《《rbac权限控制介绍》ppt课件》由会员分享,可在线阅读,更多相关《《rbac权限控制介绍》ppt课件(30页珍藏版)》请在金锄头文库上搜索。
1、1,苏州晶方半导体科技股份有限公司 China Wafer Level CSP Co., Ltd.,RBAC,RBAC模型介绍,RBAC(Role-Based Access Control基于角色的访问控制)模型是20世纪90年代研究出来的一种新模型,这种模型的基本概念是把许可权(Permissions)与角色(Role)联系在一起,用户通过充当合适角色的成员而获得该角色的许可权。,RBAC发展历程,RBACRBAC96( )RBAC97,这种思想实际上早在20世纪70年代的多用户计算时期就被提出来了,但直到20世纪90年代中后期,RBAC才在研究团体中得到一些重视。本节将重点介绍美国Geor
2、ge Mason大学的RBAC96模型,有关概念,在实际的组织中,为了完成组织的业务工作,需要在组织内部设置不同的职位,职位既表示一种业务分工,又表示一种责任与权利。根据业务分工的需要,职员被划分为不同群体,各个群体的人根据其工作任务的需要被赋予不同的职责和权利,每个人有权了解与使用与自己任务有关的信息与资源,对于那些不应该被知道的信息则应该限制他们访问。这就产生了访问控制的需求。,1、 什么叫角色?,在RBAC模型中,工作职位被描述“角色”,职位所具有的权利称为许可权。角色是RBAC模型中的核心概念,围绕这一概念实现了访问控制策略的形式化。特殊的用户集合和许可权的集合通过角色这一媒介在某个特
3、定的时间内联系在一起。而角色却是相对稳定的,因为任何组织的分工、活动或功能一般是很少经常改变的。,在实际的计算机信息系统中,角色由系统管理员定义,角色的增加与删除、角色权利的增加与减少等管理工作都是由系统管理员完成的。根据RBAC的要求,用户被分配为某个角色后,就被赋予了该角色所拥有的权利与责任,这种授权方式是强制性的,用户只能被动地接受,不能自主地决定为角色增加或减少权利,也不能把自己角色的权利转授给用户,显然,这是一种非自主型的访问控制模式。,2、角色与用户组,角色与用户组有何区别? 两者的主要差别是:用户组是用户的集合,但不是许可权的集合;而角色却同时具有用户集合和许可权集合的概念,角色
4、的作用把这两个集合联系在一起的中间媒介。,在一个系统中,如果用户组的许可权和成员仅可以被系统安全员修改的话,在这种机制下,用户组的机制是非常接近于角色的概念的。角色也可以在用户组的基础上实现,这有利于保持原有系统中的控制关系。在这种情况下,角色相当于一个策略部件,与用户组的授权及责任关系相联系,而用户组是实现角色的机制,因此,两者之间是策略与实现机制之间的关系。,3、RBAC的策略能力,虽然RBAC是一种无确定性质策略的模型,但它支持公认的安全原则:最小特权原则、责任分离原则和数据抽象原则。,最小特权原则得到支持,是因为在RBAC模型中可以通过限制分配给角色权限的多少和大小来实现,分配给与某用
5、户对应的角色的权限只要不超过该用户完成其任务的需要就可以了。 责任分离原则的实现,是因为在RBAC模型中可以通过在完成敏感任务过程中分配两个责任上互相约束的两个角色来实现,例如在清查账目时,只需要设置财务管理员和会计两个角色参加就可以了。 数据抽象是借助于抽象许可权这样的概念实现的,如在账目管理活动中,可以使用信用、借方等抽象许可权,而不是使用操作系统提供的读、写、执行等具体的许可权。但RBAC并不强迫实现这些原则,安全管理员可以允许配置RBAC模型使它不支持这些原则。因此,RBAC支持数据抽象的程度与RBAC模型的实现细节有关。,RBAC96模型族,在20世纪90年代期间,大量的专家学者和专
6、门研究单位对RBAC的概念进行了深入研究,先后提出了许多类型的RBAC模型,其中以美国George Mason大学信息安全技术实验室(LIST)提出的RBAC96模型最具有系统性,得到普遍的公认。,RBAC96是一个模型族,其中包括RBAC0RBAC3四个概念性模型。 1、基本模型RBAC0定义了完全支持RBAC概念的任何系统的最低需求。 2、RBAC1和RBAC2两者都包含RBAC0,但各自都增加了独立的特点,它们被称为高级模型。 在RBAC1中增加了角色分级的概念,一个角色可以从另一个角色继承许可权。 RBAC2增加了一些限制,强调在RBAC的不同组件中在配置方面的一些限制。 3、RBAC
7、3称为统一模型,它包含了RBAC1和RBAC2,利用传递性,也把RBAC0包括在内。这些模型构成了RBAC96模型族。,RBAC96内各模型间的关系,一、基本模型RBAC0,RBAC0的模型中包括用户(U)、角色(R)和许可权(P)等3类实体集合。,二、角色分级模型RBAC1,RBAC1模型的特色是模型中的角色是分级的,不同级别的角色有不同的职责与权利,角色的级别形成偏序关系。图3-34说明了角色等级的概念。在图中位置处于较高处的角色的等级高于较低位置角色的等级。利用角色的分级概念可以限制继承的范围(Scope)。,图3-34 角色等级的概念,图中项目成员的等级最低,角色程序员和测试员的等级都
8、高于角色项目成员,并都可以继承项目成员的权利;角色管理员具有最高的等级,它可以继承测试员和程序员的权利。为了满足实际组织中一个角色不完全继承另一个角色所有权利与责任的需求,模型中引入了私有角色的概念,如图中的测试员和程序员分别是测试员和程序员的私有角色,它们可以分别继承测试员和程序员的某些专用权利。,三、受限模型RBAC2,RBAC2模型是在RBAC0模型增加限制后形成的,它与RBAC1并不兼容。RBAC2的定义如下: 定义3:除了在RBAC0中增加了一些限制因素外,RBAC2未加改变地来自于RBAC0,这些限制是用于确定RBAC0中各个组件的值是否是可接受的,只有那些可接受的值才是允许的。,
9、RBAC2中引入的限制可以施加到RBAC0模型中的所有关系和组件上。RBAC2中的一个基本限制是互斥角色的限制,互斥角色是指各自权限可以互相制约的两个角色。对于这类角色一个用户在某一次活动中只能被分配其中的一个角色,不能同时获得两个角色的使用权,,例如,在审计活动中,一个用户不能同时被指派给会计角色和审计员角色。又如,在公司中,经理与副经理的角色也是互斥的,合同或支票只能由经理签字,不能由副经理签字。在为公司建立的RBAC2模型中,一个用户不能同时兼得经理与副经理两个角色。模型中的互斥限制可以支持职责分离原则的实现。 更一般化而言,互斥限制可以控制在不同的角色组合中用户的成员关系是否是可接受的
10、。例如,一个用户可以既是项目A的程序员,也可以是项目B的测试员和项目C的验收员,但他不能同时成为同一个项目中的这3个角色。RBAC2模型可以对这种情况进行限制。 另一个用户指派限制的例子是一个角色限制其最大成员数,这被称为角色的基数限制。例如,一个单位的最高领导只能为1人,中层干部的数量也是有限的,一旦分配给这些角色的用户数超过了角色基数的限制,就不再接收新配给的用户了。(限制角色的最小基数实现起来有些困难。例如,如果规定占用某个角色的最小用户数,问题是系统如何在任何时刻都能知道这些占用者中的某个人没有消失,如果消失的话,系统又应该如何去做) 在为用户指派某个角色A时,在有的情况下要求该用户必
11、须是角色B的一个成员,B角色称为角色A的先决角色。先决角色(Prerequisite Roles)的概念来自于能力与适当性。对先决角色的限制称为先决限制。一个通俗的例子是,一个数学副教授应该从数学讲师中提拔,讲师是任副教授的先决角色。但在实际系统中,不兼容角色之间的先决限制的情况也会发生。(在图3-34中,可以限制只有本项目的成员才有资格担任程序员的角色,通常在一个系统中,先决角色比新指派的角色的级别要低一些。但有的情况下,却要求只有当用户不是某个特殊角色时,才能担任另一个角色A。如,需要执行回避策略时需要这样做,例如,本课题组成员不应当是本项目成果鉴定委员会的成员。这类限制也可以推广到许可权
12、方面。 ),由于用户与角色的作用也与会话联系在一起,因此对会话也可以施加限制。例如,可以允许一个用户被指派给两个角色,但不允许在同一时间内把该用户在两个角色中都激活。另外,还可以限制一个用户在同一时间内可以激活的会话的数量,相应地,对该用户所激活的会话中所分配许可权的数量也可以施加限制。,模型中的限制机制的有效性建立在每个用户只有唯一标识符的基础上,如果一个实际系统支持用户拥有多标识符,限制将会失效。同样,如果同一个操作可以有两个以上的许可权限来批准,那么,RBAC系统也无法实施加强的基本限制和责任分离的限制。因此要求用户与其标识符,许可与对应的操作之间一一对应。,四、统一模型RBAC3,RB
13、AC3把RBAC1和RBAC2组合在一起,提供角色的分级和继承的能力。 在限制和角色的等级之间也会产生敏感的相互影响。在图3-34的环境中,一个项目成员不允许同时担任程序员与测试员的角色,但项目管理员所处的位置显然是违反了该限制。在某种情况下由高等级的角色违反这种限制是可接受的,但在其他情况下又不允许这种违反现象发生。,私有角色的概念可以说明这些限制是有用的。同样在图3-34的环境中,可以把测试员、程序员和项目管理员3个角色说明为互斥的,它们处于同一等级,没有共同的上级角色,所以管理员角色没有违反互斥限制。通常私有角色和其他角色之间没有公共上级角色,因为它们是这个等级的最大元素,所以私有角色之
14、间互斥关系可以无冲突地定义。,诸私有角色之间的相同部分可以被说明为具有0成员的最大基数限制。根据这种方法,测试员必须被指派给测试员这个角色,而测试员角色就作为与管理员角色共享许可权的一种工具。,3.3.3 RBAC的管理模型,在前面的讨论中,我们都假设RBAC的所有组件都是由单个的安全员来管理的。但是,对于一个大系统而言,系统中的角色可能成百上千,在加上它们之间的复杂关系,使得集中式的管理任务成为非常可怕的工作,因此通常由几个管理员小组来完成。,RBAC的管理模型示于图3-35。该图的上半部本质上与图3-33(b)相同,图中的限制是针对所有成分的,图的下半部是对上半部关于管理角色和管理许可权的镜像。需要说明的是,管理角色AR和管理许可权AP与正规角色集R和许可权集P是分别不相交的。这个模型显示,正规许可权只能分配给正规角色(RBAC模型中定义的角色),管理许可权只能分配给管理角色。,图3-35 RBAC管理模型示意图,在图3-35的上半部可以对应RBAC0、RBAC1、RBAC2和RBAC3模型,类似地下半部可以对应ARBAC0、ARBAC1、ARBAC2和ARBAC3模型,此处A表示“管理”。ARBAC0 ARBAC3形成了RBAC的管理模型族,称为ARBAC97。,
