1. 概述:
權限控制管理在企業環境中是非常重要的安全問題,企業中的權限控制意味着控制用戶對系統資源的讀寫權限,限制對關鍵資源的訪問,防止非法用戶的入侵或者不 合法用戶的不慎操作所造成的破壞。目前國內外的權限管理體系有如下幾種:
(1) Discretionary Access Control (DAC)自主訪問控制方案:在這個方案裏,用 戶給予訪問資源的權限,目標資源根據用戶的權限屬性來判斷他是否有權限執行請求的操作。在該模型中,同一用戶對不同的資源對象有不同權限;不同的用戶對用 一資源對象有不同的權限;用戶能自主地將自己擁有的權限授予其他用戶。
缺點:由於DAC模型可以任意傳遞權限,用戶能間接獲得本不具有的訪問權限,因此DAC模 型的安全性較低,不能給系統充分的數據保護。
(2)Mandatory Access Control(MAC)強制訪問控制方案:廣泛用於軍事系統的 授權方案,在MAC方案中,每個目標由安全標籤分級,分級列表指定哪種類型的分級目標對象是可以訪問的。訪問時,系統先 對用戶的訪問許可級別和資源對象的密級進行比較,再決定用戶是否可以訪問資源對象。用戶不能改變自身和資源對象的安全級別,只有系統管理員或管理程序才能 控制資源對象和用戶的級別。
優點:用戶權限的層次結構良好,存取控制相當嚴格
缺點:靈活性比較差
(3)Role-Based Access Control(RBAC)基於角色的訪問控制方案:在簡單的RBAC模型中,定義了大量的角色。通常,他 們代表組織中的某種角色,每個角色都給予一組權限,也就是在一定目標上執行一定的操作。每當訪問一個目標的時候,用戶持有他的角色和目標讀取策略判斷這個 角色是否可以執行操作。
從企業的角度實現管理訪問控制信息的研究包括了建立和更新RBAC的信息、設定角色、構建RH (Role Hierarchy)、URA(User-Role Assignment)和PRA(Permission-Role Assignment),通過判斷用戶的訪問權限允許或者阻止用戶訪問 公司的信息,訪問權限與分配給用戶的合適的角色相關。一般的RBAC模型如下圖所示:
優點:易於理解、方便管理、責任分散和權限繼承等
缺點:
1)這些訪問控制模型都是從系統的角度出發保護資源,這樣的控制原理沒有將操作所處的環境考慮在內,是被動的安全模型,不能記錄主體對客體權限的 使用。
2)在角色繼承方面,支持角色的全部繼承,使得複雜系統中角色粒度小、角色分配複雜、角色很難與實際的崗位職責相對應。
3)在模型動態性方面,不包含角色時間約束,使得模型很難適應隨實際動態變化的需求。
4)在權限控制算法方面,大型企業中角色衆多,系統中用戶角色的分配工作往往由管理員一人承擔,這必然造成權限控制的實現算法複雜、管理員負擔 重、用戶角色的變更不夠靈活。
(4)Task Based Access Control(TBAC)基於任務的訪問控制方案:
DAC、MAC和RBAC模型關注系統的靜態權限控制,從系統的角度(控制環境是靜態的)出發保護資源。其授權一般用三元組 (S、O、P)表示,其中S表示主體,O表示客 體,P表示許可。如果存在元組(S、O、P), 則表明S可再O上執行P/許可。否則,S對O無任何 操作許可。三元組均預先定義,並靜態地存放在系統中,且始終有效。它們是被動安全模型,不能記錄主體對客體權限的使用,權限沒有時間限制。這類模型不能滿 足時間應用中隨實際變化的動態權限需求,容易造成安全隱患。
TBAC模型從應用出發,基於工作流建模。工作流是爲完成某一目標而由多個相關人物(活動)構成的業務流程。數據在工作中流動時,執行操作的用戶改 變,用戶的權限也改變。
TBAC模型的授權一般用五元組(S、O、P、L、AS)來表示,其中S、O、P的意 義同上,L表示生命週期,AS表示授權步。P是授權 步AS所激活的權限,而L則是授權步AS的存 活期限。在授權步AS被觸發時,其委託執行者開始擁有執行者許可集中的權限,同時其L開始倒 計時。在生命期中,五元組有效。當生命期終止,既授權步AS被定爲無效時,五元組無效,委託執行者所擁有的權限被回收。
優點:根據任務和任務狀態的不同,對權限進行動態管理,資源對象的訪問權限隨着執行任務的上下文環境發生變化。
缺點:管理系統中角色是一個非常重要的概念,TBAC模型不支持角色的層次等級。
(5)Task-Role Based Access Control (T-RBAC)基於任務和角色的訪問控制方案:
如前所述,RBAC模型未將任務從角色衆抽離,缺乏動態性,無法操控任務的前後權責和時間。TBAC模 型忽略角色,不能體現組織結構和職權關係。
在大型企業系統中通常有着大量的角色、用戶和信息資源,管理這些角色、用戶、信息資源和它們之間的相互關係對於安全管理員來說是非常困難的。現在的企業, 特別是IT企業,用戶通常是圍繞一個項目進行任務分配,一旦項目結束,任務也告結束,在新的項目中重新分配權限 給新的任務,這就要保證模型有動態授權的功能。
T-RBAC是一種新的訪問控制模型,是從基於任務的角度來實現訪問控制的,從任務的角度來建立安全模型和實現安 全機制,在任務處理的過程中提供動態實時的安全管理。
在這個模型中,權限分配給任務,任務再分配給角色,因爲任務是商務活動的最小單位。
一般的T-RBAC模型如下圖所示:
主要思想:根據企業的層次結構和職權抽象角色,由系統管理員或管理程序關聯用戶與角色。從角色出發統一調度,分析企業活動中的工作流。對於與工作流無關的 靜態權限,利用圖形化工具將資源對象授予角色,支持角色的全部和部分繼承。針對動態權限,則採用工作流引擎將任務推送給角色。
優點:(1)實現動態訪問控制
(2)簡化 授權管理
(3)支持 權限的全繼承和部分繼承,同時支持被動和主動的訪問控制。
(4)通過 管理程序,它實現了大量用戶和訪問客體角色的分配。
(5)能完 成靜態權限和動態權限的分配
RBAC與T-RBAC之 間的比較:
(1) T-RBAC中訪問權限分配給任務,而RBAC中將訪問權限分配給角色。
因爲在現實的企業環境中,用戶需要有權限執行任務,因此分配訪問權限給任務是可行的,只有在執行任務時訪問權限被綁定和激活。
(2) 在T-RBAC模型中,權限分配給相關的任務,任務分配給相關的角色,因此T-RBAC中的PTA和TRA就相當於T-RBAC中PRA。T-RBAC模型中的管理員就比較容易知道相對於特定任務的信息對象。
參考文獻:
[1] 楊宗凱、李琴、肖宇、許煒《T-RBAC模型在ERP系統中的研究與實現》2007.1
[2 ]金瓊崢、楊玉堂、蔣興浩、李建華《基於T-RBAC的企業權限管理方法》2004.10
