`
williamou
  • 浏览: 37907 次
  • 性别: Icon_minigender_1
  • 来自: 广州
文章分类
社区版块
存档分类
最新评论

NIST RBAC 模型 —— 向统一标准化的努力(7)

阅读更多
第7节 RBAC的其他问题

这一节讨论 RBAC 产品中没有被 NIST RBAC 模型所涉及或者只是部分涉及的问题。RBAC是一个丰富而开放的技术。因此并不适合把所有方面都囊括在一个标准模型里。这节中的某些问题并不适合被标准化。而有些则目前还未达成足够共识去定制标准。

7.1 可扩展性

可扩展性应该是当今互联网快速增长对系统的一个重要的要求。某些产品能够满足 RBAC 第一级模型的要求,但对角色的数量却有很大限制,如16或32。有些产品则提供更大数量,如100个角色的支持。很明显,这是选购产品时的一个关键因素。

可扩展性的考虑是多维的。RBAC 中,包括对角色的数量,许可的数量,角色的层级,用户角色的关联,诸如此类都可能有扩展性的问题。一个产品可以有选择的制定自己的扩展性指标。

总的来说,我们可以采用如下的规模标准:

小规模:10-100
中规模:100-1000
大规模:1000以上

一个产品可能在支持小规模的角色数量,但对用户数量提供大型的支持。

7.2 认证

NIST RBAC 模型并没有提到认证的问题。用户应当如何认证以及如何与角色关联。某些情况下,这是影响产品易用性的重要因素之一。这已经是超出访问控制模型的范畴,应该是系统架构和机制的考虑内容。

7.3 反向许可

NIST 模型基于正向许可,即定义“谁能做什么”。但 NIST 模型并没有排除许可去定义“谁不能干什么”,我们称之为反向许可。厂商可以自由决定是否提供对反向许可的支持。但厂商或者用户注意到,反向许可可能会造成混乱,特别是在传统架构中。通常来说,用约束来实现相同效果可能更为明智。

7.4 许可的性质

NIST RBAC 模型并没有规定许可的性质。许可可以定义在很细的粒度(例如某个对象个体),也可以定义在很粗的粒度(如整个子系统)。许可也可以定义为很基本的操作,如读和写;但也可以定义为抽象的操作,如借和贷。许可更应该可以个性化的,如内科医生角色可以查看病历,但应该仅限查看该位医生所负责的病人的病历。许可的真正性质,应当是被产品的性质所决定。操作系统,数据库管理系统,工作流系统,网络管理系统各有不同种类的许可。这些许可的标准化,似乎已经超越了一个通用访问控制模型的讨论范围。

7.5 角色自主激活

NIST RBAC 模型没有明确允许用户可以在特定会话中指定要激活的角色。唯一要求是支持一个用户同时激活多个角色。这就排除了那些同时只支持激活一个角色的产品。有些现有产品无需用户选择,激活会话中的所有角色。有些则默认激活角色,然后让用户去自主决定删减。NIST RBAC 模型没有在这方面做一个要求。这可以由厂商根据自身需要决定,以此作为其产品特点。

7.6 角色工程

NIST RBAC 模型没有提供关于角色的设计,以及用户-角色,许可-角色关联关系设计的指引。这就称为角色工程。在大型系统中RBAC 的高效应用,很大程度得益于出色的角色工程。尽管如此,这个问题并不在 NIST RBAC 模型的讨论范围中。

7.7 约束

NIST RBAC 模型提出了职责分离(SOD)约束。支持 SOD 已作为第三级模型的要求。但具体形式并没有在 NIST RBAC 模型中规定。NIST 模型区分了静态和动态的 SOD。但是实际上还有其他很多类型的SOD。例如,以角色,许可,用户为中心的SOD已出现在最近的相关文档中。
SOD 是一个禁止类约束的例子,明确某些事情不能发生。RABC 也可以采用强制类约束,去要求某些事情必须发生。强制类约束这个概念可能过于新,而目前还未能采纳到标准模型中。

7.8 RBAC 管理

NIST RBAC 模型没有明确如何处理用户-角色关联,许可-角色关联和角色层次的授权问题。为了解决这个问题,多个模型已经在相关文献中出现。某些模型归根于传统的自主型访问控制,角色所有者可以处理该角色的所有权限。其他模型则将中心管理授权集中在一个安全管理员的角色上。一个基于管理角色的分散式管理模型最近被提出。但由于过多分歧,NIST RBAC 模型没有管理相关的内容。

7.9 角色变更

角色变更的具体做法并没有在 NIST RBAC 模型中规定。主要是发生角色变更时的生效时限问题。当去除用户上的一个角色,如何处理已激活该角色的会话呢?允许该用户完成会话,或者是去除的角色应当即时失效?这是一个很难处理的问题,特别在于分布式系统中,要确保某些动作及时执行是十分困难的。NIST RBAC 模型没有规定的角色变更的做法,但这是一个厂商和用户都需要关注的问题。
分享到:
评论

相关推荐

    NIST RBAC 模型 —— 向统一标准化的努力

    本文描述了一个RBAC(基于角色的访问控制)的统一模型。RBAC是一个已被证实可用于大规模授权控制应用的技术。

    NIST RBAC模型 pdf 【英文】

    NIST RBAC模型的优势在于它的模块化和标准化,允许组织根据自身需求定制安全策略。此外,由于角色是权限的载体,变动管理变得更为简单,例如添加新用户或调整权限时,只需要调整角色配置即可。同时,该模型也有助于...

    面向多客体的细粒度RBAC模型及应用

    2001年,美国国家标准与技术研究院(NIST)发布了一份RBAC建议标准,其中包含了RBAC参考模型和功能规范两大部分。参考模型主要包括以下四个层次: - **核心RBAC**:这是所有RBAC系统的基础,定义了角色、用户和权限...

    基于RBAC模型的通用权限管理系统的设计(数据模型)

    NIST标准RBAC模型由四个部件模型组成,分别是基本模型RBAC0(Core RBAC)、角色分级模型RBAC1(Hierarchal RBAC)、角色限制模型RBAC2(Constraint RBAC)和统一模型RBAC3(Combines RBAC)。RBAC0模型定义了能构成...

    RBAC模型基于角色-功能-资源的权限控制模型.pdf

    NIST(美国国家标准与技术研究院)对RBAC模型也有着重要贡献,它不仅定义了RBAC的术语和概念,还制定了相关的标准。通过这些标准,可以确保不同的系统和应用程序之间在权限控制方面的一致性和互操作性。 文档内容中...

    基于RBAC模型的通用权限管理系统的设计

    总的来说,基于RBAC模型的权限管理系统提供了一种标准化的方法来控制用户对系统资源的访问,通过角色的定义和管理,降低了权限分配的复杂性,增强了系统的安全性。此外,通过角色继承和责任分离机制,系统能够更好地...

    基于RBAC模型的细粒度权限控制

    NIST的RBAC模型包括四个组件:基本模型RBAC0、角色分级模型RBAC1、角色限制模型RBAC2和统一模型RBAC3。这些模型分别处理角色的层级结构、权限约束以及不同RBAC特性的组合。例如,RBAC1允许角色间的层次结构,使得...

    RBAC模型的通用权限管理系统的设计

    这种模型由NIST定义的四个部件模型构成:RBAC0、RBAC1、RBAC2和RBAC3。RBAC0是最基础的模型,包括用户、角色、目标、操作和权限五个基本数据元素。用户通过角色获得权限,角色与权限的绑定减少了管理复杂性。RBAC1...

    基于RBAC的权限设计模型

    RBAC模型由美国国家标准与技术研究院(NIST)提出,主要包括以下四个部分: 1. **基本模型RBAC0(Core RBAC)**:这是构成一个RBAC控制系统的最小元素集合,包括用户、角色、目标、操作和许可权等五个基本数据元素...

    行业文档-设计装置-基于RBAC模型的临时授权系统.zip

    RBAC模型是1992年由NIST(美国国家标准与技术研究所)提出的一种权限分配机制。它基于三个核心概念:用户、角色和权限。用户通过扮演不同的角色来获得相应的权限,而角色是权限的集合。这种模型降低了权限管理的...

    基于rbac系统硕博论文

    RBAC模型由美国国家标准与技术研究院(NIST)提出,主要包括四个组成部分: 1. **基本模型RBAC0**:定义了构成RBAC控制系统的最小元素集合,包括用户、角色、目标、操作、权限等基本数据元素。权限被赋予角色而非...

    最好的RBAC_权限设计

    NIST (The National Institute of Standards and Technology,美国国家标准与技术研究院)标准RBAC模型由4个部件模型组成,这4个部件模型分别是基本模型RBAC0(Core RBAC)、角色分级模型RBAC1(Hierarchal RBAC)...

    基于RBAC的权限设计模型.doc

    NIST定义的RBAC模型由四个基本组件构成: 1. **RBAC0(核心RBAC)**:这是RBAC模型的基础,包括用户(users)、角色(roles)、目标(objects)、操作(operations)和权限(permissions)五大数据元素。权限不直接...

    美国NIST云计算安全标准跟踪及研究

    1. **参考架构和分类**:利用现有标准化机构或其他组织的工作成果,结合NIST内部工作组的努力,开发一套适用于联邦政府的云计算路线图。该路线图将集成于联邦政府的整体云计算策略之中。相关成果包括SP500-292《NIST...

    NIST Sp800-22随机数测试标准

    ### NIST SP 800-22 随机数测试标准详解 #### 引言 随机数在密码学及信息安全领域扮演着至关重要的角色。它们被广泛应用于密钥生成、加密算法、数字签名等核心安全机制之中。为了确保这些机制的安全性和有效性,...

    经典的基于RBAC的权限设计

    NIST定义了四种RBAC模型:RBAC0、RBAC1、RBAC2和RBAC3,它们在RBAC0的基础上逐步增加了继承关系和责任分离等特性。 1. **RBAC0模型**:这是RBAC的基础模型,包含用户、角色、目标、操作和权限五个基本元素。用户...

    nist sp800-16标准

    根据给定文件信息,我们将详细解读“NIST SP800-16标准”的相关知识点,该标准被命名“NIST Special Publication 800-16 Revision 1 (3rd Draft): A Role-Based Model for Federal Information Technology/Cyber...

Global site tag (gtag.js) - Google Analytics