摘 要:利用自主访问控制、强制访问控制与角色访问控制策略的特点,依据Constrained RBAC模型,结合静态责任分离关系、动态责任分离与系统实时性要求,利用软/硬件划分的原理,按照角色访问策略将功能适当划分到硬件上,提出实现系统实时性的一些基本方法。
关键词:访问控制;角色访问控制;RBAC模型;软/硬件划分
中图分类号:TP311.11 文献标识码:A 文章编号:1672-7800(2011)10-0024-03
基金项目:四川省科技支撑计划(2009SZ0087)
作者简介:张志杰(1972-),男,四川成都人,西南民族大学计算机科学与技术学院教师,研究方向为人工智能、数字图像处理、模式识别、算法分析等。
1 基本概念
访问控制技术(access control technology,ACT)涉及到3个基本概念,即主体、客体和访问授权,以及授权、访问、权限等相关概念。
其中,主体(Subject)是指一个主动的实体,它包括用户、用户组、终端、主机或一个应用,主体可以访问客体。
客体(Object)是指一个被动的实体,对客体的访问要受控。它可以是一个字节、字段、记录、程序、文件,或者是一个处理器、存贮器、网络接点等。
授权访问(Authorized Access)是指主体访问客体的允许,授权访问对每一对主体和客体来说是给定的。例如,授权访问有读写、执行,读写客体是直接进行的,而执行是搜索文件、执行文件。对用户的访问授权是由系统的安全策略决定的。
在—个访问控制系统中,区别主体与客体很重要。首先由主体发起访问客体的操作,该操作根据系统的授权或被允许或被拒绝。另外,主体与客体的关系是相对的,当一个主体受到另一主体的访问,成为访问目标时,该主体便成为了客体。
访问控制策略(access control policy)是指任何做出访问决定以及对于访问如何控制高层管理策略。其中,访问控制机制与访问控制策略互相独立,允许同一种访问控制策略下的访问控制机制的不同,或者不同访问控制策略中采取相同的访问控制机制。
同时,各种访问控制策略之间并不相互排斥,现存计算机系统中通常都是多种访问控制策略并存,系统管理员能够对安全策略进行配置使其达到安全政策的要求。
访问控制通常有3种策略:①自主访问控制 ( Discretionary Access Control ,简称DAC);②强制访问控制 ( Mandatory Access Control ,简称MAC);③基于角色的访问控制 ( Role-Based Access Control ,简称RBAC)。
1.1 自主访问控制 (DAC)
自主访问控制,又称为随意访问控制,根据用户的身份及允许访问权限决定其访问操作,只要用户身份被确认后,即可根据访问控制表上赋予该用户的权限进行限制性用户访问。使用这种控制方法,用户或应用可任意在系统中规定谁可以访问它们的资源,这样,用户或用户进程就可有选择地与其他用户共享资源。它是一种对单独用户执行访问控制的过程和措施。
由于DAC对用户提供灵活和易行的数据访问方式,能够适用于许多的系统环境,所以DAC被大量采用、尤其在商业和工业环境的应用上。然而,DAC提供的安全保护容易被非法用户绕过而获得访问。例如,若某用户A有权访问文件F,而用户B无权访问F,则一旦A获取F后再传送给B,则B也可访问F,其原因是在自由访问策略中,用户在获得文件的访问后,并没有限制对该文件信息的操作,即并没有控制数据信息的分发。所以DAC提供的安全性还相对较低,不能够对系统资源提供充分的保护,不能抵御特洛伊木马的攻击。
1.2 强制访问控制 (MAC)
与DAC相比,强制访问控制提供的访问控制机制无法绕过。在强制访问控制中,每个用户及文件都被赋予一定的安全级别,用户不能改变自身或任何客体的安全级别,即不允许单个用户确定访问权限,只有系统管理员可以确定用户和组的访问权限。系统通过比较用户和访问的文件的安全级别来决定用户是否可以访问该文件。此外,强制访问控制不允许一个进程生成共享文件,从而访止进程通过共享文件将信息从一个进程传到另一进程。MAC可通过使用敏感标签对所有用户和资源强制执行安全策略,即实行强制访问控制。安全级别一般有4级:绝密级(Top Secret),秘密级(Secret),机密级(Confidential)反无级别级(Unclas sified),其中T>S>C>U。
用户与访问的信息的读写关系将有4种,即:①下读(read down):用户级别人于文件级别的读操作;②上写(write up):用户级别低于文件级别的写操作;③下写(write down):用户级别大于文件级别的写操作;④上读(read up):用户级别低于文件级别的读操作。
上述读写方式都保证了信息流的单向性,显然上读—下写方式保证了数据的完整性(integrity),上写—下读方式则保证了信息的秘密性。
1.3 角色访问控制 (RBAC)
角色访问策略是根据用户在系统里表现的活动性质而定的,活动性质表明用户充当一定的角色,用户访问系统时,系统必须先检查用户的角色。一个用户可以充当多个角色、一个角色也可以由多个用户担任。角色访问策略具有以下优点:①便于授权管理,如系统管理员需要修改系统设置等内容时,必须有几个不同角色的用户到场方能操作,从而保证了安全性;②便于根据工作需要分级,如企业财务部门与非财力部门的员工对企业财务的访问权就可由财务人员这个角色来区分;③便于赋予最小特权,如即使用户被赋予高级身份时也未必一定要使用,以便减少损失。只有必要时方能拥有特权;④便于任务分担,不同的角色完成不同的任务;⑤便于文件分级管理,文件本身也可分为不同的角色,如信件、账单等,由不同角色的用户拥有。
角色访问策略是一种有效而灵活的安全措施。通过定义模型各个部分,可以实现DAC和MAC所要求的控制策略。
2 基于角色的实时访问控制策略
下面进行基于角色的实时访问控制策略的研究。
基于角色的访问控制策略(role based access control,简称RBAC)是目前国际上流行的先进的安全访问控制方法。RBAC通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则。安全管理人员根据需要定义各种角色,并设置合适的访问权限,而用户根据其责任和资历再被指派为不同的角色。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。
由于实现了用户与访问权限的逻辑分离,基于角色的策略极大地方便了权限管理。例如,如果一个用户的职位发生变化,只要将用户当前的角色去掉,加入代表新职务或新任务的角色即可。研究表明,角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,并且给用户分配角色不需要很多技术,可以由行政管理人员来执行,而给角色配置权限的工作比较复杂,需要一定的技术,可以由专门的技术人员来承担,但是不给他们给用户分配角色的权限,这与现实中的情况正好一致。
RBAC可以很好描述角色层次关系,实现最小特权原则和职责分离原则。其中根据2003年American National Standard for Information Technology-Role Based Access Control(BSR INCITS 359)中制定的标准,对于组件(Component)、用户users(USERS)、角色roles(ROLES)、目标objects(OBS)、操作operations(OPS)、许可权permissions(PRMS)等术语进行了定义,同时,规定RBAC的参考模型可以划分为以下几种:Core RBAC、Hierarchical RBAC、Constrained RBAC。
其中Core RBAC模型是实现RBAC的基本模型,实现了session由用户控制,允许动态激活/取消角色,实现最小特权等;session和user分离可以解决同一用户多账号带来的许多问题,如审计、计账等。
Hierarchical RBAC模型是在Core RBAC模型的基础上进行了若干的扩展:定义了角色的继承关系,实现了反映一个组织的授权和责任方式角色的结构化分层,实现了如偏序(partial orders)、自反(reflexive)、传递(transitive)、反对称(anti-symmetric) 等的角色关系。
Constrained RBAC模型则是主要增加了责任分离,用以解决冲突,防止用户超越权限等。提供了两种方法:静态责任分离关系(Static Separation of Duty Relations,简称SSD),动态责任分离(Dynamic Separation of Duty relations,简称DSD),来进行责任分离。
下面是一个标准的Constrained RBAC模型示意图如图1所示。
3 实时性探讨
结合实时性进行考虑,应该如何提高标准Constrained RBAC模型的实时性?要提高系统的实时性,需要结合该Constrained RBAC模型与实时系统的设计原则进行综合考虑,限于篇幅,下面提出几个需要设计时注意的地方:①系统实时性的需求标准:需要根据系统安全需要进行设计,并且制定出量化标准;②系统的实现原理:需要根据系统的设计原理以及特点等,进行实时性的方案设计,这里可以根据系统的需求,按照硬件实时方案、软件实时方案、软硬件实时方案来进行考虑,结合现实情况考虑,这里优先推荐按照Constrained RBAC模型来进行实施;③依据该Constrained RBAC模型中的相关规定来进行实时性的实施。
软/硬件划分(Software/hardware partitioning)是软/硬件协同设计(Software/hardware Co-design)方法的一个关键步骤,主要目标是将系统的功能行为在一定条件约束下优化地分配到系统的软/硬件结构上,其划分结果直接影响到系统的开发效率和质量,这既是计算机系统结构的一个传统问题,也是当前嵌入式系统(尤其可重构计算系统)设计面临的一个新问题。
利用软/硬件划分的原理,可以按照角色访问策略将功能适当划分到硬件上,以提高实时性:①授权管理方式调整,如系统管理员需要修改系统设置等内容时,必须有几个不同角色的用户到场方能操作,从而保证了安全性。这里,可以利用硬件的触发条件机制,只用在所用人员都进行操作时,才能够进行授权范围内操作;②便于根据工作需要分级,如企业财务部门与非财力部门的员工对企业财务的访问权就可由财务人员这个角色来区分;这里,可以利用硬件的中断优先级机制,确保高优先级的工作人员进行操作时,才能够进行授权范围内操作;③便于赋予最小特权,如即使用户被赋予高级身份时也未必一定要使用,以便减少损失。只有必要时方能拥有特权。这里,可以利用硬件的中断优先级机制结合硬件编码,确保高优先级的工作人员在有必要进行操作时,才能够进行授权范围内操作;④便于任务分担,不同的角色完成不同的任务;这里,可以利用硬件编码机制,确保不同的工作人员在有必要进行操作时,也只能够进行授权范围内操作,或者执行权限的操作;⑤便于文件分级管理,文件本身也可分为多个不同的角色,如信件、账单等,由不同角色的用户拥有。这里,可以利用硬件的中断优先级机制结合软件进程分级机制,确保不同的工作人员在有必要进行不同操作时,只能够进行授权范围内操作,其余能够结合软/硬件划分原理的方法还有很多,关键是在系统设计的高度正确进行软硬件功能的划分。
4 结束语
RBAC通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则等方法从而将整个访问控制过程分成两个相对独立部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离,通过抽象,实现了更高的系统安全,并且通过制定其行为规则,使得系统更容易实现与维护。
在系统设计的高度正确地进行软硬件功能的划分,充分利用软/硬件划分的原理,就可以按照角色访问策略将功能适当划分到硬件上,以提高系统的实时性。
参考文献:
[1] PIERANGELA SAMARATI,SABRINA DE CAPITANI DI VIMERCATI.AccessControl:Policies. Models,and Mechanisms,Foundations of Security Analysis and Design[M].Springer,2001.
[2] Matt bishop,Introduction to Computer Security[M].Pearson Education,2005.
[3] American National Standard for Information Technology-Role Based Access Control[S],2003.
[4] MICHAEL J.COVINGTON,MATTHEW J.Moyer,and Mustaque Ahamad,Generalized Role-Based Access Control for Securing Future Applications[C].Proceedings of the National Information Systems Security Conference(NISSC),October 2000.
(责任编辑:周晓辉)
相关热词搜索: 实时 模型 探讨 RBAC
