4 基于角色的访问控制v10.pptVIP

第四讲 基于角色的访问控制(Role-Based Access Control) 80年代末90年代初，NIST（美国国家标准技术研究所）的安全专家（David.F Ferraiolo等)对质疑TCSEC(可信计算机系统评估准则)和MAC/DAC能否适应日益增长的安全需求，并提出了新的访问控制技术－RBAC。一些安全专家开始转向这个领域的研究如George Mason U的Ravi Sandhu。 1995年Ravi Sandhu等人对NIST的成员于92年提出的RBAC模型和理论进行了扩展，提出了RBAC0，并构造了RBAC96模型族。 第四讲 基于角色的访问控制(Role-Based Access Control) 一 什么是基于角色的访问控制 在一个组织机构里系统为不同的工作岗位创造对应的角色,对每一个角色分配不同的操作权限,根据用户在组织机构中的职责或任务为其指派相应的角色,用户通过所分配的角色获得相应的权限,实现对信息资源的访问. 用户－角色－ 权限 用户、角色、权限的关系 如下2个图所示： 图1 图2 由此：用户与角色－多对多 角色与权限－多对多 ? 用户与权限－多对多 RBAC的