● 摘要
访问控制是信息安全技术的重要组成部分,经历了多个阶段发展。基于角色的访问控制(RBAC: Role-Based Access Control)是一种在复杂的IT环境中简化访问控制的有效机制。传统的RBAC被设计成用于企业内部环境,由安全管理员根据企业制定的安全策略手工为用户指派合适的角色,并手工把权限分配到相应的角色,从而授权用户使用角色的权限。但是现在的应用系统,用户的数量往往比较庞大,用户的职责也容易发生变动。而且待分配的权限的数量也往往比较庞大,企业的安全策略有时也会进行调整。这对安全管理员来说,给用户分配权限的工作量很大,也很乏味且容易出错。Al-Kahtani和Sandhu给出的一个基于属性的用户—角色分配模型,提出了一种根据用户属性自动为用户指派角色的方法。但该模型只自动化了用户到角色的分配,而没有自动化权限到角色的分配。然而目前应用系统中权限的划分越来越细粒度化,待分配的权限的数量越来越大。并且企业对安全的要求越来越高,企业的安全策略调整的频率越来越快。所以,自动化权限到角色的分配也是非常必要的。本文在此基础上,首先,给出了一种根据用户的属性以及权限的属性实现自动授权的模型——ABAA-RBAC(Attribute-Based Auto-Authorization in RBAC)模型:该模型通过用户属性表达式,自动把用户分配给角色;通过权限属性表达式,自动把权限分配给角色。其次,本文对用户以及权限的属性及属性表达式进行了详细的研究: 给出了一套详尽有效的属性表达式及属性表达式优先级的定义; 对模型中用户的属性,尤其是权限的属性进行了详细的定义; 给出了一套完整的属性表达式的XML表达。与已有模型定义的属性、属性表达式以及属性表达式优先级比较,本文的属性、属性表达式以及属性表达式优先级的定义更能满足实际应用。最后,我们设计并实现了一个基于ABAA-RBAC模型的访问控制系统,并把它应用到一个实际的信息系统中,说明了该模型的可行性与必要性。
相关内容
相关标签