基于時(shí)間約束的角色訪問(wèn)控制研究

賀貝

（河南工業(yè)貿(mào)易職業(yè)學(xué)院 ，鄭州 450000）

0 引言

在一些組織中，通常需要通過(guò)周期的時(shí)態(tài)檢測(cè)來(lái)限制某些功能的時(shí)效。如，在一個(gè)公司內(nèi)可能會(huì)聘用臨時(shí)職員，公司只授予其在工作時(shí)間內(nèi)獲得權(quán)限，如從上午9點(diǎn)至下午3點(diǎn)，而在此之外的時(shí)間均不能獲得權(quán)限。但傳統(tǒng)的RBAC模型的訪問(wèn)控制弱點(diǎn)在于沒(méi)有把操作主體執(zhí)行操作時(shí)所處的環(huán)境考慮在內(nèi)，且只要主體擁有對(duì)客體的訪問(wèn)權(quán)限，主體就可以無(wú)數(shù)次使用該權(quán)限，這樣容易造成安全隱患。RBAC模型雖然實(shí)現(xiàn)了用戶和權(quán)限的邏輯分離，并遵循“最小特權(quán)原則”，但是非授權(quán)訪問(wèn)并不是一種靜態(tài)行為，而是動(dòng)態(tài)變化的。例如，盜用問(wèn)題，某一盜用者在獲得賬號(hào)的權(quán)限后，為達(dá)到隱蔽的目的，并不是一直使用該賬號(hào)，而是間斷地或偶爾使用。經(jīng)典的RBAC模型沒(méi)有涉及與時(shí)間有關(guān)的約束，無(wú)法控制該非法訪問(wèn)。因此必須引入時(shí)間約束來(lái)完善該模型。這在現(xiàn)實(shí)生活中也經(jīng)常用時(shí)間來(lái)約束行為的有效行使期限，達(dá)到一定的安全目的。比如教師更改學(xué)生考試成績(jī)只能在評(píng)卷給分期間操作，有效期過(guò)后則自然失效。因此，在很多類似的系統(tǒng)中，往往在一個(gè)安全措施上再增加時(shí)間約束，通過(guò)周期的時(shí)間檢測(cè)，限制某些功能的時(shí)效。尤其是具有時(shí)間周期特征或時(shí)間規(guī)律可以用周期的角色許可與非許可來(lái)描述的訪問(wèn)控制方式，都可以用考慮到時(shí)間的RBAC模型來(lái)實(shí)現(xiàn)其角色的授權(quán)訪問(wèn)。

1 角色訪問(wèn)控制模型和時(shí)間約束的角色控制模型

1.1 RBAC模型概述

基于角色的訪問(wèn)控制(Role-based Access Control，RBAC)技術(shù)出現(xiàn)于20世紀(jì)90年代，是一種很有潛力的訪問(wèn)控制技術(shù)。其基本思想是：有一組用戶集和角色集，在特定的環(huán)境里，某一用戶被指定為一個(gè)合適的角色來(lái)訪問(wèn)網(wǎng)絡(luò)資源；在另外一種環(huán)境里，這個(gè)用戶又可以被指定為另一個(gè)的角色來(lái)訪問(wèn)另外的網(wǎng)絡(luò)資源，每一個(gè)角色都具有其對(duì)應(yīng)的權(quán)限，角色是安全控制策略的核心，可以分層，存在偏序、自反、傳遞、反對(duì)稱等關(guān)系。同時(shí)RBAC模型中的各種元素間還可以存在各種約束關(guān)系，包含互斥角色、基數(shù)約束、先決約束、會(huì)話約束、等級(jí)約束。這些豐富靈活的特性使得RBAC模型能很好地滿足大型系統(tǒng)對(duì)復(fù)雜權(quán)限管理的需求。

1.2 時(shí)間約束模型

基于時(shí)間約束模型(temporal role-based access control mo-del，TRBAC)的基本思想是在RBAC模型基礎(chǔ)上通過(guò)周期的時(shí)態(tài)檢測(cè)使角色處于許可和非許可狀態(tài)。我們可以定義其在工作時(shí)間內(nèi)的狀態(tài)為角色許可狀態(tài)，而在此之外的狀態(tài)為非許可狀態(tài)。許可與非許可角色是由時(shí)間來(lái)決定。我們稱一個(gè)用戶在一個(gè)會(huì)話中能夠激活的角色為一個(gè)許可角色(enabledrole)。這種角色許可、非許可之間的轉(zhuǎn)化是通過(guò)角色觸發(fā)器(roletriggers，RT)來(lái)控制的。角色觸發(fā)事件一旦產(chǎn)生則角色觸發(fā)器可以立即執(zhí)行，也可以在一個(gè)明確的說(shuō)明時(shí)間內(nèi)進(jìn)行延遲。通過(guò)賦予許可與非許可活動(dòng)的優(yōu)先級(jí)，來(lái)解決許可與非許可活動(dòng)的沖突。

2 訪問(wèn)控制模型比較關(guān)系及應(yīng)用環(huán)境

我們根據(jù)模型特點(diǎn)將RBAC模型產(chǎn)生以前的訪問(wèn)控制模型與RBAC模型以及帶有時(shí)間約束的RBAC模型的關(guān)系及應(yīng)用環(huán)境描述如圖1所示。在很多實(shí)際應(yīng)用的系統(tǒng)中，往往需要在安全措施上再增加時(shí)間約束，通過(guò)周期的時(shí)間檢測(cè)，來(lái)限定某些功能的時(shí)效。特別是具有時(shí)間周期特征或時(shí)間規(guī)律角色許可與非許可來(lái)描述的訪問(wèn)控制方式，都可以用帶有時(shí)間約束的RBAC模型來(lái)實(shí)現(xiàn)其角色的授權(quán)訪問(wèn)。

圖1 三類模型的關(guān)系示意圖

3 設(shè)計(jì)和實(shí)現(xiàn)

3.1 時(shí)間約束的角色訪問(wèn)控制系統(tǒng)的總體結(jié)構(gòu)

本系統(tǒng)分為部分構(gòu)成(下圖所示)：訪問(wèn)控制服務(wù)器(access control server，ACS)、訪問(wèn)請(qǐng)求過(guò)濾器(access filter server，A F S)、用戶角色及授權(quán)管理器(user and role and authorizationmanagement server，URAS)、角色觸發(fā)器(role trigger，RT)等安全服務(wù)器，用戶庫(kù)、角色庫(kù)、權(quán)限庫(kù)等訪問(wèn)控制信息庫(kù)，以及管理控制臺(tái)。系統(tǒng)的執(zhí)行流程和各部分的功能介紹如下(圖中虛框內(nèi)部)：

1）用戶申請(qǐng)?jiān)L問(wèn)安全子網(wǎng)的應(yīng)用服務(wù)器前首，先向身份認(rèn)證服務(wù)器驗(yàn)證自己的身份和確定角色。

2）身份認(rèn)證通過(guò)后，用戶以角色R向AFS提出應(yīng)用服務(wù)訪問(wèn)請(qǐng)求，AFS收到請(qǐng)求后，取出報(bào)文中的命令，解釋對(duì)應(yīng)操作含義，以及執(zhí)行操作所需權(quán)限，同時(shí)從報(bào)文中取出用戶請(qǐng)求訪問(wèn)的資源名稱。AFS把用戶的角色、時(shí)態(tài)約束、資源以及訪問(wèn)所需的操作權(quán)限等組成的報(bào)文發(fā)送給ACS請(qǐng)求做出訪問(wèn)決策，然后根據(jù)決策結(jié)果決定是否向應(yīng)用服務(wù)器提交用戶的請(qǐng)求。如果決策結(jié)果是否定的或者角色處于非許可狀態(tài)，AFS返回給用戶一個(gè)“操作失敗”或者“角色處于非許可”應(yīng)答報(bào)文。如果決策結(jié)果是肯定的，而且當(dāng)前角色處于許可狀態(tài)，AFS將訪問(wèn)命令報(bào)文轉(zhuǎn)給真正的應(yīng)用服務(wù)器，并負(fù)責(zé)將服務(wù)器的執(zhí)行結(jié)果返回給用戶。

3）訪問(wèn)控制器負(fù)責(zé)基于RBAC的訪問(wèn)控制服務(wù)，包含各約束規(guī)則的驗(yàn)證。

4）角色觸發(fā)器負(fù)責(zé)對(duì)時(shí)態(tài)檢測(cè)，根據(jù)時(shí)態(tài)變化使角色處于許可/非許可的觸發(fā)轉(zhuǎn)換。

5）用戶/角色庫(kù)中保存管理員預(yù)先定義的角色集、每個(gè)用戶所屬的角色。權(quán)限庫(kù)存儲(chǔ)每個(gè)角色對(duì)可訪問(wèn)資源的權(quán)限，包括是否可以訪問(wèn)及執(zhí)行訪問(wèn)操作。

6）角色及授權(quán)管理器與管理界面組成安全管理系統(tǒng)，為網(wǎng)絡(luò)安全管理員提供一個(gè)簡(jiǎn)單的角色及其授權(quán)管理工具(圖2中小虛框內(nèi))。

3.2 系統(tǒng)表設(shè)計(jì)

圖2 訪問(wèn)控制系統(tǒng)的總體結(jié)構(gòu)

前面我們構(gòu)建一個(gè)訪問(wèn)控制系統(tǒng)的總體結(jié)構(gòu)，下面我們針對(duì)應(yīng)用給出系統(tǒng)表設(shè)計(jì)（以學(xué)校為例）。

3.2.1 基本表

用戶要進(jìn)入系統(tǒng)必須經(jīng)過(guò)身份認(rèn)證(用戶賬號(hào)和口令)，則首先建立一張校園網(wǎng)應(yīng)用系統(tǒng)用戶表；一個(gè)學(xué)校包含多個(gè)部門(mén)，基于部門(mén)級(jí)別建立一張部門(mén)表；部門(mén)下面的業(yè)務(wù)級(jí)別就對(duì)應(yīng)一張業(yè)務(wù)表，業(yè)務(wù)也就對(duì)應(yīng)著用戶的崗位職責(zé)，復(fù)合業(yè)務(wù)項(xiàng)應(yīng)將它的各個(gè)子基本業(yè)務(wù)項(xiàng)寫(xiě)進(jìn)表中；然后為校園各部門(mén)建立相應(yīng)的業(yè)務(wù)角色，部門(mén)角色表完成此項(xiàng)功能；適應(yīng)系統(tǒng)需求建立一張合適的權(quán)限表；接著建一張用戶—角色表，將用戶映射成相應(yīng)的角色；再建一張角色—權(quán)限表，為各個(gè)角色分配相應(yīng)的數(shù)據(jù)訪問(wèn)權(quán)限。

3.2.2 約束表

建立關(guān)于約束的表：角色層次關(guān)系表對(duì)應(yīng)模型中的角色層次，使父角色可以繼承子角色；建立角色互斥約束表，支持模型中角色互斥功能；建立功能權(quán)限互斥約束表，支持模型中動(dòng)態(tài)互斥，即權(quán)限分配互斥約束。

3.2.3 時(shí)態(tài)約束表

時(shí)態(tài)約束表中主要實(shí)現(xiàn)角色許可裝置(role enabling baser)，由事件表示和角色狀態(tài)表示組成。

通過(guò)這些表的設(shè)計(jì)可以初步建立基于時(shí)間約束的RBAC的總體框架。

3.3 分析

上面應(yīng)用設(shè)計(jì)是一個(gè)簡(jiǎn)化的設(shè)計(jì)，實(shí)際應(yīng)用中要復(fù)雜得多。而RBAC的一大優(yōu)點(diǎn)在于面對(duì)復(fù)雜應(yīng)用的靈活性和可擴(kuò)展性。在針對(duì)實(shí)際應(yīng)用中要結(jié)合相關(guān)的網(wǎng)絡(luò)技術(shù)，如認(rèn)證、防火墻、入侵檢測(cè)、及計(jì)費(fèi)策略等。畢竟我們的每一個(gè)應(yīng)用都是針對(duì)某一具體的問(wèn)題，需要考慮實(shí)際應(yīng)用中的其他技術(shù)，因此在實(shí)際應(yīng)用中并不能排斥其它技術(shù)的功能。就上面的設(shè)計(jì)討論時(shí)間約束的具體需求的定義及時(shí)間粒度問(wèn)題來(lái)說(shuō)，賬號(hào)用戶許可時(shí)間的定義可以根據(jù)不同的崗位設(shè)置進(jìn)行定義：例角色某有效為1年從2008.8.8～2009.8.8，上班時(shí)間為上午9：00～15：00，那么可以通過(guò)觸發(fā)器中的設(shè)定來(lái)實(shí)現(xiàn)角色許可時(shí)間；至于時(shí)間的粒度問(wèn)題的討論，假定周期的定義中假定以小時(shí)為時(shí)間粒度，如改變時(shí)間粒度(例如要將時(shí)間粒度設(shè)為分鐘)，只需周期表達(dá)式中的日歷進(jìn)行定義即可。時(shí)間粒度的粗細(xì)直接影響到系統(tǒng)的執(zhí)行效率，可視實(shí)際使用需求、系統(tǒng)代價(jià)、安全等級(jí)等具體情況決定時(shí)間粒度。

4 結(jié)束語(yǔ)

本文針對(duì)傳統(tǒng)的角色訪問(wèn)控制中忽略時(shí)間條件的問(wèn)題，提出了帶有時(shí)間約束的角色訪問(wèn)控制策略，給出了具體解決方案：先給出了一個(gè)控制體系的總體結(jié)構(gòu)，后敘述性地給出了系統(tǒng)的表設(shè)計(jì)建議和關(guān)于角色時(shí)間約束以及粒度問(wèn)題的分析。

[1] Ravi Sandhu,Edward Coyne,Hal Feinstein,et al.Role-based access control models[J].IEEE Computer,1996,29(2):38-47.

[2] Ferraiolo D,Sandhu R,Gavrila S,et al.A proposed standard for role-based access control[J].ACM Transactions on Information and System Security,2001,4(3):224-274.

[3] http://csrc.nist.gov/rbac/[EB/OL].

[4] 王帥,熊小華,朱彬.網(wǎng)格中基于角色的訪問(wèn)控制模型研究[J].微計(jì)算機(jī)信息,2008,1-3:133-134.

[5] 李棟棟,譚建龍.基于本體的權(quán)限管理系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2005,31(13):43-45.