我为什么慢你心里没数吗？

发布时间：2021-02-01 14:06:26 所属栏目：传媒来源：互联网

导读：TBAC模型一般用五元组（S，O，P，L，AS）表示，其中S表示主体，O表示客体，P表示许可，L表示生命期（lifecycle），AS表示授权步。由于任务都是有时效性的，所以在基于任务的访问控制中，用户对于授予他的权限的使用也是有时效性的。因此，若P是授权步AS所激

TBAC模型一般用五元组（S，O，P，L，AS）表示，其中S表示主体，O表示客体，P表示许可，L表示生命期（lifecycle），AS表示授权步。由于任务都是有时效性的，所以在基于任务的访问控制中，用户对于授予他的权限的使用也是有时效性的。因此，若P是授权步AS所激活的权限，那么L就是授权步AS的存活期限。在授权步AS被激活之前，它的保护态是无效的，其中包含的许可不可使用。当授权步AS被触发时，它的执行委托者开始拥有执行者许可集中的权限，同时它的生命期开始倒记时。在其生命期间，五元组（S，O，P，L，AS）有效；生命期终止时，五元组（S，O，P，L，AS）无效，执行委托者所拥有的权限被回收。

TBAC的访问政策及其内部组件关系一般由系统管理员直接配置。通过授权步的动态权限管理。TBAC支持最小特权原则和最小泄露原则，在执行任务时只给用户分配所需的权限，未执行任务或任务终止后用户不再拥有所分配的权限；而且在执行任务过程中，当某一权限不再被使用时，授权步会自动将该权限回收；另外，对于敏感的任务需要不同的用户执行，可以通过授权步之间的分权依赖加以实现。

TBAC从工作流中的任务角度建模，可以依据任务和任务状态的不同，对权限进行动态管理。因此，TBAC非常适合分布式计算和多点访问控制的信息处理控制以及在工作流、分布式处理和事务管理系统中的决策制定。

5）基于角色的访问控制

基于角色的访问控制（Role-based Access Control，RBAC）的基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色来获得角色所拥有的访问许可权。这是因为在很多实际应用中，用户并不是可以访问的客体信息资源的所有者（这些信息属于企业或公司）。因此，访问控制应该基于员工的职务而不是基于员工在哪个组或谁是信息的所有者，即访问控制是由各个用户在部门中所担任的角色来确定的。例如，一个学校可以有老师、学生和其他管理人员等角色。

RBAC从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系，这点与传统的MAC和DAC将权限直接授予用户的方式不同。RBAC通过给用户分配合适的角色，让用户与访问权限相联系。角色成为了访问控制中访问主体和受控对象之间的一座桥梁。

角色可以被看作一组操作的集合，不同的角色具有不同的操作集，这些操作集是由系统管理员分配给角色的。在下面的实例中，我们假设Tch1，Tch2，Tch3，…，Tchi是老师，Stud1，Stud2，Stud3，…，Studj是学生，Mng1，Mng2，Mng3，…，Mngk是教务处管理人员，那么老师的权限为TchMN={查询成绩、上传所教课程的成绩}；学生的权限为Stud MN={查询成绩、反映意见}；教务处管理人员的权限为MngMN={查询成绩、修改成绩、打印成绩清单}。

依据角色的不同，每个主体只能执行自己所制定的访问功能。用户在一定的部门中具有一定的角色，其所执行的操作与其所扮演的角色的职能相匹配，这正是基于角色的访问控制（RBAC）的根本特征：依据RBAC策略，系统定义了各种角色，每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予相应的角色，一旦某个用户成为某角色的成员，则该用户就可以完成该角色所具有的职能。

因为企业担心冗长而复杂的实施过程，并且雇员访问权要发生变化，所以许多企业往往不愿意实施基于角色的访问控制。完成基于角色的矩阵可能是一个需要企业花费几年时间的复杂过程。有一些新方法可以缩短这个过程，例如，企业可以将人力资源系统作为数据源，收集所有雇员的部门、职位以及企业的层次结构等信息，并将这些信息用于创建每个访问级别的角色，从活动目录等位置获得当前的权利，实现不同角色的雇员的数据共享。

6）基于属性的访问控制

基于属性的访问控制（Attribute-based Access Control，ABAC）主要针对面向服务的体系结构和开放式网络环境，在这种环境中，能够基于访问的上下文建立访问控制策略，处理主体和客体的异构性和变化性。RBAC已不能适应这样的环境。RBAC不能直接在主体和客体之间定义授权，而是需要将他们关联的属性作为授权决策的基础，并利用属性表达式描述访问策略。ABAC能够根据相关实体属性的变化，适时更新访问控制决策，从而提供一种更细粒度的、更加灵活的访问控制方法。

属性虽然是一个变量，但是相对而言它的规则策略是稳定且不易改变的。ABAC之所以能运用于用户动态变化的访问控制中，就是因为它利用了策略的固定性所产生的作用。

3、访问控制的基本原则

访问控制机制是用来实施对资源访问加以限制的策略的机制，这种策略把对资源的访问权限只授于了那些被授权用户。应该建立起申请、建立、发出和关闭用户授权的严格的制度，以及管理和监督用户操作责任的机制。

为了获取系统的安全，授权应该遵守访问控制的3个基本原则。

（编辑：伊春站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!