RBAC權限控制系統

一、概述

　　RBAC（Role-Based Access Control ）基於角色的訪問控制。

　　RBAC的權限控制能夠抽象歸納爲：判斷【Who是否能夠對What進行How的訪問操做（Operator）】這個邏輯表達式的值是否爲True的求解過程。

　　即將權限問題轉換爲Who、What、How的問題。who、what、how構成了訪問權限三元組。

 

二、安全原則

　　最小特權原則、責任分離原則和數據抽象原則。

• 　　最小特權原則獲得支持，是由於在RBAC模型中能夠經過限制分配給角色權限的多少和大小來實現，分配給與某用戶對應的角色的權限只要不超過該用戶完成其任務的須要就能夠了。
• 　　責任分離原則的實現，是由於在RBAC模型中能夠經過在完成敏感任務過程當中分配兩個責任上互相約束的兩個角色來實現，例如在財務覈算時，須要設置財務管理員和會計兩個角色。
• 　　數據抽象是藉助於抽象許可權這樣的概念實現的，如在帳目管理活動中，可使用信用、借方等抽象許可權，而不是使用操做系統提供的讀、寫、執行等具體的許可權。但RBAC並不強迫實現這些原則，安全管理員能夠容許配置RBAC模型使它不支持這些原則。所以，RBAC支持數據抽象的程度與RBAC模型的實現細節有關。

 

三、RBAC 模型族

　　RBAC96模型族,其中包括了RBAC0~RBAC3四個概念性模型。

1. 基本模型RBAC0----定義支持RBAC概念的任何系統的需求。
2. RBAC1和RBAC2均包含RBAC0，但各自增長了不一樣的特性，它們被成爲高級模型。
   1. RBAC1----增長了角色分級的概念，一個角色能夠從另外一個角色繼承許可權。
   2. RBAC2----增長了一些限制，強調在RBAC的不一樣組件中在配置方面的一些限制。
3.  RBAC3稱爲統一模型，它包含了RBAC1和RBAC2，利用傳遞性，也把RBAC0包括在內。這些模型構成了RBAC96模型族。

 

四、補充待續...