下需要對某個使用者授予特殊的許可權時,rbac就顯得有些不夠靈活,如果授予使用者所擁有的某種角色,則擁有該角色的所有使用者都會擁有該許可權或被授予角色的使用者會擁有該角色的所有許可權,顯然這不符合需求,如果為了實現這一需求而單獨建立乙個角色又顯得不合常理,因此,改進的訪問控制模型綜合了rbac的理論,結合企業需要單獨對使用者授予許可權的需要,設計了既可對角色授權又可對使用者單獨授權的訪問控制模型如下圖:
使用者角色優先順序:是指當給乙個使用者賦予多個角色時,角色之間有衝突的許可權處理,高優先順序的角色許可權覆蓋低優先順序的角色許可權,如乙個員工既是系統管理員,又是研發人員,則對於系統管理的許可權,系統管理員角色的許可權覆蓋研發人員角色許可權。
這種既可以對角色授權,又可以對使用者授權的模型中,如果使用者和角色之間的許可權衝突時,也需要制定許可權優先順序。
基於解釋結構模型的農村物流影響因素研究
作者 平先秉肖雲梅 物流科技 2014年第01期 摘要 在詳細闡述解釋結構模型方法及步驟的基礎上,運用解釋結構模型對影響湘潭農村物流發展的基礎設施 組織現狀 流通渠道等因素進行分析,指出影響湘潭農村物流發展的基礎性因素 提公升性因素和直接因素 提出了湘潭在快速推進城鎮化程序中農村物流發展的對策。關鍵...
有效地理課堂影響因素的解釋結構模型
劉雲 雲南師範大學旅遊與地理科學學院 苟琳 雲南師範大學教育科學與管理學院 一 有效地理課堂概述 有效地理課堂是指地理教師遵循教學活動的客觀規律,以盡可能少的時間 精力和物力投入,取得盡可能多的教學效果,從而實現特定的教學目標,滿足社會和個人的教育價值需求的教學行為。有效教學包含三重意蘊 教學要有效...
RBAC使用者角色許可權設計方案 非常好
rbac role basedaccesscontrol,基於角色的訪問控制 就是使用者通過角色與許可權進行關聯。簡單地說,乙個使用者擁有若干角色,每乙個角色擁有若干許可權。這樣,就構造成 使用者 角色 許可權 的授權模型。在這種模型中,使用者與角色之間,角色與許可權之間,一般者是多對多的關係。如下...