存取訪問控制

存取訪問控制第1頁，課件共57頁，創(chuàng)作于2023年2月目錄4.1訪問控制概述4.2訪問控制策略第2頁，課件共57頁，創(chuàng)作于2023年2月4.1訪問控制概述1、基本概念（1）訪問控制AccessControl對系統(tǒng)中的用戶、程序、進(jìn)程或計(jì)算機(jī)網(wǎng)絡(luò)中其他系統(tǒng)訪問本系統(tǒng)資源進(jìn)行限制、控制的過程。

主體對客體的訪問受到控制，是一種加強(qiáng)授權(quán)的方法。

是針對越權(quán)使用資源的防御措施口令認(rèn)證不能取代訪問控制。原始概念:是對進(jìn)入系統(tǒng)的控制(用戶標(biāo)識(shí)+口令/生物特性/訪問卡)

第3頁，課件共57頁，創(chuàng)作于2023年2月（2）訪問控制機(jī)制在信息系統(tǒng)中，為檢測和防止未授權(quán)訪問，以及為使授權(quán)訪問正確進(jìn)行所設(shè)計(jì)的硬件或軟件功能、操作規(guī)程、管理規(guī)程和它們的各種組合。（3）授權(quán)：資源所有者對他人使用資源的許可。（4）資源：信息、處理器、通信設(shè)施、物理設(shè)備。訪問一種資源就是從這個(gè)資源中獲得信息、修改資源或利用它完成某種功能。第4頁，課件共57頁，創(chuàng)作于2023年2月（5）主體（subject）：訪問的發(fā)起者發(fā)起者是試圖訪問某個(gè)目標(biāo)的用戶或者是用戶行為的代理。必須控制它對客體的訪問。主體通常為進(jìn)程，程序或用戶。（6）客體（目標(biāo)）：可供訪問的各種軟硬件資源。（7）敏感標(biāo)簽sensitivitylabel

表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，TCSEC中把敏感標(biāo)記作為強(qiáng)制訪問控制決策的依據(jù)。第5頁，課件共57頁，創(chuàng)作于2023年2月2、阻止非授權(quán)用戶訪問目標(biāo)的方法（1）訪問請求過濾器：當(dāng)一個(gè)發(fā)起者試圖訪問一個(gè)目標(biāo)時(shí)，審查其是否獲準(zhǔn)以請求的方式訪問目標(biāo)；（2）分離防止非授權(quán)用戶有機(jī)會(huì)去訪問敏感的目標(biāo)。這兩種方法涉及：

訪問控制機(jī)制和訪問控制策略。第6頁，課件共57頁，創(chuàng)作于2023年2月3、訪問控制策略系統(tǒng)中存取文件或訪問信息的一整套嚴(yán)密安全的規(guī)則。通過不同方式建立：OS固有的管理員或用戶制定的。4、訪問控制機(jī)構(gòu)具體實(shí)施訪問策略的所有功能的集合，這些功能可通過系統(tǒng)的軟硬件實(shí)現(xiàn)第7頁，課件共57頁，創(chuàng)作于2023年2月5、訪問控制經(jīng)典模型第8頁，課件共57頁，創(chuàng)作于2023年2月該模型的特點(diǎn)：（1）明確定義的主體和客體；（2）描述主體如何訪問客體的一個(gè)授權(quán)數(shù)據(jù)庫；（3）約束主體對客體訪問嘗試的參考監(jiān)視器；（4）識(shí)別和驗(yàn)證主體和客體的可信子系統(tǒng)；（5）審計(jì)參考監(jiān)視器活動(dòng)的可信子系統(tǒng)。第9頁，課件共57頁，創(chuàng)作于2023年2月6、各種安全機(jī)制的關(guān)系第10頁，課件共57頁，創(chuàng)作于2023年2月自主訪問控制強(qiáng)制訪問控制基于角色訪問控制訪問控制8.2訪問控制策略第11頁，課件共57頁，創(chuàng)作于2023年2月8.2.1訪問控制策略分類8.2.2自主訪問控制策略8.2.3強(qiáng)制訪問控制策略8.2.4基于角色的訪問控制策略

8.2訪問控制策略第12頁，課件共57頁，創(chuàng)作于2023年2月8.2.1訪問控制策略分類1、訪問控制策略可分為（1）自主式策略DAC（2）強(qiáng)制式策略MAC（3）基于角色的訪問控制RBAC自主訪問控制強(qiáng)制訪問控制基于角色訪問控制訪問控制第13頁，課件共57頁，創(chuàng)作于2023年2月2、任何訪問控制策略最終可被模型化為訪問矩陣形式。每一行：用戶每一列：目標(biāo)矩陣元素：相應(yīng)的用戶對目標(biāo)的訪問許可。第14頁，課件共57頁，創(chuàng)作于2023年2月1、DAC((DiscretionaryAccessControl)的基本思想DAC是在確認(rèn)主體身份及所屬組的基礎(chǔ)上，根據(jù)訪問者的身份和授權(quán)來決定訪問模式，對訪問進(jìn)行限定的一種控制策略

2、自主的含義所謂自主，是指具有授予某種訪問權(quán)力的主體(用戶)能夠自己決定是否將訪問控制權(quán)限的某個(gè)子集授予其他的主體或從其他主體那里收回他所授予的訪問權(quán)限

8.2.2自主訪問控制策略DAC第15頁，課件共57頁，創(chuàng)作于2023年2月3、實(shí)現(xiàn)方式（1）基于個(gè)人的策略隱含的缺省策略：禁止/開放最小特權(quán)原則：最大限度地控制用戶為完成授權(quán)任務(wù)所需要的許可集。（2）基于組的策略多個(gè)用戶被組織在一起并賦予一個(gè)共同的標(biāo)識(shí)符。更容易、更有效。第16頁，課件共57頁，創(chuàng)作于2023年2月4、技術(shù)方法（1）訪問控制矩陣客體主體

O1

O2

O3

S1

4

3

0

S2

2

1

4

S3

1

4

2注：0代表不能進(jìn)行任何訪問1代表執(zhí)行，2代表讀，3代表寫，4代表擁有第17頁，課件共57頁，創(chuàng)作于2023年2月目錄級、文件的訪問權(quán)限對目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限（Supervisor）讀權(quán)限（Read）、寫權(quán)限（Write）創(chuàng)建權(quán)限（Create）、刪除權(quán)限（Erase）修改權(quán)限（Modify）文件查找權(quán)限（FileScan）存取控制權(quán)限（AccessControl）。第18頁，課件共57頁，創(chuàng)作于2023年2月第19頁，課件共57頁，創(chuàng)作于2023年2月(2)訪問控制列表（ACL）每個(gè)客體各自將能對自己訪問的主體信息以列表的形式保存起來，這相當(dāng)于是訪問控制矩陣?yán)锏母鱾€(gè)列向量

優(yōu)點(diǎn)：（1）沒有一個(gè)中心點(diǎn)保存所有的訪問信息，提高了執(zhí)行效率；（2）通過將不同的主體劃分不同的組，減少了訪問信息的數(shù)量。

缺點(diǎn)：但若對主體進(jìn)行查找、增加和撤銷某些訪問權(quán)限時(shí)，操作上費(fèi)時(shí)費(fèi)力，因?yàn)榇藭r(shí)必須遍歷所有的ACL。第20頁，課件共57頁，創(chuàng)作于2023年2月（3）能力能力表示的是一個(gè)主體對一個(gè)客體的訪問權(quán)力，它以主體為索引，將主體對每個(gè)客體的訪問權(quán)限以列表的形式保存起來，這相當(dāng)于是訪問控制矩陣中的各個(gè)行向量。它的優(yōu)缺點(diǎn)與ACL的相反。第21頁，課件共57頁，創(chuàng)作于2023年2月5、DAC的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：自主性提供了極大的靈活性，從而使之適合于許多系統(tǒng)和應(yīng)用缺點(diǎn)：（1）權(quán)限管理易于失控DAC的這種自主性，使得信息總是可以從一個(gè)實(shí)體流向另一個(gè)實(shí)體，即使對高度機(jī)密的信息也是如此，故若控制不嚴(yán)就會(huì)產(chǎn)生嚴(yán)重安全隱患例如，用戶A可以將其對客體O的訪問權(quán)限傳遞給用戶B，從而使不具備對O訪問權(quán)限的B也可以訪問O，這樣的結(jié)果是易于產(chǎn)生安全漏洞，因此自主訪問控制的安全級別較低。（2）權(quán)限管理復(fù)雜由于同一用戶對不同的客體有不同的存取權(quán)限，不同的用戶對同一客體有不同的存取權(quán)限，用戶、權(quán)限、客體間的授權(quán)管理復(fù)雜第22頁，課件共57頁，創(chuàng)作于2023年2月1、MAC(MandatoryAccessControl)的基本思想依據(jù)主體和客體的安全級別來決定主體是否有對客體的訪問權(quán)。最典型的例子是由BellandLaPadula提出的BLP模型，該模型基于軍事部門的安全需求為基礎(chǔ)。2、安全級別在BLP模型中，所有的主體和客體都有一個(gè)安全標(biāo)簽，它只能由安全管理員賦值，普通用戶不能改變，這個(gè)安全標(biāo)簽就是安全級別。8.2.3強(qiáng)制訪問控制策略MAC第23頁，課件共57頁，創(chuàng)作于2023年2月3、安全級別的意義客體的安全級表現(xiàn)了客體中所含信息的敏感程度主體的安全級別則反映了主體對敏感信息的可信程度如客體級別可分為：絕密級、機(jī)密級、秘密級、無密級4、訪問控制規(guī)則用λ標(biāo)志主體或客體的安全標(biāo)簽當(dāng)主體訪問客體時(shí)，需滿足如下兩條規(guī)則：讀規(guī)則：如果主體s能夠讀客體o，則λ(s)≥λ(o)寫規(guī)則：如果主體s能夠?qū)懣腕wo，則λ(s)≤λ(o)

主體按照“向下讀，向上寫”的原則訪問客體

第24頁，課件共57頁，創(chuàng)作于2023年2月第25頁，課件共57頁，創(chuàng)作于2023年2月5、BLP模型的優(yōu)點(diǎn)（1）它使得系統(tǒng)中的信息流成為單向不可逆的（2）保證了信息流總是由低安全級別的實(shí)體流向高安全級別的實(shí)體，因此避免了在自主訪問控制中的敏感信息泄漏的情況。（3）保證了客體的高度安全性6、BLP模型的缺點(diǎn)（1）限制了高安全級別用戶向非敏感客體寫數(shù)據(jù)的合理要求（2）由高安全級別的主體擁有的數(shù)據(jù)永遠(yuǎn)不能被低安全級別的主體訪問，降低了系統(tǒng)的可用性。（3）BLP模型的“向上寫”的策略使得低安全級別的主體篡改敏感數(shù)據(jù)成為可能，破壞了系統(tǒng)的數(shù)據(jù)完整性（4）MAC由于過于偏重保密性，對其它方面如系統(tǒng)連續(xù)工作能力、授權(quán)的可管理性等考慮不足，造成管理不便，靈活性差第26頁，課件共57頁，創(chuàng)作于2023年2月8.2.4基于角色的訪問控制策略RBAC1、基本思想在用戶和訪問權(quán)限之間引入角色的概念，將用戶和角色聯(lián)系起來，通過對角色的授權(quán)來控制用戶對系統(tǒng)資源的訪問角色是訪問權(quán)限的集合，用戶通過賦予不同的角色獲得角色所擁有的訪問權(quán)限第27頁，課件共57頁，創(chuàng)作于2023年2月2、RBAC模型的演變（1）美國國家標(biāo)準(zhǔn)化和技術(shù)委員會(huì)(NIST)的Ferraiolo等人在90年代提出的（2）RBAC96模型美國GeorgeMason大學(xué)信息系統(tǒng)和系統(tǒng)工程系的R.Sandhu等人在對RBAC進(jìn)行深入研究的基礎(chǔ)上，于1996年提出了一個(gè)基于角色的訪問控制參考模型，對角色訪問控制產(chǎn)生了重要影響，被稱為RBAC96模型（3）RBAC96模型包括4個(gè)不同層次RBAC0、RBAC1、RBAC2和RBAC3第28頁，課件共57頁，創(chuàng)作于2023年2月RBAC2RBAC3RBAC0RBAC1RBAC96模型間的關(guān)系1）基礎(chǔ)模型：RBAC0定義了支持RBAC的最小需求，如用戶、角色、權(quán)限、會(huì)話等概念。第29頁，課件共57頁，創(chuàng)作于2023年2月2）高級模型：RBAC1和RBAC2RBAC1在RBAC0的基礎(chǔ)上，加入了角色繼承關(guān)系，可以根據(jù)組織內(nèi)部權(quán)力和責(zé)任的結(jié)構(gòu)來構(gòu)造角色與角色之間的層次關(guān)系；RBAC2在RBAC0的基礎(chǔ)上，加入了各種用戶與角色之間、權(quán)限與角色之間以及角色與角色之間的約束關(guān)系，如角色互斥、角色最大成員數(shù)等。RBAC1和RBAC2之間不具有可比性。3）鞏固模型：RBAC3RBAC2是RBAC1和RBAC2的集成，它不僅包括角色的層次關(guān)系，還包括約束關(guān)系第30頁，課件共57頁，創(chuàng)作于2023年2月3、基本概念角色、許可、用戶、會(huì)話、活躍角色（1）許可是允許對一個(gè)或多個(gè)客體執(zhí)行操作。（2）角色是許可的集合。（3）會(huì)話：一次會(huì)話是用戶的一個(gè)活躍進(jìn)程，它代表用戶與系統(tǒng)交互。用戶與會(huì)話是一對多關(guān)系，一個(gè)用戶可同時(shí)打開多個(gè)會(huì)話。（4）活躍角色集：一個(gè)會(huì)話構(gòu)成一個(gè)用戶到多個(gè)角色的映射，即會(huì)話激活了用戶授權(quán)角色集的某個(gè)子集，這個(gè)子集稱為活躍角色集?；钴S角色集決定了本次會(huì)話的許可集第31頁，課件共57頁，創(chuàng)作于2023年2月角色與組的區(qū)別 組 ： 用戶集 角色 ： 用戶集＋權(quán)限集第32頁，課件共57頁，創(chuàng)作于2023年2月4、RBAC0(基礎(chǔ)模型)包括以下幾個(gè)部分：（1）若干實(shí)體集：U、R、P、S(用戶集、角色集、權(quán)限集、會(huì)話集)（2）PAPR（權(quán)限角色分配，是權(quán)限到角色的多對多的關(guān)系）（3）UAUR（用戶角色分配，是用戶到角色的多對多的關(guān)系）（4）roles(Si){r|(user(Si),r)∈UA}其中，user：S→U，各個(gè)會(huì)話與一個(gè)用戶的一個(gè)函數(shù)映射（每個(gè)會(huì)話Si對應(yīng)一個(gè)用戶user(Si)，在一個(gè)會(huì)話周期內(nèi)不變）roles：S→2R，將各個(gè)會(huì)話Si與一個(gè)角色集合的映射該映射隨時(shí)間變化可以變化會(huì)話Si的權(quán)限為{p|

(p,r)∈PA，r∈roles(Si)}

第33頁，課件共57頁，創(chuàng)作于2023年2月RBAC0模型指明用戶、角色、訪問權(quán)限和會(huì)話之間的關(guān)系。每個(gè)角色至少具備一個(gè)權(quán)限，每個(gè)用戶至少扮演一個(gè)角色；可以對兩個(gè)完全不同的角色分配完全相同的訪問權(quán)限；

會(huì)話由用戶控制，一個(gè)用戶可以創(chuàng)建會(huì)話并激活多個(gè)用戶角色，從而獲取相應(yīng)的訪問權(quán)限，用戶可以在會(huì)話中更改激活角色，并且用戶可以主動(dòng)結(jié)束一個(gè)會(huì)話第34頁，課件共57頁，創(chuàng)作于2023年2月5、RBAC1模型（層次模型）（1）角色層次結(jié)構(gòu)在RBAC0的基礎(chǔ)上增加了角色的層次結(jié)構(gòu)，用RH表示。RHRRRH是角色上的一個(gè)偏序關(guān)系，稱為角色層次關(guān)系（2）Roles：S→2R的函數(shù)映射有變化roles(Si){r|ョ(r’r)[(user(Si),r’)∈UA]}這個(gè)會(huì)話Si具有訪問權(quán)限為：{p|ョ(r”r)[(p,r”)∈PA]，r∈roles(Si)}第35頁，課件共57頁，創(chuàng)作于2023年2月

該模型中用戶可以為他具有的角色或其下級角色建立一個(gè)會(huì)話，其獲取的訪問權(quán)限包括在該會(huì)話中激活角色所具有的訪問權(quán)限以及下級角色所具有的訪問權(quán)限。如果在角色繼承時(shí)限制繼承的范圍，則可建立私有角色及其私有子層次第36頁，課件共57頁，創(chuàng)作于2023年2月6、RBAC2模型（約束模型）

RBAC2模型在RBAC0基礎(chǔ)上增加了約束機(jī)制。約束條件指向UA、PA和會(huì)話中的user、roles等函數(shù)，約束一般有返回值“接受”或“拒絕”，只有擁有有效值的元素才可被接受（1）互斥角色同一用戶只能分配到一組互斥角色集合中至多一個(gè)角色，支持職責(zé)分離的原則。

第37頁，課件共57頁，創(chuàng)作于2023年2月（2）基數(shù)約束一個(gè)角色被分配的用戶數(shù)量受限；一個(gè)用戶可擁有的角色數(shù)目受限；同樣一個(gè)角色對應(yīng)的訪問權(quán)限數(shù)目也應(yīng)受限，以控制高級權(quán)限在系統(tǒng)中的分配（3）先決條件角色可以分配角色給用戶僅當(dāng)該用戶已經(jīng)是另一角色的成員；可以分配訪問權(quán)限給角色，僅當(dāng)該角色已經(jīng)擁有另一種訪問權(quán)限。第38頁，課件共57頁，創(chuàng)作于2023年2月（4）運(yùn)行時(shí)互斥例如，允許一個(gè)用戶具有兩個(gè)角色的成員資格，但在運(yùn)行中不可同時(shí)激活這兩個(gè)角色第39頁，課件共57頁，創(chuàng)作于2023年2月7、RBAC3RBAC96模型結(jié)構(gòu)U用戶R角色P權(quán)限S1S2S3：Sn用戶－角色分配角色－權(quán)限分配會(huì)話約束角色層次用戶角色第40頁，課件共57頁，創(chuàng)作于2023年2月

8、RBAC的優(yōu)點(diǎn)（1）降低了權(quán)限管理的復(fù)雜程度RABC這種分層的優(yōu)點(diǎn)是當(dāng)主體發(fā)生變化時(shí)，只需修改主體與角色之間的關(guān)聯(lián)而不必修改角色與客體的關(guān)聯(lián)。RBAC中許可被授權(quán)給角色，角色被授權(quán)給用戶，用戶不直接與許可關(guān)聯(lián)。RBAC對訪問權(quán)限的授權(quán)由管理員統(tǒng)一管理，而且授權(quán)規(guī)定是強(qiáng)加給用戶的，這是一種強(qiáng)制式訪問控制方式。第41頁，課件共57頁，創(chuàng)作于2023年2月（2）RBAC能夠描述復(fù)雜的安全策略通過角色定義、分配和設(shè)置適應(yīng)安全策略系統(tǒng)管理員定義系統(tǒng)中的各種角色，每種角色可以完成一定的職能；不同的用戶根據(jù)其職能和責(zé)任被賦予相應(yīng)的角色，一旦某個(gè)用戶成為某角色的成員，則此用戶可以完成該角色所具有的職能。

第42頁，課件共57頁，創(chuàng)作于2023年2月（3）易于使用1）根據(jù)崗位定角色根據(jù)組織的安全策略，特定的崗位定義為特定的角色、特定的角色授權(quán)給特定的用戶。例如可以定義某些角色接近DAC，某些角色接近MAC。第43頁，課件共57頁，創(chuàng)作于2023年2月2）根據(jù)需要定角色系統(tǒng)管理員也可以根據(jù)需要設(shè)置角色的可用性以適應(yīng)某一階段企業(yè)的安全策略例如設(shè)置所有角色在所有時(shí)間內(nèi)可用、特定角色在特定時(shí)間內(nèi)可用、用戶授權(quán)角色的子集在特定時(shí)間內(nèi)可用。第44頁，課件共57頁，創(chuàng)作于2023年2月3）通過角色分層映射組織結(jié)構(gòu)組織結(jié)構(gòu)中通常存在一種上、下級關(guān)系，上一級擁有下一級的全部權(quán)限，為此，RBAC引入了角色分層的概念。角色分層把角色組織起來，能夠很自然地反映組織內(nèi)部人員之間的職權(quán)、責(zé)任關(guān)系。層次之間存在高對低的繼承關(guān)系，即父角色可以繼承子角色的許可。第45頁，課件共57頁，創(chuàng)作于2023年2月第46頁，課件共57頁，創(chuàng)作于2023年2月（4）容易實(shí)現(xiàn)最小特權(quán)（leastprivilege）原則最小特權(quán)原則在保持完整性方面起著重要的作用。最小特權(quán)原則是指用戶所擁有的權(quán)力不能超過他執(zhí)行工作時(shí)所需的權(quán)限。這一原則的應(yīng)用可限制事故、錯(cuò)誤、未授權(quán)使用帶來的損害。使用RBAC能夠容易地實(shí)現(xiàn)最小特權(quán)原則。在RBAC中，系統(tǒng)管理員可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色，只有角色需要執(zhí)行的操作才授權(quán)給角色。當(dāng)一個(gè)主體要訪問某資源時(shí),如果該操作不在主體當(dāng)前活躍角色的授權(quán)操作之內(nèi)，該訪問將被拒絕。第47頁，課件共57頁，創(chuàng)作于2023年2月（5）滿足職責(zé)分離(separationofduties)原則這是保障安全的一個(gè)基本原則，是指有些許可不能同時(shí)被同一用戶獲得，以避免安全上的漏洞。例如收款員、出納員、審計(jì)員應(yīng)由不同的用戶擔(dān)任。在RBAC中，職責(zé)分離可以有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式。

靜態(tài)職責(zé)分離只有當(dāng)一個(gè)角色與用戶所屬的其他角色彼此不互斥時(shí),這個(gè)角色才能授權(quán)給該用戶。

動(dòng)態(tài)職責(zé)分離只有當(dāng)一個(gè)角色與一主體的任何一個(gè)當(dāng)前活躍角色都不互斥時(shí)該角色才能成為該主體的另一個(gè)活躍角色

角色的職責(zé)分離也稱為角色互斥，是角色限制的一種。第48頁，課件共57頁，創(chuàng)作于2023年2月崗位上的用戶數(shù)通過角色基數(shù)約束企業(yè)中有一些角色只能由一定人數(shù)的用戶占用，在創(chuàng)建新的角色時(shí)，通過指定角色的基數(shù)來限定該角色可以擁有的最大授權(quán)用戶數(shù)。如總經(jīng)理角色只能由一位用戶擔(dān)任。第49頁，課件共57頁，創(chuàng)作于2023年2月9、RBAC系統(tǒng)的構(gòu)成服務(wù)器：（1）訪問控制服務(wù)器ACS(AccessControlServer)（2）訪問請求過濾器AFS(AccessFilterServer)、（3）角色及授權(quán)管理器RAS(Role&AuthorizationManagementServer)（4）管理控制臺(tái)。。。訪問控制信息庫：用戶／角色信息庫角色訪問權(quán)限庫。。。第50頁，課件共57頁，創(chuàng)作于2023年2月（1）用戶在訪問資源之前，必須先向身份認(rèn)證服務(wù)器證實(shí)自己的身份和角色（2）通過身份認(rèn)證之后，用戶以當(dāng)前的角色向AFS發(fā)出訪問請求

AFS收到請求后，把用戶的當(dāng)前角色、要訪問的資源以及訪問權(quán)限組成一個(gè)新的報(bào)文，發(fā)送給ACS請求作出訪問決策。

ACS返回決策結(jié)果給AFS。如果允許此次訪問，則AFS負(fù)責(zé)向真正的應(yīng)用服務(wù)器發(fā)出訪問請求，并將訪問結(jié)果返回給用戶。如果否認(rèn)該次訪問，則AFS返回給用戶一個(gè)“操作失敗”的應(yīng)答代碼報(bào)文

身份認(rèn)證服務(wù)器用戶AFSACS應(yīng)用服務(wù)器角色訪問權(quán)限庫用戶/角色庫RAS管理界面1.請求認(rèn)證用戶和當(dāng)前角色2.返回認(rèn)證結(jié)果3.發(fā)出訪問請求8.返回訪問結(jié)果6.請求服務(wù)7.返回服務(wù)結(jié)果4.請求決策5.返回決策結(jié)果第51頁，課件共57頁，創(chuàng)作于2023年2月訪問控制信息庫（1）用戶表（2）角色表（3）受控對象表（4）操作算子表（5）許可表：操作算子---對象（6）角色/許可表（7）用戶/角色分配表（8）用戶/角色授權(quán)表（9）角色層次表（10）靜態(tài)角色互斥表第52頁，課件共57頁，創(chuàng)作于2023年2月(11)動(dòng)態(tài)角色互斥表(12)會(huì)話的用戶表(13)會(huì)話的角色表第53頁，課件共57頁，創(chuàng)作于2023年2月用戶表：