基于规则的授权管理系统设计与实现.pdfVIP

基于规则的授权管理系统设计与实现 基于规则的授权管理系统设计与实现 何长龙李伟平魏明欣 摘要：本文主要分析了采用RBAC模型的授权管理系统中，传统的用户一角色指派方法的发展和应用情 况，并分析在分布环境下，由于用户数量巨大、指派关系复杂，其传统的用户一角色指派方法存在 的问题会变得相当复杂。为此，本文继续对RB—RBAC模型分析的基础上，分析了一种角色自动 指派的方法，并对该自动指派方法规则进行深入剖析和讨论，在此基础上，本文提出了独特的基 于规则的授权管理系统设计和实现方法。 关键词：RBACURA角色指派规则授权管理自动化 1引言 信息技术的飞速发展，加速了信息系统向网络化和分布式发展的历程，由于网络信息技术发展本身存 在的技术缺陷，促使信息安全技术发展迫在眉睫，尤其是访问控制技术作为保护资源、防止非法访问的手 段，已经成为信息安全不可缺少的基本方法。在分布式、大用户量、以及分级管理的环境下，基于传统访 问控制模型设计的授权管理系统，已经越来越不能满足安全访问管理的要求。 近年来，基于角色的访问控制RBAC(RoleBaseAccess)作为访问控制模型的理想候选，近年来得到 了广泛的研究，并以其灵活性、方便性和安全性在许多系统中得到普遍应用，在用户数量较小的情况下， 基于角色的访问控制模型不但可以有效地管理信息的存取，而且简化了数据授权与维护的管理程序，提升 了数据的安全性，但是，随着网络应用业务复杂度的增加和应用范围的持续扩大，用户和角色数量快速增 加，关系变得十分复杂，给用户一角色指派管理提出了巨大挑战。一个有吸引力的解决方案是：根据规则自 动指派用户的角色。这个自动指派过程应当基于用户已拥有的属性进行。 本文将在对RBAC参考模型分析的基础上，指出其存在的局限性，介绍一种RBAC扩展模型，并对 这种可管理的基于角色的访问控制模型进行详细说明后，给出该模型应用的示例及基于该模型设计的授权 管理系统的架构。 2基于角色的访问控制技术 美国国防部1985年发布的可信计算机系统评估准则(TCSEC)中描述了两种典型的访问控制策略： 自主访问控制(DAC)和强制访问控制(MAC)。在计算机应用系统中，信息不属于系统的某个用户而是 属于某个机构或部门，访问控制要基于主体在机构中的职能，DAC不适用于这类需求，另外DAC授权管 192 2009．4第九届全国互联网与音视频广播发展研讨会(NWC2009) 基于规则的授权管理系统设计与实现 理繁琐，必须处理级联授权和每一个主体客体访问关系；而MAC在控制粒度上不满足最小特权原则，冈 为具有一定安全级别的主体可以访问与其安全级别相匹配的所有客体!此外，计算机系统的用户种类繁多， 数量巨大，访问权限动态变化，冈而使用DAC和MAC进行系统的安全管理变得很困难。 另外，随着对象的数量的增加，跨虑用程序查询授予特定组或角色的访问权限会变得越来越闲难。为 了精确地确定给用户或组授予了何种权限，管理员必须检查每一个对象上的权限。虽然继承功能看起米简 化了这方面的工作，但是每个对象都避免继承权限的能力仍使得有必要查看每个对象，以完全理解授权策 略。由于有太多的对象需要查询，所以有时就很少检验关于特定组或用户的访问控制状态。基于角色的访 问控制(RBAC)简化了访问控制管理，并且允许根据用户工作角色来管理权限，从而在组织中提供了更 好的可管理性。 NIST RBAC参考模型在用户和访问权限之间引入了角色的概念，它的基本特征是根据安全策略划分 角色，对每个角色分配操作许可；为用户指派角色，用户通过角色间接地对信息资源进行访问。 (RH) 角色层次 图1 NISTRBAC参考模型 在RBAC模型中权限与角色相关联，用户通过取得适当的角色从而获得合适的权限。这可以有效的 简化权限管理。在新的应用中同一角色可以授予新的权限，当需要时应用权限可以从角色上被撤销，而不 需要修改用户的角色，同样可修改用户的角色，使其具有复杂的权限，而不需要修改角色权限。通常，企 业安全长官依据企业的安全策略手动将用户与角色进行绑定。 基丁二角色的访问控制试图允许管理员根据公司的组