RBAC權(quán)限模型的示例分析

小編給大家分享一下RBAC權(quán)限模型的示例分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

權(quán)限系統(tǒng)與RBAC模型概述

RBAC（Role-Based Access Control ）基于角色的訪問控制。

在20世紀(jì)90年代期間，大量的專家學(xué)者和專門研究單位對RBAC的概念進(jìn)行了深入研究，先后提出了許多類型的RBAC模型，其中以美國George Mason大學(xué)信息安全技術(shù)實(shí)驗(yàn)室（LIST）提出的RBAC96模型最具有系統(tǒng)性，得到普遍的公認(rèn)。

RBAC認(rèn)為權(quán)限的過程可以抽象概括為：判斷【W(wǎng)ho是否可以對What進(jìn)行How的訪問操作（Operator）】這個(gè)邏輯表達(dá)式的值是否為True的求解過程。

即將權(quán)限問題轉(zhuǎn)換為Who、What、How的問題。who、what、how構(gòu)成了訪問權(quán)限三元組。

RBAC支持公認(rèn)的安全原則：最小特權(quán)原則、責(zé)任分離原則和數(shù)據(jù)抽象原則。

• 最小特權(quán)原則得到支持，是因?yàn)樵赗BAC模型中可以通過限制分配給角色權(quán)限的多少和大小來實(shí)現(xiàn)，分配給與某用戶對應(yīng)的角色的權(quán)限只要不超過該用戶完成其任務(wù)的需要就可以了。

• 責(zé)任分離原則的實(shí)現(xiàn)，是因?yàn)樵赗BAC模型中可以通過在完成敏感任務(wù)過程中分配兩個(gè)責(zé)任上互相約束的兩個(gè)角色來實(shí)現(xiàn)，例如在清查賬目時(shí)，只需要設(shè)置財(cái)務(wù)管理員和會(huì)計(jì)兩個(gè)角色參加就可以了。

• 數(shù)據(jù)抽象是借助于抽象許可權(quán)這樣的概念實(shí)現(xiàn)的，如在賬目管理活動(dòng)中，可以使用信用、借方等抽象許可權(quán)，而不是使用操作系統(tǒng)提供的讀、寫、執(zhí)行等具體的許可權(quán)。但RBAC并不強(qiáng)迫實(shí)現(xiàn)這些原則，安全管理員可以允許配置RBAC模型使它不支持這些原則。因此，RBAC支持?jǐn)?shù)據(jù)抽象的程度與RBAC模型的實(shí)現(xiàn)細(xì)節(jié)有關(guān)。

RBAC96是一個(gè)模型族，其中包括RBAC0~RBAC3四個(gè)概念性模型。

1、基本模型RBAC0定義了完全支持RBAC概念的任何系統(tǒng)的最低需求。

2、RBAC1和RBAC2兩者都包含RBAC0，但各自都增加了獨(dú)立的特點(diǎn)，它們被稱為高級模型。

    RBAC1中增加了角色分級的概念，一個(gè)角色可以從另一個(gè)角色繼承許可權(quán)。

    RBAC2中增加了一些限制，強(qiáng)調(diào)在RBAC的不同組件中在配置方面的一些限制。

3、RBAC3稱為統(tǒng)一模型，它包含了RBAC1和RBAC2，利用傳遞性，也把RBAC0包括在內(nèi)。這些模型構(gòu)成了RBAC96模型族。

RBAC模型簡述

RBAC0的模型中包括用戶（U）、角色（R）和許可權(quán)（P）等3類實(shí)體集合。

RABC0權(quán)限管理的核心部分，其他的版本都是建立在0的基礎(chǔ)上的，看一下類圖：

RBAC0定義了能構(gòu)成一個(gè)RBAC控制系統(tǒng)的最小的元素集合。

在RBAC之中,包含用戶users(USERS)、角色roles(ROLES)、目標(biāo)objects(OBS)、操作operations(OPS)、許可權(quán)permissions(PRMS)五個(gè)基本數(shù)據(jù)元素，此模型指明用戶、角色、訪問權(quán)限和會(huì)話之間的關(guān)系。

每個(gè)角色至少具備一個(gè)權(quán)限，每個(gè)用戶至少扮演一個(gè)角色；可以對兩個(gè)完全不同的角色分配完全相同的訪問權(quán)限；會(huì)話由用戶控制，一個(gè)用戶可以創(chuàng)建會(huì)話并激活多個(gè)用戶角色，從而獲取相應(yīng)的訪問權(quán)限，用戶可以在會(huì)話中更改激活角色，并且用戶可以主動(dòng)結(jié)束一個(gè)會(huì)話。

用戶和角色是多對多的關(guān)系，表示一個(gè)用戶在不同的場景下可以擁有不同的角色。

例如項(xiàng)目經(jīng)理也可以是項(xiàng)目架構(gòu)師等；當(dāng)然了一個(gè)角色可以給多個(gè)用戶，例如一個(gè)項(xiàng)目中有多個(gè)組長，多個(gè)組員等。

這里需要提出的是，將用戶和許可進(jìn)行分離，是彼此相互獨(dú)立，使權(quán)限的授權(quán)認(rèn)證更加靈活。

角色和許可（權(quán)限）是多對多的關(guān)系，表示角色可以擁有多分權(quán)利，同一個(gè)權(quán)利可以授給多個(gè)角色都是非常容易理解的，想想現(xiàn)實(shí)生活中，當(dāng)官的級別不同的權(quán)限的情景，其實(shí)這個(gè)模型就是對權(quán)限這方面的一個(gè)抽象，聯(lián)系生活理解就非常容易了。

RBAC1，基于RBAC0模型，引入角色間的繼承關(guān)系，即角色上有了上下級的區(qū)別，角色間的繼承關(guān)系可分為一般繼承關(guān)系和受限繼承關(guān)系。一般繼承關(guān)系僅要求角色繼承關(guān)系是一個(gè)絕對偏序關(guān)系，允許角色間的多繼承。而受限繼承關(guān)系則進(jìn)一步要求角色繼承關(guān)系是一個(gè)樹結(jié)構(gòu)，實(shí)現(xiàn)角色間的單繼承。

這種模型合適于角色之間的層次明確，包含明確。

RBAC2，基于RBAC0模型的基礎(chǔ)上，進(jìn)行了角色的訪問控制。

RBAC2模型中添加了責(zé)任分離關(guān)系。RBAC2的約束規(guī)定了權(quán)限被賦予角色時(shí)，或角色被賦予用戶時(shí)，以及當(dāng)用戶在某一時(shí)刻激活一個(gè)角色時(shí)所應(yīng)遵循的強(qiáng)制性規(guī)則。責(zé)任分離包括靜態(tài)責(zé)任分離和動(dòng)態(tài)責(zé)任分離。約束與用戶-角色-權(quán)限關(guān)系一起決定了RBAC2模型中用戶的訪問許可，此約束有多種。

• 互斥角色 ：同一用戶只能分配到一組互斥角色集合中至多一個(gè)角色，支持責(zé)任分離的原則?；コ饨巧侵父髯詸?quán)限互相制約的兩個(gè)角色。對于這類角色一個(gè)用戶在某一次活動(dòng)中只能被分配其中的一個(gè)角色，不能同時(shí)獲得兩個(gè)角色的使用權(quán)。常舉的例子：在審計(jì)活動(dòng)中，一個(gè)角色不能同時(shí)被指派給會(huì)計(jì)角色和審計(jì)員角色。

• 基數(shù)約束 ：一個(gè)角色被分配的用戶數(shù)量受限；一個(gè)用戶可擁有的角色數(shù)目受限；同樣一個(gè)角色對應(yīng)的訪問權(quán)限數(shù)目也應(yīng)受限，以控制高級權(quán)限在系統(tǒng)中的分配。例如公司的領(lǐng)導(dǎo)人有限的；

• 先決條件角色 ：可以分配角色給用戶僅當(dāng)該用戶已經(jīng)是另一角色的成員；對應(yīng)的可以分配訪問權(quán)限給角色，僅當(dāng)該角色已經(jīng)擁有另一種訪問權(quán)限。指要想獲得較高的權(quán)限，要首先擁有低一級的權(quán)限。就像我們生活中，國家主席是從副主席中選舉的一樣。

• 運(yùn)行時(shí)互斥 ：例如，允許一個(gè)用戶具有兩個(gè)角色的成員資格，但在運(yùn)行中不可同時(shí)激活這兩個(gè)角色。

RBAC3，也就是最全面級的權(quán)限管理，它是基于RBAC0的基礎(chǔ)上，將RBAC1和RBAC2進(jìn)行整合了，最前面，也最復(fù)雜的：

綜上為權(quán)限管理模型的相關(guān)介紹，其實(shí)在任何系統(tǒng)中都會(huì)涉及到權(quán)限管理的模塊，無論復(fù)雜簡單，我們都可以通過以RBAC模型為基礎(chǔ)，進(jìn)行相關(guān)靈活運(yùn)用來解決我們的問題。

RBAC的優(yōu)缺點(diǎn)

RBAC模型沒有提供操作順序控制機(jī)制。這一缺陷使得RBAC模型很難應(yīng)用關(guān)于那些要求有嚴(yán)格操作次序的實(shí)體系統(tǒng)。

例如，在購物控制系統(tǒng)中要求系統(tǒng)對購買步驟的控制，在客戶未付款之前不應(yīng)讓他把商品拿走。RBAC模型要求把這種控制機(jī)制放到模型

2. 實(shí)用的RBAC模型的數(shù)據(jù)庫建模

1、擴(kuò)展RBAC用戶角色權(quán)限設(shè)計(jì)方案

RBAC（Role-Based Access Control，基于角色的訪問控制），就是用戶通過角色與權(quán)限進(jìn)行關(guān)聯(lián)。簡單地說，一個(gè)用戶擁有若干角色，每一個(gè)角色擁有若干權(quán)限。這樣，就構(gòu)造成“用戶-角色-權(quán)限”的授權(quán)模型。在這種模型中，用戶與角色之間，角色與權(quán)限之間，一般者是多對多的關(guān)系。（如下圖） 

角色是什么？可以理解為一定數(shù)量的權(quán)限的集合，權(quán)限的載體。例如：一個(gè)論壇系統(tǒng)，“超級管理員”、“版主”都是角色。版主可管理版內(nèi)的帖子、可管理版內(nèi)的用戶等，這些是權(quán)限。要給某個(gè)用戶授予這些權(quán)限，不需要直接將權(quán)限授予用戶，可將“版主”這個(gè)角色賦予該用戶。

當(dāng)用戶的數(shù)量非常大時(shí)，要給系統(tǒng)每個(gè)用戶逐一授權(quán)（授角色），是件非常煩瑣的事情。這時(shí)，就需要給用戶分組，每個(gè)用戶組內(nèi)有多個(gè)用戶。除了可給用戶授權(quán)外，還可以給用戶組授權(quán)。這樣一來，用戶擁有的所有權(quán)限，就是用戶個(gè)人擁有的權(quán)限與該用戶所在用戶組擁有的權(quán)限之和。（下圖為用戶組、用戶與角色三者的關(guān)聯(lián)關(guān)系） 

在應(yīng)用系統(tǒng)中，權(quán)限表現(xiàn)成什么？對功能模塊的操作，對上傳文件的刪改，菜單的訪問，甚至頁面上某個(gè)按鈕、某個(gè)圖片的可見性控制，都可屬于權(quán)限的范疇。有些權(quán)限設(shè)計(jì)，會(huì)把功能操作作為一類，而把文件、菜單、頁面元素等作為另一類，這樣構(gòu)成“用戶-角色-權(quán)限-資源”的授權(quán)模型。而在做數(shù)據(jù)表建模時(shí)，可把功能操作和資源統(tǒng)一管理，也就是都直接與權(quán)限表進(jìn)行關(guān)聯(lián)，這樣可能更具便捷性和易擴(kuò)展性。（見下圖） 

  請留意權(quán)限表中有一列“權(quán)限類型”，我們根據(jù)它的取值來區(qū)分是哪一類權(quán)限，如“MENU”表示菜單的訪問權(quán)限、“OPERATION”表示功能模塊的操作權(quán)限、“FILE”表示文件的修改權(quán)限、“ELEMENT”表示頁面元素的可見性控制等。  這樣設(shè)計(jì)的好處有二。其一，不需要區(qū)分哪些是權(quán)限操作，哪些是資源，（實(shí)際上，有時(shí)候也不好區(qū)分，如菜單，把它理解為資源呢還是功能模塊權(quán)限呢？）。其二，方便擴(kuò)展，當(dāng)系統(tǒng)要對新的東西進(jìn)行權(quán)限控制時(shí)，我只需要建立一個(gè)新的關(guān)聯(lián)表“權(quán)限XX關(guān)聯(lián)表”，并確定這類權(quán)限的權(quán)限類型字符串。

這里要注意的是，權(quán)限表與權(quán)限菜單關(guān)聯(lián)表、權(quán)限菜單關(guān)聯(lián)表與菜單表都是一對一的關(guān)系。（文件、頁面權(quán)限點(diǎn)、功能操作等同理）。也就是每添加一個(gè)菜單，就得同時(shí)往這三個(gè)表中各插入一條記錄。這樣，可以不需要權(quán)限菜單關(guān)聯(lián)表，讓權(quán)限表與菜單表直接關(guān)聯(lián)，此時(shí)，須在權(quán)限表中新增一列用來保存菜單的ID，權(quán)限表通過“權(quán)限類型”和這個(gè)ID來區(qū)分是種類型下的哪條記錄。

到這里，RBAC權(quán)限模型的擴(kuò)展模型的完整設(shè)計(jì)圖如下： 

隨著系統(tǒng)的日益龐大，為了方便管理，可引入角色組對角色進(jìn)行分類管理，跟用戶組不同，角色組不參與授權(quán)。例如：某電網(wǎng)系統(tǒng)的權(quán)限管理模塊中，角色就是掛在區(qū)局下，而區(qū)局在這里可當(dāng)作角色組，它不參于權(quán)限分配。另外，為方便上面各主表自身的管理與查找，可采用樹型結(jié)構(gòu)，如菜單樹、功能樹等，當(dāng)然這些可不需要參于權(quán)限分配。

2、百度百科所示的模型

以上是“RBAC權(quán)限模型的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學(xué)習(xí)更多知識，歡迎關(guān)注億速云行業(yè)資訊頻道！