RBAC96 详解

RBAC96(Role-Based Access Control '96)是一种基于角色的访问控制(Role-Based Access Control, RBAC)模型,最早由 Ravi Sandhu、Edward Coyne、Hal Feinstein 和 Charles Youman 在 1996 年提出。RBAC96 是一种非常具有影响力的 RBAC 模型,后续的许多基于角色的访问控制研究都以 RBAC96 作为基础。

背景:

在 RBAC96 之前,访问控制主要分为两类:自主访问控制(Discretionary Access Control, DAC)和强制访问控制(Mandatory Access Control, MAC)。DAC 是一种基于用户和对象的访问控制,对象的所有者可以决定谁可以访问对象。MAC 是一种更严格的访问控制,它根据安全策略来限制对象的访问。这两种方法都有局限性,特别是在处理大型组织和复杂的权限管理方面。为了解决这些问题,RBAC 应运而生,它通过角色将权限管理从用户和对象中解耦。

概念:

RBAC96 的核心思想是将权限分配给角色,而不是直接分配给用户。用户通过成为角色的成员来获得权限。这种设计使得权限管理更加灵活和可扩展,特别是在大型组织中。

RBAC96 定义了四个基本组件:

  1. 用户(User):表示系统中的实体,如人员或其他系统。用户与角色之间的关系是多对多的,即一个用户可以属于多个角色,一个角色可以包含多个用户。
  2. 角色(Role):表示一组相关的权限。角色是 RBAC 的核心概念,角色之间可以存在继承关系。用户通过成为角色的成员来获得权限。
  3. 权限(Permission):表示访问受保护资源的能力。权限由操作和对象组成,例如“读取文件”或“修改数据库”。权限通常分配给角色,而不是直接分配给用户。
  4. 会话(Session):表示用户与系统之间的交互。会话允许用户激活他们的角色,从而限制他们在特定会话中可以使用的权限。这有助于实现最小特权原则,即用户只能访问他们完成任务所需的权限。

 

我们将设计一个基于 RBAC96 的数据库管理系统,用于管理一个在线书店。我们将创建几个角色,例如顾客、销售员、库存管理员和系统管理员。每个角色将具有不同的权限,以执行特定的操作。

首先,创建数据库表来存储 RBAC96 中的四个基本组件:用户、角色、权限和用户角色关联。

  1. users 表:存储用户信息
CREATE TABLE users (
    id INT PRIMARY KEY AUTO_INCREMENT,
    username VARCHAR(255) UNIQUE NOT NULL,
    password VARCHAR(255) NOT NULL,
    email VARCHAR(255) UNIQUE NOT NULL
);

 roles 表:存储角色信息

CREATE TABLE roles (
    id INT PRIMARY KEY AUTO_INCREMENT,
    role_name VARCHAR(255) UNIQUE NOT NULL
);

 permissions 表:存储权限信息

CREATE TABLE permissions (
    id INT PRIMARY KEY AUTO_INCREMENT,
    permission_name VARCHAR(255) UNIQUE NOT NULL,
    resource VARCHAR(255) NOT NULL,
    operation VARCHAR(255) NOT NULL
);

role_permissions 表:存储角色与权限之间的关联

CREATE TABLE role_permissions (
    role_id INT,
    permission_id INT,
    PRIMARY KEY (role_id, permission_id),
    FOREIGN KEY (role_id) REFERENCES roles(id),
    FOREIGN KEY (permission_id) REFERENCES permissions(id)
);

user_roles 表:存储用户与角色之间的关联

CREATE TABLE user_roles (
    user_id INT,
    role_id INT,
    PRIMARY KEY (user_id, role_id),
    FOREIGN KEY (user_id) REFERENCES users(id),
    FOREIGN KEY (role_id) REFERENCES roles(id)
);

接下来,插入一些角色和权限数据:

INSERT INTO roles (role_name) VALUES ('customer'), ('salesperson'), ('inventory_manager'), ('system_admin');

INSERT INTO permissions (permission_name, resource, operation) VALUES
('view_books', 'books', 'view'),
('purchase_books', 'books', 'purchase'),
('manage_books', 'books', 'manage'),
('manage_users', 'users', 'manage'),
('manage_inventory', 'inventory', 'manage'),
('manage_system', 'system', 'manage');

-- 为顾客角色分配权限
INSERT INTO role_permissions (role_id, permission_id) VALUES (1, 1), (1, 2);

-- 为销售员角色分配权限
INSERT INTO role_permissions (role_id, permission_id) VALUES (2, 1), (2, 3);

-- 为库存管理员角色分配权限
INSERT INTO role_permissions (role_id, permission_id) VALUES (3, 4), (3, 5);

-- 为系统管理员角色分配权限
INSERT INTO role_permissions (role_id, permission_id) VALUES (4, 6);

假设我们有一个名为 Alice 的用户,我们将 Alice 分配给销售员和库存管理员角色:

INSERT INTO users (username, password, email) VALUES ('Alice', 'hashed_password', 'alice@example.com');

INSERT INTO user_roles (user_id, role_id) VALUES (1, 2), (1, 3);

授权过程:

当 Alice 登录系统并尝试执行操作时,我们需要检查她是否具有执行该操作的权限。我们可以通过查询数据库来验证 Alice 的权限。假设 Alice 尝试管理库存,我们可以执行以下查询:

SELECT COUNT(*)
FROM users u
JOIN user_roles ur ON u.id = ur.user_id
JOIN role_permissions rp ON ur.role_id = rp.role_id
JOIN permissions p ON rp.permission_id = p.id
WHERE u.username = 'Alice' AND p.resource = 'inventory' AND p.operation = 'manage';

如果查询结果大于 0,则表示 Alice 具有管理库存的权限。

实际应用中,这些查询通常会被封装在代码中,以便于验证用户权限。例如,可以创建一个函数 has_permission(user_id, resource, operation) 来检查用户是否具有执行特定操作的权限。此外,为了提高性能,可以将用户的权限缓存在内存中,而不是每次都查询数据库。

通过这个 RBAC96 数据库设计和授权过程示例,我们可以看到角色和权限如何被分配和验证。这种基于角色的访问控制方法使得权限管理更加灵活和可扩展,特别是在大型组织和复杂系统中。用户可以被分配到一个或多个角色,角色则具有一组相关的权限。通过简化和集中权限管理,RBAC96 能够更好地满足组织的安全需求。