返回
信息安全概论第14讲

信息安全概论第14讲

ID:44328631

大小:176.50 KB

页数:22页

时间:2019-10-20

信息安全概论第14讲_第1页
信息安全概论第14讲_第2页
信息安全概论第14讲_第3页
信息安全概论第14讲_第4页
信息安全概论第14讲_第5页
资源描述:

《信息安全概论第14讲》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息安全概论第14讲2008年x月y日5.3RBAC模型框架思想RBAC是基于角色的访问控制(RoleBasedAccessControl)的英文缩写。RBAC的基本思想是:将访问权限分配给角色;通过赋予用户不同的决色,授予用户角色所拥有的访问权限。这样访问控制就分成了访问权限和角色相关联以及用户和角色相关联,实现了用户和访问权限的逻辑分离,使得权限管理变得很方便。历史1996年GMU(GeorgeMasonUniversity)的Sandhu等人提出的RBAC96模型1993年NIST开始了RBA

2、C的市场分析并进行了RBAC的原型实现。(一些研究机构在推出新的RBAC模型和基于RBAC的应用。)2000年NIST在RBAC96的基础上提出RBAC参考模型,并在2001年对该模型作了详细的说明。NIST建议将该参考模型作为RBAC标准。5.3RBAC模型框架安全设计原则RBAC可以看作是访问控制模型和安全策略实现的一种框架,通过在用户(主体)和操作(权限)之间加入角色的概念使得访问控制模型的实现得到简化,结合等级和约束来描述各种安全策略。RBAC遵循三个基本的安全原则:最小特权(LeastPr

3、ivilege):引入会话的概念。一个会话中只赋予用户要完成任务所必须的角色,这就保证了分配给用户的特权不超过用户完成其工作所必需的权限;责任分离(SeparationofDuty):用户不能同时拥有互斥的角色,避免产生安全的漏洞,例如一个职员同时得到采购员和出纳两个角色,就可能产生欺骗行为;数据抽象(DataAbstract):除了操作系统中提供的读、写以及执行权限之外,RBAC中可以根据实际应用的需要定义抽象的访问权限,如账号的借款和贷款。作用RBAC作为一种灵活的访问控制策略框架,经过一定的配

4、置它完全可以实现DAC和MAC。5.3.1RBAC介绍角色的概念NISTRBAC参考模型在用户和访问权限之间引入了角色的概念,是其中的一个最关键概念。角色通常表示组织内部人员的职能分工。它的基本特征是根据安全策略划分角色,对每个角色分配一些操作权限;通过为用户指派角色,间接地控制用户对信息资源的访问。角色和操作系统中的组有一定的相似性,但两者的概念有很重要的差别:虽然组也是为了权限管理而设置的,但组主要是指用户的集合,而角色有更加丰富的含义,其本身就与权限有关联。如“财务部长”角色有管理财务数据的权

5、限。角色所拥有的权限以及用户属于哪个角色可以是非自主的,也可以是强制的。参考模型包含4个构件模型——核心RBAC——角色层次——静态职责分离(StaticSOD)——动态职责分离(DynamicSOD)。(RH)RoleHierarchySUPAUAUSERSROLESOPSOBSSESSIONSSSDDSDSAPERMISSIONS图5.2RBAC模型5.3.2核心RBAC核心RBAC是任何基于角色的访问控制的必要构件,定义了五个基本元素集:用户(USERS)角色(ROLES)操作(OPERATI

6、ONS)客体(OBJECTS)权限(PERMISSIONS)(是操作(OPERATIONS)、对象(OBJECTS)的组合)名词解释用户:表示一个实体,可以是一个人、机器人、计算机、计算机网络等。角色:表示组织内部人员的一种职能。权限:用户对特定的信息客体进行特定的操作的许可称为权限。会话:会话(SESSIONS)是用户和激活角色集之间的一个映射。一个会话对应一个用户,一个用户可以建立一个或多个会话。用户可获得权限是用户所有会话所激活的角色被赋予的权限之和。,指定用户到角色间的多对多关系。,指定权限

7、到角色的多对多的关系。,指定会话到角色间的多对多关系。,指定用户到会话间的一对多关系。RBAC由下列四个关系形式化地定义:上述四个关系导出下列的几个映射:角色到用户幂集的映射角色到权限幂集的映射会话到角色幂集的映射用户到会话幂集的映射会话到用户的映射上式中,u是建立会话s的用户,由唯一确定。4.1.2基于传统密码的身份识别技术定义1.所谓核心RBAC,是指定义了上述四个关系的四元组(USERS、ROLES、SESSIONS、PERMISSIONS),且满足对于任意的一个用户u,成立访问控制的最终目的

8、是要得到用户的权限。在核心RBAC中,一个用户u在一次会话中的权限就是该会话的角色集权限的总和,用avail_session_perms(u)表示,即5.3.3角色层次在核心RBAC的基础上可以为角色引入层次(RoleHierarchy,RH)的概念,对应的模型称为层次RBAC。按照层次的不同限制,分为通用(General)层次RBAC和受限(Limited)层次RBAC。RH被认为是RBAC模型中一个主要的方面,在RBAC的产品都应当实现。层次是数学上的偏序集。RH

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。