广义基于角色访问控制.docVIP

PAGE  PAGE 8 广义基于角色访问控制 摘要 广义基于角色访问控制（GRBAC）是一种创建和保持充足的访问控制规则的新范例。GRBAC通过将主体角色、客体角色和环境角色融合为一体以达到访问控制目的的方式加强和扩展传统访问基于角色控制的能力。主体角色和传统RBAC相近：它们将有相关安全特性的主体抽象成可以被用作定义同一安全策略的各种类型。相似地，客体角色将客体的诸如客体类型（文档文件、JPEG文件、可执行文件……）等各种属性或敏感等级（分类级、最高机密级……）分类抽象成不同的类型。环境角色捕获诸如日期时间、系统载入等环境信息，所以常常被用作仲裁访问存储控制。综合起来，这三种角色类型提供了灵活有力，新型有效的访问控制模型。 1 介绍 25年来，计算机技术的许多方面已经相当成熟了，但是对访问控制支持的领域，今天的计算机系统却还和许多年前它的祖先一样，几乎没有什么改变。1975年，Saltzer和Schroeder[12]描绘出计算机系统中访问控制的参数域：用户特性，客体信息内容，环境属性（时间日期、系统状态等）。但是，现在的大多数计算机系统仍是采用很多年前设计实现并且相当不灵活的访问控制模型。随着频繁提出访问信息的分布式，分组以及非桌面应用的出现，这些古老的模型将很快到达它们用途的极限。未来计算机的应用安全需要更具表现力的访问控制模型去满足。 广义基于角色访问控制（GRBAC）尝试弥补同时具有高表现力且易于使用的访问控制模型的空白。GRBAC设计得灵活简便。它的灵活体现在它提供了构建主体、客体、环境状况及它们的组合的访问控制策略的自由性；它的简便表现在它只使用唯一的分组元素：角色。一个规则管理员可以从主体、客体以及环境状态使用的角色捕获有相关安全的公共信息。同时，角色本身也是相当简单的，你仅仅需要学习一些基本的使用规则就可以操纵它们针对许多不同目的的能力。 这篇文章描述了基本的GRBAC模型。第二部分回顾了传统的基于角色访问控制RBAC。第三部分从细节上描述GRBAC模型。然后再第四部分概述了GRBAC的计算机应用细节。最后第五和第六部分讨论了相关工作并作出了总结。 2 传统RBAC 基于角色控制访问（RBAC）[5，13，15]是为大型的有组织结构的人群设计的一款非自由决定访问控制形式。在这个章节，我们对RBAC模型进行了定义并且强调它可能的好处。 RBAC基础定义　RBAC中最重要的概念是角色。角色是用来为主体根据各种属性进行分类的分组机制。独立的用户在RBAC模型中成为主体。一个主体可以使用它能登录的任何角色。每一个主体拥有一个包含它可以登录的所有角色的角色权限设置。主体S如果被批准进入R的角色，那么S就拥有R角色。RBAC中的另外两个基础概念是客体和事务。一个客体是系统中的任一资源，例如是一个数据文件或者一个可执行程序。一项事务完成对一个客体的一些操作，例如读一个文档文件或者执行一个程序。在RBAC规则中所有事务的权限都与角色相应，而不是与主体相应。每个角色R都有一个事务权限设置，这是一个主体在充当角色R时可执行事务的设置。因此，想要执行事务T，主体S就必须证实对事务T执行权限的角色R的拥有。例如：在一个软件开发组织，我们定义一个角色成为开发者。开发者角色拥有诸如“修改源代码”和“阅读软件设计文档”这些事务的权限。如何人如果想要修改源代码和阅读软件设计文档都必须能进入这个“开发者”角色中。 角色层次　很明显可以看出，多个主体进入同一个角色时可能的。因而，在角色和进入它们的主体之间存在着自然的层次。同样在角色群之间也可能存在着一个层次结构。一个角色层次是一个强加在一组角色上的结构，把一些角色分级为另一些角色的子角色以符合总的组织结构[14]。例如：一个公司的RBAC规则可能包括角色CEO、COO和CFO，而这些角色又都是角色高级职员的子角色。在RBAC中尽可能的使用公共角色是有意义的。角色层次允许我们那么做，因为它们允许规则管理者仅仅一次机会编写一般的规则，而不是根据不同的控制为每一个角色申请一个规则。这种组织结构能够通过使冗余的特殊规则达到最小化的方式帮助避免由于特殊规则与已制定规则存在差异而引起的错误。我们将在第4.2小节讨论关于GRBAC内容中的角色层。 RBAC组织的益处 RBAC有很多原因决定其在理论上是适合大型结构完善的组织。第一，各种角色和角色层次能轻易反映一个组织的结构。这对能使组织的前后联系更容易理解，结构化的访问控制策略起到促进作用。第二，RBAC策略几乎不随时间变化，因为事务是和角色而不是用户联系的。尽管人们经常调换工作，而工作本身却是固定不变的。RBAC策略是为工作本身而不是为完成工作的人制定的，所以事实上，人事的变化并不会影响RBAC策略。第三，RBAC对组织有用的原因在于它