本站原创摘 要 :基于角色的访问控制在信息管理系统应用时缺少对分级授权的支持.多级访问控制模型在基于角色的访问控制模型基础上,使用角色树表现角色的层次关系,将用户域、角色域和许可域组合为管理域来限定分级授权的操作范围,实现了权限在角色树上的逐级分发,支持信息管理系统的分级授权要求.
关 键 词 :访问控制;多级模型;角色树;管理域;许可
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2014)22-5167-03
1.概述
访问控制的目的在于防止非法用户进入系统和合法用户对系统资源的非法使用[1] .为达到这个目的,访问控制常以用户身份认证为前提,在此基础上实施各种访问控制策略来控制和规范合法用户在系统中的行为[2].基于角色的访问控制(RBAC)模型及其扩展模型是现在应用最广泛的访问控制模型[3],简化了各种环境下的授权管理,将访问权限分配给角色(Role),用户担任一定角色,角色是相对稳定的,角色实际上是与特定工作岗位相关的一个权限集.当用户改变时只需要进行角色的撤销和分配.RBAC模型分离了权限与用户的耦合关系,将权限关联在角色上.用户通过扮演适当的角色获得合适的权限.这样可以有效简化权限管理的内容和步骤.
基于RBAC模型作为一种访问控制方法,在信息系统中得到广泛应用.但是在大型系统中RBAC的管理过程非常复杂,单纯RBAC不能满足系统的访问控制分级管理的要求.尤其在信息系统中存储和管理大量企业单位的敏感数据,一旦这些数据被泄露或窃取,会给带来难以弥补的损失[4].传统的委任全局的、单一的、完全可信的系统管理员来管理整个系统的访问控制,会致使系统安全存在隐患.同时在企业运营中常需要对组织部门和人员工作调整,相应地需要修改系统中访问控制主体和权限的关系.而系统管理员不可能了解调整内容,相应的授权工作就要滞后,而且修改后也不一定能准确反映调整状态,常需要多次补充修改,这导致授权效率较低,影响正常的业务工作进程.该文在RBAC模型基础上进行扩展,建立有效地分级授权管理机制,从技术和效率两方面加以考虑,满足信息访问控制管理要求.
2.访问控制管理
随着企业信息化水平的提高,大量数据纳入信息系统管理的范畴,访问控制是保证数据的一致性和安全性的基础.如何对访问控制的主体、客体和授权进行管理,尤其是进行分级授权,即由上级领导对下级员工进行访问控制的管理成为必须的功能.
ARBA在RBAC模型基础上定义独立的“管理角色”实施RBAC的管理操作.SARBAC[5]在角色层级基础上定义了“管理范围”来界定管理角色的控制范围.但是由于引入新的管理角色,除了维护原有系统角色,还要在对管理角色进行控制,这实际将权限管理问题变得更为复杂.Li[6]建立UARBAC模型提出“RBAC管理RBAC”的方式,将用户和角色看作客体,使用统一的方式描述访问权限和管理权限,明确操作的管理域,有利于通过委托实现分散授权.刘伟[7]指出由于隐式授权导致UARBAC管理操作存在缺陷,角色层次是隐式授权产生的一个因素.
上述的访问控制模型和方法满足了信息系统对访问控制中主客体多样性的管理要求,但是由于增加了授权主体和客体的种类,相对增加了管理的复杂性,实际应用中虽然方法可行,但管理效率较低.对于信息统访问控制模型的分级管理方面,还缺少有效的模型和方法.
3.多级访问控制管理模型
为了解决信息系统中访问控制管理的问题,适当简化授权工作量,提高权限管理效率,该文提出了基于角色的多级授权管理模型(Multi-Hierarchies Role-Based Access Control,MH- RBAC).MH-RBAC在尽量减少引入新的建模元素、简化应用的前提下,完善了访问主体的层次结构,支持多级权限管理关系,增强了信息系统访问控制的适应性.
3.1 MH-RBAC定义
MH-RBAC模型结构如图1所示.各部分定义如下:
用户([U]),角色([R]),操作([OPS]),许可([P])和关系[UA],[PA]的定义与NIST RBAC标准模型一致.
[TRR×R]:角色树(Role Tree)表示角色集合上的一个树形关系.
[ASr等于
[AOPS]:管理操作(Administrate Operation)授权管理操作的集合,包括[TR]和[AS]的维护等操作.
[PA]:管理许可(Administrate Permission),进行管理操作所需要的权限许可集合,[PA∈P].
3.2 MH-RBAC层次模型
3.2.1 角色树
在RBAC模型中访问主体包括角色和用户两种粒度,授权只针对角色进行.角色层次定义了角色之间的继承关系.[RHR×R]是角色[R]上的偏序关系,如[r1r2]表示角色[r1]继承角色[r2],即角色[r1]具有[r2]的所有权限,所有[r1]的用户同时是[r2]的用户.角色层次是表示角色关系的一种方法,反映组织的权利和职责.在角色层次中高级角色位于顶部,低级角色位于底部. 图2(a)是一个典型的角色层次图.
角色层次的定义指出高级角色通过继承的形式获得低级角色的权限,这就意味着基于角色层次的授权是自下而上的过程.角色[r]的权限集合可以表示为:
在角色层次中低级别的角色首先获得权限许可,高级别的角色通过继承间接获得.可以看到当删除角色[r]时,等级高于[r]的所有角色(记为[↑r])会自动失去继承自角色[r]的所有权限.所以在角色层次中高级角色依赖低级角色的授权,这与信息系统中高级角色管理低级角色进行分级授权的要求相矛盾.角色层次中存在多继承关系,这样虽然可以简化角色的数量,但在分级授权中意味着一个角色会同时被多个父角色管理,在应用中必然引发权限授予回收等操作冲突. 为了解决这个问题,该文建立了角色树.角色树是一个树形的角色层次.在角色树中除了根角色没有父角色外,其他角色有且只有一个父角色.角色树中角色之间不再是继承关系,而是自上而下的包含关系,如图3所示,为了实现树形约束,将角色APE分为两个独立角色APE1和APE2.在角色树中若角色[r1]等级高于[r2],记为[r1>r2].
在角色树中没有角色重用的概念,取消间接继承的许可,赋予角色的权限许可都直接与角色关联,许可之间根据角色树自上而下约束.若[r1>r2],则[θ(r1)>θ(r2)],其中[θ(r)]表示赋予角色[r]的所有许可集合.角色树的层次约束会增加权限回收的操作步骤,但是从根本上支持了主体分级授权模式.由于角色继承需要在运行时递归计算继承权限的合集,而角色树没有递归计算的步骤,因此访问执行效率较高.而权限访问操作频率要远远高于控制操作,因此角色树将整体上提高系统的执行效率.
3.2.2 管理域
管理域[AS]定义了一个可以被用户管理的角色、用户和权限许可的集合.可以表示为三元组[
[RS]:角色域表示可以被角色[r]管理的角集,这个子集由角色树[RT]约束,是[RT]的以[r]根的子树.[RSr等于{s∈R:s [US]:用户域表示可以被角色[r]授权的用户集合,由[↑r]指定并受[↑r]的用户域约束.[r1 [PS]:表示可以被角色[r]分发的所有许可的集合,为了提高MH-RBAC的应用效率,避免过于复杂的管理域再管理操作,规定[PSr等于PDA(r)].[r]的用户都具有将本角色具备的所有许可分发给低级角色[↓r]的权利. 可以看到,若角色[r]是管理角色,则其[RS]和[PS]根据角色[r]在[TR]中的上下文信息自动生成,[US]需要由上级角色用户手工指定. 定理1 管理域是一个偏序集合,若管理域[AS(r1)]等级低于[AS(r2)],记为[ASr1≤AS(r2)], [ASr1≤ AS(r2)RSr1 RS(r2)∧USr1 US(r2)∧PSr1PS(r2)]. 显然,管理域的偏序关系实际依赖角色树中角色的偏序关系,[r1≤r2 ASr1≤ AS(r2)],即低级角色的管理域等级低于高级角色的管理域. 基于管理域的角色分级授权管理过程,遵循以下两个约束规则: 1) [r∈R,u∈U∧u,r∈UA→uUS(r)∧US(↓r)],表示用户[u]不能管理自身,也不能被子级角色的用户管理. 2) [r,r'∈R∧r≥r'∧u,r∈UA→u,r'UA],表示用户[u]不能被授予比自身角色等级低的其他角色.这个约束保证最少授权原则,同时保证同一用户的管理域不会嵌套也不会相交,一个管理域内发生的权限管理操作不会影响其他域. 3.2.3 管理许可 在MH-RBAC模型中,具有管理许可[PA]的角色称为管理角色.管理角色[rA]的用户可以在[rA]管理域范围内进行管理操作.一个用户可以授予多个管理角色并在一次会话中同时被激活,但一次只能在一个管理域内进行管理操.用户[u]可以在角色[r]执行操作的许可条件为: [adminpermsu,r等于p∈PA|r'∈R,r'≥r∧u,r'∈UA∧r',p∈PA] 管理许可与其他一般许可一样可以被授予给管理域中的任意角色,也可基于角色树传递,即[PA∈PDA(r)→PA∈PS(r)].通过这种管理许可的传递实现权限的分级下发,从而实现分级授权的需求. 4.结论 基于RBAC模型作为一种访问控制方法,在信息系统中得到广泛应用.但是在大型信息管理系统中对于角色和权限管理过程非常复杂,传统的RBAC不能满足分级授权的管理要求.多级访问控制模型在基于角色的访问控制模型基础上,使用角色树表现角色的层次关系,定义了管理域来限定分级授权的操作范围,实现了权限在角色树上的逐级分发,从而支持信息管理系统的分级授权需求.