中国移动日增约62万5G套餐用户

（2）BLP模型的优缺点

BLP模型的优点如下。

① BLP模型是一种严格的形式化描述。

② BLP模型控制信息只能由低向高流动，这能满足军事部门这一类对数据保密性要求特别高的机构的需求。

BLP模型的缺点如下。

① 上级对下级发文受到限制。

② 部门之间信息的横向流动被禁止。

③ 缺乏灵活、安全的授权机制。

5、基于角色的访问控制

基于角色的访问控制（Role-based Access Control，RBAC）是美国NIST提出的一种新的访问控制技术。该技术的基本思想是将用户划分成与其所在组织结构体系相一致的角色，并将权限授予角色而不是直接授予主体，主体通过角色分派来得到客体操作权限从而实现授权。由于角色在系统中具有相对于主体的稳定性，更便于直观地理解，因此可以大大降低系统授权管理的复杂性，减少安全管理员的工作量。

在RBAC的发展过程中，最早出现的是RBAC96模型和ARBAC模型，此处只对RBAC96模型进行介绍。RBAC96模型的成员包括RBAC0、RBAC1、RBAC2和RBAC3。RBAC0是基于角色访问控制模型的基本模型，规定了RBAC模型的最小需求；RBAC1为角色层次模型，在RBAC0的基础上加入了角色继承关系，可以根据组织内部职责和权利来构造角色与角色之间的层次关系；RBAC2为角色的限制模型，在RBAC0的基础上加入了各种用户与角色之间、权限与角色之间以及角色与角色之间的限制关系，如角色互斥、角色最大成员数、前提角色和前提权限等；RBAC3为统一模型，它不仅包括角色的继承关系，还包括限制关系，是RBAC1和RBAC2的集成。

基于角色访问控制的要素包括用户、角色、许可等基本定义。在RBAC中，用户就是一个可以独立访问计算机系统中的数据或者用数据表示的其他资源的主体。角色是指一个组织或任务中的工作或者位置，它代表了一种权利、资格和责任。许可（特权）就是允许对一个或多个客体执行操作。一个用户可经授权而拥有多个角色，一个角色可由多个用户构成；每个角色可拥有多种许可，每个许可也可授权给多个不同的角色。每个操作可施加于多个客体（受控对象），每个客体也可以接受多个操作。上述要素的实现形式介绍如下。

① 用户表（USERS）包括用户标志、用户姓名、用户登录密码。用户表是系统中的个体用户集，会随用户的添加与删除动态变化。

② 角色表（ROLES）包括角色标识、角色名称、角色基数、角色可用标识。角色表是系统角色集，角色是由系统管理员来定义的。

③ 客体表（OBJECTS）包括对象标志、对象名称。客体表是系统中所有受控对象的集合。

④ 操作算子表（OPERATIONS）包括操作标志、操作算子名称。系统中所有受控对象的操作算子构成了操作算子表。

⑤ 许可表（PERMISSIONS）包括许可标志、许可名称、受控对象、操作标志。许可表给出了受控对象与操作算子的对应关系。

RBAC系统由RBAC数据库、身份认证模块、系统管理模块和会话管理模块组成。RBAC数据库与各模块的对应关系如图2所示。

（编辑：伊春站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!