[论文解读] Role-Based Access Controls
本文提出基于角色的访问控制(RBAC)作为商业和民用政府系统中对自主访问控制(DAC)的更优替代方案。它认为,通过将访问权限围绕用户角色组织而非个体身份,RBAC在可扩展性、可管理性和安全性方面表现更优,提供一种更适合非军事环境的集中化、策略驱动的访问控制模型。
While Mandatory Access Controls (MAC) are appropriate for multilevel secure military applications, Discretionary Access Controls (DAC) are often perceived as meeting the security processing needs of industry and civilian government. This paper argues that reliance on DAC as the principal method of access control is unfounded and inappropriate for many commercial and civilian government organizations. The paper describes a type of non-discretionary access control - role-based access control (RBAC) - that is more central to the secure processing needs of non-military systems than DAC.
研究动机与目标
- 挑战商业和民用政府系统中对自主访问控制(DAC)的普遍依赖。
- 识别DAC在大型组织中管理复杂访问控制需求时的局限性。
- 提出基于角色的访问控制(RBAC)作为非军事系统中更合适且可扩展的访问控制模型。
- 确立RBAC作为企业及公共部门环境中安全、集中化访问控制的基础框架。
提出的方法
- 将RBAC定义为一种非自主的访问控制模型,其中权限被分配给角色而非直接分配给用户。
- 围绕组织角色构建访问控制,实现用户与权限的解耦,从而提升可管理性。
- 引入角色层次结构以支持权限传播,并减少权限重复分配。
- 通过角色分配约束形式化职责分离,防止利益冲突。
- 展示RBAC如何在大规模系统中支持集中化的策略强制执行和可审计性。
- 将RBAC与DAC和MAC进行比较,突出其在组织访问控制场景中的优势。
实验结果
研究问题
- RQ1为何自主访问控制(DAC)无法满足商业和民用政府组织的访问控制需求?
- RQ2如何构建访问控制模型以提升大型复杂组织中的可扩展性和可管理性?
- RQ3与DAC相比,基于角色的访问控制(RBAC)在非军事系统中具有哪些关键的架构与策略优势?
- RQ4RBAC在何种方式下支持如职责分离和最小权限等安全策略?
- RQ5与强制访问控制(MAC)相比,RBAC在民用系统中的适用性和实用性如何?
主要发现
- 对于大规模非军事系统,RBAC比DAC提供了更可扩展且更易管理的访问控制模型。
- 通过使用角色,实现用户与权限的解耦,简化了访问控制管理,减少了配置错误。
- RBAC中的角色层次结构可实现高效的权限传播,减少冗余权限分配的需求。
- 通过角色约束支持职责分离,有助于防止未经授权或冲突的操作。
- 与DAC相比,该模型更契合组织结构和业务流程,提升了可审计性和策略执行能力。
- 在民用和商业环境中,RBAC比MAC更实用且更有效,因为MAC的严格标签和分类机制往往过于复杂。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。