信息安全概論第14講

1、信息安全概論第14講5.3 RBAC模型框架模型框架思想 RBAC是基于角色的訪問控制（Role Based Access Control）的英文縮寫。RBAC的基本思想是：將訪問權(quán)限分配給角色；通過賦予用戶不同的決色，授予用戶角色所擁有的訪問權(quán)限。這樣訪問控制就分成了訪問權(quán)限和角色相關(guān)聯(lián)以及用戶和角色相關(guān)聯(lián)，實現(xiàn)了用戶和訪問權(quán)限的邏輯分離，使得權(quán)限管理變得很方便。歷史1996年GMU(George Mason University)的Sandhu等人提出的RBAC96模型1993年NIST開始了RBAC的市場分析并進(jìn)行了RBAC的原型實現(xiàn)。（一些研究機(jī)構(gòu)在推出新的RBAC模型和基于RBAC的

2、應(yīng)用。）2000年NIST在RBAC96的基礎(chǔ)上提出RBAC參考模型，并在2001年對該模型作了詳細(xì)的說明。NIST建議將該參考模型作為RBAC標(biāo)準(zhǔn)。5.3 RBAC模型框架模型框架安全設(shè)計原則 RBAC可以看作是訪問控制模型和安全策略實現(xiàn)的一種框架，通過在用戶（主體）和操作（權(quán)限）之間加入角色的概念使得訪問控制模型的實現(xiàn)得到簡化，結(jié)合等級和約束來描述各種安全策略。RBAC遵循三個基本的安全原則：最小特權(quán)（Least Privilege）：引入會話的概念。一個會話中只賦予用戶要完成任務(wù)所必須的角色，這就保證了分配給用戶的特權(quán)不超過用戶完成其工作所必需的權(quán)限；責(zé)任分離（Separation of

3、 Duty）：用戶不能同時擁有互斥的角色，避免產(chǎn)生安全的漏洞，例如一個職員同時得到采購員和出納兩個角色，就可能產(chǎn)生欺騙行為；數(shù)據(jù)抽象（Data Abstract）：除了操作系統(tǒng)中提供的讀、寫以及執(zhí)行權(quán)限之外，RBAC中可以根據(jù)實際應(yīng)用的需要定義抽象的訪問權(quán)限，如賬號的借款和貸款。作用 RBAC作為一種靈活的訪問控制策略框架，經(jīng)過一定的配置它完全可以實現(xiàn)DAC和MAC。5.3.1 RBAC介紹 角色的概念NIST RBAC參考模型在用戶和訪問權(quán)限之間引入了角色的概念，是其中的一個最關(guān)鍵概念。角色通常表示組織內(nèi)部人員的職能分工。它的基本特征是根據(jù)安全策略劃分角色，對每個角色分配一些操作權(quán)限；通過為

4、用戶指派角色，間接地控制用戶對信息資源的訪問。 角色和操作系統(tǒng)中的組有一定的相似性，但兩者的概念有很重要的差別：雖然組也是為了權(quán)限管理而設(shè)置的，但組主要是指用戶的集合，而角色有更加豐富的含義，其本身就與權(quán)限有關(guān)聯(lián)。如“財務(wù)部長”角色有管理財務(wù)數(shù)據(jù)的權(quán)限。角色所擁有的權(quán)限以及用戶屬于哪個角色可以是非自主的，也可以是強(qiáng)制的。參考模型包含4個構(gòu)件模型核心RBAC 角色層次靜態(tài)職責(zé)分離（Static SOD）動態(tài)職責(zé)分離（Dynamic SOD）。(RH)Role HierarchySUPAUAUSERSROLESO PSO BSSESSIONSS SDD SDSAPERMISSIONS圖5.2 RB

5、AC 模型5.3.2 核心RBAC 核心RBAC是任何基于角色的訪問控制的必要構(gòu)件，定義了五個基本元素集：用戶（USERS）角色（ROLES）操作（OPERATIONS）客體（OBJECTS）權(quán)限（PERMISSIONS）（是操作（OPERATIONS）、對象（OBJECTS）的組合）名詞解釋名詞解釋p用戶：表示一個實體，可以是一個人、機(jī)器人、計算機(jī)、計算機(jī)網(wǎng)絡(luò)等。p角色：表示組織內(nèi)部人員的一種職能。p權(quán)限：用戶對特定的信息客體進(jìn)行特定的操作的許可稱為權(quán)限。p會話：會話（SESSIONS）是用戶和激活角色集之間的一個映射。一個會話對應(yīng)一個用戶，一個用戶可以建立一個或多個會話。用戶可獲得權(quán)限是用

6、戶所有會話所激活的角色被賦予的權(quán)限之和。ROLESUSERSUAROLESSPERMISSIONPAROLESSESSIONSSASESSIONSUSERSSU，指定用戶到角色間的多對多關(guān)系。，指定權(quán)限到角色的多對多的關(guān)系。，指定會話到角色間的多對多關(guān)系。，指定用戶到會話間的一對多關(guān)系。RBAC由下列四個關(guān)系形式化地定義：UAruUSERSurROLESusersassignedUSERS),(2:_PArpSPERMISSIONprROLESspermissionassignedSPERMISSION),(2:_),( |2:_SArsROLESrsSESSIONSrolessessionR

7、OLES),( |2:_SUsuSESSIONSsuUSERSsessionsuserSESSIONSusUSERSSESSIONSuserssession:_SUsu),(上述四個關(guān)系導(dǎo)出下列的幾個映射：角色到用戶冪集的映射角色到權(quán)限冪集的映射會話到角色冪集的映射用戶到會話冪集的映射會話到用戶的映射上式中，u是建立會話s的用戶，由 唯一確定?；趥鹘y(tǒng)密碼的身份識別技術(shù)UAruROLESrsrolessessionusessionusers),()(_)(_)(_)(_)(_srolessessionrrspermissionassignedspermssessionavail定義1. 所謂核

8、心RBAC，是指定義了上述四個關(guān)系的四元組（USERS、ROLES、SESSIONS、PERMISSIONS），且滿足對于任意的一個用戶u，成立訪問控制的最終目的是要得到用戶的權(quán)限。在核心RBAC中，一個用戶u在一次會話中的權(quán)限就是該會話的角色集權(quán)限的總和，用avail_session_perms(u)表示，即5.3.3 角色層次在核心RBAC的基礎(chǔ)上可以為角色引入層次（Role Hierarchy, RH）的概念，對應(yīng)的模型稱為層次RBAC。按照層次的不同限制，分為通用（General）層次RBAC和受限（Limited）層次RBAC。RH被認(rèn)為是RBAC模型中一個主要的方面，在RBAC的產(chǎn)

9、品都應(yīng)當(dāng)實現(xiàn)。層次是數(shù)學(xué)上的偏序集。RH的基本想法是，高層角色可獲得低層角色的權(quán)限，低層角色的用戶集包含高層角色的用戶集。角色層次關(guān)系的另一種解釋是角色的繼承關(guān)系。如果的所有用戶。理想的角色繼承有下圖5.3所示的特征。圖中權(quán)限繼承從上到下，用戶繼承從下至上。如果不滿足這些關(guān)系，則需要適當(dāng)?shù)財U(kuò)展用戶及訪問權(quán)限，使之具有繼承的特征。角色r2角色r1r1在下， r2在上表示： )(_)(_)(_)(_1221rusersassignedrusersassignedrspermissionassignedrspermissionassigned理想的角色層次示意圖通用角色層次)(_rusersauth

10、orized)(_rspermissionauthotizedUArurrUSERSurROLESusersauthorizedUSERS) ,(,2:_使得存在PArprrPRMSprROLESspermissionauthotizedPRMS) ,(,2:_使得存在通用角色層次提供任意的偏序，支持角色層次，包括權(quán)限和用戶角色多繼承的概念。受限層次加入約束，形成簡單的倒樹結(jié)構(gòu)。定義定義2. （通用角色層次）在一個核心RBAC基礎(chǔ)上，定義角色ROLES的一個偏序關(guān)系，稱為層次關(guān)系(RH)，記為“ ”。這時，角色r對應(yīng)的用戶集 稱為授權(quán)用戶，而角色r對應(yīng)的權(quán)限集 稱為授權(quán)集。它們由下式定義：受限

11、角色層次)(_)(_1221rspermissionauthorizedrspermissionauthorizedrr)(_)(_21rusersauthorizedrusersauthorized212121,rrrrrrROLESrrr在RH中用授權(quán)取代簡單的權(quán)限，從而擴(kuò)展了核心RBAC的訪問權(quán)限檢查。即一個角色不僅獲得該角色的權(quán)限，同時還要繼承比其小的角色的訪問權(quán)限；一個角色不僅獲得該角色的用戶，同時還要繼承比其大的角色的用戶；容易驗證授權(quán)滿足：以及通用角色層次支持多繼承的概念，即可以繼承多個角色的權(quán)限和角色的用戶。定義定義3（受限角色層次）.一個通用角色層次如果還滿足： 層次RBAC

12、的合理性：重復(fù)授權(quán)不是有效的而且在管理上是冗余的。應(yīng)用RBAC角色層次模型可以提高效率，支持結(jié)構(gòu)化。通用RH可以使用任意偏序關(guān)系（Partial Orders）；而受限RH則對角色繼承做了一定限制，使得角色之間形成一個很簡單的樹形結(jié)構(gòu)，也可以是倒置（Inverted）的樹。 如果角色的某些權(quán)限不可用于繼承，必須把該角色定義為一個私有（private）角色，并將不可繼承的權(quán)限分配給該角色。5.3.4 受約束的受約束的RBAC 受約束RBAC引入了職責(zé)分離（SD，Separation of Duty）概念，職責(zé)分離是實際組織中用于防止其成員獲得超越自身職責(zé)范圍的權(quán)限，解決利益沖突問題。SD作為一種

13、安全原則在很多商業(yè)、工業(yè)和政府部門的系統(tǒng)中得以實現(xiàn)。SD有兩種：靜態(tài)SD（SSD）和動態(tài)SD（DSD）.1. 靜態(tài)職責(zé)分離（靜態(tài)職責(zé)分離（SSD）NSSDROLES 2trrusersassignedntrstSSDnrs)(_:,),(SSDnrs),( SSD設(shè)置用戶角色授權(quán)的約束。依據(jù)SSD規(guī)則，用戶不能被授予某一角色集中的一個或多個。定義定義4（靜態(tài)職責(zé)分離（靜態(tài)職責(zé)分離SSD）. N表示自然數(shù)的集合， 。如果滿足：則稱SSD是一個靜態(tài)職責(zé)分離集。 上式中給定的 ，是一個對。其中rs是ROLES的子集，n是自然數(shù)，其含義為不存在用戶被委以角色集rs中的n個或多于n個角色。trruser

14、sauthorizedntrstSSDnrs)(_:,),(SSDnrs),(角色層次關(guān)系下的靜態(tài)職責(zé)分離，則用下式代替： 其含義是，給定的 ，其中rs是ROLES的子集，n是自然數(shù)，不存在用戶被授予角色集中的n個或多于n個角色。 層次RBAC的靜態(tài)職責(zé)分離，與基本的靜態(tài)職責(zé)分離大體上相同，區(qū)別在于角色用戶改變?yōu)榻巧氖跈?quán)用戶。對層次RBAC來說，使用第二個式子作靜態(tài)職責(zé)分離的定義，比把它看成基本的靜態(tài)職責(zé)分離要嚴(yán)格一點(diǎn)。靜態(tài)職責(zé)分離SSD提供了強(qiáng)有力的方法，解決了角色互斥或利益沖突問題。2. 動態(tài)職責(zé)分離（動態(tài)職責(zé)分離（DSD）NDSDROLES 2ntsrolessessionrstSES

15、SIONSsDSDnrs|)(_,),(DSD通過限制用戶會話中激活的角色，限制用戶可獲得的權(quán)限。定義定義5（動態(tài)職責(zé)分離（動態(tài)職責(zé)分離DSD）. N表示自然數(shù)的集合， 。如果滿足：則稱DSD是一個動態(tài)職責(zé)分離集。2. 動態(tài)職責(zé)分離（動態(tài)職責(zé)分離（DSD） 上式中給定的，是一個對。其中rs是ROLES的子集，n是自然數(shù)，其含義為不存在用戶可激活角色rs集中的n個或多于n個角色。 動態(tài)職責(zé)分離定義了用戶會話中，激活角色間的互斥關(guān)系。DSD支持最小特權(quán)原則，即用戶在不同的時間依據(jù)操作任務(wù)具有不同的權(quán)限水平。這一點(diǎn)保證在執(zhí)行職責(zé)時間以外權(quán)限不被保留。最小權(quán)限這方面通常指信任的及時撤銷。沒有動態(tài)的職責(zé)

16、分離，動態(tài)權(quán)限的撤銷會非常復(fù)雜。DSD較之SSD通常更有效，更靈活。 DSD的目的和SSD一樣，也是為了減少用戶可能獲得的許可權(quán)以防止用戶超越權(quán)限。SSD直接對用戶的許可空間進(jìn)行約束，而DSD則是通過對用戶會話所激活的角色進(jìn)行約束來實現(xiàn)對用戶許可權(quán)的限制。DSD通過用戶在不同時間擁有不同權(quán)限來為最小特權(quán)原則提供支持。5.3.5 NIST-RBAC模型的應(yīng)用NIST RBAC模型是一種與策略無關(guān)的訪問控制技術(shù)，它不局限于特定的安全策略，幾乎可以描述任何安全策略。NIST RBAC模型使得安全管理更符合應(yīng)用領(lǐng)域的機(jī)構(gòu)或組織的實際情況，很容易將現(xiàn)實世界的管理方式和安全策略映射到信息系統(tǒng)中。對于實施整個組織的網(wǎng)絡(luò)信息系統(tǒng)的安全策略，NIST RBAC能夠提高網(wǎng)絡(luò)服務(wù)的安全性。NIST RBAC參考模型提供了一個分析現(xiàn)有系統(tǒng)的能力，評價其對RBAC的支持程度的框架，NIST希望它能作為將來軟件開發(fā)人員在未來系統(tǒng)中實現(xiàn)RBAC的準(zhǔn)則。NIST2001標(biāo)準(zhǔn)還對RBAC的功能進(jìn)行了分類與描述。他們是：（1）管理功能：建立和維護(hù)RBAC的元素集和關(guān)系。（2）支持系統(tǒng)功能：在用戶和IT系統(tǒng)的交互過程中，RBAC實現(xiàn)的功能需求要支持系統(tǒng)的功能。（3）審核功能：審核管理RBAC中元素的關(guān)系是否在邏輯上是正確的。RBAC與DAC、MAC相比具有更大的靈活性以及方便性，它同樣