RBAC权限控制系统

一、概述

　　RBAC（Role-Based Access Control ）基于角色的访问控制。

　　RBAC的权限控制能够抽象归纳为：判断【Who是否能够对What进行How的访问操做（Operator）】这个逻辑表达式的值是否为True的求解过程。

　　即将权限问题转换为Who、What、How的问题。who、what、how构成了访问权限三元组。

 

二、安全原则

　　最小特权原则、责任分离原则和数据抽象原则。

• 　　最小特权原则获得支持，是由于在RBAC模型中能够经过限制分配给角色权限的多少和大小来实现，分配给与某用户对应的角色的权限只要不超过该用户完成其任务的须要就能够了。
• 　　责任分离原则的实现，是由于在RBAC模型中能够经过在完成敏感任务过程当中分配两个责任上互相约束的两个角色来实现，例如在财务核算时，须要设置财务管理员和会计两个角色。
• 　　数据抽象是借助于抽象许可权这样的概念实现的，如在帐目管理活动中，可使用信用、借方等抽象许可权，而不是使用操做系统提供的读、写、执行等具体的许可权。但RBAC并不强迫实现这些原则，安全管理员能够容许配置RBAC模型使它不支持这些原则。所以，RBAC支持数据抽象的程度与RBAC模型的实现细节有关。

 

三、RBAC 模型族

　　RBAC96模型族,其中包括了RBAC0~RBAC3四个概念性模型。

1. 基本模型RBAC0----定义支持RBAC概念的任何系统的需求。
2. RBAC1和RBAC2均包含RBAC0，但各自增长了不一样的特性，它们被成为高级模型。
   1. RBAC1----增长了角色分级的概念，一个角色能够从另外一个角色继承许可权。
   2. RBAC2----增长了一些限制，强调在RBAC的不一样组件中在配置方面的一些限制。
3.  RBAC3称为统一模型，它包含了RBAC1和RBAC2，利用传递性，也把RBAC0包括在内。这些模型构成了RBAC96模型族。

 

四、补充待续...