基于角色的访问控制程序能力评测平台(3)
Django 中间件技术、Mysql 数据库、Redis 数据库、RabbitMQ 消息队列、Nginx 反向代理服
务器、uWSGI、supervisor、KVM 虚拟化技术等。2 基于角色的访问控制概述
本章将介绍访问控制,比较几个访问控制模型,进而介绍 RBAC 模型的优点及其基本思
想、模型概述,主要参考国家标准文献《基于角色的访问控制模型和管理规范》[4]
,为后续
的设计开发工作做了理论的准备。
2.1 访问控制技术
访问控制(access control)是用来实施对资源访问加以限制的,并拒绝向非授权的主体提
供服务的策略机制,是一种把资源的访问只限制与那些被授权的用户。传统的访问控制方法
是在 1983 年美国国防部的《计算机系统可信赖性评估标准》(TCSEC)定义的两种访问控制
方法:自主访问控制(Discretionary Access Control,DAC)和强制访问控制(Mandatory Access
Control,MAC)。但是,DAC 是需要根据访问者和他所属于的组织的身份来确认是否对客
体有授权访问,由于本身可以将授权转移,所以难以收回赋予的访问权限,使得最终客体的
所有者都难以控制访问许可;MAC 需要系统管理者对所有资源进行强制指定安全标签、安全
属性,定义安全级别,它的特点是体现在客体安全级别的敏感性上,而不是主体的行为属性,
该访问控制的缺点是实现的工作量太大,管理不方便。总的说,这两种访问控制方式都缺乏
弹性,权限等级单一,可满足小型系统,简单权限管理,随着 Web 服务的兴起,这两种方式
都无法适应访问控制的需求日益增加。
2.2 RBAC 概述
RBAC 的基本思想是:在用户和权限之间引入角色,将访问权限和角色相互联系,通过
给用户进行分配合适的角色,进而使得用户与访问的权限间接地相互联系。这样做的好处是,
不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的
权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。
角色是根据不同的业务需求而设置的,可以根据用户在业务行为中的职权和责任来设定
他们的角色。RBAC 的特点在于它将安全性放在了一个更加接近组织结构的自然层面上进行
管理,使得与现实生活更为贴近,更易于理解。
RBAC 模型最重要的是四个部分的组件——核心 RBAC、角色层次 RBAC、职责分离
RBAC、动态职责分离 RBAC,除了核心 RBAC 组件外,其他组件都可以彼此相互独立,并
且可以独立实现,每个模型组件都会定义一些元素集、元素集之间的关系、一些映射函数。
2.2.1 核心RBAC