RBAC管理模型的分析与设计.doc

RBAC管理模型的分析与设计 　　摘要:访问控制是一种重要的信息安全机制。文中系统地分析了访问控制技术、基于角色的访问控制模型和RBAC管理模型定义,总结了它们的特性。设计了RBAC管理系统,该系统试图解决现有RBAC管理之中存在的问题, 具有很强的通用性。 　　关键词:访问控制;基于角色的访问控制模型(RBAC);RBAC管理模型;RBAC管理系统 　　中图分类号:TP311文献标识码:A 文章编号:1009-3044(2010)08-1903-03 　　Analysis and Design of RBAC Management Model 　　XIAO Yan, LIANG Shao-hua 　　(Computer Science College, Yangtze University, Jingzhou 434023, China) 　　Abstract: Access cont role is an important information security mechanism. In this article, systematic analysis of the access control technology, role-based access control model and the definition of RBAC management model, conclusion of the characteristics. RBAC administration system designed in this paper, which tries to resolve the existing problems in RBAC administration,it has very high universal. 　　Key words: access control; role-based access control model (RBAC); RBAC administrative model; RBAC administration system 　　随着网络技术的发现,各种计算机犯罪事件不断的增加,网络安全的形势也变得日益严峻。因此,在我们进行信息共享和资源访问的同时,必须兼顾到系统的安全性,而访问控制正是一种通过约束用户访问行为而达到对敏感信息进行隔离目的的安全服务和机制。 　　访问控制对于主机系统和设计与开发安全操作系统的重要性已勿庸置疑,而在网络这样一种分布式环境下如何对资源进行保护,对用户行为进行约束,同样是一个值得研究的重要课题。在基于角色的访问控制模型(role―based access control,RBAC)出现之前,自主式访问控制策略(Discretionary Access Control, DAC) [1]和强制式访问控制策略(Mandatory Access Control, MAC) [2]是两种比较常用模型。并且它们在现实中都有具体的应用,然而随着计算机网络的快速发展和应用系统规模的不断扩大,这两种传统的访问控制模型已经无法适应新的应用环境,它们都无法提供一种策略中立、具有强扩展性的访问控制框架。 　　RBAC模型就是在此种情况下被提出来的。它其实是一种强制访问控制模型,通过引入了一种抽象的中介元素--角色,来传递授权信息,从而提供了足够的灵活性和扩展性[3]。它克服了上述两种策略的一些缺点,在解决大型企业的统一资源访问控制的问题上得到了较为灵活的体现。 　　1 基于角色的访问控制RBAC96模型 　　由NIST定义的标准RBAC模型,即RBAC96模型由4个部件模型组成:基本模型RBAC0(Core RBAC)、角色分级模型RBAC1(Hierarchy RBAC)、角色限制模型RBAC2(Constraint RBAC)和统一模型RBAC3(Combines RBAC)。RBAC96模型间的层次关系如图1所示。 　　RBACO定义了构成RBAC系统的最小元素集合。如图2。 　　在RBAC0中,包含用户users、角色roles、对象objects、操作operations、许可权permissions五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。会话sessions是用户与激活的角色集合之间的映射。 　　RBAC0与传统访问控制的主要差别是在用户与权限之间增加了一层,间接的带来了灵活性,RBAC1、RBAC2、RBAC3都是先后在RBAC0上的扩展。 　　RBAC1加入了对角色层次关系的描述,适用于角色需要从另外的角色继承权限的情况;角色层次RH(Role Hi