7-4-2 基于角色的访问控制.ppt

1、1,RBAC中的SoD和约束,2,职责分离 一.资金拨付 以下是对公司部门和会计办公室负责拨付资金的人应用的最小职责分离。 下列职责应当由不同的人执行： 1.支票申请审查-就申请的商业目的、适用政策、备份文件、核准签字进行评估 2.支票准备-准备支票，并在分户账簿记账 3.支票核发-在支票上签章，确认分户账簿的记账条目 4. 支票交付-分送支票，或寄送给收款人 5. 分户账簿审查员-就总账现金帐户核对银行对帐单，看账目是否平衡,3,二.储存资金 以下是对公司部门和会计办公室负责储存资金的人应用的最小职责分离。 下列职责应当由不同的人执行： 1.邮件收发-打开邮件，审核，背书支票 2.出纳-处理

2、现金，确定账户代码，存入银行账户或交付给另一出纳 3.审计-长确保所有收到的支票存入帐户，账户代码无误。同时也核收退回办公室的支票 4. 审查分户账簿-比对部门会计记录与财务办公室记录，看账目是否平衡,4,职责分离定义 美国国家标准学会： “为敏感信息划分责任，以便没有单独行动的个人可以危及数据处理系统的安全。” （2000年，美国国家标准学会） 美国管理和预算办公室文件A - 123 （修订1995年6月21日） ： “授权，处理， 记录，审查官方代理事务中的关键职责和责任应当由不同的个人分开执行”,5,职责分离的类型 研究者们已经提出许多不同的职责分离模型，而只有一部分被付诸实践 由Sim

3、on和Zurko所做的全面调查发现了两种粗略的职责分离方法的分类：静态职责分离和动态职责分离 简单的区分这两类职责分离的方法是考虑角色约束被提出的时间。静态职责分离在用户被授予某种角色时就对角色加以约束,6,在动态职责分离里，只有当用户正在应用系统时约束才起作用。因此这是一种较弱的职责分离形式 根据一个机构的安全需求和资源的不同，静态和动态角色可以分别满足其不同的要求,7,静态职责分离 职责分离关系经常被用来实施利益相互冲突的策略，而这种策略应横跨分布式系统，从整个组织机构范围内进行分析 避免这一形式的利益冲突，方法之一就是使用静态职责分离static SoD 对用户角色指派施加约束。如果这意

4、味着如果一个用户被指派到一个角色A，这个用户就被禁止成为第二个角色B的成员,8,举例来说，下图显示了一个带有职责分离约束的角色层次,9,一个被指派了票据文员角色的用户就不能再被指派作为应收会计文员。就是说，票据文员和应收会计文员是相互排斥的 以策略的观点来看，静态约束关系为处理冲突利益，以及对RBAC元素集施加其它的分离规则提供了一种有力手段,10,在定义静态职责分离需求时必须考虑角色层次存在或不存在两种情况 静态职责分离：静态职责分离关系在用户指派角色时设置约束。视乎静态职责分离实施的规则，一个角色的成员资格可能防止同一个用户成为另一个或更多其它角色的成员 角色层次中的静态职责分离：这种静态

5、职责分离关系和基本的静态职责分离类似，不同之处在于当施加约束时继承的角色和直接指派的角色都要考虑,11,为了定义角色集在用户角色指派上施加的约束，可定义为一个二元组（角色集，n）作为static SoD，（角色集，n）表示没有一个用户能够指派“角色集”中多于n个或更多的角色，实际应用中，n=2 因此，存在许多不同的静态职责分离策略 举例来说，一个用户可能不能被指派到指定角色集合中的所有角色，而同一特点的一个强部署可能限制用户被指派到角色集中任何两个或两个以上角色的组合,12,13,静态约束具有多种形式。普通的例子是用户到角色集的互不相交的指派 尽管静态职责分离过于严格，未必适合小机构，因为它容

6、易实现和验证，还是经常被投入使用 Simon和Zurko ，Gligor以及其他人，Ahn和Sandhu已经确认,职责分离关系包含了用户，操作和对象以及它们的组合之上的所有约束,14,静态职责分离 如果角色r1和r2需要静态分离，那么r1和r2不能被指派给相同的用户 SSD (2USERS N )，它由静态职责分离中的（rs，n）二元组组成，每个二元组中rs是一个角色集合，n是一个大于或等于2的自然数，具有性质： （rs，n）SSD，没有一个用户被指派到rs中的n个或更多的角色 形式定义： (rs,n) SSD, s rs：|s|nassigned_users(r)= r s,15,层次结构中

7、的静态职责分离: 层次结构中的静态职责分离是依据被授权的用户而不是依据被指派的用户来定义的： (rs,n) SSD, s rs：|s|nauthorized_users(r)= r s 静态职责分离也很容易在基于角色的访问控制中实现,16,职责分离中的规则-薪金处理数据库应用案例 举例来说，一个被授权能对薪金注册表进行更新和添加权限的员工不能开出付薪金的支票。如果这种情况发生了，这个员工可能伪造支票（比如通过修改工作时间，帮朋友增加一个考勤卡，或者虚构一个具有邮政信箱地址的职工，而只有他拥有这个邮箱的钥匙）。这种类型的安全代表一种逻辑职责分离（logical SoD）。手工职责分离（Manua

8、l SoD）也很重要；它包含了防止薪金文员弄到空白薪金支票,17,本案例使用了一种传统的ACL方法 员工的用户ID被记录在薪金注册表的ACL表中，该用户便具有添加和更新的权限。必须利用一个审计程序来确保该员工的用户ID没在申请开薪金支票的应用程序的ACL表中 额外的审查也是必须的，用以确保这个特殊的员工没有另一个违反该约束的用户ID。当公司员工成千上万时，象这样的权限审计就变得非常复杂和耗时,18,在一个基于角色的访问控制系统中，可以通过指派更新薪金注册表的权限给一个角色，开薪金支票的权利给另一个角色来满足本例中的职责分离需求。然后使得这些角色相互排斥 从这个角度来说，基于角色的访问控制系统能

9、确保没有人能同时被指派到这两个角色,18,19,动态职责分离 动态职责分离（DSD）（如图5.4）是另一种应用广泛的职责分离机制。通过动态分离，用户可以被授予相冲突的角色，但是一旦用户登录系统以后就会受到限制 例如，它可能允许一个用户同时被授予A和B两种角色，但不允许用户在一段时期里同时拥有这两种角色,20,图5.4 动态职责分离,21,举例来说，让我们来考虑小交易中支出处理问题 在员工少事情多的情况下，图5.1中要求由不同的个人履行的职责，现在不可能一个职责安排一个人，因为人手不够 一种替代的方法是要求同一时间内同一个人不能拥有两种角色。这样，有的员工可以同时拥有几个需要分离的角色的成员资格

10、，但需要一个动态职责分离规则防止这个员工在一个会话中同时申请两种冲突的权利：申请支出和批准支出,22,职责分离 一.资金拨付 以下是对公司部门和会计办公室负责拨付资金的人应用的最小职责分离。 下列职责应当由不同的人执行： 1.支票申请审查-就申请的商业目的、适用政策、备份文件、核准签字进行评估 2.支票准备-准备支票，并在分户账簿记账 3.支票核发-在支票上签章，确认分户账簿的记账条目 4. 支票交付-分送支票，或寄送给收款人 5. 分户账簿审查员-就总账现金帐户核对银行对帐单，看账目是否平衡,23,二.储存资金 以下是对公司部门和会计办公室负责储存资金的人应用的最小职责分离。 下列职责应当由

11、不同的人执行： 1.邮件收发-打开邮件，审核，背书支票 2.出纳-处理现金，确定账户代码，存入银行账户或交付给另一出纳 3.审计-长确保所有收到的支票存入帐户，账户代码无误。同时也核收退回办公室的支票 4. 审查分户账簿-比对部门会计记录与财务办公室记录，看账目是否平衡,24,如果该用户未终止上述会话而以另一个角色登录系统是不可能的，那么就不会有问题 事实上审计或其它机制能够用来防止这一漏洞,25,动态职责分离 如果角色r1和r2需要动态分离，那么r1和r2不能有相同的授权用户 动态职责分离DSD= （rs，n） (2ROLES N)，是二元组（rs，n）的集合，每个rs是一个角色集，n是大于

12、等于2的自然数。同时要求没有一个主体可以激活n或n个以上角色,26,动态职责分离 形式化定义： rs 2ROLES, n N, (rs, n)DSD n 2 |rs| n， 同时 s SUBJECTS, rs 2ROLES， role_subset 2ROLES n N，(rs, n) DSD， role_subset rs，role_subset subject_roles(s) |role_subset| n,27,动态职责分离关系与静态职责分离一样限制了用户可以取得的权限。然而动态职责分离关系与静态职责分离的区别在于施加约束的背景（上下文）不同 动态职责分离要求通过在一个会话或跨越用户会

13、话中限制角色的激活来限制权限的取得,28,类似静态职责分离关系，动态职责分离关系也将约束定义为一个二元组（角色集，n），其中n是大于2的自然数，一个用户会话不能同时激活角色集中n个或更多个角色,29,动态职责分离特性为最小权限原则提供了可申缩的支持，即根据实施的任务不同每个用户在不同的时间段内具有不同的许可等级。这确保了用户完成任务后许可权限不可能持续存在 这种最小权限的观点一般被称为“有时限的信任撤回”。如果不引入动态职责分离，动态许可撤回会成为一个复杂的问题，过去人们因此而忽略了对这一问题的研究,30,当一个用户被分配一个角色时，静态职责分离关系能保证处理潜在的利益冲突问题 动态职责分离则允许一个用户成为两个或更多个产生利益冲突的角色的授权用户，当这些角色分别独立地激活时不会发生问题（同时激活这些角色会存在问题）,31,举例 一个用户