2)基于角色的访问控制模型分析
在基于角色的访问控制中,将若干特定的用户的集合和某种授权连结在一起,即与某种业务分工,例如岗位、工种等相关联的授权连结在一起。这样的授权管理比对个体的授权来说。可操作性和可管理性都要强得多。因为角色的变动远远低于个体的变动,因此该模型的一个主要优点就是简单。
使用RBAC可以较好地支持最小特权原则,使得分配给角色的权限不超过具有该角色身份的用户完成其任务所必须的权限,当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,访问请求将被拒绝。RBAC还能实施职责分离原则,即利用互斥角色约束,控制用户的权限,通过激活相互制约的角色共同完成一些敏感任务,以减少完成任务过程中可能发生的欺诈行为。
此外,该模型在不同的系统配置下可以显示不同的安全控制功能,既可以构造具备自主存取控制类型的系统,也可以构造成为强制存取控制类型的系统,甚至可以构造同时兼备这两种存取控制类型的系统。
美国国家标准技术研究所(MST)对28个组织进行的调查结果表明,基于角色的访问控制的功能相当强大,能满足许多类型用户的需求,从政府机构到商业应用。同时,它也非常适用于数据库系统,因为在这类系统中角色的逻辑意义更为明显和直接。