web-dev-qa-db-ja.com

RBAC0 RBAC1 RBAC2 RBAC3-どういう意味ですか?

私は役割ベースのアクセス制御の概念に精通していますが、RBAC0などの用語が出回っているのを聞いたことがあります。これらはどういう意味ですか?私はこの引用を NISTウェブサイト で見つけました:

1996年に、Sandhu、Coyne、Feinstein、およびYoumanは、上記のRBAC機能をモジュール構成に組み込んだRBACモデルのフレームワークを導入しました。 RBAC0は、ユーザー、ロール、および権限を通じて定義された基本モデルとして定義されました。 RBAC1にはRBAC0が含まれますが、役割間の部分的な順序関係として階層が組み込まれています。 RBAC2にはRBAC0も組み込まれていますが、制約が追加されています。 RBAC1とRBAC2は互いに独立しています。つまり、システムは一方を他方なしで実装できます。 RBAC3は、RBAC0、RBAC1、およびRBAC2を組み込んだフル機能のRBACモデルです。 RBAC3は1992年のFerraioloおよびKuhnモデルと本質的に同等ですが、RBAC3では部分順序階層が許可され、Ferraiolo-Kuhnモデルでは階層がルート付きツリーとして定義されます。オブジェクト指向の用語では、1996年のSCFYモデルは多重継承を組み込んでいると考えることができますが、Ferraiolo-Kuhnは単一継承を使用しています。

しかし、これらの定義は少しわかりにくく、テクノバブブルに近いものです。

これらのレベルの重要性は何ですか?彼らは業界で価値を持っていますか、それとも単なるCISSPバブルですか?システムが特定のRBACレベルのみを達成することは一般的ですか?

access-controlterminologyrbac
5
jtpereyda

これらは、NIST RBACモデルの「レベル」であり、以下に説明されています。 役割ベースのアクセス制御のNISTモデル:統一規格に向けて(pdf)

それぞれ以下を参照します。

  • フラットRBAC
  • 階層RBAC
  • 制約付きRBAC
  • 対称RBAC

フラットRBACは、ベースRBACモデルのみを意味します。 NISTモデルでは、ユーザーに割り当てられたロール、および特定のロールに割り当てられたユーザー(ユーザーロールレビューと呼ばれる)を決定できる必要があります。

階層RBACは、役割が階層構造(DAGまたはツリー)に編成されることを意味します。ここで、「上位」の役割は、接続された「下位」の役割からすべての権限を継承します。階層RBACは、一般および制限付き階層RBACにさらに細分されます。

制約付きRBACは、役割に職務分掌(SoD)の実施を追加します。 NIST RBACモデルのSoDは、静的でも動的でもかまいません。

対称RBACは、フラットRBACで説明したユーザーロールレビューと同様に、権限ロールレビューの要件を追加します。


これらの「レベル」は、参照ポイントとして業界に関心があります。これにより、実装の比較が容易になり、実装が安全性/セキュリティを提供することを証明したい場合は、理論モデルで約束されているように、適切なベースラインが提供されます。

ただし、実際には、多くのアクセス制御実装はそれ自体をロールベースと呼びますが、(NIST)RBACモデルには準拠していません(まったく)。 (NIST)RBACモデルを実装するものは、しばしばフラットと対称を実装しますが、階層的制約やSoD制約を実装するのは(かなり)難しいため、スキップします。

10
Jacco