返回
带有时间约束的角色访问控制研究

带有时间约束的角色访问控制研究

ID:33955752

大小:76.46 KB

页数:3页

时间:2019-03-02

带有时间约束的角色访问控制研究_第1页
带有时间约束的角色访问控制研究_第2页
带有时间约束的角色访问控制研究_第3页
资源描述:

《带有时间约束的角色访问控制研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、带有时间约束的角色访问控制研究刘正红(吉林匸商学院信息「-程分院,吉林长春130062)摘咯在RBAC模型中,通过引入角色层次简化了用户和授权的复杂关系,近些年来RBAC模型得到广泛应用并F1趋完善,但不能进行时间约朿的授权,在实际应用中比较受限,本文对RBAC访问控制模型进行时间上的扩展,來处理众多应川屮普遍涉及的与时间有关的工作,给出了角色授权的时间概念和相应的时间约束,处理两种典型的带有时间约束的角色访问控制,给出了连贯和周期两种扩展模型,并详细分析了与时间有关的访问控制的关键。关键字:信息安全;访问控制;角色;吋间约束引言随着计算机的发展,信息管理已经渗透到我们牛

2、活,在我们的办公坏境屮数据无处不在,数据迅速积累给我们提供便利,同时给我们的管理也带来巨人挑战,角色访问控制为用八捉供了权限的解决方案。实际应用中的一部分访问并不是一种静态行为,而是动态变化的。比如:我们有一些工作需要在不同处理阶段对不同级别的用户动态的授予权限,有一些工作需要周期性的在指定的时间内被某种角色的用户完成,经典的RBAC模型没有涉及与时间有关的约束,无法控制非法访问,因此必须引入时间约束來完善该模型。本文专注解决此类问题,对RBAC模型进行时间约束上的扩展,对不同阶段的不同角色实现更安全可靠的授权管理。木文包括以下几个方面的工作:1给出角色授权的时间概念;2

3、给出带有时间约束的扩展模型RBACT;3对授权过程的关键技术进行分析。1RBAC模型1.1RBAC模型简介美国国家标准与技术研究院(NTST)在参考RBAC96模型的棊础上于2000年捉出NTSTRBAC参考模型.N1ST标准RBAC模型由4个部件模型组成[1],分别是基本模型RBACO(coreRBAC)、角色分级模型TheRBAC1(hierarchalofRBAC)>角色限制模型RBAC2(constraintRBAC)和统一模型RBAC3(combinesRBAC).其中RBACO是棊本核心模型,表示对支持RBAC系统的最小需求.RBAC1是在RBACO的基础上加

4、上了角色层次体系,反映了多级安全需求.RBAC2是在RBACO的棊础上加上了约束集合.RBAC3是RBAC1的功能和RBAC2的功能的集合,RBAC模型根据约束条件的不同有如下四个等级[2]o1.2RBAC的特点:(1)访问权限与角色相关联,不同的角色有不同权限。(2)角色继承。⑶最小权限原则,即指用户所拥冇的权力不能超过他执行工作时所需的权限。(4)职责分离。(5)角色容量。在一个特定的吋间段内,有一些角色只能由一淀人数的用户占用。RBAC支持3个著名的安全原则:蝕小权限原则、责任分离原则[3]和数据抽象原则.敲小权限原则可以通过将角色配置成其完成任务所需要的最小的权限

5、集而体现.责任分离原则可以通过调用相互独立互斥的角色來共同完成敏感的任务而体现.数据抽象原则可以通过权限的抽象來体现.1.1RBAC中的授权约束RBAC模型屮,授权约束可以分为静态授权约束(SAC)和动态授权约束(DAC)两类。静态授权约朿(SAC):用户不能被指定给一个冲突集合中的两个或者多个角色;动态授权约束(DAC):用户不能同时激活一个冲突角色集合中的两个或多个角色。.2角色授权的时间概念在实践中有两种典型的需要时间介入的访问控制情形,一种是某一事务需要不同角色在不同阶段进行相应处理,其中伴随着授权转换和激活新的授权,处理完毕的权限收回。比如办公自动化中的请假事务

6、,需要申请人向部门领导提岀请求,超过一定时限的还需要上报主管部门,或者财务报销制度里需要报销人申请,部门领导、财务部门、主管领导审批等层级屮请,每一个阶段部有时间长度的限制,相邻阶段需要动态授权,特点是该事务在不同角色的时间序列里,我们称Z为连贯时间约束;还冇一类是操作对象冇明显的时效性,比如教师阅卷并提交成绩,超市里定期打折促销,此种情形的特点是某一种角色在一定的吋间周期里会垂复相同的动作,我们称之为周期时间约束。2.1连贯时间约束[4]根据约束时间特征,连贯吋间约束可分为激活时间范围约束、激活时间长度约束和吋间范围内激活时间氏度约束3类。•激活时间范围约束规定用户、角

7、色或者权限只能在特定时间范围内可以激活。•激活时间长度约朿规定用八、角色或者访问许可毎次只可以激活不超过一个固定长度的时间范围。对用该类约束限制某些很重要的操作或权限以防因激活时间过长阳被盗用并产生严重示果的可能。•时间范围内激活时间氏度约束规定用户、角色或者访问许可在一定的时间范围内的累计激活时间不超过一个规定的上限。2.2周期时间约朿周期时间约束[5]的基本思想是通过对周期时间P进行检测,在〈[起始时间,结朿时间],P>约束下,角色触发事件一旦产生,则角色触发器可立即执行,也可在一个明确的时间内延迟执行,通过赋予许可活动的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。