权限管理模型分析
1. 概述:
权限控制管理在企业环境中是非常重要的安全问题,企业中的权限控制意味着控制用户对系统资源的读写权限,限制对关键资源的访问,防止非法用户的入侵或者不 合法用户的不慎操作所造成的破坏。目前国内外的权限管理体系有如下几种:
(1) Discretionary Access Control (DAC)自主访问控制方案:在这个方案里,用 户给予访问资源的权限,目标资源根据用户的权限属性来判断他是否有权限执行请求的操作。在该模型中,同一用户对不同的资源对象有不同权限;不同的用户对用 一资源对象有不同的权限;用户能自主地将自己拥有的权限授予其他用户。
缺点:由于DAC模型可以任意传递权限,用户能间接获得本不具有的访问权限,因此DAC模 型的安全性较低,不能给系统充分的数据保护。
(2)Mandatory Access Control(MAC)强制访问控制方案:广泛用于军事系统的 授权方案,在MAC方案中,每个目标由安全标签分级,分级列表指定哪种类型的分级目标对象是可以访问的。访问时,系统先 对用户的访问许可级别和资源对象的密级进行比较,再决定用户是否可以访问资源对象。用户不能改变自身和资源对象的安全级别,只有系统管理员或管理程序才能 控制资源对象和用户的级别。
优点:用户权限的层次结构良好,存取控制相当严格
缺点:灵活性比较差
(3)Role-Based Access Control(RBAC)基于角色的访问控制方案:在简单的RBAC模型中,定义了大量的角色。通常,他 们代表组织中的某种角色,每个角色都给予一组权限,也就是在一定目标上执行一定的操作。每当访问一个目标的时候,用户持有他的角色和目标读取策略判断这个 角色是否可以执行操作。
从企业的角度实现管理访问控制信息的研究包括了建立和更新RBAC的信息、设定角色、构建RH (Role Hierarchy)、URA(User-Role Assignment)和PRA(Permission-Role Assignment),通过判断用户的访问权限允许或者阻止用户访问 公司的信息,访问权限与分配给用户的合适的角色相关。一般的RBAC模型如下图所示:
优点:易于理解、方便管理、责任分散和权限继承等
缺点:
1)这些访问控制模型都是从系统的角度出发保护资源,这样的控制原理没有将操作所处的环境考虑在内,是被动的安全模型,不能记录主体对客体权限的 使用。
2)在角色继承方面,支持角色的全部继承,使得复杂系统中角色粒度小、角色分配复杂、角色很难与实际的岗位职责相对应。
3)在模型动态性方面,不包含角色时间约束,使得模型很难适应随实际动态变化的需求。
4)在权限控制算法方面,大型企业中角色众多,系统中用户角色的分配工作往往由管理员一人承担,这必然造成权限控制的实现算法复杂、管理员负担 重、用户角色的变更不够灵活。
(4)Task Based Access Control(TBAC)基于任务的访问控制方案:
DAC、MAC和RBAC模型关注系统的静态权限控制,从系统的角度(控制环境是静态的)出发保护资源。其授权一般用三元组 (S、O、P)表示,其中S表示主体,O表示客 体,P表示许可。如果存在元组(S、O、P), 则表明S可再O上执行P/许可。否则,S对O无任何 操作许可。三元组均预先定义,并静态地存放在系统中,且始终有效。它们是被动安全模型,不能记录主体对客体权限的使用,权限没有时间限制。这类模型不能满 足时间应用中随实际变化的动态权限需求,容易造成安全隐患。
TBAC模型从应用出发,基于工作流建模。工作流是为完成某一目标而由多个相关人物(活动)构成的业务流程。数据在工作中流动时,执行操作的用户改 变,用户的权限也改变。
TBAC模型的授权一般用五元组(S、O、P、L、AS)来表示,其中S、O、P的意 义同上,L表示生命周期,AS表示授权步。P是授权 步AS所激活的权限,而L则是授权步AS的存 活期限。在授权步AS被触发时,其委托执行者开始拥有执行者许可集中的权限,同时其L开始倒 计时。在生命期中,五元组有效。当生命期终止,既授权步AS被定为无效时,五元组无效,委托执行者所拥有的权限被回收。
优点:根据任务和任务状态的不同,对权限进行动态管理,资源对象的访问权限随着执行任务的上下文环境发生变化。
缺点:管理系统中角色是一个非常重要的概念,TBAC模型不支持角色的层次等级。
(5)Task-Role Based Access Control (T-RBAC)基于任务和角色的访问控制方案:
如前所述,RBAC模型未将任务从角色众抽离,缺乏动态性,无法操控任务的前后权责和时间。TBAC模 型忽略角色,不能体现组织结构和职权关系。
在大型企业系统中通常有着大量的角色、用户和信息资源,管理这些角色、用户、信息资源和它们之间的相互关系对于安全管理员来说是非常困难的。现在的企业, 特别是IT企业,用户通常是围绕一个项目进行任务分配,一旦项目结束,任务也告结束,在新的项目中重新分配权限 给新的任务,这就要保证模型有动态授权的功能。
T-RBAC是一种新的访问控制模型,是从基于任务的角度来实现访问控制的,从任务的角度来建立安全模型和实现安 全机制,在任务处理的过程中提供动态实时的安全管理。
在这个模型中,权限分配给任务,任务再分配给角色,因为任务是商务活动的最小单位。
一般的T-RBAC模型如下图所示:
主要思想:根据企业的层次结构和职权抽象角色,由系统管理员或管理程序关联用户与角色。从角色出发统一调度,分析企业活动中的工作流。对于与工作流无关的 静态权限,利用图形化工具将资源对象授予角色,支持角色的全部和部分继承。针对动态权限,则采用工作流引擎将任务推送给角色。
优点:(1)实现动态访问控制
(2)简化 授权管理
(3)支持 权限的全继承和部分继承,同时支持被动和主动的访问控制。
(4)通过 管理程序,它实现了大量用户和访问客体角色的分配。
(5)能完 成静态权限和动态权限的分配
RBAC与T-RBAC之 间的比较:
(1) T-RBAC中访问权限分配给任务,而RBAC中将访问权限分配给角色。
因为在现实的企业环境中,用户需要有权限执行任务,因此分配访问权限给任务是可行的,只有在执行任务时访问权限被绑定和激活。
(2) 在T-RBAC模型中,权限分配给相关的任务,任务分配给相关的角色,因此T-RBAC中的PTA和TRA就相当于T-RBAC中PRA。T-RBAC模型中的管理员就比较容易知道相对于特定任务的信息对象。
参考文献:
[1] 杨宗凯、李琴、肖宇、许炜《T-RBAC模型在ERP系统中的研究与实现》2007.1
[2 ]金琼峥、杨玉堂、蒋兴浩、李建华《基于T-RBAC的企业权限管理方法》2004.10