第一章 ASurveyonRole-BasedAccessControl.pptVIP

A Survey onRole-Based Access Control ——基于角色的权限管理综述 俞诗鹏 2002.4.10 内容提要 权限管理背景及传统模型 RBAC模型基本框架及其扩展 模型理论研究 模型应用研究 下一步研究方案 RBAC相关信息 权限管理背景 权限管理的重要性 应用领域：操作系统，数据库，Internet Web 传统的权限管理模型 自主访问控制（Discretionary Access Control） 提出者：Lampson 1971, Graham Denning 1972 类似于UNIX系统中的安全模型 强制访问控制（Mandatory Access Control） 提出者： Bell LaPadula 1975, Denning 1976, Biba 1977 又称为LBAC（Lattice-Based Access Control） 初期主要用于美国军方 自主访问控制（DAC） 基本思想 对象（object）的创建者为其所有者（owner），可以完全控制该对象 对象所有者有权将对于该对象的访问权限授予他人（grantee） 不同的DAC模型 Grantee得到的权限能否转交他人？ Strict DAC: grantee不能授权他人 Liberal DAC: grantee可以授权他人 根据grantee可以继续授权的深度可以分为一级的和多级的 对象的所有权可否变更？ 何人可进行权力的吊销（revocation）？ 存在的问题 不易控制权限的传递 容易引起权限的级联吊销 强制访问控制（MAC） 基于安全标记（security labels） 主体（subject）：security clearance 客体（object）：security classification 基本假定（tranquility） 主体和客体的安全标记一旦指定，不再改变 在安全标记集合中定义了一种偏序关系，成为一个格。 基本策略（s为主体，o为客体，λ为标记函数）： Simple security property: s可读o -λ(s)=λ(o) Liberal *-property: s可写o -λ(s)=λ(o) Strict *-property: s可写o -λ(s)==λ(o) 存在的问题 仅有唯一的管理员，无法实现管理的分层 关系复杂，不易实现 RBAC模型的提出 D. Ferraiolo R. Kuhn (NIST) 1992, 1995 M. Nyanchama S. Osborn (Western Ontario Univ., Canada) 1994 R. Sandhu et al (LIST, George Mason Univ.) 1996, 1997 最有名的RBAC模型：RBAC96, ARBAC97 (Sandhu) 最新的统一模型： Proposed NIST Standard for Role-Based Access Control (ACM TISSEC 2001) RBAC模型中的基本概念（1） 用户（User）：访问系统中的资源的主体，一般为人，也可为Agent等智能程序 权限（Permission）：对计算机中某些受保护的资源的访问许可，是一个广义概念 有的文章中将权限理解成一个二元组（Operation，Object） 角色（Role）：应用领域内一种权力和责任的语义综合体 可以是一个抽象概念，也可以是对应于实际系统中的特定语义体，比如组织内部的职务等 针对角色属性的不同，某些模型中将角色进一步细分为普通角色（Regular Role）和管理员角色（Administrative Role） 用户指派（User Assignment）：用户集到角色集的多对多的关系 RBAC模型中的基本概念（2） 权限指派（Permission Assignment）：权限集到角色集的多对多的关系 会话（Session）：对应于一个用户以及一组激活的角色。用户每次必须通过建立会话来激活角色，得到相应的访问权限 角色继承关系（Inheritance Relation）：角色集上定义的一个偏序关系≧ r1≧r2 = Permission(r2) Permission(r1), User(r1) User(r2) 角色层次图（Role Hierarchies）：在角色继承关系下，角色集实际上构成了一个层次图 允许各种形式的角色继承，包括多重继承。这样，角色层次图可以是树，倒装树，格等 RBAC模型中角色层次图示例 RBAC模型中的基本概念（3） 限制（Constraints）：模型中的职责分离关系（Separation of Duty），用于控制冲突（Confli