【正文】 ? 目標 objects（ OBS）、操作 operations(OPS)、 ? 許可權(quán) permissions(PRMS) ? ? 關(guān)系： ? 多對多，用戶被分配一定角色，角色被分配一 ? 定的許可權(quán) ? ? 會話 sessions: 是用戶與激活的角色集合之間的 ? 映射 2022/2/8 56 ? 角色關(guān)系 ? ? 偏序關(guān)系（ partial orders) ? 自反 (reflexive) ? 傳遞 (transitive) ? 反對稱（ antisymmetric) 2022/2/8 57 ? 基于角色的訪問控制有以下五個特點 。 ? 1) 以角色作為訪問控制的主體 ? 用戶以什么樣的角色對資源進行訪問 ， 決定了用戶擁有的權(quán)限以及可執(zhí)行何種操作 。 ? 2) 角色繼承 ? 為了提高效率，避免相同權(quán)限的重復設(shè)置，RBAC采用了“角色繼承”的概念，定義的各類角色，它們都有自己的屬性，但可能還繼承其它角色的屬性和權(quán)限。角色繼承把角色組織起來，能夠很自然地反映組織內(nèi)部人員之間的職權(quán)、責任關(guān)系。 2022/2/8 58 ? 角色繼承可以用祖先關(guān)系來表示 ， 如圖 129所示 ， 角色 2是角色 1的 “ 父親 ” ， 它包含角色 1的屬性和權(quán)限 。 在角色繼承關(guān)系圖中 ， 處于最上面的角色擁有最大的訪問權(quán)限 ， 越下端的角色擁有的權(quán)限越小 。 2022/2/8 59 角色 3 角色 4角色 2角色 1包含 包含包含圖 129 角色繼承 2022/2/8 60 ? 3) 最小特權(quán)原則 (Least Privilege Theorem) ? 最小特權(quán)原則是系統(tǒng)安全中最基本的原則之一。所謂最小特權(quán)，是指“在完成某種操作時所賦予網(wǎng)絡(luò)中每個主體 (用戶或進程 )的必不可少的特權(quán)”。 最小特權(quán)原則 則是指“應限定網(wǎng)絡(luò)中每個主體所必須的最小特權(quán)，確保由于可能的事故、錯誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小”。換句話說，最小特權(quán)原則是指用戶所擁有的權(quán)利不能超過他執(zhí)行工作時所需的權(quán)限。 2022/2/8 61 ? 實現(xiàn)最小權(quán)限原則，需分清用戶的工作內(nèi)容，確定執(zhí)行該項工作的最小權(quán)限集，然后將用戶限制在這些權(quán)限范圍之內(nèi)。在 RBAC中，可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設(shè)計擁有不同權(quán)限的角色，只有角色執(zhí)行所需要的才授權(quán)給角色。當一個主體需訪問某資源時，如果該操作不在主體當前所扮演的角色授權(quán)操作之內(nèi)，該訪問將被拒絕。 ? 最小特權(quán)原則一方面給予主體“必不可少”的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務或操作；另一方面，它只給予主體“必不可少”的特權(quán)，這就限制了每個主體所能進行的操作。 2022/2/8 62 ? 職員的分工等設(shè)計擁有不同權(quán)限的角色 ， 只有角色執(zhí)行所需要的才授權(quán)給角色 。 當一個主體需訪問某資源時 ， 如果該操作不在主體當前所扮演的角色授權(quán)操作之內(nèi) ， 該訪問將被拒絕 。 ? 最小特權(quán)原則一方面給予主體“必不可少”的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務或操作；另一方面，它只給予主體“必不可少”的特權(quán)，這就限制了每個主體所能進行的操作。 2022/2/8 63 ? 最小特權(quán)原則要求每個用戶和程序在操作時應當使用盡可能少的特權(quán) ， 而角色允許主體以參與某特定工作所需要的最小特權(quán)去控制 (Sign)系統(tǒng) 。特別是被授權(quán)擁有高特權(quán)角色 (Powerful Roles)的主體 ， 不需要動輒使用到其所有的特權(quán) ， 只有在那些特權(quán)有實際需求時 ， 主體才會運用它們 。 如此一來 ， 可減少由于無意的錯誤或是入侵者假裝合法主體所造成的安全事故 。 另外它還減少了特權(quán)程序之間潛在的相互作用 ， 從而盡量避免對特權(quán)無意的 、 沒必要的或不適當?shù)氖褂?。 這種機制還可以用于計算機程序：只有程序中需要特權(quán)的代碼才能擁有特權(quán) 。 2022/2/8 64 ? 4) 職責分離 (主體與角色的分離 ) ? 對于某些特定的操作集 ， 某一個角色或用戶不可能同時獨立地完成所有這些操作 。 “ 職責分離 ” 可以有靜態(tài)和動態(tài)兩種實現(xiàn)方式 。 ? 靜態(tài)職責分離：只有當一個角色與用戶所屬的其它角色彼此不互斥時 ， 這個角色才能授權(quán)給該用戶 。 ? 動態(tài)職責分離：只有當一個角色與一主體的任何一個當前活躍角色都不互斥時 ， 該角色才能成為該主體的另一個活躍角色 。 2022/2/8 65 ? 5) 角色容量 ? 在創(chuàng)建新的角色時 ， 要指定角色的容量 。 在一個特定的時間段內(nèi) ， 有一些角色只能由一定人數(shù)的用戶占用 。 ? 基于角色的訪問控制是根據(jù)用戶在系統(tǒng)里表現(xiàn)的活動性質(zhì)而定的 ， 這種活動性質(zhì)表明用戶充當了一定的角色 。 用戶訪問系統(tǒng)時 ， 系統(tǒng)必須先檢查用戶的角色 ， 一個用戶可以充當多個角色 ，一個角色也可以由多個用戶擔任 。 2022/2/8 66 ? 基于角色的訪問控制機制有幾個優(yōu)點：便于授權(quán)管理 、 便于根據(jù)工作需要分級 、 便于賦于最小特權(quán) 、 便于任務分擔 、 便于文件分級管理 、便于大規(guī)模實現(xiàn) 。 ? 基于角色的訪問控制是一種有效而靈活的安全措施 ， 目前仍處在深入研究之中 。 2022/2/8 67 ? 總結(jié) ? 訪問控制作為安全防御措施的一個重要環(huán)節(jié) ， 其作用是舉足輕重的 。 自主訪問控制機制雖然有著很大的靈活性 ， 但同時也存在著安全隱患；強制訪問控制機制雖然大大提高了安全性 ， 但是在靈活性上就會大打折扣 。 這兩種傳統(tǒng)的訪問控制機制存在的問題使得訪問控制的研究向著新的方向發(fā)展 ， 基于角色的訪問控制機制就是在這種形勢下的產(chǎn)物 ， 它克服了傳統(tǒng)的訪問控制機制的不足 ， 是一種有效而靈活的安全策略 ， 它是未來訪問控制的發(fā)展趨勢 。 2022/2/8 68 ? 訪問控制策略分為幾類 ,各有何特點。