《2022年用户权限方案——RBAC模型通用权限管理系统方案扩展.docx》由会员分享,可在线阅读,更多相关《2022年用户权限方案——RBAC模型通用权限管理系统方案扩展.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选学习资料 - - - - - - - - - 1 RBAC个人资料整理仅限学习使用型模拜访掌握是针对越权使用资源的防备措施;基本目标是为了限制拜访主体 用户、进程、服务等)对拜访客体文件、系统等)的拜访权限,从而使运算机系统在合法范畴内使用;打算用户能做什么,也打算代表肯定用户利益的程序能做什么1;企业环境中的拜访掌握策略一般有三种:自主型拜访掌握方法、强制型拜访掌握方法和基于角色的拜访掌握方法 弱,强制式太强,二者工作量大,不便于治理RBAC );其中,自主式太 1;基于角色的拜访掌握方法是目前公认的解决大型企业的统一资源拜访掌握的有效方法;其显著的两大特点是: 1.减小授权治理的复杂性
2、,降低治理开销;2.敏捷地支持企业 的 安 全 策 略 , 并 对 企 业 的 变 化 有 很 大 的 伸 缩 性 ; NISTThe National Institute of Standards and Technology,美国国家标准与技术讨论院)标准 RBAC 模型由 4 个部件模型组成,这 4 个部件模 型 分 别 是 基 本 模 型 RBAC0Core RBAC ) 、 角 色 分 级 模 型RBAC1Hierarchal RBAC ) 、 角 色 限 制 模 型 RBAC2Constraint RBAC )和统一模型 RBAC3 、角色 rolesROLES 、目标object
3、sOBS 、操作 operationsOPS、许可权 permissionsPRMS 五个基本数据元素,权限被给予角色,而不是用户,当一个角色被指定给一个名师归纳总结 用户时,此用户就拥有了该角色所包含的权限;会话sessions是用户与第 1 页,共 7 页- - - - - - -精选学习资料 - - - - - - - - - 个人资料整理 仅限学习使用激活的角色集合之间的映射;RBAC0 与传统拜访掌握的差别在于增加一层间接性带来了敏捷性,RBAC1 、RBAC2 、RBAC3 都是先后在 RBAC0上 的 扩 展; b. RBAC1 引入角色间的继承关系,角色间的继承关系可分为一般继
4、承关系和受限继承关系;一般继承关系仅要求角色继承关系是一个肯定偏序关系,答应角色间的多继承;而受限继承关系就进一步要求角色继承关系是一个树结构;c. RBAC2模型中添加了责任分别关系;RBAC2的约束规定了权限被给予角色时 ,或角色被给予用户时,以及当用户在某一时刻激活一个角色时所应遵循的强制性规章;责任分别包括静态责任分别和动态责任分别;约束与用户 -角色 -权限关系一起打算了 RBAC2 模型中用户的拜访许可; d. RBAC3 包含了 RBAC1 和 RBAC2 ,既供应了角色间的继承关系,又供应了责任分别关系; 2 核心对象模型设计依据 RBAC 模型的权限设计思想,建立权限治理系统
5、的核心对象模型 .对象模型中包含的基本元素主要有:用户Users )、用户组 Group )、角色 Role )、目标 Objects )、拜访模式 Access Mode )、操作 Operator);主要的关系有:安排角色权限PAPermission Assignment)、安排用户角色UAUsers Assignmen描述如下: a . 掌握对象:是系统所要爱护的资源 象;资源的定义需要留意以下两个问题:Resource ),可以被拜访的对名师归纳总结 - - - - - - -第 2 页,共 7 页精选学习资料 - - - - - - - - - 个人资料整理 仅限学习使用 1. 资源
6、具有层次关系和包含关系;例如,网页是资源,网页上的按钮、文本框等对象也是资源,是网页节点的子节点,如可以拜访按钮,就必需能够拜访页面; 2. 这里提及的资源概念是指资源的类别Resource Class ),不是某个特定资源的实例 Resource Instance);资源的类别和资源的实例的区 分,以及资源的粒度的细分,有利于确定权限治理系统和应用系统之间的 治理边界,权限治理系统需要对于资源的类别进行权限治理,而应用系统 需要对特定资源的实例进行权限治理;两者的区分主要是基于以下两点考 虑:一方面,资源实例的权限常具有资源的相关性;即依据资源实例和访 例如,问资源的主体之间的关联关系,才可
7、能进行资源的实例权限判定;在治理信息系统中,需要依据营业区域划分不同部门的客户,A 区和 B 区都具有修改客户资料这一受控的资源,这里“客户档案资料 ”是属于资源的类别的范畴;假如规定 A 区只能修改 A 区治理的客户资料,就必需要区分出资料的归属,这里的资源是属于资源实例的范畴;客户档案 资源)本身应当有其使用者的信息,是绑定在特定的资源实例上的;对应地,拜访策略Access Strategy)和资源类别相关,不同的资源类别可能采纳不同的拜访模式Access Mod名师归纳总结 - - - - - - -第 3 页,共 7 页精选学习资料 - - - - - - - - - 个人资料整理 仅
8、限学习使用e);例如,页面具有能打开、不能打开的拜访模式,按钮具有可用、不 可用的拜访模式,文本编辑框具有可编辑、不行编辑的拜访模式;同一资源的拜访策略可能存在排斥和包含关系;例如,某个数据集的可修改拜访模式就包含了可查询拜访模式; c. 用户:是权限的拥有者或主体;用户和权限实现分别,通过授权管 理进行绑定; d. 用户组:一组用户的集合;在业务规律的判定中,可以实现基于个 人身份或组的身份进行判定;系统弱化了用户组的概念,主要实现用户 的内容;按拜访矩阵中的列看,是拜访掌握表名师归纳总结 ACLAccess Control Lists)的内容;第 4 页,共 7 页- - - - - - -精选学习资料 - - - - - - - - - 个人资料整理 仅限学习使用数据模型图如下:名师归纳总结 - - - - - - -第 5 页,共 7 页精选学习资料 - - - - - - - - - 名师归纳总结 个人资料整理仅限学习使用第 6 页,共 7 页- - - - - - -精选学习资料 - - - - - - - - - 个人资料整理 仅限学习使用Trackback: 名师归纳总结 - - - - - - -第 7 页,共 7 页