计算机安全-课件（程绍银）chap04a-Other-Access-Control.pdf

其他访问控制 程绍银 sycheng@ustc.edu.cn 计算机安全 引言 访问控制的概念 认证与授权 访问操作 所有权 访问控制结构 中间结构 偏序  其他模型 计算机安全 2 其他模型 自主访问控制模型 （DAC ） 强制访问控制模型 （MAC ） 基于角色的访问控制 （RBAC ） 基于任务的访问控制 （TBAC ） 基于对象的访问控制 （OBAC） 信息流模型 计算机安全 3 访问控制的一般策略 计算机安全 4 其他模型 自主访问控制模型 （DAC ） 强制访问控制模型 （MAC ）  基于角色的访问控制 （RBAC ） 基于任务的访问控制 （TBAC ） 基于对象的访问控制 （OBAC） 信息流模型 计算机安全 5 基于角色的访问控制 （RBAC） DAC和MAC ：直接赋予使用者权限 将访问权限分配给角色，用户通过被指派为角 色从而获得角色所拥有的访问权限 1996年，莱威·桑度（Ravi Sandhu）等人在前 人的理论基础上，提出以角色为基础的访问控 制模型，故该模型又被称为RBAC96 2001年，美国国家标准局重新定义了以角色为 基础的访问控制模型，并将之纳为一种标准， 称之为NIST RBAC 计算机安全 6 NIST RBAC模型 2001年提出的NIST标准RBAC模型是各 类基于角色的访问控制模型的基础，由4 个子模型组成 基本模型RBAC0(Core RBAC) 等级模型RBAC1(Hierarchal RBAC) 约束模型RBAC2(Constraint RBAC) 统一模型RBAC3(Combines RBAC) 计算机安全 7 RBAC0模型 五个基本数据元素 用户users、角色roles、目标objects 、操作 operations 、许可权permissions 基本思想：权限被赋予角色，而不是用户 当一个角色被指定给一个用户时，此用户就 拥有了该角色所包含的权限 会话sessions ：用户激活的角色集合 RBAC1、RBAC2、RBAC3都是在 RBAC0上的扩展 计算机安全 8 RBAC1 RBAC1引入了角色的等级和角色间的继 承关系