访问控制模型综述
- 格式:pdf
- 大小:98.13 KB
- 文档页数:3
下载文档原格式
合集下载
访问控制模型研究现状及展望
总第 2 8 1 期
2 0 1 3 年第 3 期
计 算 机 与 数 字 丁 程
Co mp u t e r& Di g i t a l En g i n e e r i n g
Vo 1 . 4 1 No . 3
4 52
访 问控 制 模 型 研 究 现 状 及 展 望
任 海 鹏
力 及 范 围 的一 种 方 法 , 它 是 针 对 越 权 使 用 系 统 资 源 的 防 御 措施 , 通过显式地访问受保护资源 , 防止 非 法 用 户 的 入 侵 或
2 早 期 的 访 问控 制 模 型
2 . 1 自主访 问控 制 ( D A( ) 模 型
因为合 法用 户的不慎 操作所 造成 的破坏 , 从 而保证 系统 资 源受控地 、 合法地使用L 。
1 引 言
访 问控 制 技 术 是 信 息 系统 安 全 的核 心 技 术 之 一 。访 问
本 文 旨在 归 纳 总 结 现 有 的 研 究 成 果 , 介 绍 并 对 比典 型 访问控制模型的实现方式 及优缺 点 , 并分析 以后 的发展趋
势。
控制是通过某种途径显式地准许或 限制 主体对 客体访问能
Ab s t r a c t Ac c e s s c on t r o l i s a n i mp o r t a nt i nf o r ma t i o n s e c ur i t y t e c hn o l o g y,wh i c h p l a y s a n i mp o r t a nt r o l e i n ma n y f i e l d s .By c o n t rs a c c e s s t o i n f o r ma t i o n a n d r e s ou r c e ,a c c e s s c o n t r o l e n s ur e s t he c o n f i d e nt i a l i t y a n d i n t e g r i t y O f s y s t e m.I n t h i s p a p e r ,a s u r v e y o n r e
2 0 1 3 年第 3 期
计 算 机 与 数 字 丁 程
Co mp u t e r& Di g i t a l En g i n e e r i n g
Vo 1 . 4 1 No . 3
4 52
访 问控 制 模 型 研 究 现 状 及 展 望
任 海 鹏
力 及 范 围 的一 种 方 法 , 它 是 针 对 越 权 使 用 系 统 资 源 的 防 御 措施 , 通过显式地访问受保护资源 , 防止 非 法 用 户 的 入 侵 或
2 早 期 的 访 问控 制 模 型
2 . 1 自主访 问控 制 ( D A( ) 模 型
因为合 法用 户的不慎 操作所 造成 的破坏 , 从 而保证 系统 资 源受控地 、 合法地使用L 。
1 引 言
访 问控 制 技 术 是 信 息 系统 安 全 的核 心 技 术 之 一 。访 问
本 文 旨在 归 纳 总 结 现 有 的 研 究 成 果 , 介 绍 并 对 比典 型 访问控制模型的实现方式 及优缺 点 , 并分析 以后 的发展趋
势。
控制是通过某种途径显式地准许或 限制 主体对 客体访问能
Ab s t r a c t Ac c e s s c on t r o l i s a n i mp o r t a nt i nf o r ma t i o n s e c ur i t y t e c hn o l o g y,wh i c h p l a y s a n i mp o r t a nt r o l e i n ma n y f i e l d s .By c o n t rs a c c e s s t o i n f o r ma t i o n a n d r e s ou r c e ,a c c e s s c o n t r o l e n s ur e s t he c o n f i d e nt i a l i t y a n d i n t e g r i t y O f s y s t e m.I n t h i s p a p e r ,a s u r v e y o n r e
访问控制技术综述
2006年第28卷第4期第1页电气传动自动化ELECTRICDRIVEAUToMATIoNV01.28。
No.42006。
28(4):1~5文章编号:1005—7277(2006)04—000l—05访问控制技术综述鲍连承1,赵景波l,2(1.海军潜艇学院,山东青岛26607l;2.哈尔滨工程大学自动化学院,黑龙江哈尔滨150001)摘要:访问控制是一门重要的信息安全技术。
论文介绍了自主访问控制和强制访问控制的原理和特点,描述了基于角色的访问控制技术,分析了RBAC96模型、ARBAc97模型以及最近提出的NIsTRBAc建议标准的原理和特点。
关键词:自主访问控制;强制访问控制;基于角色的访问控制;角色管理中图分类号:TP393.08文献标识码:AAsurVeyonacce辎c帅troltechIlology—E≯AD—L妇n—c^P,191,Z且rAD-,抛—601’2(1.Ⅳ面ySH6m洲聊Ac础州,Qi增加266071,伪iM;2.A“幻mm如nco讹酽,日舶inE画船e^愕‰如邮蚵,日舶讥150001,吼im)Abstract:Accesscontrolisimportantinfo册ationsecuritytechnology.DiscretionarycontmlandmandatorycontIDlintroduced.Thetechnologyofmle—basedcontrolisdescribed.711leprinciplesandcharacteristicsofthemodelRBAC96andthemodelARBAC97weUthenewlypmposedNISTRBACstandardanalyzedindetail.Keywords:DAC;MAC;RBAC;mlemanagement1引言随着网络技术的发展和网上应用的日益增加,信息安全问题日益凸现。
目前,世界各国都深亥口认识到信息、计算机、网络对于国防的重要性,并且投入大量资金进行信息安全的研究和实践。
基于移动用户位置的信息服务中的访问控制模型研究综述
信息服务的重要 内容 , 它根据用 户所 处空间位 置向其提供在 当前环境下所 需的数据信 息。为 了保 护隐私 , 保证数据 资
源不被 非法利用 , 迫切需要对基 于移动用 户位置 的信 息服 务 中的访 问控制模 型技术进 行研 究。对现 有 的具有 代袁性
的空 间访 问控制模 型作 了介 绍 , 并进 行 了分 析比较 , 探讨 了在空 间访 问控制模 型的进 一步研 究 中需要解 决的关键 问
Abtat I h eli ,h ly grl o vro ei ca gdwh ntep yi loaino i ma / ma c— s c ntera le te a i oe f ey n n e e h s a l t fhs n wo ni l a r f p n e sh h c c o t so
t l c esc n r l i c s o to d l r t d e n o a e n d t i . o e r b e ih mu tb e o v d i h u a a mo e s we e s u y d a d c mp r d i e a l S me k y p o l mswh c s e r s le t e f — s n t r t d r i td a d b if ic s e . u e s u y we e l e n re l d s u s d s y
td i n t e i e e ts ail x e so . o ainb s ds r iei t ees n il lme to h T f r t ns r ie I e na o h rdf r n p t tn in L c t - a e evc S h s e t e n ft eI i o mai evc .t f ae o ae n o
自主访问控制综述
自主访问控制综述摘要:访问控制是安全操作系统必备的功能之一,它的作用主要是决定谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。
而自主访问控制(Discretionary Access Control, DAC)则是最早的访问控制策略之一,至今已发展出多种改进的访问控制策略。
本文首先从一般访问控制技术入手,介绍访问控制的基本要素和模型,以及自主访问控制的主要过程;然后介绍了包括传统DAC 策略在内的多种自主访问控制策略;接下来列举了四种自主访问控制的实现技术和他们的优劣之处;最后对自主访问控制的现状进行总结并简略介绍其发展趋势。
1自主访问控制基本概念访问控制是指控制系统中主体(例如进程)对客体(例如文件目录等)的访问(例如读、写和执行等)。
自主访问控制中主体对客体的访问权限是由客体的属主决定的,也就是说系统允许主体(客体的拥有者)可以按照自己的意愿去制定谁以何种访问模式去访问该客体。
1.1访问控制基本要素访问控制由最基本的三要素组成:●主体(Subject):可以对其他实体施加动作的主动实体,如用户、进程、I/O设备等。
●客体(Object):接受其他实体访问的被动实体,如文件、共享内存、管道等。
●控制策略(Control Strategy):主体对客体的操作行为集和约束条件集,如访问矩阵、访问控制表等。
1.2访问控制基本模型自从1969年,B. W. Lampson通过形式化表示方法运用主体、客体和访问矩阵(Access Matrix)的思想第一次对访问控制问题进行了抽象,经过多年的扩充和改造,现在已有多种访问控制模型及其变种。
本文介绍的是访问控制研究中的两个基本理论模型:一是引用监控器,这是安全操作系统的基本模型,进而介绍了访问控制在安全操作系统中的地位及其与其他安全技术的关系;二是访问矩阵,这是访问控制技术最基本的抽象模型。
1.2.1引用监控器1972年,作为承担美国军的一项计算机安全规划研究任务的研究成果,J. P. Anderson在一份研究报告中首次提出了用监控器(Reference Monitor)、安全内核(Security Kernel)等重要思想。
基于角色的强制访问控制模型的研究与应用
基于角色的强制访问控制模型的研究与应用随着信息技术的发展,信息系统的安全性已成为政府部门和企业需要关注的重要课题。
信息安全管理体系已成为有效控制信息系统安全性、防止信息泄露的有力工具。
强制访问控制模型是信息安全管理体系的重要组成部分,它是根据资源(包括硬件和软件)的安全性要求,以及用户的不同角色,对整个系统的访问授权活动进行控制的一种模型。
本文的主要内容是介绍基于角色的强制访问控制模型的具体实现方法,并分析其实际应用中碰到的技术问题和拓展性能。
首先,介绍基于角色的强制访问控制模型的基本原理,包括访问控制规则集合,策略存储结构,实现机制,安全管理等功能模块;其次,具体分析基于角色的强制访问控制模型的实现过程与技术细节,强调策略表及策略计算的实现;最后,根据实际应用情况,分析角色的延展性与访问权限实现的通用性,同时介绍RBAC(Role-Based Access Control)安全策略的实践应用。
首先,基于角色的强制访问控制模型是基于特定安全性模型而设计的,它要求实现一套统一的访问控制模型,用于控制不同操作者对公共资源的使用。
其中涉及到访问控制规则集合,其中角色就是一个重要的规则元素,它表示操作者的不同身份角色,从而可以分配权限和授予访问资源的策略。
因此,访问控制模型就是一种以“资源-角色-操作-权限”为核心的安全管理规范。
其次,基于角色的强制访问控制模型的具体实现需要建立一套策略存储结构,来保存访问控制规则。
常用的策略存储结构分为策略表和策略计算两部分,其中策略表保存具体的访问控制规则,如用户与角色之间的关联关系,角色与资源之间的关联关系,以及角色与具体权限之间的关联关系;而策略计算部分主要功能是根据实际用户的身份以及当前访问资源的情况,计算其可以访问的权限。
最后,基于角色的强制访问控制模型的实际应用中存在着一些优化问题。
首先,角色的重复定义会增加系统的管理复杂度,同时也会增加认证授权规则的定义;其次,由于系统中角色的繁多性,它需要有足够的延展性以记录各种不同角色;最后,由于需要考虑到复杂性,因此需要有足够的通用性,使得访问权限实现能够单一化。
数据隐私保护技术综述与比较分析
数据隐私保护技术综述与比较分析随着数字化时代的到来,个人数据的收集、存储和使用已经成为一种普遍现象。
在这个信息爆炸的时代,保护个人数据的隐私成为了一个全球性的挑战。
数据隐私保护技术的发展越来越重要,以确保个人数据的安全和保密。
本文将对数据隐私保护技术进行综述与比较分析,以探讨当前主流数据隐私保护技术的特点以及各自的优缺点。
一、数据隐私保护技术的综述1. 数据隐私的定义与重要性数据隐私是指个人数据的保密性、完整性和可用性,涉及到个人身份、位置、行为、偏好等敏感信息。
数据隐私的保护对于个人权益、社会稳定以及商业信任都具有重要意义。
2. 数据隐私的威胁与挑战在数字化环境中,数据隐私面临着多种威胁和挑战,包括数据泄露、数据滥用、数据融合等。
这些威胁和挑战需要创新的数据隐私保护技术来应对。
3. 数据隐私保护的原则与法律规定数据隐私保护需要遵循一系列原则,如最小化原则、目的明确原则、合法性原则等。
同时,各国家和地区也都制定了相应的数据隐私保护法律和法规。
4. 数据隐私保护技术的分类数据隐私保护技术可以分为加密技术与非加密技术两大类。
其中,加密技术包括对称加密、非对称加密、同态加密等;非加密技术包括隐私保护模型、数据匿名化、差分隐私等。
二、数据隐私保护技术的比较分析1. 加密技术(1)对称加密:对称加密是一种常用的加密技术,其特点是加解密速度快,但需要保证密钥的安全性。
(2)非对称加密:非对称加密通过公钥密钥对实现加解密,相比对称加密更安全,但效率较低。
(3)同态加密:同态加密可以在未解密的情况下对数据进行计算,有助于保护数据的隐私。
但是,同态加密的计算速度较慢。
2. 非加密技术(1)隐私保护模型:隐私保护模型基于一定的数学模型,通过限制数据访问和使用来保护数据隐私。
常见的隐私保护模型包括访问控制模型、聚合模型等。
(2)数据匿名化:数据匿名化通过删除或替换个人信息来保护数据隐私。
常见的技术包括k-匿名、l-多样性、t-秘密等。
基于属性的访问控制关键技术研究综述
制可保障数据仅能被拥有 相应权限的用户访问 , 得到 了广泛的研究. 其中, 基于属性 的访 问控制通过使 用属性作 为
访 问 控 制 的关 键 要 素 , 有 效 解 决 了具 有 大 规 模 、 强 动 态 性 及 强 隐 私 性 特 点 的 新 型 计 算 环 境 下 的 细 粒 度 访 问 控 制 问 题, 为 云计 算 、 物 联 网计 算 等 新 型 计 算 环 境 提 供 了 理 想 的访 问控 制 策 略. 该 文 将 基 于 属 性 的 访 问控 制 的 整 体 流 程 分 为 准 备 阶 段 和 执 行 阶段 , 并 对 两 阶 段 面 临 的关 键 问题 、 研 究现状 和发 展趋势进 行分析. 针对 其 中的实体属 性发现 、
FANG Li a n g ’ 。 ’ 。 ’ YI N Li — Hu a ’ ∞ GUO Yun — Chu a n ’ FANG Bi n — Xi ng ’
( S c h o o l o f C o mp u t e r S c i e n c e ,B e i j i n g U n i v e r s i t y o f Po s t s a n d T e l e c o mmu n i c a t i o n s , B e i j i n g 1 0 0 8 7 6 )
摘 要 云 计 算 、 物 联 网 等 新 型 计 算 模 式 为 我 们 提 供 了便 捷 的 数 据 共 享 、 高效计算 等服务 , 极 大 地 提 高 了 数 据 的处 理效率 , 提 升 了 计 算 和 存 储 资 源 的利 用 能 力 . 但 这 些 新 型 计 算 模 式 存 储 并 融 合 了大 量 具 有 “ 所有权” 特征 的数据 , 如 果 不 对 这 些 数 据 提 供 可靠 的 保 护 , 一 旦 泄 漏 就 会 给用 户 带 来 巨 大 的 损 失 . 作 为 数 据 保 护 的基 石 性 技 术 之 一 , 访 问 控
访问控制技术研究综述
1 访 问控制 一般原 理 在 访 问控 制 中 ,访 问 可 以对 一个 系 统或 在 一个
DA C模 型是 根据 自主访 问策 略 建立 的一种 模型 ,允
系 统 内部进 行 。在 访 问 控制 框 架 内主 要 涉及 请求 访
许 合 法用 户 以用 户或 用 户组 的身份 访 问策 略 规定 的 客 体 ,同 时阻止 非授 权用 户访 问客 体 。DA C模 型 的 主要 特点 是授 权 灵 活 ,系 统 中 的主体 可 以将 其拥 有
控 制模 型 、 当前 比较 流行 的基 于角 色的访 问控 制模 型和 基 于任 务 的 访 问 控 制模 型 ;另 外还 介 绍 了 目前 人 们
研 究 的其 他 几 种 访 问控 制 模 型 ;最后 ,指 出访 问控 制 技 术 的 发展 趋 势 。
关 键 词 : 访 问控 制 ;基 于 角 色的 访 问控 制 :基 于任 务 的访 问控 制
第 2 3卷 第 o 3期 21 年 O 01 3月
农 业 图书 情 报 学 刊 Ju l f ir yadIfr 6 nS i csi Agi l r o  ̄ ba n oma o ce e r ut e oL r n n n c u
—
Vo . 3 N o 0 1 , 2 .3
(irr, bi nt nvri , a ghn0 3 0 , hn) LbayHee U idU i sy T n sa 6 0 0C ia e e t
Abt c T i atceito u e ec nr le h oo yg n rl r cpe ea o ae eta io a o t l d lc mp rd sr t hs r l r d c dt o t c n lg e ea i il, lb rtdt dt n l nr a i n h o t p n h r i c o mo e, o ae
自由访问控制的安全性:研究综述
1 引言
访 问控制技术是 系统 安全研 究 的重要组 成部 分 , 其早期 研 究主要用于集 中式 系统 , 尤其 是操作 系统 的安全 保护 。访 问控制机制可 以限制对关 键资 源 的访 问 , 防止非 法用 户进入
如果 自主访问控制不加 以控 制就会产生严重 的安全 隐患。例 如, 用户 S 可 以将其对 实体 0的访 问权限传递给用 户 S 从 , 而使不具备对 0访 问权限的 S 也 可以访问 0, 这样的结果是
摘 要 自 由访 问控 制 ( C 是 大 多数 操 作 系 统保 护机 制 的 核 心 , C 的 安 全 性 研 究 关 注 对 象 的 权 限 是 否 被 泄 漏 给 DA ) DA
未授 权 主 体 。本 文 介 绍 了 D AC安 全 性研 究 的 相 关 工作 , 点 讨 论 了三 种 典 型 的 D 重 AC模 式 及 其 安 全 性 分 析 。现 有 的
展, 大量分布式 系统 出现 , 问控制 的研 究重点转 向分布式 系 访
统安全 。
访问控制模式 , 文[ ~ l , 8 。由近期 在 I E 如 3 6 12 E E安全 和私
模 型在 D AC定义上还存在 争论 , 同时 对安全性 的分析也存在 不足 。研 究满足 DA C定 义且 安全性 可判 定的访 问控 制
系统 , 一 个 重要 的研 究 方 向 。 是
关 键 词 自 由访 问控 制 , 全 性 , 安 重标 记 , 局 格
Re e r h o a e y o s r to r c s Co r l s a c n S f t f Dic e i na y Ac e nt o s
( l g f o u e , eh n ie s y, e ig 1 0 8 ) Col eo mp tr B i a g Unv r i B in 0 0 3 。 e C t j
访问控制技术研究综述
访问控制起源于20世纪60年代,是一种重要的信息安全技术。
所谓访问控制,就是通过某种途径显式地准许或限制访问能力及范围,从而限制对关键资源的访问,防止非法用户侵入或者合法用户的不慎操作造成破坏。
访问控制一般包括主体、客体和安全访问规则3个元素。
主体是指发出访问操作、存取要求的主动方,通常指用户或某个进程;客体是一种信息实体,指系统中的信息和资源,可以是文件、数据、页面、程序等;访问规则规定了哪些主体能够访问相应的客体,访问权限有多大。
1访问控制一般原理在访问控制中,访问可以对一个系统或在一个系统内部进行。
在访问控制框架内主要涉及请求访问、通知访问结果以及提交访问信息。
访问控制的一般模型见图1。
该模型包含了主体、客体、访问控制实施模块和访问控制决策模块。
实施模块执行访问控制机制,根据主体提出的访问请求和决策规则对访问请求进行分析处理,在授权范围内,允许主体对客体进行有限的访问;决策模块表示一组访问控制规则和策略,它控制着主体的访问许可,限制其在什么条件下可以访问哪些客体。
2传统访问控制早期的访问控制安全模型有自主访问控制(Discretionary Access Control,DAC )模型和强制访问控制(M andatory Access Control,M AC )模型,这两种模型在20世纪80年代以前占据着主导地位。
DAC 模型是根据自主访问策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体。
DAC 模型的主要特点是授权灵活,系统中的主体可以将其拥有的权限自主地授予其他用户;缺点是权限很容易因传递而出现失控,进而导致信息泄漏。
M AC 模型是一种多级访问控制策略模型,它的主要特点是系统对访问主体和受控对象实行强制访问控制,系统事先给访问主体和受控对象分配不同的安全级别属性,在实施访问控制时,系统先对访问主体和受控对象的安全级别属性进行比较,再决定访问主体能否访问该受控对象。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
若以授权策略来划分, 访问控制模型可分为: 传统的访问 控制模型、基于角色 的访 问控 制( RBAC) 模 型、基于 任务 和 工 作流的访问 控 制 ( TBAC) 模 型、基 于 任 务和 角 色 的 访 问 控 制 ( T-RBAC) 模型等。
1 传统的访问控制模型
传统的访问控制 一般 被分 为两 类[ 1] : 自 主访 问控 制 DAC ( Discretionary Access Control) 和强制访问控制 MAC( Mandatory Access Control) 。
Abstract: Access control is an important information security technology. To enhance benefits and increase competitive power, many modern enterprises have used this technology to secure their information manage systems. In this paper, several main access control models, such as traditional access control models, role-based access control models, task-based access control models, task-role-based access control models, and so on, are discussed and compared in detail. In addition, we introduce a new model called UCON, which may be a promising model for the next generation of access control. Key words: Role; Task; Access Control; Workflow
2001 年, 标准的 RBAC 参考模型 NIST RBAC 被提出, 如图 1 所示。
SSD
RH
Users
URA Sessions
Roles DSD
Operations Objects
PRA
Permissions
图 1 晕陨杂栽 RBAC 参考模型
NIST RBAC 参考模型分成基本 RBAC、等 级 RBAC 和约束
益冲突, 强化了对用户角 色分配 的限制, 使得 一个用 户不能 分
配给两个互斥的角色。动态职 责分离 用于在 用户会 话中对 可
激活的当前角色进行限制, 用户 可被赋 予多个 角色, 但它们 不
能在同一会话期中被激活。DSD 实际 上是最 小权限 原则的 扩
展, 它使得每个用户根据其执行的任务可以在不同的环境下拥 有不 同 的 访 问 权 限 。
NIST RBAC 参 考模型中还 包括功能规 范, 分 为管理功能、
系统支持功能和审查功能, 这 里不再 详述。上述 的 DAC, MAC 和 RBAC 都是基于主体-客体( Subject-Object) 观点 的被动安 全
模型, 它们都是从系 统的 角度 ( 控制 环境是 静态 的) 出 发保 护
( 1. College of Computer, Huazhong University of Science & Technology, Wuhan Hubei 430074, China; 2. Dept. of Computer Science, Hubei College of Education, Wuhan Hubei 430205, China)
繁更换角色, 而 且也 不 适合 工作 流 程的 运转。 为了 解决 此 问
题, 人们提出了基于任务的访问控制模型 TBAC。
3 基于任务和工作流的访问控制模型 TBAC
在 TBAC 模型 [ 4,5] 中, 引进了 另一个 非常 重要 的概 念——— 任务。所谓任务( 或活动) , 就是要进行的一个个操作的统称。 任务是一个动态的 概念, 每 项任 务包 括 其内 容、状 态( 如 静 止 态、活动态、等待态、完成态等 ) 、执行 结果、生命 周期等。任 务 与任务之间一般存在相互关联, 如相互依赖或相互排斥。如任 务 A 必须在任务 B 之后执行; 任务 A 与任务 B 不能同时执行 等。
访问控制的核心是授权 策略。授权 策略是 用于确 定一 个 主体是否能对客体拥有访 问能力 的一套 规则。在统 一的授 权 策略下, 得到授权的用户就是合法用户, 否则就是非法用户。 访问控制模型定义了主体、客体、访问是如何表示和操作的, 它 决定 了 授 权 策 略 的 表 达 能 力 和灵 活 性 。
构成的业务流程, 它的特 点是使 处理过 程自动 化, 对 人和其 他
资源进行协调管理, 从而完 成某项 工作。在工 作流环 境中, 当 数据在工作流中流动时, 执行操 作的用 户在改 变, 用 户的权 限
也在改变, 这与数据处理 的上下 文环境 相关, 传统的 访问控 制
技术 DAC 和 MAC 对此无能为力。若使 用 RBAC, 则 不仅需 频
强制访问控制 MAC 是一种强加 给访问 主体( 即 系统强 制 主体服从访问控制策略) 的一种访问方式, 它利用上读/下写 来保证数据的 完 整性, 利 用 下读 /上 写 来保 证数 据 的 保密 性。 MAC 主要用于多层 次安全 级别 的军 事系 统中, 它 通过 梯度 安 全标签实现信息的单向流通, 可以有效地阻止特洛伊木马的泄 露; 其缺陷主要在于实现工作量较大, 管理不便, 不够灵活, 而 且它过重强调保密性, 对系 统连续 工作能 力、授权的 可管理 性 方面考虑不足。
中, 高等级的角色继承低等级角色的 全部权限, 这是一 种“全”
继承关系。但这并不完全符合 实际企 业环境 中的最 小特权 原
则, 因为企业中有些权限只需部分继承。
约束 RBAC 在 基 本 RBAC 的 基 础 上 增 加 了 职 责 分 离
( SoD) 关系, 而职责分离又分为静 态职责 分离( SSD) 和动态 职 责分离( DSD) 。静态职 责分离 用于解 决角色 系统中 潜在的 利
用户和访问权限之间的多对多关系, 用户由此获得访问权限。 等级 RBAC 在基本 RBAC 的基础上增加了角色的等级, 以
对应功能的或组织的等级 结构。角色 等级又 可分为 通用角 色
等级和有限角色等级。在通用角色等级中, 角色之间是一种代 数的偏序关 系, 而有 限 角色 等级 是 一种 树结 构。在 角色 等 级
RBAC 三个子模型。基本 RBAC 定义了角色的 基本功 能, 它 包
括五个基本数据 元素: Users( 用户 ) 、Roles( 角 色) 、Sessions( 会 话集) 、Objects( 客 体) 、Operations( 操 作) , 以 及 角 色权 限 分 配
( PRA) 、用户角色 分配 ( URA) 。其 基本 思想 是 通过 角色 建 立
TBAC 模型是一种基于任务、采用 动态授 权的主 动安全 模 型。它从应用和企业的角 度来解 决安全 问题。它采用 面向 任 务的观点, 从任务的角度来 建立安 全模型 和实现 安全机 制, 在 任 务 处 理 的 过 程 中 提 供 实 时的 安 全 管 理 。 其 基 本 思想 主 要 有 :
2 基于角色的访问控制模型 RBAC
为了克服标准矩阵模型中将访问权直接分配给主体, 引起 管理困难的缺陷, 在访问控制中引进了聚 合体( Aggregation) 概 念, 如组、角色等。在 RBAC( Role-Based Access Control) 模型[ 2] 中, 就引进了 “角色”概念。所谓角色, 就是一个或一群用户在 组织内可执行的操作的集 合。 角色意 味着用 户在组 织内的 责
障其 信息 管理 系统的 安全 。对 传统 的访 问控 制模型 、基于 角 色的 访 问 控 制 模 型、基 于 任 务 和 工 作流 的 访 问 控 制
模型 、基 于任 务和 角色 的访 问控 制模型 等几 种主 流模 型进 行 了 比较 详 尽 地 论 述 和比 较 , 并 简 介 了有 望 成 为 下 一
· 10·
计算机应用研究
2005 年
任和职能。在 RBAC 模型 中, 权 限并不 直接分 配给 用户, 而 是 先分配给角色, 然后用户 分配给 那些角 色, 从 而获得 角色的 权 限。RBAC 系统定义了各种角色, 每种 角色可以完 成一定的 职 能, 不同的用户根据其职 能和责 任被赋 予相应 的角色, 一旦 某 个用户成为某角色的成员, 则此用户可以完成该角色所具有的 职能。在 RBAC 中, 可以预先定义角色-权限之间的 关系, 将预 先定义的角色赋予用户, 明确责任和授权, 从而加强安全策略。 与把权限赋予用户的工作相比, 把角色赋予用户要容易灵活得 多, 这简化了系统的管理。
自主访问控制 DAC 是在确认主体身份以及它们所属 组的 基础上对访问进行限制的 一种方 法。自主访 问的含 义是指 访 问许可的主体能够向其他主体转让访问权。在基于 DAC 的系
收稿日期: 2004- 04- 17; 修返日期: 2004- 06- 28
统中, 主体的拥有者负责设置访问权限。而作为许多操作系统 的副作用, 一个或多个特 权用户 也可以 改变主 体的控 制权限。 自主访问控制的一个最大问题是主体的权限太大, 无意间就可 能泄露信息, 而且不能防备特洛伊木马的攻击。访问控制表 ( ACL) 是 DAC 中常用的一种 安全机 制, 系统 安全 管理 员通 过 维护 ACL 来控制用户访问有关数据。ACL 的优 点在于它的 表 述直观、易于理解, 而且比较容 易查出 对某一 特定资 源拥有 访 问权限的所有用户, 有效地实施授权管理。但当用户数量多、 管理数据量 大时, ACL 就 会 很庞 大。当 组织 内的 人 员发 生 变 化、工作职能发生变化时, ACL 的维护就变得非常困难。另外, 对分布式网络系统, DAC 不利于实现统一的全局访问控制。
1 传统的访问控制模型
传统的访问控制 一般 被分 为两 类[ 1] : 自 主访 问控 制 DAC ( Discretionary Access Control) 和强制访问控制 MAC( Mandatory Access Control) 。
Abstract: Access control is an important information security technology. To enhance benefits and increase competitive power, many modern enterprises have used this technology to secure their information manage systems. In this paper, several main access control models, such as traditional access control models, role-based access control models, task-based access control models, task-role-based access control models, and so on, are discussed and compared in detail. In addition, we introduce a new model called UCON, which may be a promising model for the next generation of access control. Key words: Role; Task; Access Control; Workflow
2001 年, 标准的 RBAC 参考模型 NIST RBAC 被提出, 如图 1 所示。
SSD
RH
Users
URA Sessions
Roles DSD
Operations Objects
PRA
Permissions
图 1 晕陨杂栽 RBAC 参考模型
NIST RBAC 参考模型分成基本 RBAC、等 级 RBAC 和约束
益冲突, 强化了对用户角 色分配 的限制, 使得 一个用 户不能 分
配给两个互斥的角色。动态职 责分离 用于在 用户会 话中对 可
激活的当前角色进行限制, 用户 可被赋 予多个 角色, 但它们 不
能在同一会话期中被激活。DSD 实际 上是最 小权限 原则的 扩
展, 它使得每个用户根据其执行的任务可以在不同的环境下拥 有不 同 的 访 问 权 限 。
NIST RBAC 参 考模型中还 包括功能规 范, 分 为管理功能、
系统支持功能和审查功能, 这 里不再 详述。上述 的 DAC, MAC 和 RBAC 都是基于主体-客体( Subject-Object) 观点 的被动安 全
模型, 它们都是从系 统的 角度 ( 控制 环境是 静态 的) 出 发保 护
( 1. College of Computer, Huazhong University of Science & Technology, Wuhan Hubei 430074, China; 2. Dept. of Computer Science, Hubei College of Education, Wuhan Hubei 430205, China)
繁更换角色, 而 且也 不 适合 工作 流 程的 运转。 为了 解决 此 问
题, 人们提出了基于任务的访问控制模型 TBAC。
3 基于任务和工作流的访问控制模型 TBAC
在 TBAC 模型 [ 4,5] 中, 引进了 另一个 非常 重要 的概 念——— 任务。所谓任务( 或活动) , 就是要进行的一个个操作的统称。 任务是一个动态的 概念, 每 项任 务包 括 其内 容、状 态( 如 静 止 态、活动态、等待态、完成态等 ) 、执行 结果、生命 周期等。任 务 与任务之间一般存在相互关联, 如相互依赖或相互排斥。如任 务 A 必须在任务 B 之后执行; 任务 A 与任务 B 不能同时执行 等。
访问控制的核心是授权 策略。授权 策略是 用于确 定一 个 主体是否能对客体拥有访 问能力 的一套 规则。在统 一的授 权 策略下, 得到授权的用户就是合法用户, 否则就是非法用户。 访问控制模型定义了主体、客体、访问是如何表示和操作的, 它 决定 了 授 权 策 略 的 表 达 能 力 和灵 活 性 。
构成的业务流程, 它的特 点是使 处理过 程自动 化, 对 人和其 他
资源进行协调管理, 从而完 成某项 工作。在工 作流环 境中, 当 数据在工作流中流动时, 执行操 作的用 户在改 变, 用 户的权 限
也在改变, 这与数据处理 的上下 文环境 相关, 传统的 访问控 制
技术 DAC 和 MAC 对此无能为力。若使 用 RBAC, 则 不仅需 频
强制访问控制 MAC 是一种强加 给访问 主体( 即 系统强 制 主体服从访问控制策略) 的一种访问方式, 它利用上读/下写 来保证数据的 完 整性, 利 用 下读 /上 写 来保 证数 据 的 保密 性。 MAC 主要用于多层 次安全 级别 的军 事系 统中, 它 通过 梯度 安 全标签实现信息的单向流通, 可以有效地阻止特洛伊木马的泄 露; 其缺陷主要在于实现工作量较大, 管理不便, 不够灵活, 而 且它过重强调保密性, 对系 统连续 工作能 力、授权的 可管理 性 方面考虑不足。
中, 高等级的角色继承低等级角色的 全部权限, 这是一 种“全”
继承关系。但这并不完全符合 实际企 业环境 中的最 小特权 原
则, 因为企业中有些权限只需部分继承。
约束 RBAC 在 基 本 RBAC 的 基 础 上 增 加 了 职 责 分 离
( SoD) 关系, 而职责分离又分为静 态职责 分离( SSD) 和动态 职 责分离( DSD) 。静态职 责分离 用于解 决角色 系统中 潜在的 利
用户和访问权限之间的多对多关系, 用户由此获得访问权限。 等级 RBAC 在基本 RBAC 的基础上增加了角色的等级, 以
对应功能的或组织的等级 结构。角色 等级又 可分为 通用角 色
等级和有限角色等级。在通用角色等级中, 角色之间是一种代 数的偏序关 系, 而有 限 角色 等级 是 一种 树结 构。在 角色 等 级
RBAC 三个子模型。基本 RBAC 定义了角色的 基本功 能, 它 包
括五个基本数据 元素: Users( 用户 ) 、Roles( 角 色) 、Sessions( 会 话集) 、Objects( 客 体) 、Operations( 操 作) , 以 及 角 色权 限 分 配
( PRA) 、用户角色 分配 ( URA) 。其 基本 思想 是 通过 角色 建 立
TBAC 模型是一种基于任务、采用 动态授 权的主 动安全 模 型。它从应用和企业的角 度来解 决安全 问题。它采用 面向 任 务的观点, 从任务的角度来 建立安 全模型 和实现 安全机 制, 在 任 务 处 理 的 过 程 中 提 供 实 时的 安 全 管 理 。 其 基 本 思想 主 要 有 :
2 基于角色的访问控制模型 RBAC
为了克服标准矩阵模型中将访问权直接分配给主体, 引起 管理困难的缺陷, 在访问控制中引进了聚 合体( Aggregation) 概 念, 如组、角色等。在 RBAC( Role-Based Access Control) 模型[ 2] 中, 就引进了 “角色”概念。所谓角色, 就是一个或一群用户在 组织内可执行的操作的集 合。 角色意 味着用 户在组 织内的 责
障其 信息 管理 系统的 安全 。对 传统 的访 问控 制模型 、基于 角 色的 访 问 控 制 模 型、基 于 任 务 和 工 作流 的 访 问 控 制
模型 、基 于任 务和 角色 的访 问控 制模型 等几 种主 流模 型进 行 了 比较 详 尽 地 论 述 和比 较 , 并 简 介 了有 望 成 为 下 一
· 10·
计算机应用研究
2005 年
任和职能。在 RBAC 模型 中, 权 限并不 直接分 配给 用户, 而 是 先分配给角色, 然后用户 分配给 那些角 色, 从 而获得 角色的 权 限。RBAC 系统定义了各种角色, 每种 角色可以完 成一定的 职 能, 不同的用户根据其职 能和责 任被赋 予相应 的角色, 一旦 某 个用户成为某角色的成员, 则此用户可以完成该角色所具有的 职能。在 RBAC 中, 可以预先定义角色-权限之间的 关系, 将预 先定义的角色赋予用户, 明确责任和授权, 从而加强安全策略。 与把权限赋予用户的工作相比, 把角色赋予用户要容易灵活得 多, 这简化了系统的管理。
自主访问控制 DAC 是在确认主体身份以及它们所属 组的 基础上对访问进行限制的 一种方 法。自主访 问的含 义是指 访 问许可的主体能够向其他主体转让访问权。在基于 DAC 的系
收稿日期: 2004- 04- 17; 修返日期: 2004- 06- 28
统中, 主体的拥有者负责设置访问权限。而作为许多操作系统 的副作用, 一个或多个特 权用户 也可以 改变主 体的控 制权限。 自主访问控制的一个最大问题是主体的权限太大, 无意间就可 能泄露信息, 而且不能防备特洛伊木马的攻击。访问控制表 ( ACL) 是 DAC 中常用的一种 安全机 制, 系统 安全 管理 员通 过 维护 ACL 来控制用户访问有关数据。ACL 的优 点在于它的 表 述直观、易于理解, 而且比较容 易查出 对某一 特定资 源拥有 访 问权限的所有用户, 有效地实施授权管理。但当用户数量多、 管理数据量 大时, ACL 就 会 很庞 大。当 组织 内的 人 员发 生 变 化、工作职能发生变化时, ACL 的维护就变得非常困难。另外, 对分布式网络系统, DAC 不利于实现统一的全局访问控制。