基于角色的訪問控制

1、基于角色的訪問控制(RoleBasedAccessControl)(Role-Based Access Control)主講人：張春華訪問控制訪問控制是實(shí)現(xiàn)既定安全策略的系統(tǒng)安全, 它管理所有資源的訪問請(qǐng)求, 即根, 對(duì)每一個(gè)資源訪問請(qǐng), 能有效防止非法。技術(shù)據(jù)安全策略的要求求做出是否許可的判斷用戶訪問系統(tǒng)資源和合法用戶非法使用資源DAC和MACDAC是根據(jù)訪問者和(或) 它所屬組的身份來控制對(duì)客體目標(biāo)的授權(quán)訪問。它的優(yōu)點(diǎn)是具有相當(dāng)?shù)撵`活性, 但是訪問許可的轉(zhuǎn)移很容易產(chǎn)生安全漏洞, 所以這種訪問控制策略的安全級(jí)別較低。MAC是基于主體和客體的安全標(biāo)記來實(shí)現(xiàn)的一種訪問控制策略。它的優(yōu)點(diǎn)是管理集中

2、, 根據(jù)事先定義好的安全級(jí)別實(shí)現(xiàn)嚴(yán)格的權(quán)限管理, 因此適宜于對(duì)安全性要求較高的應(yīng)用環(huán)境, 但這種強(qiáng)制訪問控制太嚴(yán)格, 實(shí)現(xiàn)工作量太大, 管理不方便, 不適用于主體或者客體經(jīng)常更新的應(yīng)用環(huán)境。¾¾RBAC的提出以上兩種訪問控制模型都存在的不足是將起, 授權(quán)時(shí)需要(主體、客體)指定訪問許可, 這樣體和客體到較高的數(shù)年代以來,授權(quán)工作將非常困難。, 隨著對(duì)在線的多用戶、多系20 世紀(jì)究的斷, 角色的概念逐漸形成角色的概念漸, lB dA Ct l) 被廣泛主體和客體直接綁定在一起主體和客體直接綁定在對(duì)每對(duì)存在的問題是當(dāng)存在的問題是當(dāng)主體和客體達(dá)到較高的數(shù)量級(jí)之后90 統(tǒng)統(tǒng)研究的不

3、斷深入并產(chǎn)生了以角色為中心的訪問控制模型(R(Role-Based Access Control) , 應(yīng)用在各種計(jì)算機(jī)系統(tǒng)中。相關(guān)概念角色（Role）：指一個(gè)組織或任務(wù)中的工作或位置，代表了代表了一種資格、權(quán)利和責(zé)任（系統(tǒng)管理員，核種資格權(quán)利和責(zé)任系統(tǒng)管員核心）·用戶(User) :一個(gè)可以獨(dú)立訪問計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或數(shù)據(jù)表示的其他資源的主體。.權(quán)限( Permission):表示對(duì)系統(tǒng)中的客體進(jìn)行特定模式的訪問操作, 與實(shí)現(xiàn)的機(jī)制密切相關(guān)。與實(shí)現(xiàn)的機(jī)制密切相關(guān)·用戶角色¾¾¾RBAC的特征根據(jù)安全策略劃分出不同的角色, 資源訪問許可被封裝在

4、角色中, 同時(shí)為用戶指派不同的角色, 用戶通過角色間接地訪問資源。優(yōu)點(diǎn)：靈活表達(dá)和實(shí)現(xiàn)組織的安全策略，接近日常生活。接近日常生活¾¾RBAC的思想RBAC的核心思想是將權(quán)限與角色聯(lián)系起, 在系統(tǒng)中根據(jù)應(yīng)用的需要為不同的工, 同時(shí)根據(jù)用戶職, 用戶通過所指派的角,實(shí)現(xiàn)對(duì)文件的訪問。也, 傳統(tǒng)的訪問控制是直接將訪問主(發(fā)出訪問操作發(fā)訪問操作, 有存取要求的主動(dòng)方有存求的動(dòng))(被調(diào)用的程序或欲存取的數(shù)據(jù)訪) 相聯(lián)系, 而RBAC 在中間加入角色, 通來作崗位創(chuàng)建相應(yīng)的角色責(zé)指派合適的角色責(zé)色獲得相應(yīng)的權(quán)限就是說體和客體問過角色溝通主體和客體。RBAC分類美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)（NI

5、ST）已經(jīng)基于RBAC96制定了RBAC標(biāo)準(zhǔn)，它將標(biāo)準(zhǔn)它將RBAC主要分為RBAC（Core RBACC RBAC）有角色繼承的RBAC (Hierarchical RBAC)有約束的RBAC（Constraint RBAC)¾¾¾RBAC（Core RBAC）USERSUAROLESUSSRPERMISSIONSSESSIONS核心RBAC中集合極其關(guān)系RBAC（Core RBAC）五個(gè)集合：󰂋用戶集（USERS）：主體，執(zhí)行操作󰂋對(duì)象集（OBJECTS）：系統(tǒng)中被動(dòng)的實(shí)體，主要包括被保護(hù)的信息資源。󰂋權(quán)限集（OB

6、JECTSPERMISSIONS和OPERATIONS）：每個(gè)元素分別來自于的兩個(gè)元素，即對(duì)象上的操作構(gòu)成了權(quán)限。·󰂋角色集（ROLES）：核心，聯(lián)系用戶與特權(quán)）：核心聯(lián)系用戶與特權(quán)·󰂋會(huì)話集（SESSIONS）：系統(tǒng)登錄或通信進(jìn)程和系統(tǒng)之間的會(huì)話。·¾主要操作用戶分配（UA）·UA USERS×ROLES中的元素確定了用戶和角色之間多對(duì)多的關(guān)系，記錄了系統(tǒng)為用戶分配的角色，若對(duì)用戶的角若對(duì)用戶u分配了角分配了角色r，則則UA=UA （u，r）特權(quán)分配（PA）PA PERMISSIONS×RO

7、LES中的元素確定了權(quán)限和角色之間多對(duì)多的關(guān)系，記錄了系統(tǒng)對(duì)角色分配的權(quán)限，若把權(quán)限p分配角色r，則PA=PA (p(p，r) )¾¾主要操作用戶會(huì)話US USERSUSUSS×SSESSIONSSSOS中的元素確定了用戶和會(huì)話之間的對(duì)應(yīng)關(guān)系，由于一個(gè)用戶可能同時(shí)進(jìn)行多個(gè)登錄或建立多個(gè)通信連接，一對(duì)多。對(duì)多激活/去活角色若用戶屬于角色若用戶屬于角色，與之對(duì)應(yīng)的會(huì)話可以激活與之對(duì)應(yīng)的會(huì)話可以激活該角色，SR S×R中的元素確定了會(huì)話與角色之間的對(duì)應(yīng)關(guān)系，此時(shí)該用戶擁有與該角色對(duì)應(yīng)的權(quán)限。用戶會(huì)話也可以通過去活操作終止一個(gè)處于激活狀態(tài)的角色。¾&#

8、190;有角色繼承的RBAC模型USERSROLESPASRPERMISSIONSSESSIONS有角色繼承的RBAC中集合及其關(guān)系有角色繼承的RBAC¾角色繼承關(guān)系是角色集R上的一種偏序關(guān)系，滿足：󰂋自反性：r R，r r；󰂋反對(duì)稱性：r1，r2 R，r1 r2 r2 r1 r1=r2󰂋傳遞性：r1，r2，r3R，r1r2 r2r3 r1r3從語義上講從語義上講，兩個(gè)角色兩個(gè)角色r11繼承r22是指前者比后者級(jí)別更高，具有更大的權(quán)利。形式化地說，r1蘊(yùn)含r2則r1擁有r2的權(quán)限，r2有用r1的用戶，即：r1 r2 P（r2）P（r1）

9、U（r1）U（r2）.有角色繼承的RBAC模型手術(shù)外科醫(yī)生白求恩看病醫(yī)生扁鵲開藥方華佗高層往往具有低層的所有權(quán)限，通常的做法是為低層分配其擁有的全部權(quán)限，而只為高層分配其特有的權(quán)限，缺省的則從低層繼承而來有角色繼承的RBAC兩種繼承方式（包含關(guān)系）󰂋受限繼承：一個(gè)角色只能繼承某一個(gè)角色，不受限繼承一個(gè)角色只能繼承某一個(gè)角色不支持繼承多個(gè)角色。󰂋多重繼承：一個(gè)角色可以繼承多個(gè)角色，也可多重繼承一個(gè)角色可以繼承多個(gè)角色也可以被多個(gè)角色繼承。¾有約束的RBAC模型RBAC模型通過提供職責(zé)分離機(jī)制進(jìn)一步擴(kuò)展了以上有角色繼承的制進(jìn)步擴(kuò)展了以上有角色繼承的RBAC

10、模型。職責(zé)分離是有約束的RBAC模型引入的一種權(quán)限控制方法入的一種權(quán)限控制方法，其目的是為了防其目的是為了防止用戶超越其正常的職責(zé)范圍，主要包括SSD和DSD。有約束的有約束的RBAC模型SSD操作USERSROLESPADSD有約束的RBAC中集合及其關(guān)系有約束的RBAC模型職責(zé)分離󰂋靜態(tài)職責(zé)分離（SSD，Statistic Separation of Duty）對(duì)用戶分配和角色繼承引入了約束。（存在排他性，不能繼承）·󰂋動(dòng)態(tài)職責(zé)分離（DSD，Dynamic Separation of Duty）引入的權(quán)限約束作用于用戶會(huì)話激活角色的階段·

11、¾RBAC的應(yīng)用舉例系統(tǒng)功能系統(tǒng)用戶包括教務(wù)處管人員系統(tǒng)角色, 院/人員和全體教師, 用戶通過訪問系統(tǒng),完成信息錄入, 查詢, 數(shù)據(jù)管權(quán)限,并且發(fā)生動(dòng)態(tài)變化¾¾¾分析為了實(shí)現(xiàn)系統(tǒng)訪問權(quán)限的動(dòng)態(tài)管理,簡化,確保對(duì)系統(tǒng)資源的正確和RBAC 方法和規(guī)范授權(quán)操作安全訪問，要采用數(shù)據(jù)庫設(shè)計(jì)五個(gè)表：󰂋用戶表：操作系統(tǒng)的實(shí)際用戶表，存儲(chǔ)用戶的用戶表操作系統(tǒng)的實(shí)際用戶表存儲(chǔ)用戶的一基本信息，賬戶，姓名，密碼等󰂋角色表：根據(jù)用戶的不同工作崗位劃分為不同角色表根據(jù)用戶的不同工作崗位劃分為不同的職責(zé)，在系統(tǒng)中映射為不同的角色。󰂋

12、權(quán)限表：不同的權(quán)限可操作的資源集合。權(quán)限表：不同的權(quán)限可操作的資源集合󰂋用戶到角色映射表：用戶和角色對(duì)應(yīng)關(guān)系表󰂋角色到權(quán)限映射表：角色權(quán)限的集合角色到權(quán)限映射表角色權(quán)限的集合¾RBAC96RBAC3角色繼承（RH）RBAC1用戶集UA角色集權(quán)限集RBAC0角色RBAC2會(huì)話約束集RBAC96RBAC0:會(huì)話之間的關(guān)系基本模型,指明用戶、角色、訪問權(quán)限和RBAC1權(quán)和責(zé)任分布的偏序關(guān)系，一般用：引入了角色層次來反應(yīng)一個(gè)組織的職引入了角色層次來反應(yīng)個(gè)組織的職來描述。另外，用戶可以為他具有的角色或其下級(jí)角色建外，用戶可以為他具有的角色或其下級(jí)角色建立會(huì)話，其

13、獲取的訪問權(quán)限包括在該會(huì)話中激活角色所具有的訪問權(quán)限以及下級(jí)角色所具有的訪問權(quán)限。RBAC2種操作是否可被接受。包括：在RBAC0的基礎(chǔ)上引入約束來規(guī)定各󰂋基數(shù)限制：在同一時(shí)間一個(gè)用戶可擁有的角色數(shù)目受基數(shù)限制限，一個(gè)角色對(duì)應(yīng)的許可數(shù)目也受限。在同時(shí)間個(gè)用戶可擁有的角色數(shù)目受¾¾¾RBAC96󰂋互斥角色：同一個(gè)用戶僅可分配到一互斥角色集中至多一個(gè)角色，或者用戶雖然分配到一互斥角色中多個(gè)角色，但在會(huì)話時(shí)用戶至多能激活其中的某一個(gè)角色。󰂋先決條件角色：可以分配角色給該用戶僅當(dāng)用先決條件角色可以分配角色給該用戶僅當(dāng)用戶已擁

14、有另一角色時(shí)；分配許可給該角色僅當(dāng)該角色已經(jīng)擁有另該角色已經(jīng)擁有另一操作許可時(shí)。操作許可時(shí)。󰂋時(shí)間頻度限制：規(guī)定特定角色或許可的使用時(shí)間和頻度。RBAC3：是RBAC96模型中的最高層次模型，它包括了RBAC1和RBAC2所有的特征，當(dāng)然也就包括了RBAC0。.¾RBAC96的特點(diǎn)¾RBAC96將RBAC的幾個(gè)主要方面全部涵蓋其中。同時(shí)，模型系統(tǒng)而全面地反映了RBAC多方面的含義，RBAC96模型包含了四個(gè)相互關(guān)聯(lián)的子模型，具有較強(qiáng)的層次感，并以此很好地表現(xiàn)出了RBAC本身的多層次性。¾為解決私有權(quán)限的繼承問題，概念，引起了使角色層次關(guān)系更復(fù)雜、角色管理負(fù)擔(dān)加重RBAC96引入了私有角色的的新問題。角色來實(shí)現(xiàn)的，即如果一個(gè)角色RBAC96中阻塞某些權(quán)限的繼承，是通過私有一個(gè)角色出出一個(gè)新的角色r2繼承，那么r1必須將這些權(quán)限分離出來，派生r1的部分權(quán)限不希