|
|
知识路径: > 访问控制技术原理与应用 > 访问控制类型 > 基于角色的访问控制 >
|
|
相关知识点:10个
|
|
|
|
|
通俗地说,角色(role)就是系统中的岗位、职位或者分工。例如,在一个医院系统中,医生、护士、药剂师、门卫等都可以视为角色。所谓基于角色的访问控制(RBAC)就是指根据完成某些职责任务所需要的访问权限来进行授权和管理。RBAC由用户(U)、角色(R)、会话(S)和权限(P)四个基本要素组成,如下图所示。
|
|
|
|
|
|
|
|
在一个系统中,可以有多个用户和多个角色,用户与角色的关系是多对多的关系。权限就是主体对客体的操作能力,这些操作能力有读、写、修改、执行等。通过授权,一个角色可以拥有多个权限,而一个权限也可以赋予多个角色。同时,一个用户可以扮演多个角色,一个角色也可以由多个用户承担。在一个采用RBAC作为授权存取控制的系统中,由系统管理员负责管理系统的角色集合和访问权限集合,并将这些权限赋予相应的角色,然后把角色映射到承担不同工作职责的用户身上。RBAC的功能相当强大、灵活,适用于许多类型的用户需求。
|
|
|
|
目前,Windows NT、Windows 2000、Solaris等操作系统中都采用了类似的RBAC技术。下图是Windows 2000用户授权策略示意图,Windows 2000系统将操作权限分成多种类型,如关闭系统、备份文件、管理系统审核和安全日志等,然后系统把这些操作权限授予不同组(类似角色),如备份操作员(Backup Operators)、管理员(Administrators)、账户操作员(Account Operators)等,当系统创建一个用户时,通过将用户指定到某个组来实现权限的授予。
|
|
|
|
|
|
|
