返回
基于角色的访问控制ppt课件.ppt

基于角色的访问控制ppt课件.ppt

ID:58917389

大小:539.50 KB

页数:70页

时间:2020-09-29

基于角色的访问控制ppt课件.ppt_第1页
基于角色的访问控制ppt课件.ppt_第2页
基于角色的访问控制ppt课件.ppt_第3页
基于角色的访问控制ppt课件.ppt_第4页
基于角色的访问控制ppt课件.ppt_第5页
资源描述:

《基于角色的访问控制ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、3.RBAC2模型RBAC2除了继承RBAC0已有的特征外,引入了一个约束(限制)集。它规定RBAC0各部件的操作是否可被接受,只有可被接受的操作才被允许。1RBAC3RBAC1RBAC2RBAC0RBAC96模型族2RBAC96模型可用如下图表示约束U用户P权限R角色S会话RH角色层次3在建立一个访问控制系统的模型时,系统管理员可将权限视为一个抽象概念:计算机操作和资源对象的任意捆绑在一个计算环境中代表作业运行的一个原子单元用户获得权限集以便履行职责、任务、功能或其它任何与工作相关的活动将用户指派到一个角色,使该用户获得该

2、角色的权限,从而具有执行这些活动的能力指派给角色的权限,反映了机构或组织的部分的策略性决定4从方法和访问的粒度上细化权限指派考虑一个例子(方法粒度细化):一个银行中出纳员和会计主管访问需求之间的差别。企业将出纳员角色定义为能够履行存款操作的角色。这就需要在一个存款文件中有对指定数据域的读和写访问权限企业也可将会计主管角色定义为允许履行修正操作的角色。这些操作需要与出纳员在存款文件中所需的对指定数据域相同的读与写访问权限5会计主管可能不被允许处理存款或取款操作,而仅仅履行事后修正的操作同样地,一旦事务完成,出纳员就不允许执行任

3、何修正工作这两种角色怎样区分呢?可依据可被执行的操作和写到事务log文件中的数值来区分6第二个例子(访问粒度细化):考虑一个药剂师访问病人的记录。这些记录是用来检查药物间的相互作用以及记录病人的用药情况。这些操作是必要的,但是药剂师不能阅读或修改病人记录的其他部分7权限指派给角色须遵守自我约束的规则例如,一个体检中心可以约束临床医生角色,仅在规定时间、位置张贴某些体检项目的测验,随意张贴发布,其结果会导致侵害病人隐私权等。权限指派可以与法律和规章的强制执行相关(乙肝例)例如,一个系统可以约束一名护士,可以在某病人的历史治疗记

4、录中增加新的治疗项目,但通常不能修改该病人的历史记录药剂师具有为病人配药的权限,而不能开处方、施药8RBAC所控制的操作以及对象(客体)的类型依赖于该模型被实现的系统类型。例如,在一个操作系统中,操作可能包括读、写和执行;在一个数据库管理系统(DBMS)中,操作可能包括插入、删除、添加和更新;而在一个事务管理系统中,操作将采取一个事务的形式并展示该事务所有属性RBAC系统的对象包括所有RBAC操作访问的对象。然而,系统对象却不包含在RBAC方案中。例如,访问系统级对象,如同步对象(e.g.,信号量,管道,和信息段)和临时对象

5、(e.g.,临时文件和缓冲区)不必控制在RBAC保护集中。操作系统下的资源管理工作是保护那些支持进程隔离的对象,以及预防旁路攻击的安全,RBAC对象并不限于信息载体。RBAC对象能够代表可耗尽系统资源,比如打印机,磁盘空间,以及CPU周期9下图是一对二元关系:一是操作与对象的关系,所指的是一种权限,另一个是角色和权限的关系。10下图表示动态映射和静态关系之集合,这些关系和映射是用户访问一个对象必须的。这些虚线箭头描绘了动态映射,实线箭头描绘了静态关系11角色激活RBAC模型所定义的属性以及映射可被分为两个独立但却相互依赖的静

6、态和动态部件静态部件是以RBAC关系的术语来定义的,而这些关系不包括主体概念(实际与session等价)12为计算机系统应用动态安全策略时,谈到主体,是激活的实体,是对受控的角色、操作和客体的访问主体代表用户执行所有的请求。每一个主体有一个独一无二的标识符使主体能够被引用,该标识符被用来决定主体是否被指派到一个角色以及能否激活该角色一个用户在任何时刻都可及时与多个主体相联系13每一个主体都可能拥有一个不同激活的角色组合。这个特征支持最小特权原则,因此一个指派给多个角色的用户,可以激活这些角色的任何子集,而便于其任务的执行限制

7、能被一个主体激活的角色,可以限制主体的访问空间。所谓访问空间是指派给那些被激活的角色的许可定义的访问空间。定义可应用到激活角色的约束关系,能够支持SoD策略和完善最小特权原则14RBAC的动态部件包括角色激活和主体访问核心RBAC的属性确保主体的活动角色是指派给该主体用户的角色的一个子集,系统依据主体激活的角色集,检查主体对客体的访问行为。除此之外,动态部件定义了二个映射函数一个是将主体映射到用户集另一个是每一个主体映射到一个活动角色集15CORERBAC模型如下定义:USERS,ROLES,OPS,andOBS(分别为用户

8、,角色,操作,和对象)UAUSERS×ROLES用户和角色间的多对多映射(用户到角色指派关系)assigned_users:(r:ROLES)→2USERS角色r到用户集的映射形式化描述:assigned_users(r)={u∈USERS

9、(u,r)∈UA}PRMS=2(OPS×OB

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。