基于角色的访问控制的理论及应用研究.ppt

基于角色的访问控制的理论与应用研究 姓 名： 俞 诗 鹏 专 业： 应 用 数 学 方 向：网络信息安全 导 师： 林作铨 教授 2003.6. 本文主要工作 多维RBAC模型及其应用 在理论上扩展RBAC基本模型 RBAC实现的缓存机制 在应用层提高访问控制效率 RBAC模型处理中间件 结合理论层和应用层结果 模块化处理 内容提要 RBAC模型概述 多维RBAC模型及其应用 RBAC实现的缓存机制 RBAC模型处理中间件 结论 内容提要 RBAC模型概述 访问控制与传统模型 RBAC主流模型RBAC96和ARBAC97 多维RBAC模型及其应用 RBAC实现的缓存机制 RBAC模型处理中间件 结论 访问控制 背景 计算机安全中的重要组成部分 存在于操作系统，数据库，Web等各个层面 目标 允许被授权的主体对某些客体的访问 拒绝向非授权的主体提供服务 主要模型 传统模型：自主访问控制(DAC)，强制访问控制(MAC) 新模型：基于角色的访问控制(RBAC) 基于角色的访问控制 背景 主体和客体的数量级增大，传统模型很难适用 Web上的访问控制成为主流研究课题 基本思想 提出“角色”作为授权中介 定义不同层次的访问控制模型用于不同应用背景 利用RBAC模型本身实施模型管理 主流模型 RBAC96：RBAC基本模型 Sandhu et al. 1996 ARBAC97：RBAC管理模型 Sandhu et al. 1997 RBAC主流模型——RBAC96 (1) 分层的RBAC基本模型 RBAC0: 含有RBAC核心部分 RBAC1: 包含RBAC0，另含角色继承关系(RH) RBAC2: 包含RBAC0，另含限制(Constraints) RBAC3: 包含所有层次内容，是一个完整模型 RBAC主流模型——RBAC96 (2) RBAC96模型基本框架 RBAC主流模型——ARBAC97 (1) 基本思想 在RBAC模型内部实现对各部分元素的管理 引入“管理员角色”实施管理 引入“角色区间”刻划管理职责 ARBAC97模型的基本组成部分 URA97: 用户角色指派管理 PRA97: 权限角色指派管理 RRA97: 角色继承关系管理 RBAC主流模型——ARBAC97 (2) ARBAC97模型基本框架 内容提要 RBAC模型概述 多维RBAC模型及其应用 多维RBAC模型MDRBAC 多维RBAC管理模型MDARBAC 多维RBAC模型的实现与应用 RBAC实现的缓存机制 RBAC模型处理中间件 结论 多维RBAC模型的提出 出发点 现有模型中角色的语义不清楚 角色继承关系和限制过于复杂 解决方案 在角色集中引入“角色维数” 概念，细化角色定义 利用角色命名机制简化角色继承关系的查找 多维RBAC模型MDRBAC (1) 类似RBAC96模型的层次关系 在每一层次上扩展RBAC96模型 多维RBAC模型MDRBAC (2) MDRBAC0 若干实体集U(用户集)，P(权限集)，S(会话集) d 个互不相交的实体集 ，称为虚拟角色维，其中的元素称虚拟角色，d 称为角色维数 角色集 R 为各个虚拟角色维的直积，即 ，为多对多的用户角色指派关系 ，为多对多的权限角色指派关系 ，映射每个会话到一个用户 ，映射每个会话到一组角色，有 多维RBAC模型MDRBAC (3) MDRBAC1 U, P, S, VRi , R, UA, PA, user同MDRBAC0 是集合VRi上的一个偏序关系，记为 隐式角色层次 是R上的一个关系，记为 ，有 显式角色层次 是R上的偏序关系，记为 是R上的一个关系，记为 。 当且仅当 ，或 ，或存在 ，有 且 显式角色层次限制条件 作如下改动 多维RBAC模型MDRBAC (4) MDRBAC2 MDRBAC0中的所有元素 一组限制条件，用于刻画MDRBAC0中各元素的组合合法性 限制在MDRBAC2中有更丰富的形式 限制可定义于虚拟角色集上 角色基数可以通过定义虚拟角色基数得到 角色互斥可以定义在虚拟角色集上 多维RBAC模型MDRBAC (5) MDRBAC3 多维RBAC管理模型MDARBAC (1) 基