一种扩展的RBAC模型及其实现机制_刘勇

《一种扩展的RBAC模型及其实现机制_刘勇》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、计算机科学













增刊

‘一种扩展的

模型及其实现机制〕污








山妇



仪






饥祀




妇孙
祀刘勇王建民叶晓俊
清华大学软件学院北京
















’




























,



加

































































































2、














,
































,




















!






已伽











































































!而





























飞









,
,






,







州如玩













,

3、。间的约束角色的层次关系等等
引言因此为了更好地将RBAC模型应用到数据库


的概念在
世纪
年代就已经提,,中提高数据库中权限管理的灵活性增强数据库的,出
但是在此后的二十年中没有引起人们足够的,,安全性本文提出了SRBAC模型为DBMS系统。


重视直到

年




等人正式提出了,中的每个实体设置安全等级标识并给出了S



参考模型
,,这个模型由


RI3AC模型在PostgresqlDBMS上的实现框架和相,,




!
和



四个子模型构成应的权限验证过程。,




是最基本的模型包括角色的

4、授权





。


2SRBAC模型
分配和用户的角色分配
在














概的基础上增加了角色的层次


一般的MAC系统对安全等级的定义只强调对,




在
!∀,。念
的基础上增加了约束
系统资源的归类[’]不适合在RBAC环境下使用。#∃%&∋!∃#(的概念这四个模型之间的关系如图1所,本文参考MAC的访问控制思想提出SRBAC模。示型。,针对数据库中的每个实体系统管理员为其设,RB3定一个安全等级标识用来描述这个实体在DBMSAC,,中的安全等级安全标识越高实体的安全级别越,。高保密程度越高图安全等级

5、标识主要包括角色RBCIRBCZAA,的安全等级标识用户的安全等级标识和客体的安。·全等级标识设置几个安全等级由系统管理员根据RBCOAMS的应用需求来确定。DB,对数据库资源进行访问时系统首先按照安全图1RBAC模型,,等级验证规则对实体间的安全等级进行验证如果,。,1997,aneaa年为了方便角色的管理Nyhm和允许访问则进人具体的权限验证否则拒绝实体n,。osbor等人在RBAC96中引人了管理角色的概的访问请求提示用户安全等级不匹配改进模型,一,。念提出了ARBAC模型[aj其原理和RBAC96完的详细结构如图2所示.。全一致学术界一般将两者一

6、起归结为RBAC参21安全等级的设定和验证考模型。由于RBAC是基于数据库的应用需求而安全等级的设定指的是为系统中每个实体设定,,。。提出的模型如果直接将RBAC应用于数据库中具体的安全等级标识主要由系统管理员来完成,:则无法体现数据库中信息的安全等级无法保护数设定的规则如下,,:据库中的机密信息并且在实际数据库应用中设定规则1系统默认的数据库超级管理员,RBAC模型的许多特性也没有完全实现如角色之SYSTEM和MANAGEWR拥有最高的安全等级,:。。,。。)基金项目国家自然科学基金资助项目(60473077)刘勇硕士王建民教授博士生导师叶晓俊副教授6

7、32aell,:aeaeae-:,简记为lb)即lbll呀lblAlbll“high设定规则3用户创建客体时客体的安全等级t,es这两个系统管理员可以设定系统中所有实体的标识(objec仁!abel)被默认为是当前用户的安全等安全等级标识。级标识(labelZ),即objee仁label=labelZ。用户创:,e设定规则2系统管理员在设定实体安全等级建一个新用户时新增用户的安全等级标识(usr-a,标识(enti卜lbel)时被设定实体的安全等级标识label)默认为当前用户的安全等级标识,:e即usr-不能超过管理,:label=labelZ。员的安

8、全等级标识(db二label)即ae。db、label)entity一lblei