基于角色的访问控制的.ppt
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
管理员 角色层次
管理员 角色
管理权限 角色指派
管理 权限
2021/3/2
硕士论文答辩
10
内容提要
RBAC模型概述 多维RBAC模型及其应用
多维RBAC模型MDRBAC 多维RBAC管理模型MDARBAC 多维RBAC模型的实现与应用
RBAC实现的缓存机制 RBAC模型处理中间件 结论
有 u IRH v d ui i vi i1
IRH是一个偏序
显式角色层次ERH RR 是R上的偏序关系,记为 ERH
RH RR 是R上的一个关系,记为 。 u v 当且仅当
u IRH v ,或u ERH v,或存在 wR ,有 u w 且 w v
显式角色层次限制条件ERHC:u,vRu vv u u v
d 个互不相交的实体集VR1,VR2, ,VRd,称为虚拟角色 维,其中的元素称虚拟角色,d 称为角色维数
角色集 R
UAU R
为各个虚拟角色维的直积,即 R ,为多对多的用户角色指派关系
d
i1VRi
PA PR ,为多对多的权限角色指派关系
user :S U ,映射每个会话到一个用户
roles:S 2R ,映射每个会话到一组角色,有
素的组合合法性
限制在MDRBAC2中有更丰富的形式
限制可定义于虚拟角色集上 角色基数可以通过定义虚拟角色基数得到 角色互斥可以定义在虚拟角色集上
2021/3/2
硕士论文答辩
16
多维RBAC模型MDRBAC (5)
MDRBAC3
VRH1
VR1
VRH2
VRHd
VR2
...
ቤተ መጻሕፍቲ ባይዱ
VRd
2021/3/2
2021/3/2
硕士论文答辩
12
多维RBAC模型MDRBAC (1)
类似RBAC96模型的层次关系 在每一层次上扩展RBAC96模型
MDRBAC3
MDRBAC1
MDRBAC2
MDRBAC0
2021/3/2
硕士论文答辩
13
多维RBAC模型MDRBAC (2)
MDRBAC0
若干实体集U(用户集),P(权限集),S(会话集)
基于角色的访问控制的 理论与应用研究
姓 名: 俞 诗 鹏 专 业: 应 用 数 学 方 向:网络信息安全 导 师: 林作铨 教授
2003.6.
本文主要工作
多维RBAC模型及其应用
在理论上扩展RBAC基本模型
RBAC实现的缓存机制
在应用层提高访问控制效率
RBAC模型处理中间件
结合理论层和应用层结果 模块化处理
2021/3/2
硕士论文答辩
11
多维RBAC模型的提出
出发点
现有模型中角色的语义不清楚 角色继承关系和限制过于复杂
总公司经理
总公司
经理
总公司开发 分公司开发
分公司经理 总公司销售 总公司职员 分公司销售 分公司职员
开发 人员
销售 人员
分公司
普通职员
解决方案
在角色集中引入“角色维数” 概念,细化角色定义 利用角色命名机制简化角色继承关系的查找
roless {r |user(s),r UA}
2021/3/2
硕士论文答辩
14
多维RBAC模型MDRBAC (3)
MDRBAC1
U, P, S, VRi , R, UA, PA, user同MDRBAC0
VRHiVRi VRi 是集合VRi上的一个偏序关系,记为 i
隐式角色层次 IRH RR 是R上的一个关系,记为 IRH,
2021/3/2
硕士论文答辩
7
RBAC主流模型——RBAC96 (2)
RBAC96模型基本框架
用户
用户角色 指派
角色层次
角色
权限角色 指派
权限
会话
限制
2021/3/2
硕士论文答辩
8
RBAC主流模型——ARBAC97 (1)
基本思想
在RBAC模型内部实现对各部分元素的管理 引入“管理员角色”实施管理 引入“角色区间”刻划管理职责
硕士论文答辩
5
基于角色的访问控制
背景
主体和客体的数量级增大,传统模型很难适用 Web上的访问控制成为主流研究课题
基本思想
提出“角色”作为授权中介 定义不同层次的访问控制模型用于不同应用背景 利用RBAC模型本身实施模型管理
主流模型
RBAC96:RBAC基本模型 Sandhu et al. 1996 ARBAC97:RBAC管理模型 Sandhu et al. 1997
U 用户
UA 用户角色授权
R 角色
PA 权限角色授权
P 权限
user
2021/3/2
硕士论文答辩
4
访问控制
背景
计算机安全中的重要组成部分 存在于操作系统,数据库,Web等各个层面
目标
允许被授权的主体对某些客体的访问 拒绝向非授权的主体提供服务
主要模型
传统模型:自主访问控制(DAC),强制访问控制(MAC) 新模型:基于角色的访问控制(RBAC)
2021/3/2
ARBAC97模型的基本组成部分
URA97: 用户角色指派管理 PRA97: 权限角色指派管理 RRA97: 角色继承关系管理
2021/3/2
硕士论文答辩
9
RBAC主流模型——ARBAC97 (2)
ARBAC97模型基本框架
用户角色 指派
角色层次 会话
角色
权限角色指派
权限
用户
限制
管理用户 角色指派
2021/3/2
硕士论文答辩
2
内容提要
RBAC模型概述 多维RBAC模型及其应用 RBAC实现的缓存机制 RBAC模型处理中间件 结论
2021/3/2
硕士论文答辩
3
内容提要
RBAC模型概述
访问控制与传统模型 RBAC主流模型RBAC96和ARBAC97
多维RBAC模型及其应用 RBAC实现的缓存机制 RBAC模型处理中间件 结论
2021/3/2
硕士论文答辩
6
RBAC主流模型——RBAC96 (1)
分层的RBAC基本模型
RBAC0: 含有RBAC核心部分 RBAC1: 包含RBAC0,另含角色继承关系(RH) RBAC2: 包含RBAC0,另含限制(Constraints) RBAC3: 包含所有层次内容,是一个完整模型
roles:S 2R
作如下改动 roless r | r r
user(s),r
UA
如果ERH满足ERHC条件,则RH是一个偏序
2021/3/2
硕士论文答辩
15
多维RBAC模型MDRBAC (4)
MDRBAC2
MDRBAC0中的所有元素 一组限制条件,用于刻画MDRBAC0中各元