基于角色的权限管理综述课件

ASurveyon

Role-BasedAccessControl——基于角色的权限管理综述20191感谢你的观看2019年5月9日ASurveyon

Role-BasedAccess内容提要权限管理背景及传统模型RBAC模型基本框架及其扩展模型理论研究模型应用研究下一步研究方案RBAC相关信息2感谢你的观看2019年5月9日内容提要权限管理背景及传统模型2感谢你的观看2019年5月9权限管理背景权限管理的重要性应用领域：操作系统，数据库，Internet&Web传统的权限管理模型自主访问控制（DiscretionaryAccessControl）提出者：Lampson1971,Graham&Denning1972类似于UNIX系统中的安全模型强制访问控制（MandatoryAccessControl）提出者：Bell&LaPadula1975,Denning1976,Biba1977又称为LBAC（Lattice-BasedAccessControl）初期主要用于美国军方3感谢你的观看2019年5月9日权限管理背景权限管理的重要性3感谢你的观看2019年5月9日自主访问控制（DAC）基本思想对象（object）的创建者为其所有者（owner），可以完全控制该对象对象所有者有权将对于该对象的访问权限授予他人（grantee）不同的DAC模型Grantee得到的权限能否转交他人？StrictDAC:grantee不能授权他人LiberalDAC:grantee可以授权他人根据grantee可以继续授权的深度可以分为一级的和多级的对象的所有权可否变更？何人可进行权力的吊销（revocation）？存在的问题不易控制权限的传递容易引起权限的级联吊销4感谢你的观看2019年5月9日自主访问控制（DAC）基本思想4感谢你的观看2019年5月9强制访问控制（MAC）基于安全标记（securitylabels）主体（subject）：securityclearance客体（object）：securityclassification基本假定（tranquility）主体和客体的安全标记一旦指定，不再改变在安全标记集合中定义了一种偏序关系，成为一个格。基本策略（s为主体，o为客体，λ为标记函数）：Simplesecurityproperty:s可读o->λ(s)>=λ(o)Liberal*-property:s可写o->λ(s)<=λ(o)Strict*-property:s可写o->λ(s)==λ(o)存在的问题仅有唯一的管理员，无法实现管理的分层关系复杂，不易实现5感谢你的观看2019年5月9日强制访问控制（MAC）基于安全标记（securitylabRBAC模型的提出D.Ferraiolo&R.Kuhn(NIST)1992,1995M.Nyanchama&S.Osborn(WesternOntarioUniv.,Canada)1994R.Sandhuetal(LIST,GeorgeMasonUniv.)1996,1997最有名的RBAC模型：RBAC96,ARBAC97(Sandhu)最新的统一模型：ProposedNISTStandardforRole-BasedAccessControl(ACMTISSEC2001)6感谢你的观看2019年5月9日RBAC模型的提出D.Ferraiolo&R.KuhRBAC模型中的基本概念（1）用户（User）：访问系统中的资源的主体，一般为人，也可为Agent等智能程序权限（Permission）：对计算机中某些受保护的资源的访问许可，是一个广义概念有的文章中将权限理解成一个二元组（Operation，Object）角色（Role）：应用领域内一种权力和责任的语义综合体可以是一个抽象概念，也可以是对应于实际系统中的特定语义体，比如组织内部的职务等针对角色属性的不同，某些模型中将角色进一步细分为普通角色（RegularRole）和管理员角色（AdministrativeRole）用户指派（UserAssignment）：用户集到角色集的多对多的关系7感谢你的观看2019年5月9日RBAC模型中的基本概念（1）用户（User）：访问系统中的RBAC模型中的基本概念（2）权限指派（PermissionAssignment）：权限集到角色集的多对多的关系会话（Session）：对应于一个用户以及一组激活的角色。用户每次必须通过建立会话来激活角色，得到相应的访问权限角色继承关系（InheritanceRelation）：角色集上定义的一个偏序关系≧r1≧r2=>Permission(r2)Permission(r1),User(r1)User(r2)角色层次图（RoleHierarchies）：在角色继承关系下，角色集实际上构成了一个层次图允许各种形式的角色继承，包括多重继承。这样，角色层次图可以是树，倒装树，格等8感谢你的观看2019年5月9日RBAC模型中的基本概念（2）权限指派（PermissionRBAC模型中角色层次图示例9感谢你的观看2019年5月9日RBAC模型中角色层次图示例9感谢你的观看2019年5月9日RBAC模型中的基本概念（3）限制（Constraints）：模型中的职责分离关系（SeparationofDuty），用于控制冲突（Conflict）静态职责分离（StaticSD）：指定角色的互斥关系，用于用户指派阶段。避免同一用户拥有互斥的角色。实现简单，角色互斥语义关系清楚，便于管理不够灵活，不能处理某些实际情况动态职责分离（DynamicSD）：指定角色的互斥关系，用于角色激活阶段。允许同一用户拥有某些互斥的角色，但是不允许该用户同时激活互斥的角色。更灵活，直接与会话挂钩，适应实际管理需要实现复杂，不易管理10感谢你的观看2019年5月9日RBAC模型中的基本概念（3）限制（Constraints）RBAC96模型层次框架RBAC96层次模型RBAC0:含有RBAC核心部分（CoreRBAC）RBAC1:包含RBAC0，另含角色层次关系（RoleHierarchies）RBAC2:包含RBAC0，另含限制（Constraints）RBAC3:包含所有层次内容， 是一个完整模型 （ConsolidatedModel）11感谢你的观看2019年5月9日RBAC96模型层次框架RBAC96层次模型11感谢你的观看RBAC96模型结构框架12感谢你的观看2019年5月9日RBAC96模型结构框架12感谢你的观看2019年5月9日ARBAC97模型基本思想在RBAC模型内部实现对各部分元素的管理管理包括：用户角色管理，权限角色管理，角色层次关系管理，限制管理等实现分布式管理，避免由一个管理员负责整个系统的管理和维护管理员对应管理员角色，各个管理员角色之间也存在继承关系ARBAC97模型的基本组成部分URA97:分布式实现用户角色指派PRA97:分布式实现权限角色指派RRA97:分布式实现角色层次关系管理13感谢你的观看2019年5月9日ARBAC97模型基本思想13感谢你的观看2019年5月9日ARBAC97模型实例14感谢你的观看2019年5月9日ARBAC97模型实例14感谢你的观看2019年5月9日ARBAC97模型组成部分URA97指派模型（GrantModel）定义关系can_assign，每个管理员对应一个角色区间（RoleRange）吊销模型（RevokeModel）定义关系can_revoke，可同样定义角色区间弱吊销（weakrevocation）和强吊销（strongrevocation）PRA97是URA97的对偶模型，所有概念类似。RRA97定义关系can_modify，刻画可否修改关系对应于对层次关系的每一种修改，管理员有相应的修改角色区间15感谢你的观看2019年5月9日ARBAC97模型组成部分URA9715感谢你的观看2019ARBAC97模型整体框架16感谢你的观看2019年5月9日ARBAC97模型整体框架16感谢你的观看2019年5月9日关于RBAC模型的讨论模型的优点通过角色配置用户及权限，增加了灵活性支持多管理员的分布式管理，管理比较方便支持由简到繁的层次模型，适合各种应用需要完全独立于其它安全手段，是策略中立的（policy-neutral）角色与组的关系组是一组用户的集合，代表用户的共同属性角色一方面代表一组用户，另一方面也代表一组权限，使得系统安全配置更灵活17感谢你的观看2019年5月9日关于RBAC模型的讨论模型的优点17感谢你的观看2019年5模型理论研究（1）利用RBAC模拟并加强DAC和MAC安全策略综述文章见Osborn&Sandhu(TISSEC2000)证明了RBAC比DAC和MAC更一般，DAC和MAC只是RBAC的两种特殊形式已经研究的比较透彻了角色层次图的相关研究如何在图中进行一些相关操作，包括添加、删除角色，添加、删除角色之间的继承关系等涉及到角色层次图的重建等等细节内容ARBAC97模型中已有相关描述但都只有理论模型和算法描述，实现困难理论框架依然不清楚，没有完整的代数描述需要进一步研究18感谢你的观看2019年5月9日模型理论研究（1）利用RBAC模拟并加强DAC和MAC安全策模型理论研究（2）对于模型中的限制的研究Kuhn(RBAC’97)对限制有详细的研究，将角色的互斥进行进一步分类authorization-timeexclusion/run-timeexclusioncompleteexclusion/partialexclusion定义了理论上的安全级别，不过实际中几乎无法使用，仅有理论意义RCL2000(Role-BasedConstraintsLanguage)由Ahn&Sandhu(TISSEC2000)提出，用于刻画角色授权限制与一种一阶逻辑等同，有可靠性与完全性定理19感谢你的观看2019年5月9日模型理论研究（2）对于模型中的限制的研究19感谢你的观看20模型理论研究（3）角色代理模型（RoleDelegation）最近的一个研究热点，许多研究者都给出各种各样的模型涉及很多方面，模型非常复杂，可能有8个以上的方面可以分类Permanence,Monotonicity,Totality,Levels,Multiple,…模型代表：RBDM0&RBDM1(Role-BasedDelegationModel)Barka&Sandhu(NISSC2000)提出RBDM0建立在RBAC0上，比较直观RBDM1是RBDM0的扩展模型，很复杂，目前还没有定义清楚20感谢你的观看2019年5月9日模型理论研究（3）角色代理模型（RoleDelegatio模型理论研究（4）策略代数研究（Algebraforpolicies）用代数方法研究安全控制的策略最近的研究结果：Bonattietal(TISSEC2002)AnAlgebraforComposingAccessControlPolicies很抽象，很难理解，需要很好的数学基础RBAC模型的其它扩展TRBAC:TemporalRBACModel(TISSEC2001)DRBAC:DistributedRBACModel(RBAC’00)EHRBAC:ExtendedHierarchyRBAC(软件学报2000)…21感谢你的观看2019年5月9日模型理论研究（4）策略代数研究（Algebraforpo模型应用研究（1）针对模型的直接实现（Demo）Ferraioloetal:RBAC/Web，基于NIST的RBAC模型Sandhuetal:ARBAC97/WWW，基于ARBAC97模型不成熟，只能做演示，无法实用最成功的应用研究：Park&SandhuRole-BasedAccessControlontheWeb(TISSEC2001)user-pull/server-pull使用三种不同的技术实现Web上的RBAC模型securecookies,smartcertificates,LDAP但是没有涉及到角色内部的实现机制22感谢你的观看2019年5月9日模型应用研究（1）针对模型的直接实现（Demo）22感谢你的user-pullvsserver-pull23感谢你的观看2019年5月9日user-pullvsserver-pull23感谢你的模型应用研究（2）RBAC的实质性应用数据库Oracle,Sybase,…操作系统Solaris,…Internet&WebgetAccessReleasedbyenCommerce(2000)TrustedWebReleasedbySiemensNixdorf(2000)WebDaemon24感谢你的观看2019年5月9日模型应用研究（2）RBAC的实质性应用24感谢你的观看201下一步研究计划（1）结合WebDaemon，抽象出角色维数的概念设法简化大企业中的角色管理直观上容易理解，但理论描述存在困难目前采用格的直积来描述从代数或者逻辑上刻画角色继承关系以及限制对于