RBAC(DAC)模型
基于角色的访问控制模型
⟨𝑈 , 𝑆,𝑂,𝑂𝑝, 𝑅, 𝑃𝐸𝑅𝑀𝑆, 𝑅𝐻,𝑈𝐴, 𝑃𝐴,𝐶⟩
U:用户集
S:会话集
O:资源集
Op:操作集
R:角色集
PERMS:OxOp:权限集
RH:RXR(是 𝑅 的偏序,表示角色的层次结构,其中 (𝑟1, 𝑟2) ∈ 𝑅𝐻 意味着𝑟1 在层次结构中更高,因此继承了𝑟2 的所有权限。这也表示为𝑟1 > 𝑟2)
UA:UXR用户分配角色
PA:是从权限到角色的多对多映射,称为权限-角色分配
C:用于各种 RBAC 配置组件的约束,例如𝑈𝐴、𝑃𝐴、𝑅𝐻等
优缺点:
通过角色和角色层次结构,RBAC 可以轻松捕获组织的结构。
• RBAC 策略易于管理和扩展。
• 由于权限是通过角色映射分配给用户的,因此很容易找到详细信息,例如用户在任何时间点可用的权限集以及具有特定权限的用户集。 这有助于风险评估和事件分析。
RBAC 的缺点:
• 通过角色工程创建 RBAC 策略是一项复杂且耗费资源的任务。
• 策略是粗粒度的。 尝试更精细的粒度通常会导致角色爆炸。
• RBAC 不支持基于时间、日期、位置等参数的授权,这使得在动态环境中使用它具有挑战性。