身份认证是系统验证用户身份的过程,而授权则决定了用户的具体权限。RBAC(基于角色的访问控制)是一种有效的权限管理机制,它支持最小特权、责任分离和数据抽象等安全原则。在RBAC模型中,权限被抽象为Who、What、How的三元组,通过角色来分配和管理权限,实现细粒度的访问控制。这种模型能够简化权限管理和降低安全管理的复杂性。
身份认证与访问控制
身份认证是系统确认访问者身份,指的是对实体身份的证实。
用户通过认证后,还需要对用户进行进一步的限制一一确定系统中的权限。身份认证是二值化过程,要么通过要么拒绝,而授权则有着更加细粒度的控制。
RBAC(Role-Based Access Control )基于角色的访问控制。
RBAC支持公认的安全原则:最小特权原则、责任分离原则和数据抽象原则。
- 最小特权原则得到支持,是因为在RBAC模型中可以通过限制分配给角色权限的多少和大小来实现,分配给与某用户对应的角色的权限只要不超过该用户完成其任务的需要就可以了。
- 责任分离原则的实现,是因为在RBAC模型中可以通过在完成敏感任务过程中分配两个责任上互相约束的两个角色来实现,例如在清查账目时,只需要设置财务管理员和会计两个角色参加就可以了。
- 数据抽象是借助于抽象许可权这样的概念实现的,如在账目管理活动中,可以使用信用、借方等抽象许可权,而不是使用操作系统提供的读、写、执行等具体的许可权。但RBAC并不强迫实现这些原则,安全管理员可以允许配置RBAC模型使它不支持这些原则。因此,RBAC支持数据抽象的程度与RBAC模型的实现细节有关。
RBAC认为权限的过程可以抽象概括为:判断【Who是否可以对What进行How的访问操作(Operator)】这个逻辑表达式的值是否为True的求解过程。
即将权限问题转换为Who、What、How的问题。who、what、how构成了访问权限三元组。
RBAC模型简述
RBAC0的模型中包括用户(U)、角色(R)和许可权(P)等3类实体集合。
RABC0权限管理的核心部分,其他的版本都是建立在0的基础上的
936
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
