RBAC中“功能”与“范围”的分离
我正在试图建立一个RBAC权限模型,它允许将权限与应用这些权限的范围分离开来。我一直找不到一个标准的模型来描述这一点。
下面是一个例子:
- 权限包括对资源的操作:
- (见)(操作报告)
- (创建)(操作报告)
- (管理)(发布)
- 角色是权限的集合:
- A(产品经理)可以(管理发布)和(查看操作报告)
- A(操作管理器)可以(创建操作报告)和(查看操作报告)
- 用户可以被分配角色:(Alice)和(Bob)是(产品经理)S
到目前为止,这是标准的RBAC-0。现在,让我们添加另一个正交层:
- (Alice)是“酷新产品(CNP)”的产品经理
- (Bob)是“旗舰产品(FSP)”的产品经理
- (Charlie)是.的(产品经理)
- ..。
这似乎是一个相当常见的用例。
在简单的实现中,我们可以复制每个产品的角色和权限。因此,与其:
- (产品经理)
- (管理)(发布)
- (见)(操作报告)
我们现在有:
- (CNP产品经理)
- (管理) (CNP发行)
- (见) (CNP操作报告)
- (产品经理)
- (管理) (FSP发行版)
- (见)(财务支援计划操作报告)
- ..。
- ..。
这可能很快就会失控。如何对此场景进行建模以避免指数复制?
回答 1
Security用户
发布于 2019-10-05 08:12:37
基于角色的访问控制( RBAC )是管理授权的主要模型,但实现RBAC有一定的局限性和后果。
其后果之一是角色爆炸,需要一个角色的多个版本(副本)单独管理对同一类不同数据集的访问。
以角色为中心的基于属性的访问控制是对传统RBAC模型的扩展,以最小化这种RBAC限制.
与访问控制相关的每个用户和对象都与一组属性相关联。
属性是将访问控制逻辑分配给用户和对象,定义用户和一起工作的方式,如果将相关属性分配给特定用户,那么与对象相关的活动是可用的。
文献中描述了RCABAC的几种方法:
- 使用属性动态地将用户分配给角色,例如将预设的角色分配给组织结构职位,将角色分配给业务功能以简化角色分配。
- 将角色视为另一个属性
- 使用属性限制角色的权限
参考书目
金,X,桑杜,R.和Krishnan,R.,2012年10月.以角色为中心的基于属性的访问控制。在计算机网络安全的数学方法、模型和体系结构国际会议上(第84-96页)。斯普林格柏林海德堡。
题名/责任者:C.D.和Krishnan,R.,2015年7月.将属性集成到基于角色的访问控制中。在国际会计师联合会关于数据和应用安全与隐私的年度会议上(第242至249页)。施普林格,查姆。
作者声明: D.R. Kuhn,E.J.Coyne,T.R. Weil (2010年),添加基于角色的访问控制属性,IEEE计算机(2010年6月)。
其他链接
https://security.stackexchange.com/questions/176062
复制相似问题
腾讯云开发者
