深入理解 RBAC

本文涉及的产品
访问控制,不限时长
简介: 深入理解 RBAC

RBAC 是一种基于角色实现访问控制的权限管理机制,通过定义角色和权限、用户和角色、角色和角色之间的关系,实现多层次、细粒度、可复用的权限管理系统。原文: Role-based Access Control (RBAC) Model


image.png


Avery Pennarun 写的"RBAC like it was meant to be非常值得一读。


在 web 或移动应用中,访问权限控制机制是保证系统安全的重要手段,其中最常见的就是基于角色的访问控制(RBAC, Role-based Access Control)。


基于角色的访问控制是传统访问控制(自主访问强制访问)的一种有前途的替代方案。在 RBAC 模式下,权限与角色相关联,从而大大简化了对权限的管理。组织为了完成各种任务,从而创建了角色,用户根据职责和技能被分配到相应的角色,也可以从一个角色分配到另一个角色。新角色可以根据新需求和系统集成赋予新的权限,也可以从角色中撤回权限。可以建立角色-角色关系来包含更广泛的客观情况。


image.png


图片来源: https://www.dnsstuff.com/rbac-vs-abac-access-control



访问控制模型


  1. 访问控制列表(ACL, Access Control List)
  2. 自主访问控制(DAC, Discretionary Access Control)
  3. 强制访问控制(MAC, Mandatory Access Control)
  4. 基于角色的访问控制(RBAC, Role-Based Access Control)
  5. 基于属性的访问控制(ABAC, Attribute-based Access Control)
  6. 基于历史的访问控制(HBAC, History-based Access Control)
  7. 基于身份的访问控制(IBAC, Identity-based Access Control)
  8. 基于组织的访问控制(OrBAC, Organization-based Access Control)
  9. 基于网格的访问控制(LBAC, Lattice-based access control)
  10. 基于上下文的访问控制(CBAC, Context-based Access Control)
  11. 基于实体关系的访问控制(ReBAC, Entity-Relationship-based Access Control)
  12. 扩展基于角色的访问控制(Extended Role-Based Access Control)
  13. 语义访问控制(SAC, Semantic Access Control)



什么是 RBAC?


image.png


图片来源: https://www.quora.com/What-does-the-role-based-access-control-model-mean-in-workforce-management


  • 通过分配一组与角色关联的权限来提供高级访问
  • 支持公认的安全原则: 最小特权原则、责任分离原则和数据抽象原则
  • 最小权限原则(The principle of least privilege) — 限制与角色关联的权限的数量和大小
  • 职责分离原则(The principle of separation of responsibilities) — 在完成重要任务的过程中,分配一个以上相互约束的角色
  • 数据抽象原则(The principle of data abstraction) — 对不同用户的操作提供不同权限的清晰分离
  • 不同类型用户可以根据其工作职能和职责获得不同类型的访问权限来履行其职责
  • 低级操作人员(例如运维人员)只能查看本部门记录,高级操作人员(例如经理)可以查看和编辑本部门记录



概念


角色(Roles)


  • 由许多标准定义,包括权限、职责、成本中心以及业务操作流程。
  • 无法通过身份确定角色,权限与角色绑定。
  • 角色是围绕访问管理组织的,无论是什么样的活动、身份、职能等,角色可能都不变。


权限(Permissions)


  • 权限是一组资源的集合,用户需要批准权限才能使用一组资源对受保护对象执行操作。
  • 操作功能模块(添加、删除、更新、编辑、查看、上传),进入菜单,一键进入页面
  • 在某些系统设计中,功能操作可以被视为文件、类别、菜单、页面元素、模块、数据、字段等。


User -> Role -> Permissions -> resources



RBAC 模型


NIST RBAC96 模型是由美国国家标准与技术研究院开发的标准化 RBAC 定义。



4 个基本概念模型:


image.png


图片来源: https://transang.me/pattern-oriented-software-architecture-access-control-pattern


  1. RBACO — 核心 RBAC
  2. RBAC1 — 层次 RBAC (RBAC0 + 角色层次结构)
  3. RBAC2 — 约束 RBAC (RBAC0 + 约束)
  4. RBAC3 — 组合 RBAC (RBAC1 + RBAC2)


RBAC 授权的过程可以抽象为:


  1. 谁(Who) — 权限的用户或角色
  2. 什么(What) — 资源
  3. 如何(How) — 具体的权限



RBAC0


  • 3 个元素: 用户、角色和权限
  • 设计基于"[多对多(many-to-many)](https://en.wikipedia.org/wiki/Many-to-many_(data_model "多对多(many-to-many "多对多(many-to-many)")"))"关系,即多个用户可以拥有相同的角色,一个用户可以拥有多个角色。


image.png


图片来源: https://www.bettercloud.com/monitor/the-fundamentals-of-role-based-access-control

RBAC1


  • 4 个元素: 用户、角色、权限、层次结构/继承
  • 定义了不同角色之间的从属关系
  • 高级别角色可以自动从低级别角色获取权限
  • 角色之间的继承关系可以分为一般继承关系和有限继承关系
  • 一般继承关系只要求角色继承关系是绝对的偏序关系(角色之间的多重继承)
  • 有限继承关系要求角色继承关系是树状结构(角色之间的单一继承)


StackOverflow 的 Q/A 帖子"如何设计基于角色的分层访问控制系统"是一个很好的例子,值得一读。


  1. 树(Tree) — (自底向上的层次结构) — 树底部的元素被授予更大的权限。
  2. 倒立树(Inverted Tree) — (自顶向下的层次结构) — 高级角色将其部分权限继承给低级角色,同一级别的节点不共享权限。


image.png


图片来源: https://techdifferences.com/difference-between-top-down-and-bottom-up-approach.html


  1. 网格(Grid) — (自底向上和自顶向下的组合) — 每个角色都可以从它下面和上面的节点继承权限,因此相对灵活,可以共享权限。顶级节点被授予更大的权限。


image.png


图片来源: http://grid-layout.com/grid-lines.html


RBAC2


  • 4 个元素: 用户、角色、权限和约束
  • 由于存在利益冲突策略,角色之间的关系存在约束


image.png


图片来源: https://slideplayer.com/user/10879796


RBAC3


  • 将 RBAC1 和 RBAC2 的所有特征(角色继承和约束关系)集成到模型中。
  • 可以根据不同的上下文限制或激活可用的用户权限,当用户在会话期间执行的任务可能需要不同级别的访问时,可以在会话期间激活更高级别的权限。



类图


  1. User 表(用户 ID、用户名和其他属性)
  2. Role 表(角色 ID,角色名,角色类型)
  3. User_Role 表(用户角色关联表)
  4. Product 表(产品 ID,产品类型,渠道,费用,地区)
  5. Region 表(地区代码、渠道)
  6. Permission 表(权限 ID、权限类型、权限名称和其他属性)
  7. Role_permission 表(角色权限关联表)
  8. Menu 表(菜单 ID,菜单名称,菜单路径 URL,父菜单 ID,资源和其他属性)
  9. Page_element 表(资源、页面元素 ID、页面元素代码和其他属性)
  10. File 表(文件 ID,文件名,文件路径)
  11. Permission_Menu 表(权限 ID,菜单 ID)
  12. Permission_Element 表(权限 ID,页面元素 ID)
  13. Permission_File 表(权限 ID,文件 ID)
  14. Operation 表(动作 ID、动作名称、动作代码等属性)
  15. Permission_Operation 表(权限 ID,操作 ID)



RBAC 模型的优点


  1. 降低授权管理的复杂性
  2. 降低管理成本
  3. 创建系统级的、可复用的权限分配
  4. 减少分配用户权限时出错的可能性
  5. 支持企业安全策略


RBAC 模型的缺点


  1. 不提供操作顺序控制机制


参考文献

History-based access control


Pattern-Oriented Software Architecture - Access control pattern


Role-Based Access Control | CSRC


Role-Based Access Control - Wikipedia


What is Role-Based Access Control (RBAC)? Example, Benefits, and More


What is Role-Based Access Control | RBAC vs ACL vs ABAC | Imperva


Using RBAC Authorization


What is Azure role-based access control (Azure RBAC)?


Role-Based Access Control


RBAC vs ABAC: Make the Right Call | OneLogin


Understanding Role-Based Access Control (RBAC) | StrongDM


What is Role-Based Access Control (RBAC)?


What is Role-Based Access Control (RBAC)?


Role-Based Access Control (RBAC) User Guide | Chronicle Security | Google Cloud


What is Role-Based Access Control (RBAC)? A Complete Guide | Frontegg


Role-Based Access Control (RBAC): What is it and why use it? | Harness


What is Role-Based Access Control (RBAC)? | Tools4ever


相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
目录
相关文章
|
7月前
|
机器学习/深度学习 数据库 数据安全/隐私保护
RBAC模型介绍
RBAC模型是一种基于角色的访问控制机制,用于解决企业系统中不同用户对不同业务的权限管理问题。它将功能集合为角色,然后将角色分配给用户,简化了大量用户的权限分配过程,降低了操作错误和复杂性。通过角色,可以实现用户与功能的解耦,便于权限管理。在RBAC中,用户、角色和权限之间存在多对多的关系,通常涉及五张数据库表来维护这种关系。
144 10
|
安全 数据安全/隐私保护
基于RBAC实现权限系统
基于RBAC实现权限系统
467 0
|
7月前
|
存储 监控 安全
深入理解RBAC权限系统
RBAC(Role-Based Access Control)是一种访问控制模型,其核心概念是基于角色的权限分配。该模型的设计目标是简化对系统资源的访问管理,提高系统的安全性和可维护性。
871 1
深入理解RBAC权限系统
|
数据安全/隐私保护
RBAC权限模型
RBAC权限模型
150 0
|
Kubernetes 安全 中间件
RBAC权限管理(一)
RBAC权限管理
1184 0
|
监控 安全 数据安全/隐私保护
|
Kubernetes 容器
Kubernetes RBAC【2】实战应用
Kubernetes RBAC【2】实战应用
Kubernetes RBAC【2】实战应用
|
Kubernetes API 容器
kubernetes RBAC 入门(3)
kubernetes RBAC 入门(3)
|
Kubernetes API 数据安全/隐私保护
kubernetes RBAC 入门(1)
kubernetes RBAC 入门(1)
kubernetes RBAC 入门(1)
|
Kubernetes API 容器
kubernetes RBAC 入门(2)
kubernetes RBAC 入门(2)
kubernetes RBAC 入门(2)