資源描述:
《基于RBAC的權限設計模型.pdf》由會員上傳分享,免費在線閱讀�����,更多相關內容在行業(yè)資料-天天文庫���。
1、基于RBAC的權限設計模型RBAC介紹RBAC模型作為目前最為廣泛接受的權限模型����。NIST(TheNationalInstituteofStandardsandTechnology,美國國家標準與技術研究院)標準RBAC模型由4個部件模型組成���,這4個部件模型分別是基本模型RBAC0(CoreRBAC)�、角色分級模型RBAC1(HierarchalRBAC)��、角色限制模型RBAC2(ConstraintRBAC)和統(tǒng)一模型RBAC3(CombinesRBAC)[1]。RBAC0模型如圖1所示�。圖表1R
2、BAC0模型lRBAC0定義了能構成一個RBAC控制系統(tǒng)的最小的元素集合在RBAC之中,包含用戶users(USERS)��、角色roles(ROLES)���、目標objects(OBS)�����、操作operations(OPS)�����、許可權permissions(PRMS)五個基本數據元素���,權限被賦予角色,而不是用戶,當一個角色被指定給一個用戶時�,此用戶就擁有了該角色所包含的權限。會話sessions是用戶與激活的角色集合之間的映射��。RBAC0與傳統(tǒng)訪問控制的差別在于增加一層間接性帶來了靈活性����,RBAC1、RBAC
3、2��、RBAC3都是先后在RBAC0上的擴展����。lRBAC1引入角色間的繼承關系角色間的繼承關系可分為一般繼承關系和受限繼承關系。一般繼承關系僅要求角色繼承關系是一個絕對偏序關系�����,允許角色間的多繼承�。而受限繼承關系則進一步要求角色繼承關系是一個樹結構。lRBAC2模型中添加了責任分離關系RBAC2的約束規(guī)定了權限被賦予角色時,或角色被賦予用戶時,以及當用戶在某一時刻激活一個角色時所應遵循的強制性規(guī)則����。責任分離包括靜態(tài)責任分離和動態(tài)責任分離�����。約束與用戶-角色-權限關系一起決定了RBAC2模型中用戶的訪問許
4�����、可��。lRBAC3包含了RBAC1和RBAC2既提供了角色間的繼承關系,又提供了責任分離關系��。建立角色定義表���。定出當前系統(tǒng)中角色�����。因為有繼承的問題��,所以角色體現(xiàn)出的是一個樹形結構�����。2權限設計:配置資源以及資源的操作:這里資源可以定義為一個通用的資源模型����。提供通用的資源統(tǒng)一接口��。數據庫ER圖:關系圖:3分析:根據以上的類關系圖和ER圖可以看出��。整個權限可以抽象為五個對象組成���。OrgBean:用于描述org模型���。Role:用于描述角色����。Permission:用于描述權限�。Resource:用于描述資源。O
5�����、peration:用于描述操作��。其中Permission中有Resource,Operation的聚合�,資源和操作組成權限。Role和Permission都有自包含�����。因為設計到權限的繼承����。資源Resource也可能出現(xiàn)一顆樹形結構�,那資源也要有自包含。思想:權限系統(tǒng)的核心由以下三部分構成:1.創(chuàng)造權限����,2.分配權限����,3.使用權限�����,然后���,系統(tǒng)各部分的主要參與者對照如下:1.創(chuàng)造權限-Creator創(chuàng)造����,2.分配權限-Administrator分配��,3.使用權限-User:1.Creator創(chuàng)造Priv
6����、ilege,Creator在設計和實現(xiàn)系統(tǒng)時會劃分�,一個子系統(tǒng)或稱為模塊,應該有哪些權限�。這里完成的是Privilege與Resource的對象聲明,并沒有真正將Privilege與具體Resource實例聯(lián)系在一起�,形成Operator��。2.Administrator指定Privilege與ResourceInstance的關聯(lián)�。在這一步�����,權限真正與資源實例聯(lián)系到了一起��,產生了Operator(PrivilegeInstance)��。Administrator利用Operator這個基本元素����,來創(chuàng)造
7、他理想中的權限模型�����。如���,創(chuàng)建角色���,創(chuàng)建用戶組�����,給用戶組分配用戶,將用戶組與角色關聯(lián)等等...這些操作都是由Administrator來完成的�����。3.User使用Administrator分配給的權限去使用各個子系統(tǒng)�����。Administrator是用戶�,在他的心目中有一個比較適合他管理和維護的權限模型。于是�����,程序員只要回答一個問題��,就是什么權限可以訪問什么資源����,也就是前面說的Operator。程序員提供Operator就意味著給系統(tǒng)穿上了盔甲����。Administrator就可以按照他的意愿來建立他所希望的權
8��、限框架可以自行增加����,刪除����,管理Resource和Privilege之間關系?����?梢宰孕性O定用戶User和角色Role的對應關系����。(如果將Creator看作是Basic的發(fā)明者,Administrator就是Basic的使用者���,他可以做一些腳本式的編程)Operator是這個系統(tǒng)中最關鍵的部分���,它是一個紐帶,一個系在Programmer����,Administrator,User之間的紐帶����。4權限APIgetPermissionByOrgGuid(StringorgGuid)通
