基于角色的访问控制机制中的用户组配置

基于角色的访问控制机制中的用户组配置

用户管理策略的引入基于角色的访问控制（rbac）主要针对集中环境下的应用程序，不适用于许多用户的系统。角色分层一般不能反映部门的组织结构,不利于用户的部门管理。RBAC的管理有3方面的设计需求:灵活和可扩展性、可接受性和机制的经济性。这就需要将创建用户和角色的操作分离开,建立策略中立的管理域定义机制,具备可逆性并且设计尽量简单。针对上述问题和设计上的需求,可以通过引入了用户组,即具有相同权限用户的集合,使用户组的授权代替组中每个用户的授权。授权工作因而得到简化,并形成一个基于用户、用户组和角色的访问控制模型。1用户职能与管理体制参照NIST-RBAC,引入用户组后的RBAC模型如图1所示,UGRBAC增加了对用户职能与组织部门关系的抽象,增强了权限管理能力,继承了策略中立、简单灵活等优点。现在通过形式化定义和相关函数描述模型的基本组件、约束和授权规则。1.1其他组件定义定义1:UCRBAC={US,SE,GS,RS,OP,OB,PS,UA,GA,UGA,PA,RH,GH}其中US,OP,OB,PS,RS,PA,RH的定义参见NIST-RBAC,其他组件定义如下。(1)iiinu,g的知识产权公式G={u|u∈US∧∀u,u′∈G,Permission(u,G)=Permission(u′,G)},Permission(u,G)表示u从G中获取的权限。G表示由一个或几个用户组成的集合,而且G⊆US。(2)gsuser群体是一组用户GS={G1,G2,…,Gm}表示具有相同权限的用户集。(3)特定角色集SE=(ID,u,g,R)∈N×u×2roles(s)其中ID用于标识某一特定的会话,u表示用户,g表示用户组,R表示角色集,roles(s)表示由该会话产生的角色集,包括初始角色、转授权角色以及从所在用户组得到的角色。(4)用户及其角色的分配UA=UOA∪UDA={(u,r)|u∈U∧g∈r}表示多对多的用户和角色的分配关系。UOA和UDA分别表示用户到初始角色和到被转授角色之间的多对多关系。(5)GAusersgroupassignments,用户组分配GA=GOA∪GDA={(g,r)|g∈GS∧r∈R}表示多对多的用户组和角色的分配关系。GOA和GDA分别表示用户组到初始角色和到被转授角色之间的多对多关系。(6)uga用户组织用于分裂用户UGA={(u,g)|u∈US∧g∈GS}表示多对多的用户和用户组的分配关系。UGA反映了用户职能与某部门或组织的对应关系。(7)gh集体疾病分为不同的班级GH=G×G表示用户组之间的继承关系,也是一种偏序关系,用≥表示。1.2功能2:五有pp通过形式化定义对新模型各个组件有了初步认识,为了便于分析模型的内部关系和说明约束和授权规则定义以下函数。定义2:返回角色的函数定义3:返回用户和用户组的函数定义4:某角色对应的所有权限Permissions(r)={p∈P|(∃r′≤r)[(p,r′)∈PA]})};某会话产生的所有权限Permissions(s)=∪r∈Roles(S){p∈P|(∃r′≤r)[(p,r′)∈PA]}。1.3静态权责分离sda不具备约束条件和不支持权责分离的系统中不安全的,改进模型通过引入先决角色约束、静态权责分离、动态权责分离来描述系统的安全策略。定义5:先决角色约束CPR={cpr|cpr=(r1,r2,r3,…,rn→rj),ri∈R∧rj∈R(1≤i≤n)}规定了获得角色的次序性,表示在角色分配时某角色只有在获得了全部的ri(1≤i≤n)之后,才可以得到角色rj这时称r1是r2的先决角色,CPR的作用域是UA∪GA。定义6:静态权责分离SSD={SSDPA,SSDUA,SSDGA,SSDUGA}静态权责分离避免了权限冲突和滥用,例如银行负责记账和货币运输的权限不能分配给同一用户。这就需要定义权限被分配的用户个数,SSD的作用域是UA∪GA∪UGA。定义7:动态权责分离DSD={(rs,k)|∀u∈CS⇒|Roles(s)∩rs|<k,s∈SE,rs⊆2R∧k≥2}角色分配的弱互斥关系,动态权责分离规定会话不能同时激活权责冲突的角色。1.4初始角色函数由于约束和权责分离的引入导致系统运行中可能出现关键角色缺席而影响业务进展的情况,此时可通过定义授权和授权约束实现权限管理。定义8:用户委派tauth={(uing,ring),(ued,red)}其中uing∈U,ring∈R,ued∈U,red∈R。某用户可以指定另一用户暂时代替自己执行全部或部分自身的权限,可以在第一次委派时指定被委派用户必须具备的角色。用户委派组成的集合称作UAP(userappoint)。(1)授权用户和转授角色函数:ing(tauth)=ing=(uing,ring),ingu(tauth)=ingu(ing)=uing,ingr(tauth)=ingr(ing)=ring(2)被授权用户(用户组)和被转授角色函数:ed(tauth)=ed=(ued,red)或(ged,red),edu(tauth)=edu(ed)=ued,edg(tauth)=edg(ed)=ged,edr(tauth)=edr(ed)=red(3)初始角色委派:uoa∈UOA⇔uoa={(admin,A),(ued,red)}goa∈GOA⇔goa={(admin,A),(ged,red)}其中A表示admin具有系统授予用户、用户组任何角色的权限,尽管admin可能并不具有这些角色。(4)转授角色委派uda∈UDA⇔uda={(uing,ring),(ued,red)}gda∈GDA⇔gda={(uing,ring),(ued,red)}定义9:转授权集DLGT⊆ODLGT∪DDLGT其中ODLGT⊆(UOA∪UGOA)×(UOA∪UGOA),DDLGT⊆(UDA∪UGDA)×(UDA∪UGDA)。(1)widt({(uing,ring),(u,r)}):U×R→N返回由(uing,ring)转授的授权(u,r)的个数;(2)depth({(uing,ring),(u,r)}):U×R→N返回授权(u,r)的授权路径的长度;(3)转授权树DTA⊆UGRA×UGRA,UGRA=UA∪UGOA∪UGDA;(4)转授权路径path⊆UDA∪UGA∪GDA。用户的转授权路径既有通过用户委派得到的角色,又有通过用户组转授权而得到的角色,如下页图2所示。定义10:转授权判定candelegate⊆R×CPR×SSD×DSD×N×Y其中N和Y分别是最大转授权深度、最大转授权宽度,例如:dlgt={r,cr,ssd,dsd,n,y}∈candelegate⇔uing∈{u|u∈Users(r′),r′≥r}∧RolesAll(ued)∈ssd∧RolesAll(ued)∈dsd∧n(dlgt)≤depthmax∧y(dlgt)≤widthmax其中n(dlgt)表示转授权操作被转授角色r的再次转授次数,即转授权深度;y(dlgt)表示当前操作中被转授角色被同一用户转授次数,即转授权宽度。2用户组间的继承为了验证改正模型的可行性和有效性,现通过某公司业务系统的权限管理实例进行说明。该模块采用UGRBAC模型,数据库设计如图3所示。该公司的组织层次分为总经理、项目管理部门、产品工程部门、质量检测部门,员工部门。对应建立用户组GS={总经理组,项目组,产品工程组,质检组,员工组},用户组间的继承关系为:员工组≥项目组,项目组≥产品工程组∧项目组≥质检组,其中各组用户数分别是6、30、10、10、100。该设计使得数据库的维护非常方便,并有以下特点:将用户按部门(即实体“用户组”)分为不同权限的访问用户,建立用户与功能和资源之间的对应关系;用户和角色的增加和维护相对独立,分别通过实体“用户表”和“角色表”进行,不发生相互干扰;用户和角色之间通过关系“用户角色表”建立动态的联系,用户和用户组之间的设计也是如此;角色与功能之间也不直接相关,而是通过关系“角色权限表”发生关联,避免了相互影响。那么如果没有引入用户组,对这些用户授予、改变或撤消对应角色需进行操作共156次,而现在只需通过分别对5个用户组操作即可。而且用户组的继承关系反映了系统的组织结构,处于同一用户组的用户对应于现实中的同一部门内的同事。3权限维护系统在NIST-RBAC的基础上引入用户组,通