GB/T 25062—2010信息安全技術 鑒別與授權 基于角色的訪問控制模型與管理規范6.3 層次RBAC
6.3.1 概述
如圖2所示,層次RBAC引入了角色層次。角色層次通常被作為RBAC模型的重要部分,并且經常在RBAC商業產品中得以實現。角色層次可以有效地反映組織內權威和責任的結構。
角色層次定義了角色間的繼承關系。繼承通常是從權限的角度來說的,例如,如果角色r1“繼承”角色r2,角色r2的所有權限都同時為角色r1所擁有。在某些分布式RBAC實現中,角色層次是集中管理的,而權限/角色分配卻是非集中管理的。對這些系統,角色層次的管理主要是從用戶成員包含關系的角度進行的:如果角色r1的所有用戶都隱含地成為角色r2的用戶,則稱角色r1“包含”角色r2。這種用戶成員包含關系隱含了這樣一個事實:角色r1的用戶將擁有角色r2的所有權限。然而角色r1和角色r2之間的權限繼承關系并不對它們的用戶分配做任何假設。
本標準認可兩種類型的角色層次—通用角色層次和受限角色層次。通用角色層次支持任意偏序關系,從而支持角色之間的權限和用戶成員的多重繼承。受限角色層次通過施加限制來得到一個簡單的樹結構(一個角色可以擁有一個或多個直接祖先角色,即繼承多個角色;但只能有一個直接后代角色,即被一個角色繼承)。
6.3.2 通用角色層次
6.3.3 受限角色層次
