RBAC基于角色的用户权限管理

本文介绍了NIST的RBAC模型,包括RBAC0、RBAC1、RBAC2和RBAC3四个组成部分。RBAC通过角色来管理用户权限,增强了访问控制的灵活性。RBAC1引入角色继承,RBAC2添加责任分离约束,RBAC3结合了两者。权限管理涉及Who、What、How的三元组,包括用户、资源和操作。权限分配通过资源操作、角色权限和用户组角色三个关系进行。系统根据这些关系计算用户的最小权限,并通过访问能力表CL和访问控制表ACL进行访问控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

美国国家标准与技术研究院(The National Institute Of Standards And Technology,NIST)标准RABC(Role-based policies Access Control)基于角色的访问控制模型由4个部件模型组合成,这4个部件模型分别是基本模型RBAC0(Core RABC)、角色分级模型RBAC1(Hierachal RBAC)、角色限制模型RBAC2(Constraint RBAC)和统一模型RBAC3(Combines RABC)。

RBAC0模型如下图:


(1)RBAC0定义了能构成一个RBAC控制系统最小的元素集合。在RBAC中,包含用户users(USERS)角色roles(ROLES)目标objects(OBS)操作operations(OPS)许可权permissions(PRMS)五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限、会话session是用户与激活角色之间的映射、RBAC0与传统访问控制的差别在于增加一层间接性带来了灵活性,RBAC1、RBAC2、RBAC3都是先后在RBAC0上的扩展。

(2)RBAC1引入角色间的继承关系,角色间的继承关系可以分为一般继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序关系,允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一个树结构。

(3)RBAC2模型添加了责任分离关系。RBAC2的约束规定了权限被赋予角色时,或角色被赋予用户时,以及当用户在某一时刻激活一个角色时应遵循的强制性规则。责任分离包括静态责任分离和动态责任分离。约束与用户-角色-权限的关系一起决定了RBAC2模型中用户的访问许可。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值