基于角色访问控制的研究

摘  要
计算机技术安全管理的范围很广，可以包括网络安全性、数据安全性、操作系统安全性以及应用程序安全性等。对一个多用户商用应用系统而言，系统的安全访问控制是必须的，系统不仅要满足功能性需求，还要满足安全性需求。系统的安全访问控制一般是通过用户认证和用户权限管理来实现。各类应用系统的整个体系结构上要设计一个安全可靠、配置灵活、易扩展的安全控制模块，它主要有两部分内容：用户认证和用户权限管理。目前大致有三种安全模型：访问矩阵、基于角色的访问控制（RBAC-Role based access control）模型和多级模型。其中基于角色的访问控制模型得到了日益广泛的应用。
基于角色的访问控制是一种新型访问控制模型，它的基本思想是将权限与角色联系起来，在系统中根据应用的需要为不同的工作岗位创建相应的角色，同时根据用户职务和责任指派合适的角色，用户通过所指派的角色获得相应的权限，实现对文件的访问。它支持最小特权、责任分离以及数据抽象三个基本的安全原则。 内容来自think58 [资料来源：http://www.THINK58.com]

关键字：访问控制；基于角色访问控制；角色；自主访问控制；强制访问控制；RBAC96，ARBAC97 
绪论
1.1信息安全中的访问控制技术
    随着网络技术的的迅速发展，尤其是internet的广泛普及，大大推动了社会各个领域的信息化进程，对人类社会经济、文化乃至人们的生活方式都产生了深远的影响。大量共享的信息资源，对网络和信息的安全性提出了越来越高的需求。网络上大量非法入侵者时刻威胁着信息的安全，有时甚至会导致整个系统的崩溃。同时合法的使用者的正常访问行为也需要合理地引导和约束。安全的访问控制已经成为构建社会信息化网络必不可少的一个基本组成部分。
    访问控制的定义是指经过身份验证的主体(subject)依据约定的规则集合(rule-set)，控制对客体(object)合法行使访问权限(permission)的过程。这里的主体(subject)是指访问的进程、设备或进行访问的人(user)，客体(object)是指将要被访问到的数据。访问控制可以简单地表示成一个三元组：AC={subject, permission，rule-set}。
    访问控制在计算机信息安全中具有非常重要的地位，在国际国内得到了普遍的重视。1983年美国国防部提出的 《可信计算机评估标准》TCSEC，又称桔皮书。计算机系统的可信程度(安全等级)划分成四大类 (D、C、B、A)，七个等级 (D, C1, C2, B1, B2, B3, A)，其中C1级以上的要求对系统进行安全的访问控制。1989年 12月，国际标准化组织ISO 7498-2规定了五大类安全服务，分别是：鉴别服务、访问控制服务、数据保密性服务、数据完整性服务和禁止否认性服务。同时规定了八大类安全机制：加密机制、访问控制机制、信息确认机制、数字签名机制、数据完整性机制、业务流量填充机制、路由控制机制和公正机制。我国1999年9月13日颁布了《计算机信息系统安全保护等级划分准则》，2001年 1月1日起正式实施。其中详细地说明了计算机系统安全保护能力的五个等级：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级，从低到高依次规定了各等级的访问控制的安全保护方式和划分标准[8][9]。其中安全的访问控制与身份鉴别密不可分，共同构成信息化安全的基础和前提。没有安全的访问控制，任何系统的安全防护将失去意义。 本文来自think58 [资料来源：www.THINK58.com]

1.2访问控制技术的发展过程
    1971年，Lampson提出了访问控制矩阵模型，是自主型访问控制（DAC）模型的代表。它规定主体在一组约定规则约束下对客体进行访问，在访问控制矩阵上分别以主体和客体作为两个向量，来表示某个主体对某个客体的访问能力。拥有访问权的主体可以完全自主地决定将其对客体的访问权限传递给其它主体。它要求权限的所有者具有较高的职业道德素质，否则会造成权限的泄漏，从而形成安全隐患。
    美国国家安全局推出了强制型访问控制 (MAC)模型。该模型将主体职务敏感性和客体的数据敏感性预先划分为绝密级、机密级、秘密级和公开级四个等级，主体对客体访问时按照 Lapladu规则进行约束，形成了向上写、向下读的安个的信息流，从而保证了信息的安全。但是强制访问控制模型对访问控制的粒度太大，同时又不易区别访问主体的权限差异，已经远远不能适应电子商务和电子政务的越来越高的安全访问控制的要求。
    基于角色的访问控制 (RBAC)产生于 20世纪 70年代，起初应用很少。1992年Kuhn和 Ferrailo给出了基于角色的访问控制的统一定义和特征描述。Ravi Sandhu等提出了RBAC96模型，适用于集中式的权限管理。同DAC和MAC相比，RBAC96模型具有了明显的优越性，它借助于角色的概念，可以给每个角色分派若干访问的主体和若干访问的权限，从而在访问主体和权限相对频繁变动时大大地简化了系统的安全管理。 本文来自think58

[资料来源：THINK58.com]

    随着分布式系统的发展，Ravi Sandhu等提出了ARBAC97模型，可用于非集中式的权限管理，将角色区分为若干普通角色和管理员角色，管理员角色用来管理对应的若干普通角色的用户分派和权限分派。其中普通角色和管理员角色分别根据业务组织结构和安全组织结构来构建各自的角色层次树，层次树上的上级角色可以继承下级角色的权限，下级角色可以继承上级角色的用户。这样就减化了在信息管理系统中角色和权限较多，管理复杂的问题。[1][3]
    ARBAC97模型本身也存在着许多不足，限制着该模型的直接广泛应用。如在前体条件的限制下，权限和用户的分派需要多步进行，在权限和用户表中存在大量冗余的授权信息，在删除角色时易产生不可预料后果等。
针对这些不足，Sejong Oh和 Ravi Sandhu等又提出了ARBAC02模型，该模型利用组织单元的概念来预先构筑用户池组织结构和权限池组织结构，对于角色层次树中的角色分派用户和权限时进行约束仁。由于该模型需要预先构建用户池组织单元层次结构和权限池组织单元层次结构，同时还需要用户和权限的信息固定预先固定化，大大增加了在构建角色层次树的复杂性，难以直接对此开发出较为实用的基于角色的访问控制的大型信息管理系统。

think58.com [来源：http://www.think58.com]

1.3基于角色的访问控制技术（RBAC）的现阶段研究
    当前对基于角色的访问控制的研究是国内外学术研究和讨论在计算机安全领域的一个热点之一。每年有一些论文发表，但大都集中在对 ARBAC97模型缺点和不足的修正，部分论文涉及在分布式环境和异构环境下，工作流系统和信息管理系统中如何引入基于角色访问控制机制。更加合理适用的具有阶段性的模型尚未产生。另一方面，在开发信息管理系统中，软件工程师也在逐步的将基于角色的访问控制技术引进到实际的软件项目中，目前较多的还是RBAC96模型和ARBAC97模型的简单改进和 Web环境下的应用。
    ARBAC97模型和 ARBAC02模型都没有对模型中各组成元素的时间特性进行描述。随着访问控制系统的安全要求的提高，时间特性构成了基于角色访问控制模型中约束关系中一个重要的方面。
    在较大型的和一些专业化的信息管理系统中，要求将一些较为固定的流水化的权限操作封装成任务，分配给若干角色来处理，而目前有些人结合工作流的机制提出了基于角色访问控制的模型，但是没有充分考虑到任务的嵌套和动态管理等特性，只能做一些简单的应用。本文从任务的一些本质特性出发，对于将基于角色的访问控制嵌入到面向任务环境的模型中，提出了一种较新的机制，对于开发面向任务的基于角色的访问控制具有一定的指导意义。

think58好，好think58

[资料来源：http://think58.com]

    在分布式网络环境下，基于角色的访问控制模型的实现主要采用了两种应用模式：用户拉动模式和服务器拉动模式，两者各有优劣。随着分布式信息管理系统的广泛应用和网络速度的快速发展，服务器拉动的模式因其更好的安全性和易用性，得到了越来越多的应用，成为基于角色的访问控制系统架构的主流模式。[6][9][14]
    随着对基于角色访问控制技术研究的不断深入和应用的快速发展，面向工作流的 RBAC，基于网格的访问控制，基于规则的访问控制, Web服务技术，身份认证技术将与基于角色访问技术逐渐融合和无缝连接，共同构成未来信息安全机制的坚实基础。

[资料来源：http://think58.com]