基于角色的访问控制的.课件.ppt

1、基于角色的访问控制的理论与应用研究姓 名：俞 诗 鹏专 业：应 用 数 学方 向：网络信息安全导 师：林作铨 教授2003.6.硕士论文答辩2本文主要工作多维RBAC模型及其应用l在理论上扩展RBAC基本模型RBAC实现的缓存机制l在应用层提高访问控制效率RBAC模型处理中间件l结合理论层和应用层结果l模块化处理硕士论文答辩3内容提要RBAC模型概述多维RBAC模型及其应用RBAC实现的缓存机制RBAC模型处理中间件结论硕士论文答辩4内容提要RBAC模型概述l访问控制与传统模型lRBAC主流模型RBAC96和ARBAC97多维RBAC模型及其应用RBAC实现的缓存机制RBAC模型处理中间件结论

2、硕士论文答辩5访问控制背景l计算机安全中的重要组成部分l存在于操作系统，数据库，Web等各个层面目标l允许被授权的主体对某些客体的访问l拒绝向非授权的主体提供服务主要模型l传统模型：自主访问控制(DAC)，强制访问控制(MAC)l新模型：基于角色的访问控制(RBAC)硕士论文答辩6基于角色的访问控制背景l主体和客体的数量级增大，传统模型很难适用lWeb上的访问控制成为主流研究课题基本思想l提出“角色”作为授权中介l定义不同层次的访问控制模型用于不同应用背景l利用RBAC模型本身实施模型管理主流模型lRBAC96：RBAC基本模型 Sandhu et al.1996lARBAC97：RBAC管理

3、模型 Sandhu et al.1997硕士论文答辩7RBAC主流模型RBAC96(1)分层的RBAC基本模型lRBAC0:含有RBAC核心部分lRBAC1:包含RBAC0，另含角色继承关系(RH)lRBAC2:包含RBAC0，另含限制(Constraints)lRBAC3:包含所有层次内容，是一个完整模型硕士论文答辩8RBAC主流模型RBAC96(2)RBAC96模型基本框架硕士论文答辩9RBAC主流模型ARBAC97(1)基本思想l在RBAC模型内部实现对各部分元素的管理l引入“管理员角色”实施管理l引入“角色区间”刻划管理职责ARBAC97模型的基本组成部分lURA97:用户角色指派管理

4、lPRA97:权限角色指派管理lRRA97:角色继承关系管理硕士论文答辩10RBAC主流模型ARBAC97(2)ARBAC97模型基本框架硕士论文答辩11内容提要RBAC模型概述多维RBAC模型及其应用l多维RBAC模型MDRBACl多维RBAC管理模型MDARBACl多维RBAC模型的实现与应用RBAC实现的缓存机制RBAC模型处理中间件结论硕士论文答辩12多维RBAC模型的提出出发点l现有模型中角色的语义不清楚l角色继承关系和限制过于复杂解决方案l在角色集中引入“角色维数”概念，细化角色定义l利用角色命名机制简化角色继承关系的查找硕士论文答辩13多维RBAC模型MDRBAC(1)类似RBA

5、C96模型的层次关系在每一层次上扩展RBAC96模型硕士论文答辩14多维RBAC模型MDRBAC(2)MDRBAC0l若干实体集U(用户集)，P(权限集)，S(会话集)ld 个互不相交的实体集 ，称为虚拟角色维，其中的元素称虚拟角色，d 称为角色维数l角色集 R 为各个虚拟角色维的直积，即 l ，为多对多的用户角色指派关系l ，为多对多的权限角色指派关系l ，映射每个会话到一个用户l ，映射每个会话到一组角色，有1diiRVR12,dVR VRVRUAU RPAP R:user SU:2Rroles S|(),roles sr user s rUA硕士论文答辩15多维RBAC模型MDRBAC(

6、3)MDRBAC1lU,P,S,VRi,R,UA,PA,user同MDRBAC0l 是集合VRi上的一个偏序关系，记为l隐式角色层次 是R上的一个关系，记为 ，有 l显式角色层次 是R上的偏序关系，记为 l 是R上的一个关系，记为 。当且仅当 ，或 ，或存在 ，有 且l显式角色层次限制条件 l 作如下改动iiiVRHVR VRiIRHR R IRH1dii iIRHiuvuvERHR R ERHRHR R uvIRHuvERHuvw Ruww v:,ERHCu v R u v v uu v :2Rroles S|(),roles srrruser s rUA IRH是一个偏序是一个偏序如果如果

7、ERH满足满足ERHC条件，则条件，则RH是一个偏序是一个偏序硕士论文答辩16多维RBAC模型MDRBAC(4)MDRBAC2lMDRBAC0中的所有元素l一组限制条件，用于刻画MDRBAC0中各元素的组合合法性限制在MDRBAC2中有更丰富的形式l限制可定义于虚拟角色集上l角色基数可以通过定义虚拟角色基数得到l角色互斥可以定义在虚拟角色集上硕士论文答辩17多维RBAC模型MDRBAC(5)MDRBAC3硕士论文答辩18多维RBAC管理模型MDARBAC(1)基本思想lDSO管理虚拟角色维lSSO继承各DSO角色l在虚拟角色维上可实现ARBAC97模型组成部分lMDURAlMDPRAlMDRR

8、A硕士论文答辩19多维RBAC管理模型MDARBAC(2)MDURAl扩展URA97模型l由DSO指定用户在当前虚拟角色集中的分量l用户在一个虚拟角色集上的分量容易更改MDPRAl扩展PRA97模型lMDURA的对偶模型l很方便的创建相似的PA关系硕士论文答辩20多维RBAC管理模型MDARBAC(3)MDRRAl扩展RRA97模型l粗粒度角色管理：管理虚拟角色集添加删除虚拟角色添加删除虚拟角色继承关系VRHi管理虚拟角色基数和虚拟角色互斥l细粒度角色管理：直接管理系统角色集直接添加删除角色添加删除显式角色继承关系ERH直接管理角色基数和角色互斥硕士论文答辩21多维RBAC模型的实现(1)目标

9、l利用角色名称反映角色语义信息和继承关系l减少角色继承关系表RRA的容量实现手段l定义虚拟角色名称和角色名称准备工作lRRA表格式角色名称1，角色名称2，角色关系 l分隔符集12/,/,/dSep 硕士论文答辩22多维RBAC模型的实现(2)虚拟角色名称l在每个虚拟角色集中自顶向下定义l单继承：直观定义l多继承：需要利用RRA表虚拟角色语义名称虚拟角色名称总公司companycompany分公司filialecompany/1filiale虚拟角色语义名称虚拟角色名称经理managermanager开发人员developermanager/2developer销售人员salesmanmanag

10、er/2salesman普通职员employeemanager/2developer/2employeemanager/2salesmanmanager/2developer/2employeeRRA:硕士论文答辩23多维RBAC模型的实现(3)角色名称l将虚拟角色分量的虚拟角色名称组合成角色名称l与其向量形式一一对应drr rr1 2,dddrrrrr1 1 2 211/角色角色名称总公司经理company/1manager分公司经理company/1filiale/1manager总公司开发company/1manager/2developer分公司开发company/1filiale/1

11、manager/2developer总公司销售company/1manager/2salesman分公司销售company/1filiale/1manager/2salesman总公司职员company/1manager/2developer/2employee分公司职员company/1filiale/1manager/2developer/2employee硕士论文答辩24多维RBAC模型的实现(4)应用于WebDaemon系统硕士论文答辩25多维RBAC模型的实现(5)WebDaemon系统在TCL公司部署情况l角色语义清晰，虚拟角色集容易确定和建立l共有3个虚拟角色集，并且很方便修改机

12、构体系，部门管理，数据查询l8600多个角色260多个虚拟角色l90以上的角色继承关系由角色名称确定l系统管理方便，目前仅由单管理员管理硕士论文答辩26多维RBAC模型的优势全面扩展了RBAC96和ARBAC97模型l它们是多维RBAC模型在维数为1的特殊情形切分角色语义，符合直观，易于创建角色可实现粗细结合、不同粒度的模型管理基本呈树状结构的角色层次图适合采用多维RBAC模型角色名称定义可极大改善系统性能硕士论文答辩27内容提要RBAC模型概述多维RBAC模型及其应用RBAC实现的缓存机制lRBAC模型外缓存lRBAC模型内缓存lRBAC模型内缓存的实现RBAC模型处理中间件结论硕士论文答辩

13、28RBAC模型的缓存机制背景l角色层次过深导致权限查询效率低下l历史查询数据有利于预测后续查询硕士论文答辩29RBAC模型外缓存由外部访问控制程序维护缓存仅能缓存用户权限对应必须手动更新硕士论文答辩30RBAC模型内缓存(1)RBAC模型内缓存示意图硕士论文答辩31RBAC模型内缓存(2)在RBAC模型内部实现缓存机制独立于外部应用程序可实现缓存自动更新和细粒度更新可以缓存细粒度的内容l缓存用户权限对应l缓存用户指派l缓存权限指派l缓存角色继承关系硕士论文答辩32RBAC模型内缓存(3)缓存用户权限对应l类似于RBAC模型外缓存l可实现细粒度缓存更新l缓存自动更新删除用户删除权限删除用户指派

14、删除权限指派删除角色删除角色继承关系硕士论文答辩33RBAC模型内缓存(4)缓存用户指派l在查询用户权限对应的同时缓存用户与对应角色的子角色的指派关系(u,r1)UA，r1 r2，则缓存(u,r2)l以后查询时可直接应用缓存的用户指派l缓存细粒度更新与自动更新删除用户删除用户指派删除角色删除角色继承关系硕士论文答辩34RBAC模型内缓存(5)缓存权限指派l在查询用户权限对应的同时缓存权限与对应角色的父角色的指派关系(r2,p)PA，r1 r2，则缓存(r1,p)l以后查询时可直接应用缓存的权限指派l缓存细粒度更新与自动更新删除权限删除权限指派删除角色删除角色继承关系硕士论文答辩35RBAC模型

15、内缓存(6)缓存角色继承关系l在查询用户权限对应的同时缓存隐含的父角色与子角色的角色继承关系r1 r2，且r2 r3，则缓存r1 r3l以后查询时可直接应用缓存的角色继承关系l缓存细粒度更新与自动更新删除角色删除角色继承关系硕士论文答辩36RBAC模型缓存的比较缓存用户权限关系基本等价于模型外缓存缓存用户指派与权限指派代价基本一致l效率提升度最高缓存角色继承关系包含于前二者中l代价适中可综合运用所有缓存策略，最大限度提高性能硕士论文答辩37RBAC模型内缓存的实现(1)基于数据库的实现l可将缓存数据记录在原有表单中l或者重新建立新的表单存储缓存数据l性能提升：2530%字段名称字段描述字段类型

16、f_userid用户IDvarcharf_roleid角色IDvarcharf_iscached是否是缓存数据（Y/N）char字段名称字段描述字段类型f_userid用户IDvarcharf_roleid角色IDvarcharf_directroleid实际与f_userid发生指派的角色varchar硕士论文答辩38RBAC模型内缓存的实现(2)基于LDAP的实现l目录服务可大大提高查询操作效率l模型内缓存在LDAP中增加相应节点，并标识缓存l性能提升：20左右硕士论文答辩39内容提要RBAC模型概述与相关研究多维RBAC模型及其应用RBAC实现的缓存机制RBAC模型处理中间件lRBAC中

17、间件的设计lRBAC中间件的扩展lRBAC中间件的实现结论硕士论文答辩40RBAC模型处理中间件背景lRBAC模型策略中立，可以独立l访问控制模块过于复杂，需要独立目标l封装模型所有元素l对上层应用程序和下层存储介质提供统一接口l提供良好的扩展性l方便访问控制模块的二次开发硕士论文答辩41RBAC中间件的设计(1)访问控制查询接口l给定用户和权限可查询访问许可RBAC模型管理接口l模型的全面管理(参考ARBAC97模型)硕士论文答辩42RBAC中间件的设计(2)类设计l三个基本抽象类User，Role，Permissionl中间件不关心这些类的具体属性l用对象连接表示其他基本元素l限制通过指定

18、对象属性表示角色基数限制定义在类Role中角色互斥通过角色类对象连接表示硕士论文答辩43RBAC中间件的设计(3)底层接口设计l为原子操作，由具体存储介质实现l定义基本语义，保证接口以上的模型是统一的l大部分返回布尔值，表示操作是否成功l五种类型的操作(共45个接口)基本添加删除操作批量删除操作检验存在性操作查询操作事务有关操作硕士论文答辩44RBAC中间件的设计(4)应用层接口设计l定义在底层接口之上，实现模型全面管理l包含用户视图信息，实现高层语义l保证操作前后模型和底层存储的一致性l四种类型的操作(共29个接口)添加操作删除操作查询操作检查操作硕士论文答辩45RBAC中间件的设计(5)应

19、用层接口举例lAddInheritance(role1,role2,bNeedCheck)添加角色继承关系，根据bNeedCheck决定是否要进行环搜索lDeleteRole(role)删除角色，需要考虑因为删除该角色而损坏的间接用户指派，权限指派以及角色继承关系lCheckUserPermission(user,perm)检查用户权限对应，为访问控制查询接口需要的唯一函数提供多种实现方式供实际选择硕士论文答辩46RBAC中间件的扩展(1)支持对RBAC模型的各种扩展，包括l多维RBAC模型lRBAC模型内缓存扩展方式l具体定义三个基本抽象类并加以限制l增加新的底层与应用层接口实现新应用硕士论

20、文答辩47RBAC中间件的扩展(2)支持多维RBAC模型l定义虚拟角色类VirtualRole，并定义角色类是虚拟角色类对象的组合l增加对虚拟角色类的增删改原子操作l在虚拟角色类和角色类中增加角色命名的相关属性，同时修改与角色命名有关的上层接口硕士论文答辩48RBAC中间件的扩展(3)支持RBAC模型内缓存l针对不同的模型内缓存类型增加相关原子操作l在应用层的检查操作中加入缓存操作语句以及读取缓存语句l修改涉及缓存更新的应用层接口l增加控制缓存策略的应用层接口硕士论文答辩49RBAC中间件的实现基于数据库的实现l利用SQL语句实现所有底层接口l实现一次即可支持多种上层访问控制应用基于LDAP的

21、实现l首先定义LDAP的存储结构l通过增删改目录服务中的节点或属性实现所有底层接口中间件所有功能已实现，在WebDaemon后续版本中将基于此进行二次开发硕士论文答辩50内容提要RBAC模型概述多维RBAC模型及其应用RBAC实现的缓存机制RBAC模型处理中间件结论硕士论文答辩51结论多维RBAC模型lRBAC模型理论上的成功扩展RBAC模型内缓存l从应用层面提升了访问控制的效率RBAC模型中间件l成功封装了RBAC的主要功能，有良好扩展性本文工作在Web访问控制系统WebDaemon中都进行过成功测试谢 谢 大 家！备份内容硕士论文答辩54访问控制的传统模型自主访问控制（DAC）Lampso

22、n 1971l对象的创建者为其所有者，完全控制该对象l对象所有者有权将该对象的访问权限授予他人l缺点：太弱，不易控制权限传递强制访问控制（MAC）Bell&Lapadula 1975l基于安全标记，指定安全策略实施访问控制l上读/下写保证数据完整性，下读/上写保证数据保密性l缺点：太强，实现工作量大，无法分布式管理共同缺点l直接绑定主体与客体，授权工作困难硕士论文答辩55自主访问控制（DAC）基本思想l对象的创建者为其所有者，可以完全控制该对象l对象所有者有权将对于该对象的访问权限授予他人不同的DAC模型lGrantee得到的权限能否转交他人？Strict DAC:grantee不能授权他人L

23、iberal DAC:grantee可以授权他人l对象的所有权可否变更？l何人可进行权力的吊销（revocation）？存在的问题l不易控制权限的传递l容易引起权限的级联吊销硕士论文答辩56强制访问控制（MAC）基于安全标记(security labels)l主体(subject)：security clearancel客体(object)：security classification在安全标记集合中定义偏序关系，成为一个格基本策略(s为主体，o为客体，为标记函数)lSimple security property:s可读o-(s)=(o)lLiberal*-property:s可写o-(s

24、)(s)=(o)存在的问题l仅有唯一的管理员，无法实现管理的分层l关系复杂，不易实现硕士论文答辩57RBAC模型中的基本概念(1)用户(U):访问系统中的资源的主体权限(P):对计算机中某些受保护的资源的访问许可角色(R):应用领域内一种权力和责任的语义综合体用户指派(UA):用户集到角色集的多对多关系权限指派(PA):权限集到角色集的多对多关系会话(S):用户每次通过建立会话来激活角色，得到相应的访问权限硕士论文答辩58RBAC模型中的基本概念(2)角色继承关系(RH):角色集上定义的偏序关系l l如果用有向边表示偏序关系，角色集实际上构成了一个角色层次图限制(Constraints):模型

25、中的职责分离关系，用于控制冲突l主要的限制：角色基数限制，角色互斥l根据限制发生的阶段：静态职责分离/动态职责分离122112()()()()rrPermission rPermission rUser rUser r硕士论文答辩59RBAC模型相关研究理论研究通用性:RBAC模型能够模拟DAC和MAC模型组成成分l细化角色概念，优化角色管理l限制的划分与限制描述语言l在RBAC模型中实现代数描述与推理模型扩展l角色代理模型(RBDM)l时序RBAC模型(TRBAC)l分布式RBAC模型(DRBAC)硕士论文答辩60RBAC模型相关研究应用研究RBAC模型实现l多种方法：面向对象，Java，C

26、ORBA等Web上RBAC的实现 Park&Sandhu 2000l两种机制：user-pull/server-pulll三种实现手段：安全cookies，CA，LDAPRBAC应用领域l企业内联网，工作流，卫生保健等RBAC产品l数据库：Oracle，Sybase等l操作系统：Windows，Solaris等lWeb：GetAccess，Tivoli，WebDaemon等硕士论文答辩61RBAC模型内缓存实验设计在WebDaemon系统中进行测试采用TCL公司一天的访问日志作为测试数据未限制缓存容量分别采用数据库和LDAP作为底层平台l数据库：将缓存数据记录在原有表单中lLDAP：采用前面介

27、绍的目录结构对各种缓存策略单独测试性能分析01cTTE 硕士论文答辩62RBAC中间件原子操作示例添加用户 P_AddUser(user)删除用户 P_DeleteUser(user)添加资源 P_AddResource(res)删除资源 P_DeleteResource(res)添加角色 P_AddRole(role)删除角色 P_DeleteRole(role)添加角色继承关系 P_AddInheritance(role1,role2)删除角色继承关系 P_DeleteInheritance(role1,role2)添加用户角色对应关系 P_AddRelationUserRole(user

28、,role)删除用户角色对应关系P_DeleteRelationUserRole(user,role)添加角色资源对应关系P_AddRelationRoleResource(role,res)删除角色资源对应关系P_DeleteRelationRoleResource(role,res)硕士论文答辩63RBAC中间件应用层操作示例添加用户AddUser(user)添加权限 AddPermission(perm)添加角色 AddRole(role)添加角色继承关系1 AddInheritance(prole,crole,bNeedCheck)添加角色继承关系2 AddInheritance(pr

29、ole,crole)添加用户角色对应关系 AddRelationUserRole(user,role)添加角色权限对应关系 AddRelationRolePermission(role,perm)删除用户 DeleteUser(user)删除权限 DeletePermission(perm)删除角色 DeleteRole(role)删除角色继承关系 DeleteInheritance(role1,role2)删除用户角色对应关系 DeleteRelationUserRole(user,role)删除角色权限对应关系 DeleteRelationRolePermission(role,perm)