基于角色的访问控制机制中的用户组配置.docxVIP

基于角色的访问控制机制中的用户组配置 用户管理策略的引入 基于角色的访问控制（rbac）主要针对集中环境下的应用程序，不适用于许多用户的系统。角色分层一般不能反映部门的组织结构,不利于用户的部门管理。RBAC的管理有3方面的设计需求:灵活和可扩展性、可接受性和机制的经济性。这就需要将创建用户和角色的操作分离开,建立策略中立的管理域定义机制,具备可逆性并且设计尽量简单。 针对上述问题和设计上的需求,可以通过引入了用户组,即具有相同权限用户的集合,使用户组的授权代替组中每个用户的授权。授权工作因而得到简化,并形成一个基于用户、用户组和角色的访问控制模型。 1 用户职能与管理体制 参照NIST-RBAC,引入用户组后的RBAC模型如图1所示,UGRBAC增加了对用户职能与组织部门关系的抽象,增强了权限管理能力,继承了策略中立、简单灵活等优点。现在通过形式化定义和相关函数描述模型的基本组件、约束和授权规则。 1.1 其他组件定义 定义1:UCRBAC={US,SE,GS,RS,OP,OB,PS,UA,GA,UGA,PA,RH,GH} 其中US,OP,OB,PS,RS,PA,RH的定义参见NIST-RBAC,其他组件定义如下。 (1) iiinu,g的知识产权公式 G={u|u∈U S∧?u,u′∈G,Permission(u,G)=Permission(u′,G)},Permission(u,G)表示u从G中获取的权限。G表示由一个或几个用户组成的集合,而且G?US。 (2) gsuser群体是一组用户 GS={G1,G2,…,Gm}表示具有相同权限的用户集。 (3) 特定角色集 SE=(ID,u,g,R)∈N×u×2roles(s)其中ID用于标识某一特定的会话,u表示用户,g表示用户组,R表示角色集,roles(s)表示由该会话产生的角色集,包括初始角色、转授权角色以及从所在用户组得到的角色。 (4) 用户及其角色的分配 UA=UOA∪UDA={(u,r)|u∈U∧g∈r}表示多对多的用户和角色的分配关系。UOA和UDA分别表示用户到初始角色和到被转授角色之间的多对多关系。 (5) GAusersgroupassignments,用户组分配 GA=GOA∪GDA={(g,r)|g∈GS∧r∈R}表示多对多的用户组和角色的分配关系。GOA和GDA分别表示用户组到初始角色和到被转授角色之间的多对多关系。 (6) uga用户组织用于分裂用户 UGA={(u,g)|u∈US∧g∈GS}表示多对多的用户和用户组的分配关系。UGA反映了用户职能与某部门或组织的对应关系。 (7) gh集体疾病分为不同的班级 GH=G×G表示用户组之间的继承关系,也是一种偏序关系,用≥表示。 1.2 功能2:五有pp 通过形式化定义对新模型各个组件有了初步认识,为了便于分析模型的内部关系和说明约束和授权规则定义以下函数。 定义2:返回角色的函数 定义3:返回用户和用户组的函数 定义4:某角色对应的所有权限Permissions(r)= {p∈P|(?r′≤r)[(p,r′)∈PA]})}; 某会话产生的所有权限Permissions(s)=∪r∈Roles(S){p∈P|(?r′≤r)[(p,r′)∈PA]}。 1.3 静态权责分离sda 不具备约束条件和不支持权责分离的系统中不安全的,改进模型通过引入先决角色约束、静态权责分离、动态权责分离来描述系统的安全策略。 定义5:先决角色约束CPR={cpr|cpr=(r1,r2,r3,…,rn→rj),ri∈R∧rj∈R(1≤i≤n)} 规定了获得角色的次序性,表示在角色分配时某角色只有在获得了全部的ri(1≤i≤n)之后,才可以得到角色rj这时称r1是r2的先决角色,CPR的作用域是UA∪GA。 定义6:静态权责分离SSD={SSDPA,SSDUA,SSDGA,SSDUGA} 静态权责分离避免了权限冲突和滥用,例如银行负责记账和货币运输的权限不能分配给同一用户。这就需要定义权限被分配的用户个数,SSD的作用域是UA∪GA∪UGA。 定义7:动态权责分离DSD={(rs,k)|?u∈CS?|Roles(s)∩rs|k,s∈SE,rs?2R∧k≥2} 角色分配的弱互斥关系,动态权责分离规定会话不能同时激活权责冲突的角色。 1.4 初始角色函数 由于约束和权责分离的引入导致系统运行中可能出现关键角色缺席而影响业务进展的情况,此时可通过定义授权和授权约束实现权限管理。 定义8:用户委派tauth={(uing,ring),(ued,red)}其中uing∈U,ring∈R,ued∈U,red∈R。 某用户可以指定另一用户暂时代替自己执行全部或部分自身的权限,可以在第一次委派时指定被委派用户必须具备的角色。用户委派组成的集