身份认证和访问控制(武汉大学国际软件学院信息安全课程).pptVIP

* C.基于角色的访问控制 20世纪90年代出现，可以有效地克服传统访问控制技术中存在的不足之处，减少授权管理的复杂性，降低管理开销。 起源于UNIX系统等操作系统中组的概念 基于角色的访问控制是一个复合的规则，可以被认为是DAC和MAC的变体。一个身份被分配给一个被授权的组。 基本思路：管理员创建角色，给角色分配权限，给角色分配用户，角色所属的用户可以执行相应的权限 * 基于角色的访问控制 所谓角色，就是一个或一组用户在组织内可执行的操作的集合 角色由系统管理员定义，角色成员的增减只能由系统管理员执行，而且授权规定是强加给用户的，用户只能被动接受，用户也不能自主的将访问权限传给他人，这是一种非自主型访问控制 * 基于角色的访问控制 每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作 角色与组的区别 组：一组用户的集合 角色：一组用户的集合 + 一组操作权限的集合 客体1 客体2 客体3 用户1 用户2 用户3 角色1 角色2 权限a 权限b 权限c 权限d * 基于角色的访问控制 传统的访问控制机制直接将访问主体（发出访问操作、存取要求的主动方）和客体（被调用的程序或欲存取的数据访问）相联系 RBAC在主体和客体中间加入了角色，通过角色沟通主体和客体 RBAC中，用户的标识对于身份认证以及审计记录非常有用，但真正决定访问权限的是用户对应的角色标识 * 基