访问控制矩阵模型
① 访问控制技术的类型机制
访问控制可以分为两个层次:物理访问控制和逻辑访问控制。物理访问控制如符合标准规定的用户、设备、门、锁和安全环境等方面的要求,而逻辑访问控制则是在数据、应用、系统、网络和权限等层面进行实现的。对银行、证券等重要金融机构的网站,信息安全重点关注的是二者兼顾,物理访问控制则主要由其他类型的安全部门负责。 主要的访问控制类型有3种模式:自主访问控制(DAC)、强制访问控制(MAC)和基于角色访问控制(RBAC)。
1)自主访问控制
自主访问控制(Discretionary Access Control,DAC)是一种接入控制服务,通过执行基于系统实体身份及其到系统资源的接入授权。包括在文件,文件夹和共享资源中设置许可。用户有权对自身所创建的文件、数据表等访问对象进行访问,并可将其访问权授予其他用户或收回其访问权限。允许访问对象的属主制定针对该对象访问的控制策略,通常,可通过访问控制列表来限定针对客体可执行的操作。
①每个客体有一个所有者,可按照各自意愿将客体访问控制权限授予其他主体。
②各客体都拥有一个限定主体对其访问权限的访问控制列表(ACL)。
③每次访问时都以基于访问控制列表检查用户标志,实现对其访问权限控制。
④DAC的有效性依赖于资源的所有者对安全政策的正确理解和有效落实。
DAC提供了适合多种系统环境的灵活方便的数据访问方式,是应用最广泛的访问控制策略。然而,它所提供的安全性可被非法用户绕过,授权用户在获得访问某资源的权限后,可能传送给其他用户。主要是在自由访问策略中,用户获得文件访问后,若不限制对该文件信息的操作,即没有限制数据信息的分发。所以DAC提供的安全性相对较低,无法对系统资源提供严格保护。
2)强制访问控制
强制访问控制(MAC)是系统强制主体服从访问控制策略。是由系统对用户所创建的对象,按照规定的规则控制用户权限及操作对象的访问。主要特征是对所有主体及其所控制的进程、文件、段、设备等客体实施强制访问控制。在MAC中,每个用户及文件都被赋予一定的安全级别,只有系统管理员才可确定用户和组的访问权限,用户不能改变自身或任何客体的安全级别。系统通过比较用户和访问文件的安全级别,决定用户是否可以访问该文件。此外,MAC不允许通过进程生成共享文件,以通过共享文件将信息在进程中传递。MAC可通过使用敏感标签对所有用户和资源强制执行安全策略,一般采用3种方法:限制访问控制、过程控制和系统限制。MAC常用于多级安全军事系统,对专用或简单系统较有效,但对通用或大型系统并不太有效。
MAC的安全级别有多种定义方式,常用的分为4级:绝密级(Top Secret)、秘密级(Secret)、机密级(Confidential)和无级别级(Unclas sified),其中T>S>C>U。所有系统中的主体(用户,进程)和客体(文件,数据)都分配安全标签,以标识安全等级。
通常MAC与DAC结合使用,并实施一些附加的、更强的访问限制。一个主体只有通过自主与强制性访问限制检查后,才能访问其客体。用户可利用DAC来防范其他用户对自己客体的攻击,由于用户不能直接改变强制访问控制属性,所以强制访问控制提供了一个不可逾越的、更强的安全保护层,以防范偶然或故意地滥用DAC。
3)基于角色的访问控制
角色(Role)是一定数量的权限的集合。指完成一项任务必须访问的资源及相应操作权限的集合。角色作为一个用户与权限的代理层,表示为权限和用户的关系,所有的授权应该给予角色而不是直接给用户或用户组。
基于角色的访问控制(Role-Based Access Control,RBAC)是通过对角色的访问所进行的控制。使权限与角色相关联,用户通过成为适当角色的成员而得到其角色的权限。可极大地简化权限管理。为了完成某项工作创建角色,用户可依其责任和资格分派相应的角色,角色可依新需求和系统合并赋予新权限,而权限也可根据需要从某角色中收回。减小了授权管理的复杂性,降低管理开销,提高企业安全策略的灵活性。
RBAC模型的授权管理方法,主要有3种:
①根据任务需要定义具体不同的角色。
②为不同角色分配资源和操作权限。
③给一个用户组(Group,权限分配的单位与载体)指定一个角色。
RBAC支持三个着名的安全原则:最小权限原则、责任分离原则和数据抽象原则。前者可将其角色配置成完成任务所需要的最小权限集。第二个原则可通过调用相互独立互斥的角色共同完成特殊任务,如核对账目等。后者可通过权限的抽象控制一些操作,如财务操作可用借款、存款等抽象权限,而不用操作系统提供的典型的读、写和执行权限。这些原则需要通过RBAC各部件的具体配置才可实现。 访问控制机制是检测和防止系统未授权访问,并对保护资源所采取的各种措施。是在文件系统中广泛应用的安全防护方法,一般在操作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,贯穿于系统全过程。
访问控制矩阵(Access Contro1 Matrix)是最初实现访问控制机制的概念模型,以二维矩阵规定主体和客体间的访问权限。其行表示主体的访问权限属性,列表示客体的访问权限属性,矩阵格表示所在行的主体对所在列的客体的访问授权,空格为未授权,Y为有操作授权。以确保系统操作按此矩阵授权进行访问。通过引用监控器协调客体对主体访问,实现认证与访问控制的分离。在实际应用中,对于较大系统,由于访问控制矩阵将变得非常大,其中许多空格,造成较大的存储空间浪费,因此,较少利用矩阵方式,主要采用以下2种方法。
1)访问控制列表
访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表,用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。是以文件为中心建立访问权限表,表中记载了该文件的访问用户名和权隶属关系。利用ACL,容易判断出对特定客体的授权访问,可访问的主体和访问权限等。当将该客体的ACL置为空,可撤消特定客体的授权访问。
基于ACL的访问控制策略简单实用。在查询特定主体访问客体时,虽然需要遍历查询所有客体的ACL,耗费较多资源,但仍是一种成熟且有效的访问控制方法。许多通用的操作系统都使用ACL来提供该项服务。如Unix和VMS系统利用ACL的简略方式,以少量工作组的形式,而不许单个个体出现,可极大地缩减列表大小,增加系统效率。
2)能力关系表
能力关系表(Capabilities List)是以用户为中心建立访问权限表。与ACL相反,表中规定了该用户可访问的文件名及权限,利用此表可方便地查询一个主体的所有授权。相反,检索具有授权访问特定客体的所有主体,则需查遍所有主体的能力关系表。 通过介绍单点登入SSO的基本概念和优势,主要优点是,可集中存储用户身份信息,用户只需一次向服务器验证身份,即可使用多个系统的资源,无需再向各客户机验证身份,可提高网络用户的效率,减少网络操作的成本,增强网络安全性。根据登入的应用类型不同,可将SSO分为3种类型。
1)对桌面资源的统一访问管理
对桌面资源的访问管理,包括两个方面:
①登入Windows后统一访问Microsoft应用资源。Windows本身就是一个“SSO”系统。随着.NET技术的发展,“Microsoft SSO”将成为现实。通过Active Directory的用户组策略并结合SMS工具,可实现桌面策略的统一制定和统一管理。
②登入Windows后访问其他应用资源。根据Microsoft的软件策略,Windows并不主动提供与其他系统的直接连接。现在,已经有第三方产品提供上述功能,利用Active Directory存储其他应用的用户信息,间接实现对这些应用的SSO服务。
2)Web单点登入
由于Web技术体系架构便捷,对Web资源的统一访问管理易于实现。在目前的访问管理产品中,Web访问管理产品最为成熟。Web访问管理系统一般与企业信息门户结合使用,提供完整的Web SSO解决方案。
3)传统C/S 结构应用的统一访问管理
在传统C/S 结构应用上,实现管理前台的统一或统一入口是关键。采用Web客户端作为前台是企业最为常见的一种解决方案。
在后台集成方面,可以利用基于集成平台的安全服务组件或不基于集成平台的安全服务API,通过调用信息安全基础设施提供的访问管理服务,实现统一访问管理。
在不同的应用系统之间,同时传递身份认证和授权信息是传统C/S结构的统一访问管理系统面临的另一项任务。采用集成平台进行认证和授权信息的传递是当前发展的一种趋势。可对C/S结构应用的统一访问管理结合信息总线(EAI)平台建设一同进行。
② acl是什么意思
访问控制表(Access Control List),又称存取控制串行,是使用以访问控制矩阵为基础的访问控制表,每一个(文件系统内的)对象对应一个串行主体。
访问控制表由访问控制条目(access control entries,ACE)组成。访问控制表描述用户或系统进程对每个对象的访问控制权限。访问控制表的主要缺点是不可以有效迅速地枚举一个对象的访问权限。因此,要确定一个对象的所有访问权限需要搜索整个访问控制表来找出相对应的访问权限。
访问控制列表具有许多作用:
1、如限制网络流量、提高网络性能;
2、通信流量的控制,例如ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量;
3、提供网络安全访问的基本手段;
4、在路由器端口处决定哪种类型的通信流量被转发或被阻塞,例如,用户可以允许E-mail通信流量被路由,拒绝所有的 Telnet通信流量等;
5、访问控制列表从概念上来讲并不复杂,复杂的是对它的配置和使用,许多初学者往往在使用访问控制列表时出现错误。
与 RBAC 比较
ACL 模型的主要替代方案是基于角色的访问控制(RBAC) 模型。“最小 RBAC 模型”RBACm可以与 ACL 机制ACLg进行比较,其中仅允许组作为 ACL 中的条目。Barkley (1997)表明RBACm和ACLg是等效的。
在现代 SQL 实现中,ACL 还管理组层次结构中的组和继承。因此,“现代 ACL”可以表达 RBAC 表达的所有内容,并且在根据管理员查看组织的方式表达访问控制策略的能力方面非常强大(与“旧 ACL”相比)。
③ 自主访问控制存在哪些主要的安全性问题
从“震网”、“火焰”病毒的大规模爆发,到索尼在线被黑、CSDN数据泄露等信息安全事件的层出不穷,每一次大规模病毒、黑客攻击行为的出现,都会对用户信息系统造成严重的危害,引起了安全行业的集体反思。作为信息系统的重要组成部分,操作系统承担着连接底层硬件和上层业务应用的重任,在诸多安全事件中首当其冲,面临着巨大的安全压力。而操作系统本身在安全防护上的脆弱性,特别是系统内自主访问控制机制存在的安全隐患,使用户在面对病毒、木马及黑客攻击时显得力不从心,最终导致安全事件密集爆发的信息安全“危局”。
掀开自主访问控制的面纱
为了增强信息系统安全、可靠运行的能力,操作系统内置了一些防护措施,例如身份鉴别、访问控制、入侵防范等。其中,访问控制是计算机安全防护体系中的重要环节,包含主体、客体、控制策略三个要素。其中,主体是指可以对其他实体施加动作的主动实体,例如用户、进程等;客体包括数据、文件、程序等,是接受其他实体访问的被动实体;控制策略则定义了主体与客体相互作用的途径。简而言之,访问控制是一种通过控制策略授予、约束主体访问客体行为的安全机制。
访问控制分为三种模型,即自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。其中,自主访问控制在C2级操作系统中应用广泛,是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。
自主访问控制的实现方式包括目录式访问控制模式、访问控制表(ACL)、访问控制矩阵、面向过程的访问控制等,其中,访问控制表是自主访问控制机制通常采用的一种方式。访问控制表是存放在计算机中的一张表,本质上是带有访问权限的矩阵,其访问权限包括读文件、写文件、执行文件等等。在自主访问控制机制下,每个客体都有一个特定的安全属性,同时访问控制表也授予或禁止主体对客体的访问权限。在实际工作中,安全管理员通过维护访问控制表,控制用户对文件、数据等IT系统资源的访问行为,来达到安全防控的目的。
从安全性上看,现有操作系统中基于访问控制表的自主访问控制存在着明显的缺陷:一方面,超级用户(root/Administrator)权力过度集中,可以随意修客体的访问控制表,只要拥有超级管理员权限就可以对服务器所有的资源进行任意操作;另一方面,客体的属主可以自主地将权限转授给别的主体,一旦把某个客体的ACL修改权转授出去以后,拥有者便很难对自己的客体实施控制了。因此,在现有的这种访问控制模型下,操作系统存在很多安全风险。
自主访问控制下的安全风险
按照访问许可机制的不同,自主访问控制又分为三个类型,即自由型、等级型和宿主型。其中,在自由型自主访问控制机制中,不同主体之间可以自由转让客体访问控制表的修改权限,意味着任何主体都有可能对某一客体进行操作,系统安全性很难得到保障;在等级型自主访问控制机制中,用户可以将拥有修改客体访问控制表权限的主体组织成等级型结构,例如按照等级将不同的主体排列成树型结构,高等级主体自动获得低等级客体的控制权限。这种方案的优点是可以选择值得信任的人担任各级领导,从而实现对客体的分级控制,缺点是同时有多个主体有能力修改某一客体的访问权限。
从市场应用情况看,等级型自主访问控制是使用范围最为广泛的安全机制,现有C2级大型商用服务器操作系统(如AIX、HP-UX、Solaris、Windows Server、LinuxServer等)中的访问控制机制均为等级型自主访问控制,涉及金融、能源、军工等国家命脉行业。在这些系统中,位于树型结构顶端的超级用户拥有无上的权限,可以对其他用户拥有的资源进行任意修改和访问。权限的高度集中,客观上放大了系统的安全风险。针对等级型自主访问控制,攻击者可以通过暴力破解、系统漏洞利用、木马攻击等多种方式窃取管理员权限,进而实现对目标系统的完全控制。事实证明确实如此,无论是曾经肆虐全国的“灰鸽子”木马,还是震惊全球的“震网”、“火焰”等病毒,都将获得管理权限作为一种重要手段,在此基础上成功入侵系统并实施破坏行为。
完善自主访问控制机制
为了提升信息系统的安全防护能力,我国颁布了《信息安全等级保护管理办法》,并制定了一系列国家标准,为用户开展信息安全等级保护工作提供指导意义。其中,《GB/T 20272-2006信息安全技术-操作系统安全技术要求》是专门针对操作系统安全防护的国家标准,该标准在“自主访问控制”部分提出了明确的要求:“客体的拥有者应是唯一有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控制权,但是,不充许客体拥有者把该客体的控制权分配给其他主体。”
从技术要求的细节上看,满足等级保护标准的自主访问控制机制实质上是宿主型自主访问控制。在这种机制下,用户需要对客体设置一个拥有者,并使其成为唯一有权访问该客体访问控制表的主体,确保了受保护客体访问控制表控制权的唯一性,有效规避由于系统管理员信息泄露而给系统带来的巨大危害,同时也限制了病毒对系统的破坏行为,帮助用户提升防病毒、防黑客攻击的能力。
目前,国内已经出现满足等级保护操作系统技术要求的安全产品,例如椒图科技推出的JHSE椒图主机安全环境系统(以下简称JHSE),就基于宿主型自主访问控制机制保障操作系统的安全。此外,JHSE还采用了强制访问控制模型,为访问主体和受保护的客体分配不同的安全级别属性,在实施访问控制的过程中,系统将对主体和客体的安全级别属性进行比较,之后再决定主体是否可以访问受保护的客体,从而实现了细粒度的安全访问控制机制。可以相信,随着安全技术的持续进步和用户安全意识的不断增强,操作系统将会在面对病毒、木马及黑客攻击时扭转不利局面,为整体信息系统的安全运行提供可靠支撑。
④ 什么算是信息系统整体访问控制策略
信息系统整体的安全运行。
身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而,对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。
在GB17859中.身份鉴别指的是用户身份的鉴别,包括用户标识和用户鉴别。在这里.用户标识解决注册用户在一个信息系统中的惟一性问题.用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下.当用户注册到一个系统时,系统应给出其惟一性的标识.并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的.一方面以一定方式提供给用户.另一方面由系统保存)。当用户登录到该系统时,用户应提供鉴别信息,系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。
其实.从更广义的范围来讲.信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别.用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下,又要确认对方身份的真实、可信.从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别.其实与注册用户的身份鉴别没有多大区别.只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别.同样要先对其进行注册,并在注册时确定鉴别信息(鉴别信息既与设备相关联.又由系统保留)。当需要将设备接入系统时.被接入设备需提供鉴别信息,经系统确认其身份的真实性后方可接入。
访问控制在GB17859中同样有其特定的含义.并对自主访问控制和强制访问控制的策略做了具体的说明。其实.访问控制在更广的范围有着更广泛的含义。在许多情况下.人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问.把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因
谈到访问控制.首先必须对访问控制的粒度有所了解。访问控制讲的是对主体访问客体的控制。粒度显然涉及主体和客体两个方面。主体一般是以用户为单位实施访问控制(划分用户组只是对相同访问权限用户的一种管理方法).网络用户也有以IP地址为单位实施访问控制的。客体的访问控制粒度由粗到细可以是整个应用系统 某个网络系统.某个服务器系统,某个操作系统.某个数据库管理系统、某个文件 某个数据库.数据库中的某个表 甚至库表中的某个记录或字段等。一般来讲 对整个系统(包括信息系统、网络系统、服务器系统、操作系统、数据库管理系统、应用系统等)的访问.通常是采用身份鉴别的方法进行控制.也就是相对的粗粒度访问控制。细粒度的访问控制,通常是指在操作系统、数据库管理系统中所提供的用户对文件或数据库表、记录/字段的访问所进行的控制.也就是GB17859中所描述的经典的访问控制。这类访问控制分为自主访问控制和强制访问控制两种。当然也可以在网关等处设置以服务器为对象的自主访问控制或强制访问控制机制,实现以服务器为粒度的访问控制。
所谓自主访问控制是指由系统提供用户有权对自身所创建的访问对象(文件、数据库表等)进行访问.并有权将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。访问对象的创建者还有权进行授权转让” 即将 授予其他用户访问权限 的权限转
让给别的用户。需要特别指出的是,在一些系统中.往往是由系统管理员充当访问对象的创建者角色 并进行访问授权 而在其后通过”授权转让 将权限转让给指定用户.于是容易引起这种访问控制不是由用户自主决定访问权限的误会。
所谓强制访问控制是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制,按照确定的规则决定哪些用户可以对哪些对象进行哪些操作类型的访问,即使是创建者用户,在创建一个对象后.也可能无权访问该对象。强制访问控制常见的安全模型是Bell—La pala模型(也称多级安全模型)。该模
型的安全策略分为强制访问和自主访问两部分。自主访问控制允许用户自行定义其所创建的数据.它以一个访问矩阵表示包括读、写、执行、附加以及控制等访问模式。由于它的自主访问控制策略已广为人们熟知。所以在提到多级安全模型时.往往重点探讨其强制访问控制策略。多级安全模型的强制访问控制策略以等级和范畴
作为其主、客体的敏感标记,并施以”从下读、向上写”的简单保密性规则。需要强调的是.作为敏感标记的等级和范畴.必须由专门设置的系统安全员,通过由系统提供的专门界面设置和维护.敏感标记的改变意味着访问权限的改变。因此可以说.所有用户的访问权限完全是由安全员根据需要决定的。强制访问控制还有其他安
全策略 比如 角色授权管理 。该安全策略将系统中的访问操作按角色进行分组管理。一种角色执行一组操作.由系统安全员统一进行授权。当授予某个用户某一角色时,该用户就具有执行该角色所对应的一组操作的权限。当安全员撤销其授予用户的某一角色时,相应的操作权限也就被撤销。这完全类似于现实社会中对领导职务的任命和撤销。这一策略的访问权限也是通过安全员通过角色授权决定的。
与访问控制相关联的另一个十分重要的概念是 用户一主体绑定 。这一概念的引入.对多用户环境、进程动态运行所实施的访问操作的控制提供了支持。作为动态运行的系统进程.它在不同时间段为不同的用户服务 因而无法为其设置固定的敏感标记。通过用户一主体绑定机制.可以将进程动态地与其所服务的用户相关联。于是.在任何时候.进程所实施的访问操作都能够通过这种关联找到其所服务的用户,也就能找到实施强制访问控制的主体。操作是由进程实施的.而确定是否允许进行此次访问的主体对象却是进程为其服务的用户
⑤ 如何在应用系统中实现数据权限的控制功能
基于RBAC模型的权限管理系统的设计和实现 0 引言 管理信息系统是一个复杂的人机交互系统,其中每个具体环节都可能受到安全威胁。构建强健的权限管理系统,保证管理信息系统的安全性是十分重要的。权限管理系统是管理信息系统中可代码重用性最高的模块之一。任何多用户的系统都不可避免的涉及到相同的权限需求,都需要解决实体鉴别、数据保密性、数据完整性、防抵赖和访问控制等安全服务(据ISO7498-2)。例如,访问控制服务要求系统根据操作者已经设定的操作权限,控制操作者可以访问哪些资源,以及确定对资源如何进行操作。 目前,权限管理系统也是重复开发率最高的模块之一。在企业中,不同的应用系统都拥有一套独立的权限管理系统。每套权限管理系统只满足自身系统的权限管理需要,无论在数据存储、权限访问和权限控制机制等方面都可能不一样,这种不一致性存在如下弊端: a.系统管理员需要维护多套权限管理系统,重复劳动。 b.用户管理、组织机构等数据重复维护,数据一致性、完整性得不到保证。 c.由于权限管理系统的设计不同,概念解释不同,采用的技术有差异,权限管理系统之间的集成存在问题,实现单点登录难度十分大,也给企业构建企业门户带来困难。 采用统一的安全管理设计思想,规范化设计和先进的技术架构体系,构建一个通用的、完善的、安全的、易于管理的、有良好的可移植性和扩展性的权限管理系统,使得权限管理系统真正成为权限控制的核心,在维护系统安全方面发挥重要的作用,是十分必要的。 本文介绍一种基于角色的访问控制RBAC(Role-Based policies Access Control)模型的权限管理系统的设计和实现,系统采用基于J2EE架构技术实现。并以讨论了应用系统如何进行权限的访问和控制。 1 采用J2EE架构设计 采用J2EE企业平台架构构建权限管理系统。J2EE架构集成了先进的软件体系架构思想,具有采用多层分布式应用模型、基于组件并能重用组件、统一完全模型和灵活的事务处理控制等特点。 系统逻辑上分为四层:客户层、Web层、业务层和资源层。 a. 客户层主要负责人机交互。可以使系统管理员通过Web浏览器访问,也可以提供不同业务系统的API、Web Service调用。 b. Web层封装了用来提供通过Web访问本系统的客户端的表示层逻辑的服务。 c. 业务层提供业务服务,包括业务数据和业务逻辑,集中了系统业务处理。主要的业务管理模块包括组织机构管理、用户管理、资源管理、权限管理和访问控制几个部分。 d. 资源层主要负责数据的存储、组织和管理等。资源层提供了两种实现方式:大型关系型数据库(如ORACLE)和LDAP(Light Directory Access Protocol,轻量级目录访问协议)目录服务器(如微软的活动目录)。 2 RBAC模型 访问控制是针对越权使用资源的防御措施。基本目标是为了限制访问主体(用户、进程、服务等)对访问客体(文件、系统等)的访问权限,从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么[1]。 企业环境中的访问控制策略一般有三种:自主型访问控制方法、强制型访问控制方法和基于角色的访问控制方法(RBAC)。其中,自主式太弱,强制式太强,二者工作量大,不便于管理[1]。基于角色的访问控制方法是目前公认的解决大型企业的统一资源访问控制的有效方法。其显着的两大特征是:1.减小授权管理的复杂性,降低管理开销;2.灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。 NIST(The National Institute of Standards and Technology,美国国家标准与技术研究院)标准RBAC模型由4个部件模型组成,这4个部件模型分别是基本模型RBAC0(Core RBAC)、角色分级模型RBAC1(Hierarchal RBAC)、角色限制模型RBAC2(Constraint RBAC)和统一模型RBAC3(Combines RBAC)[1]。 a. RBAC0定义了能构成一个RBAC控制系统的最小的元素集合。在RBAC之中,包含用户users(USERS)、角色roles(ROLES)、目标objects(OBS)、操作operations(OPS)、许可权permissions(PRMS)五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。会话sessions是用户与激活的角色集合之间的映射。RBAC0与传统访问控制的差别在于增加一层间接性带来了灵活性,RBAC1、RBAC2、RBAC3都是先后在RBAC0上的扩展。 b. RBAC1引入角色间的继承关系,角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序关系,允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一个树结构。 c. RBAC2模型中添加了责任分离关系。RBAC2的约束规定了权限被赋予角色时,或角色被赋予用户时,以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。责任分离包括静态责任分离和动态责任分离。约束与用户-角色-权限关系一起决定了RBAC2模型中用户的访问许可。 d. RBAC3包含了RBAC1和RBAC2,既提供了角色间的继承关系,又提供了责任分离关系。 3核心对象模型设计 根据RBAC模型的权限设计思想,建立权限管理系统的核心对象模型。 对象模型中包含的基本元素主要有:用户(Users)、用户组(Group)、角色(Role)、目标(Objects)、访问模式(Access Mode)、操作(Operator)。主要的关系有:分配角色权限PA(Permission Assignment)、分配用户角色UA(Users Assignmen描述如下: a .控制对象:是系统所要保护的资源(Resource),可以被访问的对象。资源的定义需要注意以下两个问题: 1.资源具有层次关系和包含关系。例如,网页是资源,网页上的按钮、文本框等对象也是资源,是网页节点的子节点,如可以访问按钮,则必须能够访问页面。 2.这里提及的资源概念是指资源的类别(Resource Class),不是某个特定资源的实例(Resource Instance)。资源的类别和资源的实例的区分,以及资源的粒度的细分,有利于确定权限管理系统和应用系统之间的管理边界,权限管理系统需要对于资源的类别进行权限管理,而应用系统需要对特定资源的实例进行权限管理。两者的区分主要是基于以下两点考虑: 一方面,资源实例的权限常具有资源的相关性。即根据资源实例和访问资源的主体之间的关联关系,才可能进行资源的实例权限判断。 例如,在管理信息系统中,需要按照营业区域划分不同部门的客户,A区和B区都具有修改客户资料这一受控的资源,这里“客户档案资料”是属于资源的类别的范畴。如果规定A区只能修改A区管理的客户资料,就必须要区分出资料的归属,这里的资源是属于资源实例的范畴。客户档案(资源)本身应该有其使用者的信息(客户资料可能就含有营业区域这一属性),才能区分特定资源的实例操作,可以修改属于自己管辖的信息内容。 另一方面,资源的实例权限常具有相当大的业务逻辑相关性。对不同的业务逻辑,常常意味着完全不同的权限判定原则和策略。 b.权限:对受保护的资源操作的访问许可(Access Permission),是绑定在特定的资源实例上的。对应地,访问策略(Access Strategy)和资源类别相关,不同的资源类别可能采用不同的访问模式(Access Mode)。例如,页面具有能打开、不能打开的访问模式,按钮具有可用、不可用的访问模式,文本编辑框具有可编辑、不可编辑的访问模式。同一资源的访问策略可能存在排斥和包含关系。例如,某个数据集的可修改访问模式就包含了可查询访问模式。 c.用户:是权限的拥有者或主体。用户和权限实现分离,通过授权管理进行绑定。 d.用户组:一组用户的集合。在业务逻辑的判断中,可以实现基于个人身份或组的身份进行判断。系统弱化了用户组的概念,主要实现用户(个人的身份)的方式。 e.角色:权限分配的单位与载体。角色通过继承关系支持分级的权限实现。例如,科长角色同时具有科长角色、科内不同业务人员角色。 f.操作:完成资源的类别和访问策略之间的绑定。 g.分配角色权限PA:实现操作和角色之间的关联关系映射。 h.分配用户角色UA:实现用户和角色之间的关联关系映射。 该对象模型最终将访问控制模型转化为访问矩阵形式。访问矩阵中的行对应于用户,列对应于操作,每个矩阵元素规定了相应的角色,对应于相应的目标被准予的访问许可、实施行为。按访问矩阵中的行看,是访问能力表CL(Access Capabilities)的内容;按访问矩阵中的列看,是访问控制表ACL(Access Control Lists)的内容。 4 权限访问机制 权限管理系统端:提供集中管理权限的服务,负责提供用户的鉴别、用户信息、组织结构信息,以及权限关系表的计算。 系统根据用户,角色、操作、访问策略和控制对象之间的关联关系,同时考虑权限的正负向授予,计算出用户的最小权限。在业务逻辑层采用Session Bean实现此服务,也可以发布成Web Service。采用代理Proxy模式,集中控制来自应用系统的所要访问的权限计算服务,并返回权限关系表,即二元组{ObjectId,OperatorId}。 应用系统端:可以通过访问能力表CL和访问控制表ACL两种可选的访问方式访问权限管理系统。 以基于J2EE框架的应用系统为例,说明访问过程: a.首先采用基于表单的验证,利用Servlet方式集中处理登录请求[2]。考虑到需要鉴别的实体是用户,采用基于ACL访问方式。用户登录时调用权限管理系统的用户鉴别服务,如果验证成功,调用权限计算服务,并返回权限关系表,以HashMap的方式存放到登录用户的全局Session中;如果没有全局的Session或者过期,则被导向到登录页面,重新获取权限。 b.直接URL资源采用基于CL访问方式进行的访问控制。如果用户直接输入URL地址访问页面,有两种方法控制访问:1.通过权限标签读取CL进行控制;2.采取Filter模式,进行权限控制,如果没有权限,则重定向到登录页面。 5 权限控制机制 权限所要控制的资源类别是根据应用系统的需要而定义的,具有的语义和控制规则也是应用系统提供的,对于权限管理系统来说是透明的,权限将不同应用系统的资源和操作统一对待。应用系统调用权限管理系统所获得的权限关系表,也是需要应用系统来解释的。按此设计,权限管理系统的通用性较强,权限的控制机制则由应用系统负责处理。 由于应用系统的权限控制与特定的技术环境有关,以基于J2EE架构的应用系统为例来说明,系统主要的展示组件是JSP页面,采用标记库和权限控制组件共同来实现。 a. 权限标识:利用标签来标识不同级别资源,页面权限标签将标识页面对象。 b. 权限注册:遍历JSP页面上的权限控制标签,读取JSP的控制权限。通过权限注册组件将JSP页面上的权限控制对象以及规则注册到权限管理信息系统中。 c. 权限控制:应用系统用户登录系统时,从权限管理系统获得权限关系表之后,一方面,权限标签控制页面展示;另一方面,利用权限控制组件在业务逻辑中进行相应的权限控制,尤其是和业务逻辑紧密联系的控制对象实例的权限控制。 6 权限存储机制 权限管理系统采用了两种可选的存储机制:LDAP(Lightweight Directory Access Protocol)目录服务数据库和关系型数据库。存储用户信息、组织结构、角色、操作、访问模式等信息。 其中,目录服务系统基于LDAP标准,具有广泛的数据整合和共享能力。元目录(Meta-Directory)功能允许快速、简洁的与企业现存基础结构进行集成,解决基于传统RDBMS等用户数据库与LDAP用户数据库的同步问题。 7 结语 本文论述了一种基于RBAC模型的权限管理系统的实现技术方案。该权限管理系统已成功应用于系统的设计和开发实践,与应用系统具有很好的集成。实践表明,采用基于RBAC模型的权限具有以下优势:权限分配直观、容易理解,便于使用;扩展性好,支持岗位、权限多变的需求;分级权限适合分层的组织结构形式;重用性强。
⑥ 计算机信息安全中 访问控制矩阵的行、列分别代表什么
按访问控制矩阵行建立的是 访问权限表 ,按列建立的是 访问控制表 。
⑦ 访问控制矩阵,ACL和capabilities是什么
访问控制列表(Access Control Lists,ACL)是一种由一条或多条指令的集合,指令里面可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据接收,哪些数据需要拒绝接收。它类似于一种数据包过滤器。
从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
理解了访问控制矩阵之后,就简单了。访问控制矩阵的每一列都是一个访问控制列表ACL, 表的每一行都是功能列表(也叫能力表)。ACL和能力表就是访问控制矩阵的特殊形式,
访问控制列表,就是只有一列的访问控制矩阵。例如,针对一个文件X的,然后表里有所有用户对X的访问权限。注意:此时表里只有关于X的访问权限,如果要查文件Y的相关权限,就不应该查这个表了。
能力表,就是只有一行的访问控制矩阵。例如,就是针对主体-用户Bob的,表里列出了Bob拥有的对所有客体的权限。注意这里没法查其他用户Tom的任何权限,你得到其他表去查了。
都是用于访问控制的,大同小异。用在不同的情境中。能力表一般和主体关联,根据主体可以很快知道是否有权访问。ACL一般和客体关联,有访问需求给到这个客体了,查下是否这个主体有权限。 详见第8章。
⑧ 安卓系统的自主访问控制和强制访问控制是怎么操作的
自主访问控制
自主访问的含义是有访问许可的主体能够直接或间接地向其他主体转让访问权。自主访问控制是在确认主体身份以及(或)它们所属的组的基础上,控制主体的活动,实施用户权限管理、访问属性(读、写、执行)管理等,是一种最为普遍的访问控制手段。自主访问控制的主体可以按自己的意愿决定哪些用户可以访问他们的资源,亦即主体有自主的决定权,一个主体可以有选择地与其它主体共享他的资源。
基于访问控制矩阵的访问控制表(ACL)是DAC中通常采用一种的安全机制。ACL是带有访问权限的矩阵,这些访问权是授予主体访问某一客体的。安全管理员通过维护ACL控制用户访问企业数据。对每一个受保护的资源,ACL对应一个个人用户列表或由个人用户构成的组列表,表中规定了相应的访问模式。当用户数量多、管理数据量大时,由于访问控制的粒度是单个用
户,ACL会很庞大。当组织内的人员发生能变化(升迁、换岗、招聘、离职)、工作职能发生变化(新增业务)时,ACL的修改变得异常困难。采用ACL机制管理授权处于一个较低级的层次,管理复杂、代价高以至易于出错。
DAC的主要特征体现在主体可以自主地把自己所拥有客体的访问权限授予其它主体或者从其它主体收回所授予的权限,访问通常基于访问控制表(ACL)。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。DAC的缺点是信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。
强制访问控制
为了实现完备的自主访问控制系统,由访问控制矩阵提供的信息必须以某种形式存放在系统中。访问矩阵中的每行表示一个主体,每一列则表示一个受保护的客体,而矩阵中的元素,则表示主体可以对客体的访问模式。目前,在系统中访问控制矩阵本身,都不是完整地存储起来,因为矩阵中的许多元素常常为空。空元素将会造成存储空间的浪费,而且查找某个元素会耗费很多时间。实际上常常是基于矩阵的行或列来表达访问控制信息。
强制访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策。强制访问控制(MAC)的主要特征是对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。
为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其它客体的敏感标记,从而系统可以防止特洛伊木马的攻击。
Top Secret),秘密级(Secret),机密级(Confidential)及无级别级(Unclassified)。其级别为T>S>C>U,系统根据主体和客体的敏感标记来决定访问模式。访问模式包括:
read down):用户级别大于文件级别的读操作;
Write up):用户级别小于文件级别的写操作;
Write down):用户级别等于文件级别的写操作;
read up):用户级别小于文件级别的读操作;
自主访问控制不能抵御“特洛伊木马”攻击,而强制访问控制能够有效的防御“特洛伊木马”攻击。MAC最主要的优势是它阻止特洛伊木马的能力 一个特洛伊木马是在一个执行某些合法功能的程序中隐藏的代码,它利用运行此程序的主体的权限违反安全策略 通过伪装成有用的程序在进程中泄露信息 一个特洛伊木马能够以两种方式泄露信息: 直接与非直接泄露 前者, 特洛伊木马以这样一种方式工作, 使信息的安全标示不正确并泄露给非授权用户; 后者特洛伊木马通过以下方式非直接地泄露信息: 在返回给一个主体的合法信息中编制 例如: 可能表面上某些提问需要回答, 而实际上用户回答的内容被传送给特洛伊木马。
⑨ 访问控制的访问控制的类型
访问控制可分为自主访问控制和强制访问控制两大类。
自主访问控制,是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。
强制访问控制,是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制,按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问,即使是创建者用户,在创建一个对象后,也可能无权访问该对象。 基于对象的访问控制(OBAC Model:Object-based Access Control Model):DAC或MAC模型的主要任务都是对系统中的访问主体和受控对象进行一维的权限管理。当用户数量多、处理的信息数据量巨大时,用户权限的管理任务将变得十分繁重且难以维护,这就降低了系统的安全性和可靠性。
对于海量的数据和差异较大的数据类型,需要用专门的系统和专门的人员加以处理,要是采用RBAC模型的话,安全管理员除了维护用户和角色的关联关系外,还需要将庞大的信息资源访问权限赋予有限个角色。
当信息资源的种类增加或减少时,安全管理员必须更新所有角色的访问权限设置,如果受控对象的属性发生变化,和需要将受控对象不同属性的数据分配给不同的访问主体处理时,安全管理员将不得不增加新的角色,并且还必须更新原来所有角色的访问权限设置以及访问主体的角色分配设置。
这样的访问控制需求变化往往是不可预知的,造成访问控制管理的难度和工作量巨大。所以在这种情况下,有必要引入基于受控对象的访问控制模型。
控制策略和控制规则是OBAC访问控制系统的核心所在,在基于受控对象的访问控制模型中,将访问控制列表与受控对象或受控对象的属性相关联,并将访问控制选项设计成为用户、组或角色及其对应权限的集合;同时允许对策略和规则进行重用、继承和派生操作。
这样,不仅可以对受控对象本身进行访问控制,受控对象的属性也可以进行访问控制,而且派生对象可以继承父对象的访问控制设置,这对于信息量巨大、信息内容更新变化频繁的管理信息系统非常有益,可以减轻由于信息资源的派生、演化和重组等带来的分配、设定角色权限等的工作量。
OBAC访问控制系统是从信息系统的数据差异变化和用户需求出发,有效地解决了信息数据量大、数据种类繁多、数据更新变化频繁的大型管理信息系统的安全管理。并从受控对象的角度出发,将访问主体的访问权限直接与受控对象相关联,一方面定义对象的访问控制列表,增、删、修改访问控制项易于操作,另一方面,当受控对象的属性发生改变,或者受控对象发生继承和派生行为时,无须更新访问主体的权限,只需要修改受控对象的相应访问控制项即可,从而减少了访问主体的权限管理,降低了授权数据管理的复杂性。 基于任务的访问控制模型(TBAC Model,Task-based Access Control Model)是从应用和企业层角度来解决安全问题,以面向任务的观点,从任务(活动)的角度来建立安全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理。
在TBAC中,对象的访问权限控制并不是静止不变的,而是随着执行任务的上下文环境发生变化。TBAC首要考虑的是在工作流的环境中对信息的保护问题:在工作流环境中,数据的处理与上一次的处理相关联,相应的访问控制也如此,因而TBAC是一种上下文相关的访问控制模型。其次,TBAC不仅能对不同工作流实行不同的访问控制策略,而且还能对同一工作流的不同任务实例实行不同的访问控制策略。从这个意义上说,TBAC是基于任务的,这也表明,TBAC是一种基于实例(instance-based)的访问控制模型。
TBAC模型由工作流、授权结构体、受托人集、许可集四部分组成。
任务(task)是工作流程中的一个逻辑单元,是一个可区分的动作,与多个用户相关,也可能包括几个子任务。授权结构体是任务在计算机中进行控制的一个实例。任务中的子任务,对应于授权结构体中的授权步。
授权结构体(authorization unit):是由一个或多个授权步组成的结构体,它们在逻辑上是联系在一起的。授权结构体分为一般授权结构体和原子授权结构体。一般授权结构体内的授权步依次执行,原子授权结构体内部的每个授权步紧密联系,其中任何一个授权步失败都会导致整个结构体的失败。
授权步(authorization step)表示一个原始授权处理步,是指在一个工作流程中对处理对象的一次处理过程。授权步是访问控制所能控制的最小单元,由受托人集(trustee-set)和多个许可集(permissions set)组成。
受托人集是可被授予执行授权步的用户的集合,许可集则是受托集的成员被授予授权步时拥有的访问许可。当授权步初始化以后,一个来自受托人集中的成员将被授予授权步,我们称这个受托人为授权步的执行委托者,该受托人执行授权步过程中所需许可的集合称为执行者许可集。授权步之间或授权结构体之间的相互关系称为依赖(dependency),依赖反映了基于任务的访问控制的原则。授权步的状态变化一般自我管理,依据执行的条件而自动变迁状态,但有时也可以由管理员进行调配。
一个工作流的业务流程由多个任务构成。而一个任务对应于一个授权结构体,每个授权结构体由特定的授权步组成。授权结构体之间以及授权步之间通过依赖关系联系在一起。在TBAC中,一个授权步的处理可以决定后续授权步对处理对象的操作许可,上述许可集合称为激活许可集。执行者许可集和激活许可集一起称为授权步的保护态。
TBAC模型一般用五元组(S,O,P,L,AS)来表示,其中S表示主体,O表示客体,P表示许可,L表示生命期(lifecycle),AS表示授权步。由于任务都是有时效性的,所以在基于任务的访问控制中,用户对于授予他的权限的使用也是有时效性的。
因此,若P是授权步AS所激活的权限,那么L则是授权步AS的存活期限。在授权步AS被激活之前,它的保护态是无效的,其中包含的许可不可使用。当授权步AS被触发时,它的委托执行者开始拥有执行者许可集中的权限,同时它的生命期开始倒记时。在生命期期间,五元组(S,O,P,L,AS)有效。生命期终止时,五元组(S,O,P,L,AS)无效,委托执行者所拥有的权限被回收。
TBAC的访问政策及其内部组件关系一般由系统管理员直接配置。通过授权步的动态权限管理,TBAC支持最小特权原则和最小泄漏原则,在执行任务时只给用户分配所需的权限,未执行任务或任务终止后用户不再拥有所分配的权限;而且在执行任务过程中,当某一权限不再使用时,授权步自动将该权限回收;另外,对于敏感的任务需要不同的用户执行,这可通过授权步之间的分权依赖实现。
TBAC从工作流中的任务角度建模,可以依据任务和任务状态的不同,对权限进行动态管理。因此,TBAC非常适合分布式计算和多点访问控制的信息处理控制以及在工作流、分布式处理和事务管理系统中的决策制定。 基于角色的访问控制模型(RBAC Model,Role-based Access Model):RBAC模型的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。这是因为在很多实际应用中,用户并不是可以访问的客体信息资源的所有者(这些信息属于企业或公司),这样的话,访问控制应该基于员工的职务而不是基于员工在哪个组或是谁信息的所有者,即访问控制是由各个用户在部门中所担任的角色来确定的,例如,一个学校可以有教工、老师、学生和其他管理人员等角色。
RBAC从控制主体的角度出发,根据管理中相对稳定的职权和责任来划分角色,将访问权限与角色相联系,这点与传统的MAC和DAC将权限直接授予用户的方式不同;通过给用户分配合适的角色,让用户与访问权限相联系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。
角色可以看作是一组操作的集合,不同的角色具有不同的操作集,这些操作集由系统管理员分配给角色。在下面的实例中,我们假设Tch1,Tch2,Tch3……Tchi是对应的教师,Stud1,Stud 2,Stud3 …Studj是相应的学生,Mng1,Mng 2,Mng 3…Mngk是教务处管理人员,那么老师的权限为TchMN={查询成绩、上传所教课程的成绩};学生的权限为Stud MN={查询成绩、反映意见};教务管理人员的权限为MngMN={查询、修改成绩、打印成绩清单}。
那么,依据角色的不同,每个主体只能执行自己所制定的访问功能。用户在一定的部门中具有一定的角色,其所执行的操作与其所扮演的角色的职能相匹配,这正是基于角色的访问控制(RBAC)的根本特征,即:依据RBAC策略,系统定义了各种角色,每种角色可以完成一定的职能,不同的用户根据其职能和责任被赋予相应的角色,一旦某个用户成为某角色的成员,则此用户可以完成该角色所具有的职能。
如今数据安全成疾,蠕虫和病毒横行,如何提高网络安全?选择网络访问控制(NAC)成为必然,它能够帮助企业网络免于多种网络安全威胁。
许多企业往往不愿意实施基于角色的访问控制。因为企业担心冗长而复杂的实施过程,并且由于雇员访问权要发生变化,也会对工作效率带来副作用。完成基于角色的矩阵可能是一个需要花费企业几年时间的复杂过程。有一些新方法可以缩短这个过程,并当即带来好处。企业可以采用人力资源系统作为数据源,收集所有雇员的部门、职位、位置以及企业的层次结构等信息,并将这些信息用于创建每个访问级别的角色。下一步就是从活动目录等位置获得当前的权利,以及与不同角色的雇员有关的数据共享。下一步,使数据标准化,确保相同角色的雇员拥有相同的访问权。可以通过从人力资源和活动目录、修正报告以及雇员的管理者那里收集数据,用于检查和纠正。基于角色的访问控制应用与身份管理系统结合使用,可以实施管理员在自动模式中做出的变化。此过程可以在包含敏感信息的企业网络的其它应用中多次反复实施,确保访问权的正确性。
⑩ 如何采用访问控制矩阵方法实现rbac
基于角色的访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。