基于角色,访问控制ppt课件

基于角色的访问控制,吴红岩S201507145,1,基于角色的访问控制是一种灵活的政策中立的访问控制技术,由于基于角色访问控制(RBAC)的主要优点是省去了权限管理的麻烦,因此运用RBAC本身来管理RBAC是可行的,产生背景,在大型管理信息系统中,可以有成百上千个用户,每个用户扮演着不同的角色,每个角色可有不同的权限.管理好这些用户、角色和权限,以及他们之间的关系是一件复杂的事务,一般需要高度的集中,并把这些任务交给一些管理小组去做.显然，在大型管理信息系统中这样做是不现实的,2,原理,3,包括三部分：,URA97用户-角色管理PRA97权限-角色管RRA97角色-层次管理,ARBAC97模型,PRA97是URA97的一个复制品。,ARBAC99模型是ARBAC97模型的增强版，其中URA99、PRA99相对于URA97、PRA97发生了很大变化。RRA99和RRA97一模一样。,4,在工程部中,有级别较低的角色ED和级别最高的角色DIR.,在中间,有两个工程角色Project1和Project2,每一个工程都有各自最高级的角色PL1和PL2，以及最低级的角色E1和E2.,一个单位中的所有职工都属于最下级角色E,在PL和E两个角色中间,每个工程还有两个不同的角色PE1,PE2和QE1,QE2.图1可以扩展到拥有不同结构的多个部门,(Director),(Employee),(EngineeringDepartment),(Engineer),(Projectlead),(ProductionEngineer),PSO1(ProjectSecyrityOfficer1)管理project1中的PL1，PE1,QE1，E1,5,URA97GrantModel,6,定义3URA97模型的用户-角色分派关系can-assign,Can-assign(x,y,z)其中x代表管理角色,y代表先决条件,z代表角色范围。比如:Can-assign(PSO1,ED,E1)表示管理角色PSO1或者PSO1的上层角色能分配一个用户到角色E1中,但该用户首先要满足具有ED角色。,URA97GrantModel,7,URA97RevokeModel,URA97中角色集合通过如下的范围标识来规定:,8,在上表中，PSO1可以回收居于角色E1到PL1之间的角色权限PSO2可以回收居于角色E2到PL2之间的角色权限DSO可以回收任何在ED和DIR角色之间的权限DSO可以回收任何在ED和DIR角色之间的权限,URA97RevokeModel,9,URA97RevokeModel,定义5：,所以一个用户可以同时成为一个角色的显式成员和隐式成员,在工程部门的角色层次关系中，DIR的显式成员是其它所有角色的隐式成员,10,11,URA97RevokeModel,在URA97中只回收显式成员称为弱回收。,既要回收显式成员又要回收隐式成员称为强回收,若一个用户强回收E1，则将会弱回收E1和高于角色E1的所有角色,所以在角色层次关系中，强回收某角色将会对高于角色的角色产生级联反应。,但是，URA97中的强回收仅当角色及其中所有向上的回收在动态