基于属性证书的RBAC授权模型地研究.pdfVIP

790 计算机技术与应用进展·2006 基于属性证书的RBAC授权模型的研究4 李志壮刘连忠 北京航空航天大学计算机学院北京100083 摘要：基于角色的访问控制是解决网络环境中资源访问控制问题的有效方法之一。属性证书为存 储及快速查询用户权限信息提供了一种新的方法。首先对RBAC和属性证书技术进行介绍，然后提出 了RBAC系统中基于属性证书的授权方法． 关键词：RBAC属性证书授权 1引 言 随着Int日nCt及网络应用的不断发展，网络环境中需要保护的资源越来越多，访问控制成为越来越重要 的问题。目前，基于角色的访问控制技术(RBAC)的发展，为网络资源的访问控制问题提供了一种比较有 将访问权限和角色相关联，用户与一个或多个角色关联而获得该角色所具有的访问权限。根据具体需要， 角色还可以在使用过程中动态生成、撤销或激活。相对其它访问控制技术，RBAC更接近现实世界，易于 实现细粒度的访问控制，并且更加灵活。 属性证书(Attribute 了广泛的应用。属性证书中存储证书持有者的一系列属性值，实际应用中可以使用这个属性序列存储用户 具有的访问权限。 2RBAC简述 的基础上提出了许多扩展模型，并在实际应用中广泛采用RBAC技术。 NIST 裹1 RBAC模型的主要思想 名称 核心思想 核心RBAC模型 用户通过角色获得权限。 用户-角色指派和角色．权限指派都是多对多关系。 用户可以同时使用多个角色的权限。 层次RBAC模型 在核一tl,RBAC模型的基础上，支持角色层次的偏序关系。 角色层次包括两种；①普通角色层次，支持以角色集合上的任意偏序 关系作为角色层次；②受限角色层次，角色层次受到某种限制，最常用的 是树和翻转树。 约束RBAC模型 在层次RBAC模型的基础上，支持职责分离(SOD)。 职责分离包括静态职责分离(SSD)和动态职责分离(DSD)两种。因 此，约束RBAC模型包括SSD和DSD两个子模型。 2001年NIST(NationalInstituteofStandards 分别是核心RBAC、层次型RBAC、约束型RBAC。 ’基金资助。国家863项目《面向全国组织、干部系统的应用集成中间件平台及其应用》(2004AAll3040) 航空航天大学副教授，主要从事计算机网络、数据库技术、网络信息安全等方面的研究。 基于属性证书的RBAC授权模型的研究 791 这几种模型的核心思想如表1所示”J。 RBAC的最主要特点是，不直接给用户分配访问权限，所有资源的访问权限都指派给角色，通过角色 间接给用户授权。一个用户可以同时具有多个角色并使用这些角色具有的权限。 角色可以被看作是用户的某种属性。这样，属性证书技术可以用来存储用户的角色信息，为RBAC提 供了一种较好的实现机制。 3属性证书定义及基本操作 3．1属性证书的定义 属性证书是特权管理基础设施(PrivilegeManagement 它是由属性权威(Attribute AuⅡI嘶ty，AA)颁发的包含持有者属性值序列和持有者基本信息的一种数据结 构。属性证书绑定用户基本信息和用户具有的属性信息。属性证书通过AA的数字签名保证其合法性。 X．509协议中给出了属性证书的标准定义口】．如图1所示。