A Survey onRole-Based Access Control课件.ppt

自主访问控制（DAC） 基本思想 对象（object）的创建者为其所有者（owner），可以完全控制该对象 对象所有者有权将对于该对象的访问权限授予他人（grantee） 不同的DAC模型 Grantee得到的权限能否转交他人？ Strict DAC: grantee不能授权他人 Liberal DAC: grantee可以授权他人 根据grantee可以继续授权的深度可以分为一级的和多级的 对象的所有权可否变更？ 何人可进行权力的吊销（revocation）？ 存在的问题 不易控制权限的传递 容易引起权限的级联吊销 * 强制访问控制（MAC） 基于安全标记（security labels） 主体（subject）：security clearance 客体（object）：security classification 基本假定（tranquility） 主体和客体的安全标记一旦指定，不再改变 在安全标记集合中定义了一种偏序关系，成为一个格。 基本策略（s为主体，o为客体，λ为标记函数）： Simple security property: s可读o -λ(s)=λ(o) Liberal *-property: s可写o -λ(s)=λ(o) Strict *-property: s可写o -λ(s)==λ(o) 存在的问题 仅有唯一的管理员，无法实现管理的分层 关系复杂，不易实现 * RBAC模型的提出 D. Ferraiolo R. Kuhn (NIST) 1992, 1995 M. Nyanchama S. Osborn (Western Ontario Univ., Canada) 1994 R. Sandhu et al (LIST, George Mason Univ.) 1996, 1997 最有名的RBAC模型：RBAC96, ARBAC97 (Sandhu) 最新的统一模型： Proposed NIST Standard for Role-Based Access Control (ACM TISSEC 2001) * RBAC模型中的基本概念（1） 用户（User）：访问系统中的资源的主体，一般为人，也可为Agent等智能程序 权限（Permission）：对计算机中某些受保护的资源的访问许可，是一个广义概念 有的文章中将权限理解成一个二元组（Operation，Object） 角色（Role）：应用领域内一种权力和责任的语义综合体 可以是一个抽象概念，也可以是对应于实际系统中的特定语义体，比如组织内部的职务等 针对角色属性的不同，某些模型中将角色进一步细分为普通角色（Regular Role）和管理员角色（Administrative Role） 用户指派（User Assignment）：用户集到角色集的多对多的关系 * RBAC模型中的基本概念（2） 权限指派（Permission Assignment）：权限集到角色集的多对多的关系 会话（Session）：对应于一个用户以及一组激活的角色。用户每次必须通过建立会话来激活角色，得到相应的访问权限 角色继承关系（Inheritance Relation）：角色集上定义的一个偏序关系≧ r1≧r2 = Permission(r2) Permission(r1), User(r1) User(r2) 角色层次图（Role Hierarchies）：在角色继承关系下，角色集实际上构成了一个层次图 允许各种形式的角色继承，包括多重继承。这样，角色层次图可以是树，倒装树，格等 * RBAC模型中角色层次图示例 * RBAC模型中的基本概念（3） 限制（Constraints）：模型中的职责分离关系（Separation of Duty），用于控制冲突（Conflict） 静态职责分离（Static SD）：指定角色的互斥关系，用于用户指派阶段。避免同一用户拥有互斥的角色。 实现简单，角色互斥语义关系清楚，便于管理 不够灵活，不能处理某些实际情况 动态职责分离（Dynamic SD）：指定角色的互斥关系，用于角色激活阶段。允许同一用户拥有某些互斥的角色，但是不允许该用户同时激活互斥的角色。 更灵活，直接与会话挂钩，适应实际管理需要 实现复杂，不易管理 * RBAC96模型层次框架 RBAC96层次模型 RBAC0: 含有RBAC核心部分（Core RBAC） RBAC1: 包含RBAC0，另含角色层次关系（Role Hierarchies） RBAC2: 包含RBAC0，另含限制（Constraints） RBAC3: 包含所有层次内容， 是一个完整模型 （Consolidated Model） * RBAC96模型结构框架 * ARBAC