如何通过RBAC来实现自主访问控制.docVIP

如何通过RBAC来实现自主访问控制？ 自主访问控制指对某个客体具有拥有权（或控制权）的主体能够将对该客体的一种访问权或多种访问权自主地授予其它主体，并在随后的任何时刻将这些权限回收。在这种访问控制方式下，用户和权限是直接联系在一起的。 通过角色在用户和权限之间的联系，可适当配置RBAC即可实现传统的自主访问控制。具体做法是： (Oj∈O，置一个角色ROj，具有权限｛r，w，a，d，e，own，c｝。只有ROj有own权限。 若主体Si对客体Oj具有拥有权，在RBAC中，将（Si，ROj）加入 UA 同时将（ r，ROj），（w，ROj），（a，ROj），（d，ROj），（e，ROj），（own，ROj），（c，ROj）也加入PA 客体Oj的拥有者Si可用 Can_assign（ROj，y，{ Oj， Oj， OjOjd，Oje， Ojc}） （其中Ojr， Oj， OjOjd，Oje， Ojc为常规角色，分别具有对Oj的r，w，a，d，e，c权限） 将r，w，a，d，e，c权限授给某些用户；当需要收回相应的权限时使用 can_revoke（OjA，y，{ Ojr， Oj， OjOjd，Oje，Ojrc， Oj， OjOjdc，Ojec }）就可以了。 若主体Si对客体Oj无拥有权，则在RBAC中Si就不是ROj的成员，当然对Oj无own权。 容易看出，这样具体配置以后，就得到