1.是什麼
基於角色的訪問控制:根據角色分配許可權
2.NIST標準包含的4級RBAC模型
2.1 RBAC0(Core RBAC):基本模型有三個元素:使用者、角色和許可權。
模型設計基於“多對多”原則,即多個使用者可以具有相同的角色,一個使用者可以具有多個角色。同樣,您可以將同一許可權分配給多個角色,也可以將同一角色分配給多個許可權。
2.2 RBAC1(Hierarchical RBAC):新增了第四個元件-層次結構,它定義了不同角色之間的資歷關係。
透過允許高階角色自動獲取下級角色的許可權,可以消除冗餘,例如在角色重疊時必須指定某些許可權。
分層RBAC支援幾種型別的層次結構:
樹:自底向上的層次結構,樹底部的元素將許可權授予更高的元素。例如,底部是一個具有常規許可權的部門角色,所有許可權比較小,上面的節點除了繼承底部節點的許可權,還可以新增自有的許可權,這可以滿足不同部門擁有不用的許可權也有相同的許可權的需求。
倒樹:自上而下的層次結構,其中高階角色將其部分許可權繼承給下級角色。這種結構中層節點的許可權均繼承於底部節點,所以同層節點不存在共享許可權。
網格:自下而上和自上而下的組合,其中每個角色都可以從其下方和上方的節點繼承許可權。此種結構相對比較靈活,既可以有共享許可權,也可以有自有許可權,且頂級節點擁有最大的許可權。
2.3 RBAC2(Static separation of duty (SSD) relations):為了在存在利益衝突策略的情況下提供幫助,將根據使用者分配新增角色之間的關係。例如,作為一個角色的成員的使用者將無法被指派為具有利益衝突的角色的成員。
2.4 RBAC3(Dynamic separation of duty (DSD) relations):與SSD一樣,DSD限制了可用的使用者許可權,但基於不同的上下文。例如,根據會話期間執行的任務,使用者可能需要不同級別的訪問,DSD限制會話期間啟用的許可權。
3.其他策略
基於屬性的訪問控制(ABAC)
訪問控制列表(ACL)
基於策略的訪問控制(PBAC)
身份和訪問管理(IAM)