认证与访问控制（崔永泉）访问控制第七章-基于角色访问控制的管理模型.pptVIP

* 在层次图中删除一个角色是一件复杂的事情 我们假定在一个授权范围内的角色可以由该授权范围的管理员删除， 而不管这个角色是如何加入到这个授权范围的 RRA97模型——Delete Role * 为了避免悬挂引用，RRA97提供两种选择： 被can_assign,can_revoke和can_modify引用的角色不能被删除。 当需要删除被can_assign,can_revoke和can_modify引用的角色时，可以使它们进入不活动状态（inactive, 休眠状态）。 RRA97模型——Delete Role * 插入一条过渡边是毫无意义的，因此我们只考虑在不可比角色间插入边。当一条边插入后，我们必须保证授权范围的封闭性没有被破坏， 插入边的两个角色必须具有相同的直接授权范围；或者 如果新插入的边的一个角色在授权范围内，而另一个角色在授权范围外，则授权范围的封闭性一定不能被破坏。 RRA97模型——Create RH * 删除过渡边不会改变角色层次，因此对过渡边的删除是毫无意义的。在RRA97中，我们只考虑那些在删除后会改变角色层次的边。如果边AB不是这样的，那么它就不适合作为被删除边。 RRA97模型——Delete RH * RRA97模型——Delete RH * RRA97模型——Delete RH * RRA97模型——总结篇 ARBAC97有三个部分组成： URA9