基于角色的权限访问控制在符合企业信息系统安全需求那里表现出了特别明显的优势,避免了传统访问控制技术不够好的地方,能降低授权管理的繁杂性,及管理的费用,为管理员给出了不错的安全策略的实现环境。用户、角色、访问权限之间存在多对多的关系。设置角色与会话的优点为操作最小权限原则容易。在基于角色的权限访问控制模型中,把多个指定的用户集合与某授权连接起来。这样的授权管理与个体授权相较,可操作性与管理性更明显,由于角色的变动比个体的变动少很多。引进基于角色的权限访问控制模型,系统的最终用户与数据对象没有直接的关系,而是由中间层角色访问后台的数据信息。在应用层次上角色的逻辑意义与划分更明显、直接,所以基于角色的权限访问控制通常用在应用层的安全模型。
基于角色的权限访问控制的基本思想是由组织视图中职能岗位的不一样进行角色的划分,访问许可映射于角色,给角色分配用户,并用会话对角色集进行激活,可非直接地访问信息资源。用户与角色及操作许可与角色是多对多的关系,因此一个用户可分配多个角色,一个角色可有多个用户。同理,1个操作许可能分配多个角色,1个角色可存在多个操作许可。角色可划分等级,即角色的结构化。
基于角色的权限访问控制的基本模型中有四个部分,以下是模型中用到的基本定义。
(1)User(用户),信息系统的使用者。
(2)Role(角色),用户在某些语境中的状态与行为的抽象,展现其的职责。
(3)Permission(许可),PERMISSIONS=2(OPSX OBS),表示操作许可的集合,即用户利用某种特定模式访问信息系统中的对象的操作许可。操作许可的种类由所在的应用系统决定,在文件系统中,许可含读、写和运行,而在数据库管理系统中,许可含插入、删除、添加与更新。
(4)Session(会话),会话是个动态的含义,用户激活角色集的时候创建会话。会话是一个用户与多个角色的映射,一个用户可同时打开多个会话。