基于角色访问控制模型的扩展研究.doc

基于角色访问控制模型的扩展研究胡兆玮1，靳瑞芳2（1. 吉林师范大学教务处，吉林 四平 136000）( 2. 吉林师范大学文学院，吉林 四平 136000）1摘要：本文在经典RBAC96模型的基础上，提出了一种扩展的RBAC模型ERBAC模型，该模型通过引入属性、审计和约束等几个基本元素，能够有效降低权限、角色管理的复杂度，提高基于角色的访问控制效率，同时也给出了模型的形式化定义。该模型增加了基数约束机制、指派约束机制、条件约束机制、等级约束机制和互斥角色约束机制等内容，提高了基于角色访问控制的安全性。该模型具有简单、灵活、表达力强、可用性强和与现实世界更接近等特点，同时还更好的支持了自动原则、约束原则和问责制原则三个全新的安全原则。关键词：扩展模型；属性；自动；约束；问责制Design of extended role-based access control modelHU Zhao-wei1，Jin Rui-fang21(Jilin Normal University of Academic Affair Office, JiLin SiPing 136000)2(Jilin Normal University of Literary Institute, JiLin SiPing 136000)Abstract： An improved RBAC model is represented on the basis of classical RBAC96.To get over the shortcoming of traditional RBAC model,the improved model imports some concepts,such as attribute,audit,constraint and so on. The extended model will effectively reduce complication of authorization and improve efficiency of RBAC, in the meanwhile, a formal definition of the new model is given. By including cardinality constraints, aassigned constraints, conditional constraints, hierarchy constraints, muttually exclusive roles constraints and so on,then the security of traditionalRBAC model is strengthened. The characteristics of the new model include simpleness, flexibility, power expression ability, and strong usabilityAlso it is closer to the real world than the traditionalRBAC model. Next three new principles called automation, constraint and accountability are introduced in ERBAC.Key words：ERBAC; Attribute; Automation ;Constraint;Accountability1作者简介:胡兆玮（1980-），男，讲师，主要研究方向为信息安全与访问控制。靳瑞芳（1980-），女，讲师，主要研究方向为信息教育技术。1 引言基于角色访问控制模型RBAC(Role-based access control)是目前主流的访问控制模型，它比自主访问控制模型和强制访问控制模型更优越，也提供了更高的灵活性和扩展性1。但传统BRAC模型是将访问许可权分配给角色，用户通过被赋予不同的角色获得角色所拥有的访问许可权。在实际的系统应用中，由于系统模型中判断程序的权限仅仅根据启动该程序的角色，因此存在无法判断用户操作合理性的问题2；同时访问控制是由访问的主体和客体共同组成的，而在RBAC模型中虽然添加了互斥权限的问题，避免了在操作上对客体的滥用，但并没有真正的对客体进行保护3。此外，在传统的基于角色的访问控制中，当用户不再需要某些特权但仍然拥有，这成为安全问题的一个主要来源，不仅造成一定程度的资源浪费，而且成为一个具吸引力的途径攻击。因此，需要对传统RBAC模型作一些适当的修改、扩展，形成扩展的基于角色访问控制ERBAC(Extended Role-Based Access Control)模型。在该模型中, 引入了属性、审计和约束基数等几个基本元素，增加了基数约束机制、指派约束机制、条件约束机制、等级约束机制和互斥角色约束机制等内容，提高了基于角色访问控制的安全性。2 基于角色访问控制模型的扩展模型扩展的基于角色访问控制模型ERBAC是在传统RBAC96经典模型的基础上，引入了属性、审计和约束基数等几个基本元素，增加了基数约束机制、指派约束机制、条件约束机制、等级约束机制和互斥角色约束机制等内容，使该模型具有了新的特性。扩展的RBAC模型的结构图如图1所示。其中U(User)表示用户，R(Role)表示角色，P(Permission)表示权限，S(Session)表示会话，OP(Operation)表示操作或权限，OB(Objection)表示系统资源，ATT(Attribute)表示属性，A(Audit)表示审计，C(Constraint)表示约束。U OPOBS C R A ATT 图1 ERBAC模型结构图2.1 扩展模型的基本元素定义1：在该扩展模型中，需要定义如下几个基本元素： U= u1,u2,un,所有用户(User)集合； R= r1,r2,rn,所有角色(Role)集合； S= s1,s2,sn，所有会话（Session）的集合； OP= op1,op2,opn，所有操作(operation)的集合； OB= ob1,ob2,obn，所有操作对象或资源(Objection)的集合； A=a1,a2,an，所有审计(Audit)行为的集合。 Perms=2(opsobs)，所有权限（Permission）的集合； ATT=att1,att2, ,attn，所有属性(Attribute)的集合。其中，ATT（U）表示用户的属性，用户属性标识了用户能力和特征，是权限决策过程中的重要参数，用户属性包括身份、用户组、角色、成员关系和安全级别等，可表示为：ATT(U)=ID,Group,Role；ATT（OB）表示资源的属性，资源属性是标识资源特性的重要信息，资源的属性包括资源的安全标签、所有关系、类别和访问控制列表等，可表示为：ATT(OB)=id,time,role。 C=c1,c2, cn,所有约束(Constraint)的集合。2.2 扩展模型的指派关系定义2：在扩展模型中定义下列指派关系： UAUsersRoles从用户集合到角色集合的多对多映射，表示用户被赋予的角色； PAPermsRoles从权限集合到角色集合的多对多映射，表示角色被赋予的权限； Assigned_users:(r:Roles)2Uers返回指定给角色的用户集合，即:Assigned_users(r)=uUsers|(u,r)UA； Assigned_perms:(r:Roles)2Perms返回指定给角色的权限集合,即Assigned_perms(r)= pPerms|(p,r)PA； Assigned_roles:(r:Users)2Roles返回指定给用户的角色集合,即Assigned_roles(u)=rRoles| (u, r) U A； op(p:Perms)Ops返回与指定权限相关的操作，即op(p)= opOps|$objObjects(op, obj)=p； users_sessions(uUsers)2Sessions返回指定用户相关的角色,即session_roles(s)rRoles|(session_users(s),r)UA2.3 扩展模型的约束关系约束是一个抽象的概念，如何定义约束，如何管理约束都是很重要的问题。扩展的RBAC的约束集合规定了权限被赋予角色时，或角色被赋予用户时，以及当用户在某一时刻激活一个角色时所对应遵循的强制性规则，约束与用户-角色-权限关系一起决定了RBAC模型中的访问许可。 角色基数(Cardinality)是角色可以被分配的最大用户数，是对角色的一个约束性条件。一个组织只能有一个主管，那么可以用角色基数为“1”来进行约束，一旦己经有某个人被授权为主管，其他人就不能再获得主管这个角色。基数约束(Cardinality Constraints)是通过限制一个角色被指派给使用者的人数上限，防止重要角色被过度使用，从而造成系统潜在危险的约束规则。定义3：在基数约束中定义如下两个表达式： Max(Role)：表示角色Role可被指派的上限人数。 Now(Role)：表示当前己经被指派到Role角色的人数。 例如Max (r1)=20，Now (r1)=15，表示角色r1被指派的最大人数是20，而目前指派数已达到15。定义4：角色Role的指派上限N为角色的基数，表示为：Max(Role)=N，其中Roles= r1, r2,，rn，是所有角色集合；N=1，2，n，是所有正整数集合。因为使用基数约束的情况通常是针对系统中最为关键且权限范围很大的角色，所以此类角色不能被继承。性质1：$ rRoles, nN时有Max(r)=n，当且仅当Now (r)Pre-Rule(R)=true时，才能将用户U指派到R角色中。 条件约束(Conditional Constraints)的目的在于限制会话活动和角色执行工作权限的条件。条件约束分为五种类型：会话个数约束(Session Numbers Constraints)、会话时间约束(Session Time Constraints)、角色执行时间约束(Temporal Constraints)、角色执行操作约束(Data-Dependent Constraints)和情景约束(Contextual Constraints)。会话个数约束的目的在于限制使用者可同时激活执行的职务数量，如某个使用者拥有多种职务的执行权限，但是在同一时间内只被允许同时执行两个职务的权力，以减免使用者或系统的工作负荷。会话时间约束的目的在于限制使用者建立会话的时间，如一个组织可以要求用户只能在某些时段建立会话。角色执行时间约束指某些角色被限制在规定的时间内执行，如下载公司资料的角色只能在上班时间内执行。角色操作约束主要指对特定的属性数据存取权限的限制，如对于一般角色来说，某些数据只能读取而不能修改。情景约束主要指与系统相关的限制，如工作权限必须在指定的应用系统才允许被执行，只允许特定的IP地址访问或允许特定的用户进行操作等。 等级约束(Hierarchy Constraints)的目的是限制私有角色的使用和权限，如拥有创建角色权限的管理者，他创建私有角色的个数受到限制，并且他创建的私有角色的权限范围也受到限制。例如一个部门经理能够创建角色，但他创建的角色的权限不能超过这个部门。 互斥角色约束(Muttually Exclusive Roles Constraints)可以理解为一种特殊的指派约束，即指派规则集Pre-Rule(R)只包含角色间非的关系，如表示用户U取得r角色的前提是不能同时拥有角色r1和r2 。互斥角色约束的设定保证了系统可以根据企业的业务逻辑，将重要的职责分割，由不同的人员来完成。一方面避免了某些用户拥有过多的业务权利，带来潜在的职责危险；另一方面也可以有效地实施系统管理员最小权限原则，使其各负其责。3 扩展的基于角色访问控制模型的安全原则传统RBAC模型是一种与够策略无关的访问控制技术，不局限于特定的安全策略，它支持三个著名的安全原则4，即最小权限原则、责任分离原则和数据抽象（提取）原则；而扩展的ERBAC模型，不仅支持了上述三个原则，同时还支持了自动原则、约束原则和问责制原则三个全新的安全原则。3.1 自动原则(Automation)自动原则包括自动授权和自动撤销某些使用权，而在传统RBAC模型中，用户角色、权限角色的指派和撤销都由拥有系统管理特权的系统管理员来执行。因此，当某些用户不再需要特权，但他们仍然拥有,这成为安全问题的一个主要来源，也成为吸引黑客网络攻击的主要途径。而回收撤销这些权限或角色则需要明确的人为干预，需要指定一个适当的系统管理员来执行该功能。而在扩展的RBAC中，通过引入属性这个因素，能够实现这些权限的自动回收或撤销。在扩展的ERBAC模型中，每个用户都对应一个用户属性集合，该集合包含该用户的所有信息，包括身份、用户组、角色、成员关系和安全级别等。每一个数据或系统资源也对应一个资源属性集合，该集合是标识资源特性的重要信息，包括资源的安全标签、所有关系、类别和访问控制列表等。当用户访问资源时，会在资源的属性集合中记录该用户的相关信息，如账户、执行操作、操作时间等，同时也在用户的属性集合内记载该用户的活动情况。当用户在规定的时间内未使用帐号时，系统则自动冻结该帐号，用户帐号被冻结后，必须由管理员激活方可使用；而帐号超过一定的冻结期后仍未激活，则系统自动删除该帐号。这样就可以实现未使用帐号的自动撤销或回收。同时引入属性后，也可以在资源的属性中设定某些权限的使用次数或使用时间，这样可以更好的实现对资源的访问控制，增强访问控制系统的安全性。例如，在一个企业用户管理系统中，持续100天未使用的用户帐号将会被冻结，而冻结超过100天未激活的用户帐号将会被禁用，以确保系统安全。因此，系统必须在用户属性中储存每个用户帐号最后登录的时间，在系统资源属性储存系统当前的时间、用户的帐号以及相关操作权限(Right)，系统当前时间(NowTime)、帐号冻结时间(FreezeTime)等可以看作是资源属性，用户的最后登录时间（lastActiveT）既是用户属性，也是系统资源属性。该过程用扩展模型的属性可形式化表示为：定义：id 表示用户名称集；lastActiveT：表示用户最后登录系统的时间；NowTime：表示系统当前的时间；Flag=-1，0,1：用户帐号状态集合，Flag=0时表示该帐号处于冻结状态，Flag=1时表示该帐号处于激活状态，Flag=-1时表示该帐号已被禁用。ATT(u)=id, Right, lastActiveT ：用户属性集合，包含用户的帐号、相关操作权限以及最后登录时间等；ATT(ob)= id, NowTime, lastActiveT ,Flag ：系统资源属性集合，包含用户帐号、系统当前时间、用户帐号对应的最后登录时间以及该帐号的状态标志等。则系统对用户帐号的管理过程形式化表示为：(id(u)id(ob)Flag=1(NowTime -lastActiveT(u)100)Flag=0(NowTime -FreezeTime (u)100)Flag=-1(id(u)id(ob)stopped (u, ob, r) (id(u)id(ob) Flag=1allowed(u, ob, r)(id(u)id(ob) Flag=0Freeze (u, ob, r)(id(u)id(ob) Flag=-1stopped (u, ob, r)3.2 约束原则(Containment)扩展ERBAC中的约束原则也包含了传统RBAC模型中的职责分离原则，同时又涵盖了新的约束机制。在扩展模型中，通过引入了基数约束限制了角色被指派的数量，引入指派约束限制了角色被指派的资格，引入条件约束确保了会话和角色的执行环境，引入等级约束限制了私有角色的使用权限，引入互斥角色约束增强了角色间的制约关系，从多角度的保证了访问控制系统的安全；而属性的引入，使扩展访问控制中的约束作用更强大、效果更显著。例如在互斥角色约束中，通过用户属性和客体资源属性，使系统对互斥角色的约束作用更强，更易于管理。在一个银行管理系统中，工作人员不能既是贷款的申请人，又是贷款的审批人，通过引入属性，可以限制一个用户不能既有贷款人属性，又有审批人属性；也可以限制一个用户不能同时具有同一笔贷款的贷款人属性和审批人属性。该实例用约束原则和属性可以形式化表示为：定义：uid : SID，表示用户身份证号码；sRole : S2ROLE，表示角色名称的偏序集；type : OT，表示资源对象类型名称；prepareId : OID，表示贷款申请属性；issueId : OID，表示贷款审批属性；R= prepare, issue，角色集合，由申请属性和审批属性构成；ATT(s) = uid, sRole，用户属性集合，由用户身份证号和角色名称构成；ATT(o) = type, prepareId, issueId，资源属性集合，由资源对象类型、申请属性和审批属性构成；则系统对用户帐号的管理过程形式化表示为：allowed(s, o, prepare)type(o) = check; sRole(s)purchaseClerkpreUpdate(prepareId(o) : prepareId(o) = uid(s)allowed(s, o, issue)type(o) = check; sRole(s)accountClerk,uid(s)prepareId(o)preUpdate(issueId(o) : issueId(o) = uid(s)在该实例中，一个用户代表一个主体，有冲突的角色不能在同一时间被赋予同一个用户。一个用户在同一时间，不能既具有签署支票属性，又具有确认支票属性；同时也限制一个主体不能同时具有同一张支票的签署人属性和确认人属性。为防止系统被攻击后攻击者对系统中重要角色随意添加用户，扩展的ERBAC模型中通过角色基数约束，给每个角色增添容量的属性约束，对特殊角色比如总经理角色设置角色容量为1，这样当系统被攻击后攻击者想恶意为系统增添新用户时，由于受到角色容量的限制，也无法添加恶意用户，遏制了一般攻击者进入系统随意添加新用户的留置后门方法，对系统的安全性有了进一步的增强保护。3.3 问责制原则(Accountability)问责制也称审计制，是协助管理人员保障系统安全、维护个人职能的技术手段，是为了解决管理员权利过大容易受到集中攻击，且受到攻击后损失严重的问题而引入的。在对系统资源的使用过程中，对于敏感信息的使用和操作，需要经过严格的审计和周密的授权处理。如果用户知道他们的行为活动被记录在审计日志中，相应人员需要为自己的行为负责时，就不会违反安全策略和绕过安全控制措施。而审计跟踪可以记录改动前和改动后的记录，以确定是哪个操作者在什么时候做了哪些实际的改动，可以帮助管理层确定错误到底是由用户、操作系统、应用软件还是由其它因素造成的。允许用户访问特定资源意味着用户要通过访问控制和授权实现他们的访问，被授权的访问有可能会被滥用，导致敏感信息的扩散，当无法阻止用户通过其合法身份访问资源时，审计跟踪就能发挥作用，可以有效的检查和检测他们的活动。管理员负责整个信息系统的角色和用户的创建，以及权限的分配工作。管理员给角色分配权限后，通过审计和问责制会对该角色的权限进行审核、跟踪。通过这种机制，可以对管理员的赋权操作进行有效的监督制约，使得入侵者以管理员权限入侵后，由于其操