DAC——自主访问控制
用户可将自己拥有的权限分配给其他人
MAC——强制访问控制
用户和资源都有固定的安全属性值
用户可以访问安全属性值同级和更低别的资源
多用于对安全性要求比较高的系统,如多级安全军事系统
RBAC——基于角色的权限管理
RBAC0
RBAC基本模型
对用户进行角色权限控制
用户和角色为多对一的关系
RBAC1
角色分级模型
角色存在层级关系,高级角色可以继承下级角色权限
角色继承关系
一般继承
可跨树形层级的继承
受限继承
只能继承同一树结构下的角色权限
上级角色可以继承多个下级角色的权限,上级角色的权限是所有继承角色的权限的叠加
可根据业务部门和岗位进行角色抽取分配层级权限
问题:可能导致单个角色没有该角色的私有权限
解决办法:引入私有权限和公有权限,私有权限不继承
RBAC2
角色限制(分离)模型
角色间可存在互斥关系
用户和角色为多对多的关系
静态分离时,互斥的角色不能同时被赋予同一个用户
动态分离时,则用户登录后选择使用的角色,根据需要切换角色
RBAC3
统一模型
包括了分级模型、限制模型
