RBAC模型框架.pptVIP

5.3 RBAC 模型框架 RBAC 模型框架 RBAC是基于角色的访问控制（Role Based Access Control）的英文缩写。 RBAC的基本思想是：将访问权限分配给角色；通过赋予用户不同的角色，授予用户角色所拥有的访问权限。 RBAC可以看做是访问控制模型和安全策略实现的一种框架，通过在用户（主体）和操作（权限）之间的加入角色的的概念是的访问控制模型的实现得到简化，结合等级和约束来描述各种安全策略。 RBAC的基本概念：为用户分配角色，为角色配置权限，用户通过其所担任的角色获得相关的访问权限。 RBAC遵循的三个基本原则：最小特权、责任分离、数据抽象 最小特权：引入会话的概念。一个会话中只赋予用户要完成任务所必需的角色，这就保证了分配给用户的特权不超过用户完成其工作所必需的权限。 责任分离：用户不能同时拥有互斥的角色，避免产生安全的漏洞，例如一个职员同时得到采购员和出纳两个角色，就可能产生欺骗行为。 数据抽象：除了操作系统中提供的读、写以及执行权限之外，RBAC中可以根据实际应用的需要定义抽象的访问权限，如账号的借款和贷款。 角色层次 在核心RBAC的基础上可以为角色引入层次（Role Hierarchy，RH)的概念，对应的模型称为层次RBAC。按照层次的不同限制，分为通用（General）层次RBAC和受限（Limited）层次RBAC。RH被认为是RBAC模型中一个主要的方面，在RBAC的产品中都应当实现。 层次是数学上的偏序集。RH的基本想法是，高层角色可获得低层角色的权限，低层角色的用户集包含高层角色的用户集。 层次RBAC的合理性：重复授权不是有效的而且在管理上是冗余的。应用RBAC角色层次模型可以提高效率，支持结构化。通用RH可以使用 任意偏序关系；而受限RH则对角色继承做了一定的限制，使得角色之间形成了一个很简单的树形结构，也可以是倒置的树。 如果角色的某些权限不可用于继承，必须把该角色定义为一个私有角色，并将不可继承的权限分配给该角色。 受约束的RBAC 受约束的RBAC引入了职责分离（Separation of Duty，SD）概念，职责分离是实际组织中用于防止其成员获得超越自身职责范围的权限，解决利益冲突问题。SD作为一种安全原则在很多商业、工业和政府部门的系统中得以实现。SD有两种：静态SD（SSD）和动态SD（DSD）。 1. 静态职责分离（SSD） SSD设置用户—角色授权的约束。根据SSD规则，用户不能被授予某一角色集中的一个或多个。 2. 动态职责分离（DSD）DSD通过限制用户会话中激活的角色，限制用户可获得的权限。 DSD的目的和SSD一样，也是为了减少用户可能获得的许可权以防止用户超越权限。SSD直接对用户的许可空间进行约束，而DSD则是通过对用户会话所激活的角色进行约束来实现对用户许可权的限制。 NIST RBAC 参考模型的应用 NIST RBAC 参考模型引进了与现实联系紧密的角色概念，从而使模型细化的过程更平滑，使现实和计算机实现策略不矛盾。除了其便于授权管理、便于根据工作需要分级、便于任务分担等优势外，NIST RBAC 模型与RBAC96一样，是一种与策略无关的访问控制技术，它不局限于特定的安全策略，几乎可以描述任何安全策略。此外，NIST RBAC 模型使得安全管理更符合应用领域的机构或组织的实际情况，很容易将现实世界的管理方式和安全策略映射到信息系统中。对于实施整个组织的网络信息系统的安全策略，NIST RBAC 能够提高网络服务的安全性。 NIST RBAC 参考模型提供了一个分析现有系统的能力，评价其对RBAC 的支持程度的框架，NIST 希望它能作为将来软件开发人员在未来系统中实现RBAC 的准则。NIST2001 标准还对RBAC的功能进行了分类与描述，叙述如下。 （1）管理功能：建立和维护RBAC 的元素和关系 （2）支持系统功能：在用户和IT系统的交互过程中，RBAC 实现的功能需求要支持系统的功能。 （3）审核功能：审核管理RBAC 中元素的关系是否在逻辑上是正确的。 RBAC 的缺陷与局限性：参考模型只针对有关主体的角色抽象、访问约束等安全特征进行了较为深入细致的描述，缺乏访问控制过程中对受访客体的安全特征的抽象，在一定程度上降低了模型对现实世界的表达能力。NIST RBAC 自身缺乏良好的自我管理能力，在大型的分布式应用环境下，需要设置的角色成千上万，而系统的用户不计其数。管理数量巨大的用户、角色及其他们之间的关系是一项十分艰巨的任务，由一个或只有少数成员的安全管理员进行管理是不现实的。将对RBAC 的管理任务分散同时又不失对安全的集中控制，对于系统的设计人员