个人资料整理仅限学习使用1 RBAC模型访问控制是针对越权使用资源的防御措施。基本目标是为了限制访问主体 <用户、进程、服务等)对访问客体<文件、系统等)的访问权限,从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么[1]。企业环境中的访问控制策略一般有三种:自主型访问控制方法、强制型访问控制方法和基于角色的访问控制方法 、角色roles(ROLES> 、目标objects(OBS> 、操作operations(OPS>、许可权permissions(PRMS>五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。会话sessions是用户与个人资料整理仅限学习使用激活的角色集合之间的映射。RBAC0与传统访问控制的差别在于增加一层间接性带来了灵活性,RBAC1 、RBAC2 、RBAC3都是先后在RBAC0上的扩展。 b. RBAC1引入角色间的继承关系,角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序关系,允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一个树结构。c. RBAC2模型中添加了责任分离关系。RBAC2的约束规定了权限被赋予角色时 ,或角色被赋予用户时,以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。责任分离包括静态责任分离和动态责任分离。约束与用户 -角色 -权限关系一起决定了RBAC2模型中用户的访问许可。 d. RBAC3包含了 RBAC1 和 RBAC2 ,既提供了角色间的...
