基于角色访问控制的研究与应用

1、基于角色访问控制的研究与应用访问控制自主访问控制DAC（Discretionary Access Control）强制访问控制MAC(Mandatory Access Control)基于角色访问控制RBAC 自主访问控制(DAC)是目前计算机系统中实现最多的访问控制机制,其基本思想是:允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。如Windows和Unix就是这种类型。 自主访问控制特点是根据主体的身份和授权规则来决定访问模式。授权规则描述了系统中每个主体允许对客体进行的操作方法或者访问方式(如读、写或执行)。每个用户对客体进行访问的要求都要经过规定

2、的检验。如果授权中允许用户以这种方式访问客体,则访问就可以得到许可,否则就拒绝访问请求。自主访问控制机制允许对象的属主来制定针对该对象的保护策略。用这种控制方法,资源的所有者(也往往是创建者)可任意规定谁可以访问它们的资源。这样,用户和用户进程就可有选择地与其他用户共享资源。它是一种对单个用户执行访问控制的过程和措施。每个用户的访问权限是由系统确定的。DAC通常使用访问控制表或权能表来实现访问控制功能。DAC可对用户提供灵活和易行的数据访问方式,但安全性相对较低。缺点是信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问0,另

3、外,配置的工作量大,效率低。 强制访问控制(MAC)是“强加”给访问主体的,即系统强制主体服从访问控制策略。它预先定义主体的可信任级别和客体(信息)的敏感程度(安全级别),根据主体和客体的级别标记来决定访问模式,如绝密级、机密级、秘密级和无密级。它的访问控制关系分为上读/下写(保证数据的完整性)和下读/上写(保证数据的机密性),并通过安全标签实现单向信息流通模式。这种访问控制方式主要适合于多层次安全级别的军事应用。 在强制访问控制系统中,系统给主体和客体分配了不同的安全属性,用户不能改变自身或任何客体的安全属性,即不允许单个用户确定访问权限,只有系统管理员可确定用户和用户组的访问权限。系统通过

4、比较客体和主体的安全属性来决定主体是否可访问客体。此外,强制访问控制不允许一个进程生成共享文件,从而防止进程通过共享文件将信息从一个进程传送到另一个进程。MAC可通过使用敏感标记对所有用户和资源强制执行安全策略。如图1所示。图1 强制性访问控制 主体(用户,进程)被分配一个安全等级,客体(文件,数据)也被分配一个安全等级,访问控制执行时对主体和客体的安全级别进行比较。用一个例子来说明强制访问控制规则的应用,如WEB服务以“秘密”的安全级别运行。假如WEB服务器被攻击,攻击者在目标系统中以“秘密”的安全级别进行操作,他将不能访问系统中安全级为“机密”及“高密”的数据。强制访问控制进行了很强的等级

5、划分,但灵活性不高,所以经常用于保护等级要求很高的领域。 对于规模较大的公司或政府机构,需要管理的信息资源数量非常多,职员的数量也很多,如果采用传统的访问控制策略,将会使信息共享和信息安全的管理,变成及其繁琐和困难。基于角色的访问控制RBAC技术有效地克服了传统访问控制技术中存在的不足之处,借助于角色这个主体,将原来数量众多的用户抽象成角色,用户通过角色访问资源,建立这样一种映射关系,大大提高了管理的效率,减少授权管理的复杂性,降低管理开销,而且还能为管理员提供一个比较好的实现安全政策的环境。 RBAC从实质上说是一种策略中立的访问控制策略,即它本身并不提供一种特定的安全策略,只是通过配置各种

6、参数来实现某种安全策略,具有很大的灵活性,允许更加广阔的访问策略得以实施。RBAC可以被配置成传统的MAC和DAC,它们之间的关系如图2所示。图2 几种访问控制的关系 在RBAC中,引入了角色这一重要概念。所谓“角色”,就是一个或一群用户在组织内可执行的操作的集合。RBAC的基本思想是:授权给用户的访问权限,通常由用户在一个组织中担当的角色来确定。例如,一个银行包含的角色可以有出纳员、会计师和贷款员等。由于他们的职能不同,所拥有的访问权限显然也各不相同。RBAC根据用户在组织内所处的角色来进行访问授权与控制。通过角色作为桥梁来沟通主体与客体,决定访问权限的是用户对应的角色。RBAC对访问权限的

7、授权由管理员统一管理,授权规定是强加给用户的,用户只能被动接受,不能自主地决定,用户也不能自主地将访问权限传给他人。这是一种非自主型的访问控制。RBAC这种新型的访问控制技术,为网络安全中的访问控制提供了一个高效、方便、易用的模型,具有很广阔的应用发展前景。RBAC是目前公认的解决大型企业的统一资源访问控制的有效方法。其显著的两大特征是:(1)减小授权管理的复杂性, 降低管理开销。(2)灵活地支持企业的安全策略, 并对企业的变化有很大的伸缩性。 标准RBAC模型简介 基于角色访问控制(RBAC)模型是在主体和客体之间引入了角色的概念。所谓角色, 就是一个或一群用户在组织内可执行的操作的集合,

8、它代表了一种资格、权利和责任。系统安全管理员根据需要定义各种角色, 并分配合适的访问权限,而用户根据其职责和职务的不同再委派不同的角色。这样整个访问控制过程就分成了两部分, 即访问权限与角色相关联, 角色再与用户相关联, 从而实现了用户与访问权限的逻辑分离。用户、角色以及权限的关系可以用图3表示:图3 用户、角色、权限关系图 标准的RBAC 参考模型是NIST RBAC , NIST RBAC参考模型分成核心RBAC、等级RBAC和约束RBAC 三个子模型。如图4所示。图4 NIST RBAC 参考模型图 核心RBAC 模型中定义了角色的基本功能,它包括: User(用户)：代表人或一台机器或

9、其他智能系统。 Role(角色)： Role表示一个工作职责, 在一个组织机构环境中的工作职责。该职责可以关联一些关于权力和责任的语义, 例如出纳、会计等等。 Session(会话)：可以理解为用户到角色之间的一种映射, 用户通过建立会话与系统交互, 扮演自身所属的角色。 Objects(客体)：表示资源对象, Object可能包括文件、数据库表、打印机等等。 Operations(操作)：角色对客体的操作, 例如读写文件等。 Permission(许可) ：表示对系统中的对象进行某种模式访问的许可。 RBAC模型是一种基于主体-客体的关系模型, 关注点在于用户角色分配和角色权限分配，其基本思

10、想是通过角色建立用户和访问权限之间的多对多关系, 用户由此获得访问权限。 等级RBAC在基本RBAC的基础上增加了角色的等级,引入了角色继承关系。当一个角色R1继承另一个角色R2时就自动拥有了R2的全部访问权限。角色继承关系自然地反映了一个组织内部的权利和责任关系(例如, 销售人员可以继承普通员工的所有权限, 销售经理可以继承销售人员的所有权限)。 约束RBAC在基本RBAC的基础上增加了职责分离(SoD)关系, 包括静态职责分离(SSD)和动态职责分离(DSD)。静态授权约束决定用户不能被指定给一个冲突角色集合中的两个或多个角色(如一个用户不能同时被授予出纳和会计两种角色)。动态授权约束则限

11、制用户不能同时激活一个冲突角色集合中的两个或多个角色。DSD 实际上是最小权限原则的扩展, 它使得每个用户根据其执行的任务可以在不同的环境下拥有不同的访问权限。 RBAC模型的改进 标准RBAC给出的是参考模型, 是RBAC的最小元素集合, 因此具有很多的局限性。 在标准RBAC 中高等级的角色继承低等级角色的权限时, 是一种全继承关系。但是在有些情况下, 角色之间并不希望继承全部权限, 如在新闻编辑部门中, 编辑角色具有新闻采集和报文编辑的权限,而主编角色在继承编辑权限时却不希望得到新闻采集权限。 由于RBAC模型的高度抽象, 割裂了用户与操作对象之间的某些联系, 如在具有分支机构的新闻编辑

12、部门中, 总社的编辑可以访问所有归档的文章, 而分社的编辑只能访问特定时间段内或者自己编辑的文章。用RBAC解决该问题需要将编辑角色分解, 可能导致的结果是角色泛滥, 不利于角色的管理, 本质上是RBAC 模型无法实现与环境有关的细粒度的访问控制。 对于局限性, 提出了一种扩充角色层次关系模型。该模型对角色之间的层次关系进行了扩充, 将角色的权限分为公共权限和私有权限, 并引入了一般继承和扩展继承两种继承机制。一般继承只能继承角色的公共权限, 并且它继承下来的公共权限还是公共权限; 扩展继承不但能继承公共权限, 还能继承私有权限, 而且继承过来的权限属性仍保持不变。这种扩展模型可以简化角色层次

13、关系, 描述复杂的角色继承场景, 并通过区分公共权限和私有权限进一步实现了最少权限原则,防止了用户滥用职权。 对于局限性, 在RBAC模型中引入了组(Group)的概念, 将User扩展为User/Group, 用于对待具有不同职责却有某些共性的用户群体。Group可以直接映射组织结构, Role可以直接映射组织结构中的业务角色, 引入用户组后的RBAC模型更加符合客观世界的企业组织模式, 比较直观, 而且也足够灵活。用户组是用户的集合, 也是权限分配的单位与载体。与role的功能有相似之处, 从本质上说两者确实都是对某些特定用户的抽象和提取。比如说Role(角色)就是对User的操作权限共性的提取。Group 提取更多的