基于角色访问控制的 理论与应用研究.ppt

1、基于角色的访问控制的理论与应用研究,姓 名： 俞 诗 鹏专 业： 应 用 数 学方 向：网络信息安全导 师： 林作铨 教授2003.6.,2018/7/8,硕士论文答辩,2,本文主要工作,多维RBAC模型及其应用在理论上扩展RBAC基本模型RBAC实现的缓存机制在应用层提高访问控制效率RBAC模型处理中间件结合理论层和应用层结果模块化处理,2018/7/8,硕士论文答辩,3,内容提要,RBAC模型概述多维RBAC模型及其应用RBAC实现的缓存机制RBAC模型处理中间件结论,2018/7/8,硕士论文答辩,4,内容提要,RBAC模型概述访问控制与传统模型RBAC主流模型RBAC96和ARBAC9

2、7多维RBAC模型及其应用RBAC实现的缓存机制RBAC模型处理中间件结论,2018/7/8,硕士论文答辩,5,访问控制,背景计算机安全中的重要组成部分存在于操作系统，数据库，Web等各个层面目标允许被授权的主体对某些客体的访问拒绝向非授权的主体提供服务主要模型传统模型：自主访问控制(DAC)，强制访问控制(MAC)新模型：基于角色的访问控制(RBAC),2018/7/8,硕士论文答辩,6,基于角色的访问控制,背景主体和客体的数量级增大，传统模型很难适用Web上的访问控制成为主流研究课题基本思想提出“角色”作为授权中介定义不同层次的访问控制模型用于不同应用背景利用RBAC模型本身实施模型管理主

3、流模型RBAC96：RBAC基本模型 Sandhu et al. 1996ARBAC97：RBAC管理模型 Sandhu et al. 1997,2018/7/8,硕士论文答辩,7,RBAC主流模型RBAC96 (1),分层的RBAC基本模型RBAC0: 含有RBAC核心部分RBAC1: 包含RBAC0，另含角色继承关系(RH)RBAC2: 包含RBAC0，另含限制(Constraints)RBAC3: 包含所有层次内容，是一个完整模型,2018/7/8,硕士论文答辩,8,RBAC主流模型RBAC96 (2),RBAC96模型基本框架,2018/7/8,硕士论文答辩,9,RBAC主流模型ARB

4、AC97 (1),基本思想在RBAC模型内部实现对各部分元素的管理引入“管理员角色”实施管理引入“角色区间”刻划管理职责ARBAC97模型的基本组成部分URA97: 用户角色指派管理PRA97: 权限角色指派管理RRA97: 角色继承关系管理,2018/7/8,硕士论文答辩,10,RBAC主流模型ARBAC97 (2),ARBAC97模型基本框架,2018/7/8,硕士论文答辩,11,内容提要,RBAC模型概述多维RBAC模型及其应用多维RBAC模型MDRBAC多维RBAC管理模型MDARBAC多维RBAC模型的实现与应用RBAC实现的缓存机制RBAC模型处理中间件结论,2018/7/8,硕士

5、论文答辩,12,多维RBAC模型的提出,出发点现有模型中角色的语义不清楚角色继承关系和限制过于复杂解决方案在角色集中引入“角色维数” 概念，细化角色定义利用角色命名机制简化角色继承关系的查找,2018/7/8,硕士论文答辩,13,多维RBAC模型MDRBAC (1),类似RBAC96模型的层次关系在每一层次上扩展RBAC96模型,2018/7/8,硕士论文答辩,14,多维RBAC模型MDRBAC (2),MDRBAC0若干实体集U(用户集)，P(权限集)，S(会话集)d 个互不相交的实体集 ，称为虚拟角色维，其中的元素称虚拟角色，d 称为角色维数角色集 R 为各个虚拟角色维的直积，即 ，为多对

6、多的用户角色指派关系 ，为多对多的权限角色指派关系 ，映射每个会话到一个用户 ，映射每个会话到一组角色，有,2018/7/8,硕士论文答辩,15,多维RBAC模型MDRBAC (3),MDRBAC1U, P, S, VRi , R, UA, PA, user同MDRBAC0 是集合VRi上的一个偏序关系，记为隐式角色层次 是R上的一个关系，记为 ，有 显式角色层次 是R上的偏序关系，记为 是R上的一个关系，记为 。 当且仅当 ，或 ，或存在 ，有 且显式角色层次限制条件 作如下改动,如果ERH满足ERHC条件，则RH是一个偏序,2018/7/8,硕士论文答辩,16,多维RBAC模型MDRBAC

7、 (4),MDRBAC2MDRBAC0中的所有元素一组限制条件，用于刻画MDRBAC0中各元素的组合合法性限制在MDRBAC2中有更丰富的形式限制可定义于虚拟角色集上角色基数可以通过定义虚拟角色基数得到角色互斥可以定义在虚拟角色集上,2018/7/8,硕士论文答辩,17,多维RBAC模型MDRBAC (5),MDRBAC3,2018/7/8,硕士论文答辩,18,多维RBAC管理模型MDARBAC (1),基本思想DSO管理虚拟角色维SSO继承各DSO角色在虚拟角色维上可实现ARBAC97模型组成部分MDURAMDPRAMDRRA,2018/7/8,硕士论文答辩,19,多维RBAC管理模型MDA

8、RBAC (2),MDURA扩展URA97模型由DSO指定用户在当前虚拟角色集中的分量用户在一个虚拟角色集上的分量容易更改MDPRA扩展PRA97模型MDURA的对偶模型很方便的创建相似的PA关系,2018/7/8,硕士论文答辩,20,多维RBAC管理模型MDARBAC (3),MDRRA扩展RRA97模型粗粒度角色管理：管理虚拟角色集添加删除虚拟角色添加删除虚拟角色继承关系VRHi管理虚拟角色基数和虚拟角色互斥细粒度角色管理：直接管理系统角色集直接添加删除角色添加删除显式角色继承关系ERH直接管理角色基数和角色互斥,2018/7/8,硕士论文答辩,21,多维RBAC模型的实现 (1),目标利

9、用角色名称反映角色语义信息和继承关系减少角色继承关系表RRA的容量实现手段定义虚拟角色名称和角色名称准备工作RRA表格式角色名称1，角色名称2，角色关系 分隔符集,2018/7/8,硕士论文答辩,22,多维RBAC模型的实现 (2),虚拟角色名称在每个虚拟角色集中自顶向下定义单继承：直观定义多继承：需要利用RRA表,RRA:,2018/7/8,硕士论文答辩,23,多维RBAC模型的实现 (3),角色名称将虚拟角色分量的虚拟角色名称组合成角色名称与其向量形式一一对应,2018/7/8,硕士论文答辩,24,多维RBAC模型的实现 (4),应用于WebDaemon系统,2018/7/8,硕士论文答辩

10、,25,多维RBAC模型的实现 (5),WebDaemon系统在TCL公司部署情况角色语义清晰，虚拟角色集容易确定和建立共有3个虚拟角色集，并且很方便修改机构体系，部门管理，数据查询8600多个角色260多个虚拟角色90以上的角色继承关系由角色名称确定系统管理方便，目前仅由单管理员管理,2018/7/8,硕士论文答辩,26,多维RBAC模型的优势,全面扩展了RBAC96和ARBAC97模型它们是多维RBAC模型在维数为1的特殊情形切分角色语义，符合直观，易于创建角色可实现粗细结合、不同粒度的模型管理基本呈树状结构的角色层次图适合采用多维RBAC模型角色名称定义可极大改善系统性能,2018/7/

11、8,硕士论文答辩,27,内容提要,RBAC模型概述多维RBAC模型及其应用RBAC实现的缓存机制RBAC模型外缓存RBAC模型内缓存RBAC模型内缓存的实现RBAC模型处理中间件结论,2018/7/8,硕士论文答辩,28,RBAC模型的缓存机制,背景角色层次过深导致权限查询效率低下历史查询数据有利于预测后续查询,2018/7/8,硕士论文答辩,29,RBAC模型外缓存,由外部访问控制程序维护缓存仅能缓存用户权限对应必须手动更新,2018/7/8,硕士论文答辩,30,RBAC模型内缓存 (1),RBAC模型内缓存示意图,2018/7/8,硕士论文答辩,31,RBAC模型内缓存 (2),在RBAC模型内部实现缓存机制独立于外部应用程序可实现缓存自动更新和细粒度更新可以缓存细粒度的内容缓存用户权限对应缓存用户指派缓存权限指派缓存角色继承关系,