基于角色的访问控制策略在通用授权管理系统中的应用

随着科学技术的不断发展, 在各类信息系统中, 用户可访问的数据资源的结构日益复杂, 用户规模日益增大, 各类信息系统都面临着对数据资源进行有效安全管理的难题。如何存储信息系统中的大量数据资源, 合理控制众多用户对数据资源的访问权限, 建立功能完善的用户管理、授权及认证体系, 对于保证系统数据的安全性有着重要的意义。

通用授权管理系统是针对大型电子政务环境用户众多、地域分散、应用复杂的特点, 构建一个基于角色的多级授权管理系统。

1 RBAC介绍

在已有的资料中提出了几种R B A C模型, 其中Sandhu的RBAC96模型的主要特征为:R B A C 9 6包括了4种R B A C模型 (R B A C 0—4) 。该模型把利用R B A C对数据及其他资源的访问控制, 与对R B A C的管理分割开来。R B A C 0基础模型是R B A C系统的最低要求。R B A C 1和R B A C 2包括R B A C 0, 但各自增加了新特征。R B A C l增加了角色继承, 角色可以从其他角色继承权限, R B A C 2增加了R B A C不同配置的约束:R B A C 3是最高层模型, 包括了R B A C l和R B A C 2所有的特征。

1.1 RBAC0

RBAC0定义了能构成一个RBAC控制系统的最小的元素集合, 即用户通过成为角色的成员来获得相应的权限。R B A C 0模型如图1所示。R B A C并不禁止用户通过其他的方式获得操作权限。但要求用户—角色和角色—权限关系均为多对多的关系, 并可动态添加用户—角色和角色—权限关系, 且一个用户可以通过同时被指定了多个角色而同时获得多个角色的多个权限。

1.2 RBAC1

R B A C 1在R B A C 0的基础上引入了角色层次的概念。一般的单位或组织中, 特权或职权通常具有线性关系, 角色层次的概念可以反映这种权利责任关系。RBAC1通过角色层次的划分, 实现上级领导“得到信息的”访问权限高于下级职员的权限。

1.3 RBAC2

R B A C 2模型在R B A C 0的基础上, 要求有一个约束的集合, 这些约束决定了R B A C 0各种部件的操作是否可被接受, 只有可接受的操作才被允许。

职责关系分离:用于增强利益冲突策略, 这种策略某些组织机构可能会需要, 即避免用户超出其当前职位合理的权限等级。简单的说, 就是避免两个角色间的冲突。

互斥角色:同一用户仅可以分配到一组互斥角色集合中至多一个角色, 这样支持了职责分离原则, 例如在一个项目中, 一个职员不能既是测试人员又是编程人员;而权限分配也有互斥约束, 同一权限只能分配给互斥集合中至多一个角色。

基数约束:一个用户可拥有的角色数目受限, 同样, 一个角色对应的权限也应该受限, 以控制高级权限在系统中的分配。一个角色拥有的权限不能超过系统规定的最大值。

前提角色:可以分配角色给用户仅当该用户已经是另一角色的成员, 例如只有成为某部门的成员, 才能被指派为该部门的经理角色。同样, 可以分配权限给角色, 仅当该角色已经拥有另一种操作的权限。

运行时约束:允许一个用户具有两个角色, 但在运行中不可同时激活这两个角色。

2 RBAC在通用授权管理系统中的实现

2.1 结构

通用授权管理系统的元模型如图2所示。

2.2 定义和描述

2.2.1 User—用户

用户是应用系统的使用者。用户通过角色拥有对应用系统中对象的权限。在通用授权管理系统中, 也支持将对象的权限直接指派到用户。

2.2.2 RightGroup—权限组

逻辑上关联的若干权限构成一个RightGroup。权限组是权限全集的一个子集, 用来进行分级的授权管理。在权限组中可以进一步定义角色。

权限组的例子是部门和组织。

权限组是逻辑上独立的权限集合, 也是在分级授权时权限管理的边界。

2.2.3 Right—权限

权限是和系统对象密切相关的, 是各类系统对象“与生俱来”的。也就是说, 一旦新的对象被加入到通用授权管理系统中, 该对象的权限就自动被创建了;只有当对象从通用授权管理系统中删除后, 依附该对象的权限也就自动地被删除。

通用授权管理系统中, 权限Right定义为四元组 (object, action, objtype, filter) , 其中:

(1) object:被访问的对象。

(2) action:请求执行的动作。

(3) objtype:对象类型, 例如Function、Table、RecordSet等。

(4) filter:当level=RECORD时定义记录集合的模式。通常, 它就是S E L E C T语句中W H E R E子句的条件表达式。

其中的level和filter是扩展的部分。

2.2.4 Role—角色

角色是一类权限的集合, 通常赋予用户表示某种特定的权力和职责。

2.2.5 Action—动作

Action是在元对象上可以执行的操作。

对于元模型中Object的各个子类, Act i o n是预定义的, 称为“系统动作”, 这些操作具有通用的语义和内容, 例如对于T a b l e可以进行“读记录”、“插入记录”、“创建”等。

2.2.6 Object—对象

O b j e c t是应用所包含的数据内容和功能。通用授权管理系统中支持六种类型的对象:表、列、记录集、字段、功能和操作。

2.3 用例视图

整体用例视图如图3所示。

2.4 界面举例

“功能权限设置”界面如图4所示, 根据用户选择的功能权限, 添加修改用户对应功能的权限。

3 结语

R B A C模型在主体和客体之间加入了第三层要素—角色, 通过角色联系主体和客体的权限授予, 角色可以对应现实中的职能和职位, 更便于把计算机表达与现实相联系。当主体地位、职能发生变化, 例如离职, 升职, 或者单位的组织结构发生调整, 职位功能发生变化时, 仅需要改变角色分配和权限分配, 方便灵活, 大大减少管理的复杂性, 降低管理开销。

通用授权管理系统研发的目标之一是在一个跨组织部门的众多不同的应用系统之间建立一个统一的通用的、与应用无关的用户—权限管理系统, 从安全管理角度上讲, 保证了应用的安全性, 从应用开发的角度上来说, 减少了相关的开发工作量。

摘要：基于角色的访问控制 (RBAC) 是目前信息安全领域的研究热点, 本文在介绍RBAC模型的基础上将其应用在通用授权管理系统中, 并给出了通用授权管理系统的元模型和用例视图。

关键词：RBAC,通用授权管理系统

参考文献

[1] Ravi, Pierangela Samarati.Accescontrol:Principles and practice.IEEECommunication, 1994, 32 (9) :40～48.

[2] 李立新, 陈伟民, 黄尚廉.强制访问控制在基于角色的安全系统中的实现[N].软件学报, 2000, 11 (10) :1320～1325.

[3] Zahir T, Shun W C.A role-based accesscontrol for Intranet security.IEEEInternet Computing, 1997, 1 (5) :24～34.

[4] Feraiolo D F, Kuhn R.Role-basedaccess control[C].Proceedings of the15th Nationat Computer SecurityConference, 1992:554～563.

[5] 刘宏月, 范九伦, 马建峰.访问控制技术研究进展.小型微型计算机系统, 2004, 1 (1) :56～60.

[6] 邹松.基于角色的访问控制 (RBAC) 系统中职责分离 (SOD) 的研究[D].华中科技大学硕士学位论文, 2002:9～10.

[7] 蒋赟赟, 吴承荣, 张世永.数据库访问控制模型[J].分析计算机工程与应用, 2002, (13) :183～185.

[8] Feikis J.Secure.Database managementsystems[J].IEEE Potentials, 1999, 18 (1) :17～19.

[9] A Guide to Understanding Discretion-ary Access Control in Trusted System.NCSC-TG-003, National Computer Se-curity Center, 1987.

[10] Sandhu R S, Samarati P.AccessControl:Priciples and Practice.IEEECommunications magazine, 1994, 32 (9) :40～48.

[11] Ferraiolo D, Cugini J, Kuhn R.Role-Based access controls (RBAC) :Fea-tures and Motivations.In:Proceed-ings of 11th Annual Computer SocietyPress, 1995:241～248.

[12] Roshan Thomas, Ravi Sandhu.Con-ceptual Foundations for a Model ofTask-based Authorizations Workshop.Franconia, NH.1994.Franconia, NH:IEEE, 1994:66～79.