一種動態(tài)RBAC模型研究.pdf

1、訪問控制是網(wǎng)絡(luò)安全技術(shù)中一個重要的研究領(lǐng)域。傳統(tǒng)的訪問控制機(jī)制如自主型訪問控制和強(qiáng)制型訪問控制，隨著應(yīng)用環(huán)境逐漸復(fù)雜，已遠(yuǎn)遠(yuǎn)不能滿足現(xiàn)代系統(tǒng)安全的需求。基于角色的訪問控制RBAC(Role-Based AccessControl)在系統(tǒng)中引入了角色的概念，去除了用戶與資源之間關(guān)系的直接耦合，強(qiáng)調(diào)了訪問控制中抽象的重要性，增加了系統(tǒng)在制定訪問控制策略與管理時的靈活性。 然而，傳統(tǒng)的RBAC模型中并沒有說明系統(tǒng)管理員如何為用戶分

2、配和撤銷角色，實現(xiàn)中往往采用了手工的靜態(tài)方式來完成，導(dǎo)致的結(jié)果是企業(yè)管理成本的增加。為解決上述問題，基于規(guī)則的角色訪問控制模型RB-RBAC(Rule-Based RBAC)，在RBAC模型中引入了規(guī)則的概念，通過規(guī)則采用隱式的方法為用戶分配相應(yīng)的角色，系統(tǒng)管理員的工作可以由規(guī)則來自動的完成一部分。但，上述模型中共同的問題是，對角色的定義過于寬泛，角色所代表的語義不明確，角色既要體現(xiàn)企業(yè)的邏輯結(jié)構(gòu)又要反映系統(tǒng)的安全策略，然而這兩個部分在

3、企業(yè)中變化的程度是不同的，企業(yè)的邏輯結(jié)構(gòu)在很長一段時間內(nèi)是不會變化的，因為它涉及到企業(yè)業(yè)務(wù)功能的部署；另一方面，隨著企業(yè)應(yīng)用環(huán)境的變化，比如，新的用戶和新的資源的引入，企業(yè)需要新的安全策略來應(yīng)對。這種變化程度上的矛盾，需要對現(xiàn)有模型進(jìn)一步改進(jìn)和擴(kuò)展。 本文在研究了已有諸多RBAC模型的基礎(chǔ)上，進(jìn)一步對RBAC模型進(jìn)行了擴(kuò)展。重新定義了模型中角色的概念，在用戶一角色分配方式上借鑒了基于規(guī)則的角色訪問控制；在角色一權(quán)限的分配上，為了

4、適應(yīng)安全策略的靈活動態(tài)的調(diào)整，引入了上下文的概念。不僅具有基于規(guī)則的角色訪問控制模型已有的特性，此外，還考慮了用戶和系統(tǒng)資源本身的狀態(tài)，并建立了權(quán)限動態(tài)轉(zhuǎn)移的機(jī)制，增強(qiáng)了訪問控制系統(tǒng)中的靈活性與動態(tài)性，為系統(tǒng)的決策者和安全管理員在實施安全策略時，提供了一種較為全面的參考模型。 本文主要工作如下： ◆ 對傳統(tǒng)訪問控制機(jī)制和模型做出總結(jié)，其中包括自主型訪問控制、強(qiáng)制型訪問控制和基于角色的訪問控制，并分析了它們各自的特性與存

5、在的弊端。 ◆ 介紹了基于規(guī)則的角色訪問控制，總結(jié)了該模型的缺點，為下面本文的改進(jìn)模型提供一種思考方式。 ◆ 在基于規(guī)則的角色訪問控制基礎(chǔ)上，對現(xiàn)有的角色訪問控制模型進(jìn)行了擴(kuò)展。首先明確界定了系統(tǒng)安全管理員的工作，區(qū)分了組織的邏輯結(jié)構(gòu)與訪問控制兩個不同的考慮范圍。然后，重新定義了角色的概念，引入了上下文的概念，在此基礎(chǔ)上給出了一個改進(jìn)的基于上下文的角色訪問控制的基本模型。根據(jù)這個基本模型，給出了一個建議性的實現(xiàn)模型，