信息安全概论第14讲.ppt

1、信息安全概论,第14讲 2008年x月y日,5.3 RBAC模型框架,思想 RBAC是基于角色的访问控制（Role Based Access Control）的英文缩写。RBAC的基本思想是：将访问权限分配给角色；通过赋予用户不同的决色，授予用户角色所拥有的访问权限。这样访问控制就分成了访问权限和角色相关联以及用户和角色相关联，实现了用户和访问权限的逻辑分离，使得权限管理变得很方便。 历史 1996年GMU(George Mason University)的Sandhu等人提出的RBAC96模型 1993年NIST开始了RBAC的市场分析并进行了RBAC的原型实现。 （一些研究机构在推出新的R

2、BAC模型和基于RBAC的应用。） 2000年NIST在RBAC96的基础上提出RBAC参考模型，并在2001年对该模型作了详细的说明。NIST建议将该参考模型作为RBAC标准。,5.3 RBAC模型框架,安全设计原则 RBAC可以看作是访问控制模型和安全策略实现的一种框架，通过在用户（主体）和操作（权限）之间加入角色的概念使得访问控制模型的实现得到简化，结合等级和约束来描述各种安全策略。RBAC遵循三个基本的安全原则： 最小特权（Least Privilege）：引入会话的概念。一个会话中只赋予用户要完成任务所必须的角色，这就保证了分配给用户的特权不超过用户完成其工作所必需的权限； 责任分离

3、（Separation of Duty）：用户不能同时拥有互斥的角色，避免产生安全的漏洞，例如一个职员同时得到采购员和出纳两个角色，就可能产生欺骗行为； 数据抽象（Data Abstract）：除了操作系统中提供的读、写以及执行权限之外，RBAC中可以根据实际应用的需要定义抽象的访问权限，如账号的借款和贷款。 作用 RBAC作为一种灵活的访问控制策略框架，经过一定的配置它完全可以实现DAC和MAC。,5.3.1 RBAC介绍,角色的概念 NIST RBAC参考模型在用户和访问权限之间引入了角色的概念，是其中的一个最关键概念。角色通常表示组织内部人员的职能分工。它的基本特征是根据安全策略划分角色

4、，对每个角色分配一些操作权限；通过为用户指派角色，间接地控制用户对信息资源的访问。 角色和操作系统中的组有一定的相似性，但两者的概念有很重要的差别：虽然组也是为了权限管理而设置的，但组主要是指用户的集合，而角色有更加丰富的含义，其本身就与权限有关联。如“财务部长”角色有管理财务数据的权限。角色所拥有的权限以及用户属于哪个角色可以是非自主的，也可以是强制的。 参考模型包含4个构件模型核心RBAC 角色层次 静态职责分离（Static SOD） 动态职责分离（Dynamic SOD）。,图5.2 RBAC 模型,5.3.2 核心RBAC,核心RBAC是任何基于角色的访问控制的必要构件，定义了五个基

5、本元素集： 用户（USERS） 角色（ROLES） 操作（OPERATIONS） 客体（OBJECTS） 权限（PERMISSIONS）（是操作（OPERATIONS）、对象（OBJECTS）的组合）,名词解释 用户：表示一个实体，可以是一个人、机器人、计算机、计算机网络等。 角色：表示组织内部人员的一种职能。 权限：用户对特定的信息客体进行特定的操作的许可称为权限。 会话：会话（SESSIONS）是用户和激活角色集之间的一个映射。一个会话对应一个用户，一个用户可以建立一个或多个会话。用户可获得权限是用户所有会话所激活的角色被赋予的权限之和。,，指定用户到角色间的多对多关系。,，指定权限到角色

6、的多对多的关系。,，指定会话到角色间的多对多关系。,，指定用户到会话间的一对多关系。,RBAC由下列四个关系形式化地定义：,上述四个关系导出下列的几个映射： 角色到用户幂集的映射 角色到权限幂集的映射 会话到角色幂集的映射 用户到会话幂集的映射 会话到用户的映射,上式中，u是建立会话s的用户，由 唯一确定。,4.1.2基于传统密码的身份识别技术,定义1. 所谓核心RBAC，是指定义了上述四个关系的四元组（USERS、ROLES、SESSIONS、PERMISSIONS），且满足对于任意的一个用户u，成立,访问控制的最终目的是要得到用户的权限。在核心RBAC中，一个用户u在一次会话中的权限就是该

7、会话的角色集权限的总和，用avail_session_perms(u)表示，即,5.3.3 角色层次,在核心RBAC的基础上可以为角色引入层次（Role Hierarchy, RH）的概念，对应的模型称为层次RBAC。按照层次的不同限制，分为通用（General）层次RBAC和受限（Limited）层次RBAC。RH被认为是RBAC模型中一个主要的方面，在RBAC的产品都应当实现。 层次是数学上的偏序集。RH的基本想法是，高层角色可获得低层角色的权限，低层角色的用户集包含高层角色的用户集。角色层次关系的另一种解释是角色的继承关系。如果,继承,，则,继承了,的全部权限，,继承,的所有用户。理想的

8、角色继承有下图5.3所示的特征。图中权限继承从上到下，用户继承从下至上。如果不满足这些关系，则需要适当地扩展用户及访问权限，使之具有继承的特征。,理想的角色层次示意图,通用角色层次,通用角色层次提供任意的偏序，支持角色层次，包括权限和用户角色多继承的概念。受限层次加入约束，形成简单的倒树结构。 定义2. （通用角色层次）在一个核心RBAC基础上，定义角色ROLES的一个偏序关系，称为层次关系(RH)，记为“ ”。这时，角色r对应的用户集 称为授权用户，而角色r对应的权限集 称为授权集。它们由下式定义：,受限角色层次,在RH中用授权取代简单的权限，从而扩展了核心RBAC的访问权限检查。即一个角色

9、不仅获得该角色的权限，同时还要继承比其小的角色的访问权限；一个角色不仅获得该角色的用户，同时还要继承比其大的角色的用户；容易验证授权满足：,以及,通用角色层次支持多继承的概念，即可以继承多个角色的权限和角色的用户。,定义3（受限角色层次）.一个通用角色层次如果还满足：,层次RBAC的合理性：重复授权不是有效的而且在管理上是冗余的。应用RBAC角色层次模型可以提高效率，支持结构化。通用RH可以使用任意偏序关系（Partial Orders）；而受限RH则对角色继承做了一定限制，使得角色之间形成一个很简单的树形结构，也可以是倒置（Inverted）的树。 如果角色的某些权限不可用于继承，必须把该角

10、色定义为一个私有（private）角色，并将不可继承的权限分配给该角色。,5.3.4 受约束的RBAC,受约束RBAC引入了职责分离（SD，Separation of Duty）概念，职责分离是实际组织中用于防止其成员获得超越自身职责范围的权限，解决利益冲突问题。SD作为一种安全原则在很多商业、工业和政府部门的系统中得以实现。SD有两种：静态SD（SSD）和动态SD（DSD）.,1. 静态职责分离（SSD）,SSD设置用户角色授权的约束。依据SSD规则，用户不能被授予某一角色集中的一个或多个。 定义4（静态职责分离SSD）. N表示自然数的集合， 。如果满足： 则称SSD是一个静态职责分离集。

11、 上式中给定的 ，是一个对。其中rs是ROLES的子集，n是自然数，其含义为不存在用户被委以角色集rs中的n个或多于n个角色。,角色层次关系下的静态职责分离，则用下式代替：,其含义是，给定的 ，其中rs是ROLES的子集，n是自然数，不存在用户被授予角色集中的n个或多于n个角色。 层次RBAC的静态职责分离，与基本的静态职责分离大体上相同，区别在于角色用户改变为角色的授权用户。对层次RBAC来说，使用第二个式子作静态职责分离的定义，比把它看成基本的静态职责分离要严格一点。静态职责分离SSD提供了强有力的方法，解决了角色互斥或利益冲突问题。,2. 动态职责分离（DSD）,DSD通过限制用户会话中

12、激活的角色，限制用户可获得的权限。 定义5（动态职责分离DSD）. N表示自然数的集合， 。如果满足： 则称DSD是一个动态职责分离集。,2. 动态职责分离（DSD）,上式中给定的，是一个对。其中rs是ROLES的子集，n是自然数，其含义为不存在用户可激活角色rs集中的n个或多于n个角色。 动态职责分离定义了用户会话中，激活角色间的互斥关系。DSD支持最小特权原则，即用户在不同的时间依据操作任务具有不同的权限水平。这一点保证在执行职责时间以外权限不被保留。最小权限这方面通常指信任的及时撤销。没有动态的职责分离，动态权限的撤销会非常复杂。DSD较之SSD通常更有效，更灵活。 DSD的目的和SSD

13、一样，也是为了减少用户可能获得的许可权以防止用户超越权限。SSD直接对用户的许可空间进行约束，而DSD则是通过对用户会话所激活的角色进行约束来实现对用户许可权的限制。DSD通过用户在不同时间拥有不同权限来为最小特权原则提供支持。,5.3.5 NIST-RBAC模型的应用,NIST RBAC模型是一种与策略无关的访问控制技术，它不局限于特定的安全策略，几乎可以描述任何安全策略。 NIST RBAC模型使得安全管理更符合应用领域的机构或组织的实际情况，很容易将现实世界的管理方式和安全策略映射到信息系统中。对于实施整个组织的网络信息系统的安全策略，NIST RBAC能够提高网络服务的安全性。 NIS

14、T RBAC参考模型提供了一个分析现有系统的能力，评价其对RBAC的支持程度的框架，NIST希望它能作为将来软件开发人员在未来系统中实现RBAC的准则。NIST2001标准还对RBAC的功能进行了分类与描述。他们是： （1）管理功能：建立和维护RBAC的元素集和关系。 （2）支持系统功能：在用户和IT系统的交互过程中，RBAC实现的功能需求要支 持系统的功能。 （3）审核功能：审核管理RBAC中元素的关系是否在逻辑上是正确的。 RBAC与DAC、MAC相比具有更大的灵活性以及方便性，它同样存在一些缺陷与局限性。,作业,1. 试对RBAC框架与BLP模型进行比较，分别列举各自的3个优点（尽量不要