基于角色的权限访问控制(Role-Based Access Control)
角色访问控制(RBAC)引入了role的概念,目的是为了隔离user(即动作主体,subject)与privilege(权限,表示对resource的一个操作,即operation+resource)。role作为一个用户(user)与权限(privilege)的代理层,解耦了权限和用户的关系,所有的授权应该给予role而不是直接给user或 group。privilege是权限颗粒,由operation和resource组成,表示对resource的一个operation。role-privilege是many-to-many的关系,这就是权限的核心。
基于角色的访问控制方法(RBAC)的显著的两大特征是:
1. 由于角色-权限之间的变化比角色-用户关系之间的变化相对要慢得多,减小了授权管理的复杂性,降低管理开销。
2. 灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
RBAC的基本概念:
RBAC认为权限授权实际上是who、what、how的问题。在RBAC模型中,who、what、how构成了访问权限三元组,也就是“who对what(which)进行how的操作”。
who:权限的拥用者或主体(如principal、user、group、role、actor等等)
what:权限针对的对象或资源(resource、class)。
how:具体的权限(privilege,正向授权与负向授权)。
operator:操作。表明对what的how操作。也就是privilege+resource
role:角色,一定数量的权限的集合。权限分配的单位与载体,目的是隔离user与privilege的逻辑关系。
group:用户组,权限分配的单位与载体。权限不考虑分配给特定的用户而给组。组可以包括组(以实现权限的继承),也可以包含用户,组内用户继承组的权限。user与group是多对多的关系。group可以层次化,以满足不同层级权限控制的要求。
RBAC的关注点在于role和user,permission的关系。称为user assignment(UA)和permission assignment(PA)。关系的左右两边都是many-to-many关系。就是user可以有多个role,role可以包括多个user。
以下内容感觉偏理论,不是很好理解,大致看一下就可以了。但是上面权限的RBAC最基本的模型还是要熟记和理解的。加了一个中间层就隔离的变化,真的是牛叉。现在看来这种模型似乎是理所当然的,但是对比这个模型和传统的权限控制模型可以说是很叼了。以后遇到类似的场景也可以通过加入中间层。
一、RBAC96模型
RBAC96模型家族,其中包括了RBAC0~RBAC3四个概念模型。它们之间的关系如下图:
RBAC0定义了能构成一个RBAC控制系统的最小的元素集合
在RBAC之中,包含用户users(USERS)、角色roles(ROLES)、目标objects(OBS)、操作operations(OPS)、许可权permissions(PRMS)五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。会话sessions是用户与激活的角色集合之间的映射。RBAC0与传统访问控制的差别在于增加一层间接性带来了灵活性,RBAC1、 RBAC2、RBAC3都是先后在RBAC0上的扩展。RBAC0模型如下图所示:
RBAC1 引入角色间的继承关系
角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序关系,允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一个树结构。
RBAC2 模型中添加了责任分离关系
RBAC2 的约束规定了权限被赋予角色时,或角色被赋予用户时,以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。责任分离包括静态责任分离和动态责任分离。约束与用户-角色-权限关系一起决定了RBAC2模型中用户的访问许可
RBAC3 包含了RBAC1和RBAC2
既提供了角色间的继承关系,又提供了责任分离关系。RBAC3模型如下图:
二、ARBAC97模型
ARBAC97模型是基于角色的角色管理模型,包括三个部分:
URA97:用户-角色管理模型,该组件涉及用户指派关系UA的管理,该关系把用户与角色管理在一起。对该关系的修改权由管理角色,这样,管理角色中的成员有权管理正规角色中的成员关系。
PRA97:权限-角色管理模型。该组件设计角色许可证的指派与撤销。从角色的观点来看,用户和许可权有类似的特点,它们都是由角色联系在一起的实在实体。
RRA97:角色-层次管理模型,为了便于对角色的管理,对角色又进行了分类。该组件设计3类角色,它们是:
1、能力(Abilitier)角色--仅以许可权和其它能力作为成员的角色
2、组(Groups)角色--仅以用户和其它组为成员的一类角色
3、UP-角色--表示用户与许可权的角色,这类角色对其成员没有限制,成员可以是用户、角色、许可权、能力、组或其它UP-角色
下面是我之前基于RBAC3设计的一个图: