本文探讨了四种访问控制模型:DAC、MAC、RBAC和TBAC,分析其优缺点。重点介绍了RBAC和T-RBAC,T-RBAC模型结合任务与角色,提供动态访问控制,简化授权管理,支持权限的全继承和部分继承,适用于大型企业系统。
1. 概述:
权限控制管理在企业环境中是非常重要的安全问题,企业中的权限控制意味着控制用户对系统资源的读写权限,限制对关键资源的访问,防止非法用户的入侵或者不 合法用户的不慎操作所造成的破坏。目前国内外的权限管理体系有如下几种:
(1) Discretionary Access Control (DAC)自主访问控制方案:在这个方案里,用 户给予访问资源的权限,目标资源根据用户的权限属性来判断他是否有权限执行请求的操作。在该模型中,同一用户对不同的资源对象有不同权限;不同的用户对用 一资源对象有不同的权限;用户能自主地将自己拥有的权限授予其他用户。
缺点:由于DAC模型可以任意传递权限,用户能间接获得本不具有的访问权限,因此DAC模 型的安全性较低,不能给系统充分的数据保护。
(2)Mandatory Access Control(MAC)强制访问控制方案:广泛用于军事系统的 授权方案,在MAC方案中,每个目标由安全标签分级,分级列表指定哪种类型的分级目标对象是可以访问的。访问时,系统先 对用户的访问许可级别和资源对象的密级进行比较,再决定用户是否可以访问资源对象。用户不能改变自身和资源对象的安全级别,只有系统管理员或管理程序才能 控制资源对象和用户的级别。
优点:用户权限的层次结构良好,存取控制相当严格
缺点:灵活性比较差
(3)Role-Based Access Control(RBAC)基于角色的访问控制方案:在简单的RBAC模型中,定义了大量的角色。通常,他 们代表组织中的某种角色,每个角色都给予一组权限,也就是在一定目标上执行一定的操作。每当访问一个目标的时候,用户持有他的角色和目标读取策略判断这个 角色是否可以执行操作。
从企业的角度实现管理访问控制信息的研究包括了建立和更新RBAC的信息、设定角色
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
