存取訪問(wèn)控制

存取訪問(wèn)控制第1頁(yè)，共57頁(yè)，2023年，2月20日，星期一目錄4.1訪問(wèn)控制概述4.2訪問(wèn)控制策略第2頁(yè)，共57頁(yè)，2023年，2月20日，星期一4.1訪問(wèn)控制概述1、基本概念（1）訪問(wèn)控制AccessControl對(duì)系統(tǒng)中的用戶、程序、進(jìn)程或計(jì)算機(jī)網(wǎng)絡(luò)中其他系統(tǒng)訪問(wèn)本系統(tǒng)資源進(jìn)行限制、控制的過(guò)程。

主體對(duì)客體的訪問(wèn)受到控制，是一種加強(qiáng)授權(quán)的方法。

是針對(duì)越權(quán)使用資源的防御措施口令認(rèn)證不能取代訪問(wèn)控制。原始概念:是對(duì)進(jìn)入系統(tǒng)的控制(用戶標(biāo)識(shí)+口令/生物特性/訪問(wèn)卡)

第3頁(yè)，共57頁(yè)，2023年，2月20日，星期一（2）訪問(wèn)控制機(jī)制在信息系統(tǒng)中，為檢測(cè)和防止未授權(quán)訪問(wèn)，以及為使授權(quán)訪問(wèn)正確進(jìn)行所設(shè)計(jì)的硬件或軟件功能、操作規(guī)程、管理規(guī)程和它們的各種組合。（3）授權(quán)：資源所有者對(duì)他人使用資源的許可。（4）資源：信息、處理器、通信設(shè)施、物理設(shè)備。訪問(wèn)一種資源就是從這個(gè)資源中獲得信息、修改資源或利用它完成某種功能。第4頁(yè)，共57頁(yè)，2023年，2月20日，星期一（5）主體（subject）：訪問(wèn)的發(fā)起者發(fā)起者是試圖訪問(wèn)某個(gè)目標(biāo)的用戶或者是用戶行為的代理。必須控制它對(duì)客體的訪問(wèn)。主體通常為進(jìn)程，程序或用戶。（6）客體（目標(biāo)）：可供訪問(wèn)的各種軟硬件資源。（7）敏感標(biāo)簽sensitivitylabel

表示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息，TCSEC中把敏感標(biāo)記作為強(qiáng)制訪問(wèn)控制決策的依據(jù)。第5頁(yè)，共57頁(yè)，2023年，2月20日，星期一2、阻止非授權(quán)用戶訪問(wèn)目標(biāo)的方法（1）訪問(wèn)請(qǐng)求過(guò)濾器：當(dāng)一個(gè)發(fā)起者試圖訪問(wèn)一個(gè)目標(biāo)時(shí)，審查其是否獲準(zhǔn)以請(qǐng)求的方式訪問(wèn)目標(biāo)；（2）分離防止非授權(quán)用戶有機(jī)會(huì)去訪問(wèn)敏感的目標(biāo)。這兩種方法涉及：

訪問(wèn)控制機(jī)制和訪問(wèn)控制策略。第6頁(yè)，共57頁(yè)，2023年，2月20日，星期一3、訪問(wèn)控制策略系統(tǒng)中存取文件或訪問(wèn)信息的一整套嚴(yán)密安全的規(guī)則。通過(guò)不同方式建立：OS固有的管理員或用戶制定的。4、訪問(wèn)控制機(jī)構(gòu)具體實(shí)施訪問(wèn)策略的所有功能的集合，這些功能可通過(guò)系統(tǒng)的軟硬件實(shí)現(xiàn)第7頁(yè)，共57頁(yè)，2023年，2月20日，星期一5、訪問(wèn)控制經(jīng)典模型第8頁(yè)，共57頁(yè)，2023年，2月20日，星期一該模型的特點(diǎn)：（1）明確定義的主體和客體；（2）描述主體如何訪問(wèn)客體的一個(gè)授權(quán)數(shù)據(jù)庫(kù)；（3）約束主體對(duì)客體訪問(wèn)嘗試的參考監(jiān)視器；（4）識(shí)別和驗(yàn)證主體和客體的可信子系統(tǒng)；（5）審計(jì)參考監(jiān)視器活動(dòng)的可信子系統(tǒng)。第9頁(yè)，共57頁(yè)，2023年，2月20日，星期一6、各種安全機(jī)制的關(guān)系第10頁(yè)，共57頁(yè)，2023年，2月20日，星期一自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制基于角色訪問(wèn)控制訪問(wèn)控制8.2訪問(wèn)控制策略第11頁(yè)，共57頁(yè)，2023年，2月20日，星期一8.2.1訪問(wèn)控制策略分類8.2.2自主訪問(wèn)控制策略8.2.3強(qiáng)制訪問(wèn)控制策略8.2.4基于角色的訪問(wèn)控制策略

8.2訪問(wèn)控制策略第12頁(yè)，共57頁(yè)，2023年，2月20日，星期一8.2.1訪問(wèn)控制策略分類1、訪問(wèn)控制策略可分為（1）自主式策略DAC（2）強(qiáng)制式策略MAC（3）基于角色的訪問(wèn)控制RBAC自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制基于角色訪問(wèn)控制訪問(wèn)控制第13頁(yè)，共57頁(yè)，2023年，2月20日，星期一2、任何訪問(wèn)控制策略最終可被模型化為訪問(wèn)矩陣形式。每一行：用戶每一列：目標(biāo)矩陣元素：相應(yīng)的用戶對(duì)目標(biāo)的訪問(wèn)許可。第14頁(yè)，共57頁(yè)，2023年，2月20日，星期一1、DAC((DiscretionaryAccessControl)的基本思想DAC是在確認(rèn)主體身份及所屬組的基礎(chǔ)上，根據(jù)訪問(wèn)者的身份和授權(quán)來(lái)決定訪問(wèn)模式，對(duì)訪問(wèn)進(jìn)行限定的一種控制策略

2、自主的含義所謂自主，是指具有授予某種訪問(wèn)權(quán)力的主體(用戶)能夠自己決定是否將訪問(wèn)控制權(quán)限的某個(gè)子集授予其他的主體或從其他主體那里收回他所授予的訪問(wèn)權(quán)限

8.2.2自主訪問(wèn)控制策略DAC第15頁(yè)，共57頁(yè)，2023年，2月20日，星期一3、實(shí)現(xiàn)方式（1）基于個(gè)人的策略隱含的缺省策略：禁止/開(kāi)放最小特權(quán)原則：最大限度地控制用戶為完成授權(quán)任務(wù)所需要的許可集。（2）基于組的策略多個(gè)用戶被組織在一起并賦予一個(gè)共同的標(biāo)識(shí)符。更容易、更有效。第16頁(yè)，共57頁(yè)，2023年，2月20日，星期一4、技術(shù)方法（1）訪問(wèn)控制矩陣客體主體

O1

O2

O3

S1

4

3

0

S2

2

1

4

S3

1

4

2注：0代表不能進(jìn)行任何訪問(wèn)1代表執(zhí)行，2代表讀，3代表寫，4代表?yè)碛械?7頁(yè)，共57頁(yè)，2023年，2月20日，星期一目錄級(jí)、文件的訪問(wèn)權(quán)限對(duì)目錄和文件的訪問(wèn)權(quán)限一般有八種：系統(tǒng)管理員權(quán)限（Supervisor）讀權(quán)限（Read）、寫權(quán)限（Write）創(chuàng)建權(quán)限（Create）、刪除權(quán)限（Erase）修改權(quán)限（Modify）文件查找權(quán)限（FileScan）存取控制權(quán)限（AccessControl）。第18頁(yè)，共57頁(yè)，2023年，2月20日，星期一第19頁(yè)，共57頁(yè)，2023年，2月20日，星期一(2)訪問(wèn)控制列表（ACL）每個(gè)客體各自將能對(duì)自己訪問(wèn)的主體信息以列表的形式保存起來(lái)，這相當(dāng)于是訪問(wèn)控制矩陣?yán)锏母鱾€(gè)列向量

優(yōu)點(diǎn)：（1）沒(méi)有一個(gè)中心點(diǎn)保存所有的訪問(wèn)信息，提高了執(zhí)行效率；（2）通過(guò)將不同的主體劃分不同的組，減少了訪問(wèn)信息的數(shù)量。

缺點(diǎn)：但若對(duì)主體進(jìn)行查找、增加和撤銷某些訪問(wèn)權(quán)限時(shí)，操作上費(fèi)時(shí)費(fèi)力，因?yàn)榇藭r(shí)必須遍歷所有的ACL。第20頁(yè)，共57頁(yè)，2023年，2月20日，星期一（3）能力能力表示的是一個(gè)主體對(duì)一個(gè)客體的訪問(wèn)權(quán)力，它以主體為索引，將主體對(duì)每個(gè)客體的訪問(wèn)權(quán)限以列表的形式保存起來(lái)，這相當(dāng)于是訪問(wèn)控制矩陣中的各個(gè)行向量。它的優(yōu)缺點(diǎn)與ACL的相反。第21頁(yè)，共57頁(yè)，2023年，2月20日，星期一5、DAC的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：自主性提供了極大的靈活性，從而使之適合于許多系統(tǒng)和應(yīng)用缺點(diǎn)：（1）權(quán)限管理易于失控DAC的這種自主性，使得信息總是可以從一個(gè)實(shí)體流向另一個(gè)實(shí)體，即使對(duì)高度機(jī)密的信息也是如此，故若控制不嚴(yán)就會(huì)產(chǎn)生嚴(yán)重安全隱患例如，用戶A可以將其對(duì)客體O的訪問(wèn)權(quán)限傳遞給用戶B，從而使不具備對(duì)O訪問(wèn)權(quán)限的B也可以訪問(wèn)O，這樣的結(jié)果是易于產(chǎn)生安全漏洞，因此自主訪問(wèn)控制的安全級(jí)別較低。（2）權(quán)限管理復(fù)雜由于同一用戶對(duì)不同的客體有不同的存取權(quán)限，不同的用戶對(duì)同一客體有不同的存取權(quán)限，用戶、權(quán)限、客體間的授權(quán)管理復(fù)雜第22頁(yè)，共57頁(yè)，2023年，2月20日，星期一1、MAC(MandatoryAccessControl)的基本思想依據(jù)主體和客體的安全級(jí)別來(lái)決定主體是否有對(duì)客體的訪問(wèn)權(quán)。最典型的例子是由BellandLaPadula提出的BLP模型，該模型基于軍事部門的安全需求為基礎(chǔ)。2、安全級(jí)別在BLP模型中，所有的主體和客體都有一個(gè)安全標(biāo)簽，它只能由安全管理員賦值，普通用戶不能改變，這個(gè)安全標(biāo)簽就是安全級(jí)別。8.2.3強(qiáng)制訪問(wèn)控制策略MAC第23頁(yè)，共57頁(yè)，2023年，2月20日，星期一3、安全級(jí)別的意義客體的安全級(jí)表現(xiàn)了客體中所含信息的敏感程度主體的安全級(jí)別則反映了主體對(duì)敏感信息的可信程度如客體級(jí)別可分為：絕密級(jí)、機(jī)密級(jí)、秘密級(jí)、無(wú)密級(jí)4、訪問(wèn)控制規(guī)則用λ標(biāo)志主體或客體的安全標(biāo)簽當(dāng)主體訪問(wèn)客體時(shí)，需滿足如下兩條規(guī)則：讀規(guī)則：如果主體s能夠讀客體o，則λ(s)≥λ(o)寫規(guī)則：如果主體s能夠?qū)懣腕wo，則λ(s)≤λ(o)

主體按照“向下讀，向上寫”的原則訪問(wèn)客體

第24頁(yè)，共57頁(yè)，2023年，2月20日，星期一第25頁(yè)，共57頁(yè)，2023年，2月20日，星期一5、BLP模型的優(yōu)點(diǎn)（1）它使得系統(tǒng)中的信息流成為單向不可逆的（2）保證了信息流總是由低安全級(jí)別的實(shí)體流向高安全級(jí)別的實(shí)體，因此避免了在自主訪問(wèn)控制中的敏感信息泄漏的情況。（3）保證了客體的高度安全性6、BLP模型的缺點(diǎn)（1）限制了高安全級(jí)別用戶向非敏感客體寫數(shù)據(jù)的合理要求（2）由高安全級(jí)別的主體擁有的數(shù)據(jù)永遠(yuǎn)不能被低安全級(jí)別的主體訪問(wèn)，降低了系統(tǒng)的可用性。（3）BLP模型的“向上寫”的策略使得低安全級(jí)別的主體篡改敏感數(shù)據(jù)成為可能，破壞了系統(tǒng)的數(shù)據(jù)完整性（4）MAC由于過(guò)于偏重保密性，對(duì)其它方面如系統(tǒng)連續(xù)工作能力、授權(quán)的可管理性等考慮不足，造成管理不便，靈活性差第26頁(yè)，共57頁(yè)，2023年，2月20日，星期一8.2.4基于角色的訪問(wèn)控制策略RBAC1、基本思想在用戶和訪問(wèn)權(quán)限之間引入角色的概念，將用戶和角色聯(lián)系起來(lái)，通過(guò)對(duì)角色的授權(quán)來(lái)控制用戶對(duì)系統(tǒng)資源的訪問(wèn)角色是訪問(wèn)權(quán)限的集合，用戶通過(guò)賦予不同的角色獲得角色所擁有的訪問(wèn)權(quán)限第27頁(yè)，共57頁(yè)，2023年，2月20日，星期一2、RBAC模型的演變（1）美國(guó)國(guó)家標(biāo)準(zhǔn)化和技術(shù)委員會(huì)(NIST)的Ferraiolo等人在90年代提出的（2）RBAC96模型美國(guó)GeorgeMason大學(xué)信息系統(tǒng)和系統(tǒng)工程系的R.Sandhu等人在對(duì)RBAC進(jìn)行深入研究的基礎(chǔ)上，于1996年提出了一個(gè)基于角色的訪問(wèn)控制參考模型，對(duì)角色訪問(wèn)控制產(chǎn)生了重要影響，被稱為RBAC96模型（3）RBAC96模型包括4個(gè)不同層次RBAC0、RBAC1、RBAC2和RBAC3第28頁(yè)，共57頁(yè)，2023年，2月20日，星期一RBAC2RBAC3RBAC0RBAC1RBAC96模型間的關(guān)系1）基礎(chǔ)模型：RBAC0定義了支持RBAC的最小需求，如用戶、角色、權(quán)限、會(huì)話等概念。第29頁(yè)，共57頁(yè)，2023年，2月20日，星期一2）高級(jí)模型：RBAC1和RBAC2RBAC1在RBAC0的基礎(chǔ)上，加入了角色繼承關(guān)系，可以根據(jù)組織內(nèi)部權(quán)力和責(zé)任的結(jié)構(gòu)來(lái)構(gòu)造角色與角色之間的層次關(guān)系；RBAC2在RBAC0的基礎(chǔ)上，加入了各種用戶與角色之間、權(quán)限與角色之間以及角色與角色之間的約束關(guān)系，如角色互斥、角色最大成員數(shù)等。RBAC1和RBAC2之間不具有可比性。3）鞏固模型：RBAC3RBAC2是RBAC1和RBAC2的集成，它不僅包括角色的層次關(guān)系，還包括約束關(guān)系第30頁(yè)，共57頁(yè)，2023年，2月20日，星期一3、基本概念角色、許可、用戶、會(huì)話、活躍角色（1）許可是允許對(duì)一個(gè)或多個(gè)客體執(zhí)行操作。（2）角色是許可的集合。（3）會(huì)話：一次會(huì)話是用戶的一個(gè)活躍進(jìn)程，它代表用戶與系統(tǒng)交互。用戶與會(huì)話是一對(duì)多關(guān)系，一個(gè)用戶可同時(shí)打開(kāi)多個(gè)會(huì)話。（4）活躍角色集：一個(gè)會(huì)話構(gòu)成一個(gè)用戶到多個(gè)角色的映射，即會(huì)話激活了用戶授權(quán)角色集的某個(gè)子集，這個(gè)子集稱為活躍角色集?；钴S角色集決定了本次會(huì)話的許可集第31頁(yè)，共57頁(yè)，2023年，2月20日，星期一角色與組的區(qū)別 組 ： 用戶集 角色 ： 用戶集＋權(quán)限集第32頁(yè)，共57頁(yè)，2023年，2月20日，星期一4、RBAC0(基礎(chǔ)模型)包括以下幾個(gè)部分：（1）若干實(shí)體集：U、R、P、S(用戶集、角色集、權(quán)限集、會(huì)話集)（2）PAPR（權(quán)限角色分配，是權(quán)限到角色的多對(duì)多的關(guān)系）（3）UAUR（用戶角色分配，是用戶到角色的多對(duì)多的關(guān)系）（4）roles(Si){r|(user(Si),r)∈UA}其中，user：S→U，各個(gè)會(huì)話與一個(gè)用戶的一個(gè)函數(shù)映射（每個(gè)會(huì)話Si對(duì)應(yīng)一個(gè)用戶user(Si)，在一個(gè)會(huì)話周期內(nèi)不變）roles：S→2R，將各個(gè)會(huì)話Si與一個(gè)角色集合的映射該映射隨時(shí)間變化可以變化會(huì)話Si的權(quán)限為{p|

(p,r)∈PA，r∈roles(Si)}

第33頁(yè)，共57頁(yè)，2023年，2月20日，星期一RBAC0模型指明用戶、角色、訪問(wèn)權(quán)限和會(huì)話之間的關(guān)系。每個(gè)角色至少具備一個(gè)權(quán)限，每個(gè)用戶至少扮演一個(gè)角色；可以對(duì)兩個(gè)完全不同的角色分配完全相同的訪問(wèn)權(quán)限；

會(huì)話由用戶控制，一個(gè)用戶可以創(chuàng)建會(huì)話并激活多個(gè)用戶角色，從而獲取相應(yīng)的訪問(wèn)權(quán)限，用戶可以在會(huì)話中更改激活角色，并且用戶可以主動(dòng)結(jié)束一個(gè)會(huì)話第34頁(yè)，共57頁(yè)，2023年，2月20日，星期一5、RBAC1模型（層次模型）（1）角色層次結(jié)構(gòu)在RBAC0的基礎(chǔ)上增加了角色的層次結(jié)構(gòu)，用RH表示。RHRRRH是角色上的一個(gè)偏序關(guān)系，稱為角色層次關(guān)系（2）Roles：S→2R的函數(shù)映射有變化roles(Si){r|ョ(r’r)[(user(Si),r’)∈UA]}這個(gè)會(huì)話Si具有訪問(wèn)權(quán)限為：{p|ョ(r”r)[(p,r”)∈PA]，r∈roles(Si)}第35頁(yè)，共57頁(yè)，2023年，2月20日，星期一

該模型中用戶可以為他具有的角色或其下級(jí)角色建立一個(gè)會(huì)話，其獲取的訪問(wèn)權(quán)限包括在該會(huì)話中激活角色所具有的訪問(wèn)權(quán)限以及下級(jí)角色所具有的訪問(wèn)權(quán)限。如果在角色繼承時(shí)限制繼承的范圍，則可建立私有角色及其私有子層次第36頁(yè)，共57頁(yè)，2023年，2月20日，星期一6、RBAC2模型（約束模型）

RBAC2模型在RBAC0基礎(chǔ)上增加了約束機(jī)制。約束條件指向UA、PA和會(huì)話中的user、roles等函數(shù)，約束一般有返回值“接受”或“拒絕”，只有擁有有效值的元素才可被接受（1）互斥角色同一用戶只能分配到一組互斥角色集合中至多一個(gè)角色，支持職責(zé)分離的原則。

第37頁(yè)，共57頁(yè)，2023年，2月20日，星期一（2）基數(shù)約束一個(gè)角色被分配的用戶數(shù)量受限；一個(gè)用戶可擁有的角色數(shù)目受限；同樣一個(gè)角色對(duì)應(yīng)的訪問(wèn)權(quán)限數(shù)目也應(yīng)受限，以控制高級(jí)權(quán)限在系統(tǒng)中的分配（3）先決條件角色可以分配角色給用戶僅當(dāng)該用戶已經(jīng)是另一角色的成員；可以分配訪問(wèn)權(quán)限給角色，僅當(dāng)該角色已經(jīng)擁有另一種訪問(wèn)權(quán)限。第38頁(yè)，共57頁(yè)，2023年，2月20日，星期一（4）運(yùn)行時(shí)互斥例如，允許一個(gè)用戶具有兩個(gè)角色的成員資格，但在運(yùn)行中不可同時(shí)激活這兩個(gè)角色第39頁(yè)，共57頁(yè)，2023年，2月20日，星期一7、RBAC3RBAC96模型結(jié)構(gòu)U用戶R角色P權(quán)限S1S2S3：Sn用戶－角色分配角色－權(quán)限分配會(huì)話約束角色層次用戶角色第40頁(yè)，共57頁(yè)，2023年，2月20日，星期一

8、RBAC的優(yōu)點(diǎn)（1）降低了權(quán)限管理的復(fù)雜程度RABC這種分層的優(yōu)點(diǎn)是當(dāng)主體發(fā)生變化時(shí)，只需修改主體與角色之間的關(guān)聯(lián)而不必修改角色與客體的關(guān)聯(lián)。RBAC中許可被授權(quán)給角色，角色被授權(quán)給用戶，用戶不直接與許可關(guān)聯(lián)。RBAC對(duì)訪問(wèn)權(quán)限的授權(quán)由管理員統(tǒng)一管理，而且授權(quán)規(guī)定是強(qiáng)加給用戶的，這是一種強(qiáng)制式訪問(wèn)控制方式。第41頁(yè)，共57頁(yè)，2023年，2月20日，星期一（2）RBAC能夠描述復(fù)雜的安全策略通過(guò)角色定義、分配和設(shè)置適應(yīng)安全策略系統(tǒng)管理員定義系統(tǒng)中的各種角色，每種角色可以完成一定的職能；不同的用戶根據(jù)其職能和責(zé)任被賦予相應(yīng)的角色，一旦某個(gè)用戶成為某角色的成員，則此用戶可以完成該角色所具有的職能。

第42頁(yè)，共57頁(yè)，2023年，2月20日，星期一（3）易于使用1）根據(jù)崗位定角色根據(jù)組織的安全策略，特定的崗位定義為特定的角色、特定的角色授權(quán)給特定的用戶。例如可以定義某些角色接近DAC，某些角色接近MAC。第43頁(yè)，共57頁(yè)，2023年，2月20日，星期一2）根據(jù)需要定角色系統(tǒng)管理員也可以根據(jù)需要設(shè)置角色的可用性以適應(yīng)某一階段企業(yè)的安全策略例如設(shè)置所有角色在所有時(shí)間內(nèi)可用、特定角色在特定時(shí)間內(nèi)可用、用戶授權(quán)角色的子集在特定時(shí)間內(nèi)可用。第44頁(yè)，共57頁(yè)，2023年，2月20日，星期一3）通過(guò)角色分層映射組織結(jié)構(gòu)組織結(jié)構(gòu)中通常存在一種上、下級(jí)關(guān)系，上一級(jí)擁有下一級(jí)的全部權(quán)限，為此，RBAC引入了角色分層的概念。角色分層把角色組織起來(lái)，能夠很自然地反映組織內(nèi)部人員之間的職權(quán)、責(zé)任關(guān)系。層次之間存在高對(duì)低的繼承關(guān)系，即父角色可以繼承子角色的許可。第45頁(yè)，共57頁(yè)，2023年，2月20日，星期一第46頁(yè)，共57頁(yè)，2023年，2月20日，星期一（4）容易實(shí)現(xiàn)最小特權(quán)（leastprivilege）原則最小特權(quán)原則在保持完整性方面起著重要的作用。最小特權(quán)原則是指用戶所擁有的權(quán)力不能超過(guò)他執(zhí)行工作時(shí)所需的權(quán)限。這一原則的應(yīng)用可限制事故、錯(cuò)誤、未授權(quán)使用帶來(lái)的損害。使用RBAC能夠容易地實(shí)現(xiàn)最小特權(quán)原則。在RBAC中，系統(tǒng)管理員可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色，只有角色需要執(zhí)行的操作才授權(quán)給角色。當(dāng)一個(gè)主體要訪問(wèn)某資源時(shí),如果該操作不在主體當(dāng)前活躍角色的授權(quán)操作之內(nèi)，該訪問(wèn)將被拒絕。第47頁(yè)，共57頁(yè)，2023年，2月20日，星期一（5）滿足職責(zé)分離(separationofduties)原則這是保障安全的一個(gè)基本原則，是指有些許可不能同時(shí)被同一用戶獲得，以避免安全上的漏洞。例如收款員、出納員、審計(jì)員應(yīng)由不同的用戶擔(dān)任。在RBAC中，職責(zé)分離可以有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式。

靜態(tài)職責(zé)分離只有當(dāng)一個(gè)角色與用戶所屬的其他角色彼此不互斥時(shí),這個(gè)角色才能授權(quán)給該用戶。

動(dòng)態(tài)職責(zé)分離只有當(dāng)一個(gè)角色與一主體的任何一個(gè)當(dāng)前活躍角色都不互斥時(shí)該角色才能成為該主體的另一個(gè)活躍角色

角色的職責(zé)分離也稱為角色互斥，是角色限制的一種。第48頁(yè)，共57頁(yè)，2023年，2月20日，星期一崗位上的用戶數(shù)通過(guò)角色基數(shù)約束企業(yè)中有一些角色只能由一定人數(shù)的用戶占用，在創(chuàng)建新的角色時(shí)，通過(guò)指定角色的基數(shù)來(lái)限定該角色可以擁有的最大授權(quán)用戶數(shù)。如總經(jīng)理角色只能由一位用戶擔(dān)任。第49頁(yè)，共57頁(yè)，2023年，2月20日，星期一9、RBAC系統(tǒng)的構(gòu)成服務(wù)器：（1）訪問(wèn)控制服務(wù)器ACS(AccessControlServer)（2）訪問(wèn)請(qǐng)求過(guò)濾器AFS(AccessFilterServer)、（3）角色及授權(quán)管理器RAS(Role&AuthorizationManagementServer)（4）管理控制臺(tái)。。。訪問(wèn)控制信息庫(kù)：用戶／角色信息庫(kù)角色訪問(wèn)權(quán)限庫(kù)。。。第50頁(yè)，共57頁(yè)，2023年，2月20日，星期一（1）用戶在訪問(wèn)資源之前，必須先向身份認(rèn)證服務(wù)器證實(shí)自己的身份和角色（2）通過(guò)身份認(rèn)證之后，用戶以當(dāng)前的角色向AFS發(fā)出訪問(wèn)請(qǐng)求

AFS收到請(qǐng)求后，把用戶的當(dāng)前角色、要訪問(wèn)的資源以及訪問(wèn)權(quán)限組成一個(gè)新的報(bào)文，發(fā)送給ACS請(qǐng)求作出訪問(wèn)決策。

ACS返回決策結(jié)果給AFS。如果允許此次訪問(wèn)，則AFS負(fù)責(zé)向真正的應(yīng)用服務(wù)器發(fā)出訪問(wèn)請(qǐng)求，并將訪問(wèn)結(jié)果返回給用戶。如果否認(rèn)該次訪問(wèn)，則AFS返回給用戶一個(gè)“操作失敗”的應(yīng)答代碼報(bào)文

身份認(rèn)證服務(wù)器用戶AFSACS應(yīng)用服務(wù)器角色訪問(wèn)權(quán)限庫(kù)用戶/角色庫(kù)RAS管理界面1.請(qǐng)求認(rèn)證用戶和當(dāng)前角色2.返回認(rèn)證結(jié)果3.發(fā)出訪問(wèn)請(qǐng)求8.返回訪問(wèn)結(jié)果6.請(qǐng)求服務(wù)7.返回服務(wù)結(jié)果4.請(qǐng)求決策5.返回決策結(jié)果第51頁(yè)，共57頁(yè)，2023年，2月20日，星期一訪問(wèn)控制信息庫(kù)（1）用戶表（2）角色表（3）受控對(duì)象表（4）操作算子表（5）許可表：操作算子---對(duì)象（6）角色/許可表（7）用戶/角色分配表（8）用戶/角色授權(quán)表（9）角色層次表（10）靜態(tài)角色互斥表第52頁(yè)，共57頁(yè)，2023年，2月20日，星期一(11)動(dòng)態(tài)角色互斥表(12)會(huì)話的用戶表(13)會(huì)話的角色表第53頁(yè)，共57頁(yè)，2023年，2月20日，星期一