认证与访问控制（崔永泉）访问控制第五章-基于角色访问控制模型.pptVIP

* 许可到权限的映射? 在企业级，为了允许定义不依赖系统的权限，RBAC系统提供了抽象操作和抽象资源。在系统级，每一个抽象操作可一对多地映射到现实系统的具体操作。通过这个映射过程，指定系统通过创建与抽象操作等价的具体操作，完成了对一般操作的翻译问题。与此相似，抽象资源能够一对多地被映射到现实系统中的真实资源 RBAC管理员可集中地以这些抽象操作和抽象资源术语完成权限到角色的指派，因而完成对跨越一个或多个系统的真实资源创建ACLs（亦即权限）的任务 企业级RBAC实例——角色参数化 * Page: * 提纲 RBAC的前世今生 RBAC模型簇 RBAC应用实例分析 ARBAC管理模型 * * * Page: * RBAC2模型 引 入了一个约束（限制）集 规定RBAC0各部件的操作是否可被接受，只有可被接受的操作才被允许。 * Page: * RBAC2模型中的约束分类 互斥限制 同一个用户至多只能指派到相互排斥的角色集合中的一个角色 基数限制 一个角色的用户成员数目受限 一个用户隶属的角色数目也受限 一个权限能指派的角色数目受限 一个角色对应的权限数目也受限 * Page: * RBAC2模型中的约束分类 先决条件限制 一个用户可以被指派到某角色A，仅当他已是另一角色B的成员 一个权限p可以指派给某角色，仅当该角色已拥有另一权限q 运行时的互斥限制 可以允许