1 소개 편집기
최소 권한의 데이터 추상화와 원리, 의무의 분리의 원칙 : RBAC 세 가지 잘 알려진 보안 원칙을 지원합니다.
이 작업을 완료하는 데 필요한 권한의 집합의 역할을 최소화하도록 구성 할 수 있기 때문에 (1) 최소 권한의 원칙은 RBAC에서 지원하는 이유는, RBAC이다.
(2) 직무 분리의 원칙은 이러한 재무 회계 직원을 필요로하고 관리자가 동일한 게시물에 참여했다 같은 민감한 작업을 완료하기 위해 함께 독립적 인 상호 배타적 인 역할을 호출하여 구현 될 수있다.
(3) 데이터 추상화는 운영 체제, 일반적인 읽기를 제공, 쓰기 및 실행 권한보다는, 등 추상적 기관 대출과 재정 운영, 예금, 추상적 인 권리에 의해 구현 될 수있다. 그러나 이러한 원칙은 각 구성 요소에 대한 자세한 RBAC 구성에 반영해야합니다.
다면 RBAC의 관리를하게 많은 RBAC 회원 (BUCU). 역할 및 권한을 할당; 상속의 역할을 정의하는 것입니다 역할과 역할을 할당 할당 사용자 및 역할 : 특히, 우리는 논의하기 위해 이러한 문제를 분할 할. 이러한 활동은 링크 된 사용자 및 사용 권한이 필요합니다. 그러나, 그들은 가장 다른 관리자 나 많은 경우에 관리 역할에 의해 수행된다. 이 역할의 책임 권한을 일반적인 응용 프로그램 관리자를 지정합니다. 응용 프로그램을 은행은 대출 운영 관리자 역할을 승인 할 권한을 할당 점원 역할을 입금 할 수있는 권한을 운영, 차입금을 할당합니다. 그리고 점원 및 관리자 역할의 적절한 역할에 할당 된 특정 직원은 인사 관리의 범주입니다. 역할 및 역할 할당은 사용자 및 역할 할당 할당, 역할과 기능의 일부 권한을 포함한다. 더 일반적으로, 역할과 역할 사이의 관계는 폭 넓은 전략을 반영한다.
편집이 기본 개념
RBAC 실제로 인증 중 누가, 무엇을, 어떻게 문제를 생각합니다. RBAC 모델에서 누가, 무엇을, 액세스 권한 화음, 즉 구성하는 방법 "(어떤) 어떻게 작동하는 무엇을."
대상 : 소유 권리 사람이나 신체 (등 교장, 사용자, 그룹, 역할, 배우 등)
무엇 : 객체 또는 자원 (리소스 클래스) 허가.
방법 : 특정 권한 (권한, 긍정적이고 부정적인 권한 부여 권한 부여).
운영자 : 작업. 쇼는 어떻게 작동하는 무엇. 즉, 권한 + 자원이다
역할 : 역할의 수집, 특정 수의 권한. 권리 할당 장치와 지원, 권한의 목표는 사용자 및 격리 논리.
캐리어 그룹과 사용자 장치는, 권한 할당 : 그룹. 권한은 특정 사용자 및 그룹에 할당 간주되지 않습니다. 그룹은 또한 사용자를 포함 할 수 있습니다, 그룹 (상속 권한을 달성하기 위해)를 포함 할 수있다, 사용자 그룹은 그룹 내에서 권한을 상속합니다. 사용자 및 그룹이 많은 관계로 많은입니다. 그룹은 액세스 제어의 서로 다른 수준의 요구 사항을 충족하기 위해, 계층 적으로 구성 할 수 있습니다.
초점은 RBAC 역할 및 사용자의 권한 사이의 관계에있다. 호출 사용자 지정 (UA)과 권한 할당 (PA) 왼쪽과 오른쪽 사이의. 관계 다 대다 관계이다. 즉, 사용자가 다수의 역할을 할 수있다, 사용자 역할의 다수를 포함 할 수있다.
우리는 RDBMS를 사용 누구인지, N : M 관계는 두 테이블 사이의 관계를 유지하기 위해 중간 테이블을 필요로한다. 이 UA 및 PA는 중간 테이블에 해당한다. 사실, 전체 RBAC는 관계형 모델을 기반으로합니다.
세션 RBAC 비교적 모호 요소이다. 고 말했다 표준 : 각 세션의 매핑 이상의 역할 매핑에 대한 사용자입니다. 사용자는 자신의 모든 문자의 부분 집합, 세션의 설립을 활성화합니다. 세션 및 각 개별 사용자와 연결하고, 각 사용자는 하나 개 이상의 세션에 관련 될 수있다.
RBAC 시스템에서 사용자는이 아이디어는 비즈니스 모델링 UML 책 배우-역할 모델 제공, 배우 사용자를 대체 할 수있는 역할 (역할)을 재생하는 사실이다. 동일한 권한을 가질 수 있습니다 계정 명으로 촬영, RBAC는 그룹의 개념을 소개합니다. 그룹은 또한 행위자로 간주됩니다. 사람에 콘크리트에 사용자의 개념.
여기 및 그룹 GBAC에서 그룹 (그룹) 다른 (액세스 제어 그룹 기반). GBAC 운영 체제에 사용됩니다. 한 그룹은 직접 및 관련 권리, 사실 RBAC 또한 GBAC 개념의 일부에 그립니다.
사용자 그룹 및 모든 관련 기관 및 단체가 아닌 조직. 모두는 다른 개념. 조직 구조 등 부서, 사람, 작업을 포함하여 회사의 물리적 존재의 추상적 모델 및 권한 모델은 추상화에 대한 설명입니다. 구조는 일반적으로 모델 또는 책임의 파티 모드 마틴 파울러한다.
관계 파티 모드 담당자 및 사용자, 각 사람은 사용자에 대응할 수 있지만 사용자의 모든 대응하는 사람이있을 수 있습니다. 조직 파티에서 부서 부서 나 조직은 그룹에 대응할 수있다. 반대로 그룹은 반드시 실제 장치에 해당하지 않습니다. 예를 들어, 같은 직무보다 더 그룹의 차장이있을 수 있습니다.
그룹은 같은 문제를 해결하기 위해 멀티 플레이어 역할뿐만 아니라,이 개념을 소개뿐만 아니라 문제가 또 다른 공인 기관을 해결하기 위해 예를 들어, 나는 모든 사람들이 (가) 부서를 볼 수 있기를 바랍니다 부서 뉴스. 이러한 분할와 대응하는 그룹은 직접 그룹에 부여 할 수있다. [1]
3 모델 편집기
RBAC96 모델
1, 기본 모델 RBAC0 모델
정의 : RBAC0 모델은 다음의 설명에서 결정된다 :
U는, R은, P는 S는 사용자의 설정, 역할 집합 및 권한 설정 세션 수집을 나타낸다.
PA P는 R이 할당 된 역할과 권한이 일대 사이의 관계를 나타내는 ×.
UA U × R은 사용자와 할당 된 역할과 많은 관계를 나타냅니다.
사용자 : S → U는 단일 사용자 사용시 각 세션 (SI) 매핑 기능 (라이프 사이클 상수는 세션을 나타냅니다).
역할 : S → 2 문자 부분 집합의 SI 역할에 각 세션 (SI) {R | 사용자 (시, R ') ∈UA} (시간이 지남에 따라 변경 가능) 매핑 기능의 세션 권한 Ur∈roles이 SI (SI ) {P | (P, R ') ∈PA}.
RBAC0 모델을 사용하는 경우, 각 허가를 요청해야하며, 모든 사용자는 적어도 역할에 할당해야합니다. 권한이 개 역할은 정확히 가능한 할당,하지만 여전히 두 개의 완전히 분리 된 역할은 사용자가 비슷한 상황이있다. 적절한 역할이 의미 론적 구조로 볼 수있다, 형식적인 접근 통제 정책의 기초가된다.
그것의 정확한 의미는 단지 결정과 관련 시스템에 의해 달성 될 수 있기 때문에 RBAC0 권한 과정은 기호가 아닌 해석하지 않습니다. RBAC0의 권한은 데이터와 자원 객체에 적용 할 수 있지만 모델 자체의 구성 요소에 적용 할 수 없습니다. U, 권한 R, P, 및 권한 관리라는 UA와 PA 사이의 관계의 수정 된 세트는 나중에 RBAC 관리 모델을 설명한다. 따라서, RBAC0에서 보안 관리자 만이 이러한 구성 요소를 수정할 수 있음을 가정한다.
세션이 모델의 단일 사용자에 의해 제어되는, 사용자가 세션을 생성 할 수 있으며, 사용자의 선택의 역할을 활성화의 특정 부분 집합이있다. 세션을 종료 할 수있는 사용자의 결정에 의해 세션의 활성화의 역할은 사용자가 시작된다. RBAC0 세션은 사용자가 만들 수 있습니다 세션의 또 다른 세션을 생성 할 수 없습니다.
2, 계층 적 역할 모델 RBAC1
정의 : 다음에 의해 결정 RBAC1
U는, R은, P는 S는 사용자의 설정, 역할 집합 및 권한 설정 세션 수집을 나타낸다.
PA P는 R이 할당 된 역할과 권한이 일대 사이의 관계를 나타내는 ×.
UA U × R은 사용자와 할당 된 역할과 많은 관계를 나타냅니다.
RH R은 R에 R은 캐릭터 레벨 또는 지배적 인 역할 관계라는 부분 순서 관계이다 ×, ≥ 표기법도 사용할 수 있습니다.
사용자 : S → U는 단일 사용자 사용시 각 세션 (SI) 매핑 기능 (라이프 사이클 상수는 세션을 나타냅니다).
역할 : S → 2 문자 부분 집합의 SI 역할에 각 세션 (SI)는 {R | (r'≥r) 사용자가 (SI는, R ') ∈UA가]} 매핑 기능 (시간이 지남에 따라 변경 가능), 세션시 이 권한 Ur∈roles (SI) {P (| r''≤r) (P, R '') ∈PA]}.
3
,
제한 모델 RBAC2
RBAC2 모델이 한계 RBAC0 모델을 높이기 위해 형성되고,이 RBAC1와 호환되지 않습니다. 다음과 같이 RBAC2 정의 :
정의 :
외부 RBAC0 제약 조건의 수를 증가 외에도 RBAC2가 변경되지 RBAC0에서, 이러한 제한은 각 성분의 RBAC0의 값이 허용 여부를 판단들만 사용할 수있는 값은 허용 될 수있다 .
RBAC2는 제한이 모든 구성 요소와 관계 RBAC0 모델에 적용 할 수있다 소개했다. 독점 제한하는 RBAC2는 단독 역할은 서로 제약 각 능력 2g의 역할이 근본적인 한계의 역할. 역할 이러한 유형의 사용자는 하나의 이벤트에서 두 가지 역할을 사용할 수있는 권리를 얻을 수 없습니다 할 수있는 역할이 할당됩니다.
예를 들어, 감사 활동, 역할은 감사 및 회계 역할의 역할에 할당 할 수 없습니다. 또 다른 예를 들어, 회사에서, 관리자와 보조 관리자의 역할은 또한 관리자가 서명 한 계약을 상호 배타적 또는 부사장이 서명 할 수 없습니다 만 확인합니다. 회사의 설립에 대한 RBAC2 모델에서, 사용자는 두 가지 역할의 관리자 및 차장을 모두 가질 수 없습니다. 요약 제한 전속 모델은 권한과 책임의 분리의 원칙의 실현을 지원할 수 있습니다.
보다 일반적으로, 배타적 제약은 사용자의 회원 자격에 역할의 상이한 조합으로 조절 될 수 허용한다. 예를 들어, 사용자가 될 수 있습니다 모두 프로그래머 프로젝트 A는 관리자 테스터 및 프로젝트 B C 프로젝트가 될 수 있지만, 그는 세 가지 역할의 같은 프로젝트가 될 수 없습니다. RBAC2 모델은이 경우로 제한 될 수 있습니다.
또 다른 예는 기지국의 역할을 제한하는 것으로 알려져 부재의 최대 수를 제한하는 사용자 할당 제한하는 역할이다. 예를 들어, 장치의 최고 지도자가 한 사람 만 할 수있다, 중간 수준의 간부의 수는 제한되어, 이러한 역할에 할당 된 사용자의 수는 한 번 한계를베이스의 역할을 초과하지 그것은 더 이상 배급의 새로운 사용자를 받고있다.
최소베이스의 역할을 제한하는 것은 어려움을 구현합니다. 사용자 지정된 최소가 역할을 차지 예를 들어, 문제는 시스템이 사라지고, 시스템 및 방법이 그것을 할 경우, 어느 순간 사라지지 않는 사람의 거주자를 알 수있는 방법이다.
사용자 A와 역할을 할당하고, 어떤 경우에는 사용자가 B의 역할의 구성원이어야합니다 것을 요구하는 경우, B는의 필수 역할 역할 역할이 될 수 있습니다. 전례 (PrerequisiteRoles)의 역할의 개념은 능력과 적응력에서 비롯됩니다. 절대 한계를위한 전제 조건 전제 조건 제한된다. 일반적인 예는 수학의 부교수 수학 강사에서 강사로 승진해야되는 것은 필수 역할의 부교수이다. 그러나 실제 시스템에서, 선행 제한의 역할 사이의 호환성 문제가 발생할 수 있습니다.
프로젝트의 구성원은 일반적으로 시스템에서, 프로그래머의 역할을 할 자격이 제한 될 수 있습니다 ap08-03 그림에서, 전례의 역할은 새로 할당 된 역할의 일부의 수준보다 낮습니다. 그러나 어떤 경우에는, 그러나 사용자는 A와 다른 역할에 특별한 역할이 필요하지 않은 경우에만 예를 들어, 예를 들어, 그룹 멤버는 프로젝트 평가위원회의 결과를 회원이 아닐한다, 그래서 회피 전략을 수행하는 데 필요한 때 수행해야합니다. 이러한 제한 사항은 라이센스 조건에 연장 될 수있다.
역할을 가진 사용자가 세션에 연결됩니다 있기 때문에, 그래서 세션이 제한을 부과 할 수 있습니다. 예를 들어, 사용자가 아닌 사용자가 두 가지 역할을 활성화하는 동시에, 두 가지 역할에 할당 할 수 할 수있다. 또한,도 수를 제한 할 수있다, 사용자가 세션을 동시에 활성화 될 수있는, 활성 세션 제한에서 사용자에게 할당 된 라이선스의 대응하는 개수에 적용될 수있다.
상속의 개념은 전술 한 한계로 간주 될 수있다. 권한은 낮은 수준의 역할에 할당뿐만 아니라 그 역할 모두 높은 수준의 역할에 할당해야합니다. 또는 동등, 사용자는 더 높은 수준의 역할에 할당 된 역할 모든 하위 역할에 할당해야합니다. 그래서 의미, RBAC1 모델은이 RBAC2에 포함되어 중복입니다. 그러나 RBAC1 모델은 개념을 명확하게 상속 대신 제한을 할 수 있습니다, 비교적 간단하다.
사용자 또는 할당을 결정하기 위해 점검이 함수를 호출 할 수있는 역할 할당 권한에 대해 지정된 역할이 함수에 의해 반환 된 결과를 제한하는 요구 사항을 충족 할 때이 제한을 구현하는 기능으로 구현 될 수있다, 보통 효과적으로 검사 할 수있는 사람과 사람들에게 이러한 제한은 긴 시간 동안 유지 될 수 있기 때문에, 달성주는 몇 가지 간단한 제한 규칙.
사용자가 식별자 이상이있는 경우 실제 시스템 지원을 기반으로 각 사용자 만의 고유 식별자를 기반으로 모델의 메커니즘의 효과를 제한, 제한이 유효 할 것이다. 마찬가지로 의무와 제한의 분리 같은 정확하고, RBAC 시스템을 구현할 수있는 기본 제한 및 강화보다는 두 개 이상의 작업을 할 수있는 권한이있는 경우. 이에 따라서 사용자 ID를 요구하고, 동작의 대응 라이선스에 대응.
4, 통합 모델 RBAC3
RBAC3 RBAC1 및 RBAC2은 등급과 역할을 상속 할 수있는 기능을 제공하기 위해 함께 결합했다. 그러나이 두 가지 개념이 함께 또한 몇 가지 새로운 문제를 일으켰습니다.
제한으로 인해 부분적인 순서의 역할 간의 계층 관계, 캐릭터 레벨 자체에 적용 할 수 있고, 이러한 제한은 모델에 필수적이며,이 부분 순서에 영향을 미칠 수있다. 예를 들어, 추가 제한으로 인해 하위 역할에 주어진 역할의 수를 제한 할 수 있습니다.
대중이 두 개 이상의 역할이 더 우수 또는 하위 역할의 역할에 제한 될 수 있습니다. 평가 기관의 역할의 개념의 경우 제한이 유형은 유용 아를 분산 만, 여전히 방법은 이러한 모든 변경을 할 수 있습니다에 대한 보안 제한을 담당 할되었습니다.
또한 규제와 평가의 역할 사이의 민감한 상호 작용을 가지고있다. 환경에 ap08-03 그림, 프로젝트 멤버가 동시에 프로그래머와 테스터의 역할을 가정 할 수 있지만 프로젝트의 위치에있는 관리자가 명확하게 제한을 위반하는 것입니다. 높은 수준의 역할에 의해 그러한 제한을 위반 나는 어떤 경우에는 허용되지만 다른 경우에 그들은 그러한 위반이 발생할 수 없습니다.
모델의 엄격한 규칙의 관점에서 허용 될 경우에 다른 경우로 허용 할 수 없습니다. 유사한 상황이 또한베이스의 제한에 발생합니다. 사용자가 다음이 제한을 할 수없는 테스터의 그림에 할당 된 역할에 할당 할 수 있습니다 제한 가정? 즉, 기본 제한뿐만 아니라 직접 회원, 그것은 또한 상속 된 멤버에 적용 할 수 있는가?
개인 역할의 개념은 이러한 제한이 유용 설명 할 수 있습니다. 또한 그림 ap08-03 환경에서, 그것은 테스터 '프로그래머 및 프로젝트 관리자는 세 문자 설명에 같은 상호 배타적 가능하며, 그들이 공통 뛰어난 역할이없는, 같은 수준에있는 관리자 역할은 서로를 위반하지 않는 배제 한계. 그들은이 수준의 큰 요소이기 때문에 일반적으로 상사 개인의 역할과 다른 역할 사이에 공공의 역할, 개인 역할 사이에 이렇게 상호 배타적 관계는 정의의 충돌이 될 수 있습니다.
다양한 개인 역할과 동일한 부분은 최대의 기술적 제한 부재 0을 갖는 것으로 설명 될 수있다. 이 방법에 따르면, 테스터는 테스터 '이 역할에 할당해야하며, 테스터의 역할은 관리자 역할 권한으로 공유 할 수있는 도구로 될 것입니다.
ARBAC97 모델
ARBAC97 모델은 세 부분으로 구성, 역할 기반 관리 모델 역할입니다 :
URA97 : 사용자 - 역할 할당. UA 할당 관계 관리, 역할과 연관된 사용자와의 관계 - 어셈블리는 사용자를 포함한다. 권리의 관리 역할의 구성원이 공식적인 역할의 구성원을 관리 할 수 있도록이 관계를 수정할 수있는 권한은 관리 역할에 의해 제어됩니다. 관리 역할이 URA97 외부에서 수행하고, 보안 관리자가 수행해야하는 가정으로 사용자가 지정된다.
PRA97 : 허가 - 역할 할당. 권한 할당 및 해지 -이 구성 요소는 역할을 포함한다. 사용자와 권한의 역할의 관점이 유사한 특성을 가지고에서, 그들은 물리적 현실의 역할에 의해 연결되어있다. 따라서 PRA97는 URA97의 듀얼 구성 요소로 간주.
RRA97 : 역할 - 역할 할당. 역할과 분류에, 역할의 관리를 용이하게하기 위해. 있는 클래스 3 관련된 구성 요소의 역할 :
-
용량 (능력) 역할 - 입력 권한 및 역할의 다른 구성원을 할 수있는 능력.
-
그룹 (그룹)의 역할 - 만 사용자 및 역할의 클래스의 멤버로 다른 그룹.
-
UP-역할 - 이러한 역할은 구성원이 사용자, 역할, 권한, 기능, 그룹 또는 다른 UP-역할을 할 수 있습니다 회원에 제한 없음, 사용자의 역할과 권한을 나타냅니다.
주된 이유는 역할의 다른 유형 사이의 관계를 구축하기 위해 다른 관리 모델에 적용 할 수있는 세 가지 모델 사이의 차이이다. 첫 번째는 용량의 동기 부여 고려의 차이이며, 기능은 권한의 집합입니다, 당신은 역할에 할당 단위로 컬렉션에 모든 권한을 넣을 수 있습니다. 마찬가지로, 그룹은 사용자의 모음입니다, 당신은 역할에 할당 단위로 컬렉션에 모든 권한을 넣을 수 있습니다. 그룹 및 역할에 대한 능력은 클래스로 나누어 것으로 보인다.
UP-역할에서 능력 여부 그렇지 않으면하지, 그 역할의 구성원이 지배인지 능력, 적용할지 여부를 위쪽에 의해 결정된다. 문자 그룹은 UP-역할에 의해 지배되는 경우 반대로,이 그룹은 위쪽 역할을 수행하는 부재이다.
그룹에 할당 - - ARBAC97 관리 모델에 관한 연구는 용량 사이에서 계속 정장 할당이 완료되고, 위쪽 역할 개념에 대한 연구의 결과는 아직 공식화되지 않았습니다. [2]
DRBAC
DRBAC는 동적 환경 연합에서 RBAC 모델을 배포됩니다.
이전의 신뢰 관리 및 RBAC 방법 다른 DRBAC는 세 가지 기능을 지원한다는 것입니다 :
1. 타사 할당 : 엔티티가 할당을 할당 할 권한이있는 경우, 이름 공간이 아닌 다른 역할을 할당 할 수 있습니다.
2. 디지털 속성 : 메커니즘을 통해 액세스는 할당 프로세스 및 관련 역할의 값을 조정합니다.
3. 모니터링 할당 : 지속적인 모니터링 팝 / 추적을 설정 한 신뢰 관계의 하위 구조가 할당 된 상태를 취소 할 수 있습니다.
DRBAC 환경 문제의 리드에 의해 자원에 대한 연합군의 액세스를 제어 받고있다. "얼라이언스 환경은"여러 나라에서 공통의 목표를 달성하기 위해 함께 노력 군사, 또는 몇 상업 파트너가 될 수 있습니다. 얼라이언스 정의 된 환경은 공통 신뢰할 수있는 기관과 여러 조직이나 단체의 존재에 의해 특징입니다. 이 경우, 각각의 자원을 보호하면서 기업은 또한 동맹에 필요한 보호 자원의 일부를 공유하고 협력해야합니다. 인터넷 네트워크 서비스는이 수요 증가가 널리 퍼져 확인합니다.
DRBAC 유연한 관리 시스템뿐만 아니라 분산, 확장 성을 구현 둘 다 RBAC 신뢰 경영 시스템의 이점을 결합한다. DRBAC 제어 행동의 역할을 표현,이 역할을 통과 할 수있는 하나의 엔티티의 도메인 트러스트의 역할의 정의와는 다른 역할 서로 다른 신뢰 도메인에 할당됩니다. DRBAC는 지정 인증서를 모든 민감한 작업과 신뢰 관련 기관을 파악하고 확인하는 PKI를 사용합니다. 인증 된 네임 스페이스에 역할 맵핑 추가 전략의 뿌리를 인식 할 필요를 피할 수 있습니다.
4 라이센스 구성 편집기
라이센스 구성 지침
RBAC에서 사용자는 주요 데이터 표현으로 데이터가 독립 실행 형 컴퓨터 시스템 또는 기타 리소스에 액세스 할 수 있습니다. 역할은 조직 구성 작업 또는 작업 또는 위치, 그것은 권리, 소유권 및 책임을 나타냅니다. 라이센스 (권한)은 하나 개 이상의 오브젝트 실행의 작동을 허용하는 것입니다. 사용자가 여러 역할, 다수의 사용자에 의해 구성되는 역할을 할 수있는 권한을받을 수있다, 각 문자는 다양한 라이선스를 가질 수, 각 라이센스는 서로 다른 역할의 숫자로 발행 될 수있다. 각 동작은 물체 (제어 개체)의 복수에 적용 할 수 있으며, 각 객체는 복수의 동작을 허용 할 수있다.
사용자 ID, 사용자 이름, 사용자 로그인 암호가 포함 된 사용자 테이블 (사용자). 사용자 테이블을 추가하고 역동적 인 변화를 삭제할 수있는 사용자와 개별 사용자 시스템의 집합입니다.
정체성의 역할, 역할 이름, 역할 기반, 역할을 사용할 수 식별을 포함 역할 테이블 (ROLES). 역할 시스템 테이블 역할, 시스템 관리자에 의해 정의 된 역할의 집합입니다.
개체 테이블 개체 식별, 오브젝트 이름을 포함합니다 (OBJECTS). 오브젝트 테이블은 모든 제어 시스템 개체의 컬렉션입니다.
운영자 수술대 (OPERATIONS)는 동작 식별자, 조작 조작 이름을 포함한다. 조작 시스템 오퍼레이터는 오퍼레이터 조작 테이블을 구성하는 모든 객체를 제어.
라이선스 테이블 (PERMISSIONS)는 라이센스 ID, 라이센스 명, 제어 개체 동작 식별자를 포함한다. 제어 객체 운영자의 조작으로 대응을 제공하는 라이센스 테이블.
정체성의 역할, 라이센스 ID를 포함 역할 / 라이선스 테이블. 시스템 관리자는 역할을 할당하거나 라이센스 관리 역할 / 라이선스 테이블을 취소합니다.
RBAC의 기본 아이디어는 : 일반적으로 조직에서 사용자의 역할에 따라 결정 액세스 권한을 가진 사용자. RBAC 권한이 역할에 부여 된 역할이 사용자에게 부여되어, 사용자가 직접 라이센스와 연결되어 있지 않습니다. RBAC 권한은 관리자가 통합 관리에 액세스하려면 조직 내 사용자의 요구 사항에 따라 액세스 권한 부여 및 제어, 권한 부여는 사용자가 자율적으로 다른 사람에게 액세스 할 수없는 사용자에게 부과되는 RBAC 역할이 인 비 자율적 인 중앙 집중식 액세스 제어의 종류. 예를 들면, 병원에 의사가이 역할을 처방 할 수 있지만, 그는 간호사가 처방 권한을 통과 할 권리가 없다.
RBAC에서 사용자 식별 및 인증 감사 기록은 매우 유용합니다,하지만 실제 결정은 해당 사용자 역할 식별에 액세스 할 수 있습니다. 사용자는 사용자가 현재 활성화됩니다 하나의 특정 역할, 권한 액세스 작업을 실행하기위한 필요 조건에 반대하고, 적절한 액세스 권한을 가진 객체의 역할을 할 수 있습니다. 즉, 사용자가 작업을 수행 할 수있는 결정 리소스에 대한 역할 액세스 어떤 종류의 메인 액세스 제어 등의 RBAC 역할, 사용자에게 있습니다.
ACL은 직접 몸에 링크와 객체를 제어하고, RBAC 역할, 역할을 통해 주체와 객체 통신의 중간에 합류한다. 계층화 장점은 신체가 변경 될 때, 단순히 역할과 관련된 객체를 수정하지 않고도 몸체와 롤 사이의 연관을 수정할 수 있다는 것이다.
특징 편집기 5RBAC 모델
다양한 조직의 요구에 맞춰 안전 관리. RBAC 모델은 직무 분리의 최소 권한 원칙의 원리를 지원하며, 이러한 원칙은 조직의 관리가 필요하다. 이 RBAC 모델은 광범위한 응용 전망을 가지고 있습니다.
RBAC 모델은 데이터 추상화 및 상속 개념의 원리를 지원합니다. 때문에 현재의 주류 프로그래밍 언어 지원 객체 지향 기술로,이 기능을 실제 시스템에 달성하기 위해 RBAC를 사용하기 쉽습니다.
이 모델의 개념과 실제 시스템에 밀접하게 대응한다. RBAC의 역할 모델, 사용자의 개념과 권한은 실제로 기업이 기존의 RBAC 모델 또는 시스템을 구축 할을 설정하는 디자이너를 할 수있는 모든 실제 시스템이다.
RBAC 모델은 여전히 시스템 몸에 좋은 해결책 분배 및 제어 문제가 될 수 본질적으로 액세스 매트릭스 모델의 확장을 액세스 컨트롤 클래스 모델입니다 때어 낼 수있는 장비되어 액세스 제어 액세스 권한의 종류이지만, 모델은 정보 흐름 통제 메커니즘을 제공하지 않지만, 우리는 충분히 정보 시스템의 모든 보안 요구 사항을 충족시킬 수 없다.
어떤 사람들은 당신이 시뮬레이션 기반의 그리드 액세스 제어 시스템 (LBAC)에 RBAC를 사용할 수 있지만, RBAC 시스템 내에서 정보의 흐름을 직관적으로 이해가되지 않는다면 제어 할 수 있다고 생각하지만, 기능은 모델에서 지원이 필요합니다. 넷째 장의 흐름 제어의 원리의 범주에 대한 정보는, 리더는 또한이 결함 RBAC 모델 있다는 것을 이해할 수있을 것이다.
RBAC 모델은 동작 시퀀스 제어 메커니즘을 제공하지 않는다. RBAC 모델을 허용 할 수있는이 결함은 시스템의 엔티티의 작업의 엄격한 순서에 이러한 요구 사항을 적용하기 어려운, 예를 들어, 고객이 그 상품을 빼앗지 못하게해야 지불하지 않습니다하기 전에, 쇼핑 제어 시스템에 구입하는 데 필요한 단계의 제어 시스템. RBAC 모델은 모델에 외부 제어기구 달성하는 것이 필요하다.
RBAC96 모델과 RBAC97uanli 모델은 고의적 사용자가 증가를 지원하는 등 사용자 관리 및 사용 권한을 삭제하지 않는 세션 관리 모델의 새로운 세션을 다시 만들 수 있는지 여부와 같은 몇 가지 문제를 피할 수, 제공하지 않고 해결해야 지원 문제는, 이러한 문제는 연구 중에 여전히 있지만, 이러한 기능의 부재는 모델과 응용 프로그램도 영향을받을 것입니다 지원합니다. 대신, 매트릭스 모델은 사용자 액세스 및 기능을 수정할 수있는 권한을 제공하므로, 말할 수 없다 RBAC 모델은 완전히 액세스 매트릭스 모델을 대체 할 수 있습니다.
원본 주소 : HTTPS : //www.cnblogs.com/rongfengliang/p/3982011.html