我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:六合特肖 > 访问控制 >

基于角色的访问控制

归档日期:05-23       文本归类:访问控制      文章编辑:爱尚语录

  最近,随着电子商务和电子政务的发展,已成为研发的重点和热点。信息的完整性、机密性、身份鉴别和不可否认性构成了信息安全的四要素。非对称加密算法从理论和实践上都可以保证身份的有效性和不可否认性,而要保证软件系统、数据库和信息网络的完整性、和机密性,至今还没有一个行之有效的解决方案。如公司资源的讹误,信息的未授权泄漏或者失窃,以及被非法篡改都是因为没有保证信息的机密性和完整性而引起的。它们不仅破坏了组织的操作,并有可能涉及到金融,法律,人员安全,个人隐私和国家机密方面,而造成重大的损失。

  当今最著名的美国计算机安全标准是可信计算机系统评估标准(TCSEC)。其中一个内容就是要阻止未被授权而浏览机密信息。TCSEC规定了两个访问控制类型:自主访问控制(DAC)和强制访问控制(MAC)。DAC是指主体可以自主地将访问权限或者访问权限的某个子集授予其他主体。主要是某些用户(特定客体的用户或具有指定特权的用户)规定别的用户能以怎样的方式访问客体。它主要满足商业和政府的安全需要,以及单级军事应用。但是由于它的控制是自主的,所以也可能会因为权限的传递而泄漏信息。另外,如果合法用户可以任意运行一个程序来修改他拥有的文件存取控制信息,而操作系统无法区分这种修改是用户自己的操作,还是恶意程序的非法操作,解决办法就是通过强加一些不可逾越的访问限制。因此,又提出了一种更强有力的访问控制手段,即强制访问控制(MAC),但是它主要用于多级安全军事应用,很少用于其他方面。现今人们在MAC基础上提出基于角色的访问控制(RBAC),它是一种强制访问控制形式,但它不是基于多级安全需求。其策略是根据用户在组织内部的角色制定的。用户不能任意的将访问权限传递给其他用户。这是RBAC和DAC之间最基本的不同。

  基于角色访问控制(RBAC)模型是目前国际上流行的先进的安全访问控制方法。它通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则。安全管理人员根据需要定义各种角色,并设置合适的访问权限,而用户根据其责任和资历再被指派为不同的角色。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。

  由于实现了用户与访问权限的逻辑分离,基于角色的策略极大的方便了权限管理。例如,如果一个用户的职位发生变化,只要将用户当前的角色去掉,加入代表新职务或新任务的角色即可。研究表明,角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,并且给用户分配角色不需要很多技术,可以由行政管理人员来执行,而给角色配置权限的工作比较复杂,需要一定的技术,可以由专门的技术人员来承担,但是不给他们给用户分配角色的权限,这与现实中的情况正好一致。

  基于角色访问控制可以很好的描述角色层次关系,实现最小特权原则和职责分离原则。

  基于角色访问控制(RBAC)的定义已经在第十五届国际计算机安全会议上以集合的形式给出。定义如下:

  主体可以执行事务。如果主体s可以在当前时间执行事务t,则预测exec(s,t)是真,否则为假:

  身份证明和鉴别过程(例如登录)不是一个事务。其他用户的所有在系统上的活动都可通过事务处理。因此要求所有激活用户具有某个激活角色。

  同(1)和(2)一起,本规则保证用户只可执行授权给他们的事务。注意,因为条件是“仅当(only if)”,本规则允许事务执行的出现附加限制的可能性。即,规则不保证一个事务只是因为它在TA(AR(s))中就是可执行的,TA(AR(s))是由主体激活角色执行的潜在事务集合。例如,一个主管角色的实习生可被赋予“主管”角色,但是在运用他/她用户角色时有限制,即对一主管可正常访问的子集,实习生可能受到限制。

  上文中,“事务”的定义是变换过程(transformation procedure)加上一个由变换过程访问的数据项集。因为数据访问已被构建到事务中,所以上面规则的访问控制不要求对用户访问数据目标的权利或变换程序访问数据项的权利作任何检查。由于在设计阶段将操作和数据绑定为一个事务,所以存在安全性问题,例如此时的在保险查询事务中提出的个人隐私的问题。

  当规则中“事务”只指变换程序时,需要重新定义“事务”的含义,即不包括对目标的绑定。若要实施方式控制则需要第四个规则,即在模型中用户通过事务程序访问目标。例如,利用事务(重新定义为变换程序),第四个规则可被定义为对象访问函数access(r, I, o, x),

  它表明了是否允许角色r的主体利用事务t以x的方式来访问对象o,其中x是已经缩小的模式的集合。例如读,写,附加。

  第四项规则可适用于医院配置。一位医生可被提供读/写药方的访问控制,而医院的药剂师可能只具有读的访问权力。(单独调用前三个规则,将事务过程t与t能访问的数据对象绑定在一块,并且只控制对事务的访问)。我们可以使用第四个规则替换,更有益于满足机密性的要求。

  RBAC的另一个用途是支持完整性。完整性以几种不同的方式定义,但完整性的一个方面是要求数据和程序只能由授权用户以被授权的方式修改。这看起来对于很多真实的系统是一合理的安全目标,同时RBAC应适用于这样的系统。

  一般来说,决定数据是否只以授权的方式修改的问题与修改事务是同样复杂的。由于这个原因,实际的方法是事务直接与另一事务合并。要求系统通过规则(4)中的访问函数控制事务程序对对象的访问,但是要取得完整性的同时需要极大的系统开销。因此,在RBAC中包含事务对对象的访问控制函数将在一些应用集中是有用的,但并不是所有的应用。

  最小特权原则对于满足完整性目标是非常重要的。最小特权原则要求用户只具有执行一项工作所必需的权限。要保证最小特权要求验证用户的工作是什么,要确定执行该项工作所要求的权限最小集合,并限制用户的权限域。若拒绝了不是主体职责的事务,则那些被拒绝的权限就不能绕过阻止安全性策略。尽管最小特权包含当前存在于TCSEC的内容当中,但仍限制系统管理员的权限。通过使用RBAC,很容易满足一般系统的用户执行最小权限。

  RBAC机制可被系统管理员用于执行职责分离的策略。职责分离对于反欺诈行为是非常有效的。它是在真实系统中最重要的想法。

  职责分离或者是静态的,或者是动态的。符合静态职责分离要求职能由个人角色的分配和事务角色的分配决定的。最难的是动态职责分配,其中符合动态职责分离的职能在系统操作期间决定。动态职责分离目的是允许操作更灵活。

  虽然商业和政府组织中很多终端用户能够访问信息,但他们都不“拥有”信息。而这些组织机构恰恰是实际系统对象的“拥有者”,并且自主访问控制是不可能适合的。基于角色访问控制(RBAC)是一个非自主访问控制机制,它允许促进组织具体安全策略的中央管理。

  访问控制决策通常基于角色,个人用户采取的角色作为组织的组成。一个角色规定了一个事务集合,即用户或用户集合可在组织内执行。RBAC提供命名和描述个人和权利之间的关系的方法,提供很多商业和政府组织需要的安全处理方法。

  本文提到的基于角色访问控制(RBAC)的定义,已经在第十五届国际计算机安全会议上以集合的形式给出。本文的目的是让更多热爱网络安全的朋友了解RBAC,使这一新型的访问控制方案得到更多的应用。

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。

本文链接:http://shawntierney.com/fangwenkongzhi/393.html