网络与系统安全实验报告

网络与系统安全实验报告

学号：3120604050 姓名：文廷宝

班级：信安1202

指导老师：李晓薇

时间：2015—3—28

1 RBAC系统实验

1.1 用户角色管理实验

【实验目的】

基于角色访问控制(RBAC)的核心思想是将权限同角色关联起来，而用户的授权则通过赋予相应的角色来完成，用户所能访问的权限就由该用户所拥有的所有角色的权限集合的并集决定。

用户角色管理实验的目的是使实验者了解用户与角色的概念、角色在RBAC系统中的作用与地位、用户指派（User Assignment）管理等，角色之间继承、限制等逻辑关系，并通过这些关系影响用户和权限的实际对应。

【实验预备知识点】

1、什么是访问控制？

2、什么是访问控制的主体和客体?

3、什么是RBAC中的用户？

4、什么是RBAC中的角色？

【实验步骤】

1、获取角色列表。

首先打开IE浏览器，输入实验网址，打开用户角色管理实验页面（如图1-1所示）；点击[1]刷新角色列表按钮，获取系统默认角色。若与服务器交互成功，系统日志栏将会有提示信息。鼠标移动到功能列表区“提示”标记上时，用户将会看到系统帮助。

图1-1 用户角色管理实验页面

2、显示角色图。

点击显示角色图按钮，系统将生成当前状态下角色关系层次图，并以弹出窗口的形式打开。请暂时关闭浏览器的阻止弹出窗口选项。角色图如图1-2所示。按钮上的[*]标记提醒用户可以在任意时刻刷新角色图，查看当前的系统角色继承关系。

图1-2 角色层次图

3、添加新角色。

用户可以根据角色图在某一节点上添加新的角色作为其子节点。点击[添加新角色按钮]将弹出添加角色的面板，如图1-3所示。系统根据实际应用场景，规定角色层次中最高级[第5级]只能有一种角色，即CEO，故新添加的角色只能是它的子孙角色，角色等级在4级或以下。

图1-3 添加新角色

用户只需选择要继承的父角色，系统自动判断新的角色的级别，并在角色等级中项中显示出来。用户填写角色名称后，点击[添加]按钮，即完成角色的添加。若取消添加，请点击[取消]按钮。添加成功后，系统自动刷新角色列表，用户可以看到新添加的角色已经在列表中。

实验中，用户要模拟公司新设培训部门，故需要增加以下三个角色：

[1] 培训部主管–父角色：CEO –等级4；

[2] 培训部教师–父角色：培训部主管–等级3；

[3] 培训部学员–父角色：培训部教师–等级2。

添加成功后，请重新打开角色层次图，查看添加结果是否正确。

[注] 在重新打开角色图之前，请关闭上一次打开的角色图。

[注] 在RBAC中，角色的删除非常复杂，本实验系统暂时不提供该功能，如果您角色添加错误，请关闭浏览器，重新进入实验。

4、角色申请。

前几步操作用户都是以管理员的身份进行的。现在用户要模拟实际系统中普通使用者的身份，申请角色。随后会有角色的审批和应用过程。在RBAC系统中，一个用户可以拥有若干个角色，分别应用到不同场景中。

若要申请角色，用户请勾选角色前的复选框。然后点击[申请角色]按钮。操作成功后，系统日志将会有提示信息。

本实验中，请用户先申请研发部中HPC项目经理和培训部教师角色。CEO的角色前的复选框是不可用的，此目的是用户了解RBAC中“角色基数”的概念，该角色的角色基数为1，即只能有一个用户申请该角色。本实验模拟的场景中该角色已经被占用。

5、角色审批。

在提交了申请的角色后，用户要模拟“系统管理员角色”进行角色审批。用户可以批准列表中一个或多个角色。单击[批准]按钮完成审批。在后面两个实验中，用户可能要返回本实验，进行更多角色的申请和审批。

本实验中，请先批准开发部和培训部中的角色。不能同时批准开发部和销售部的角色，因为这两个部门之间的角色存在“角色互斥”关系。至此，用户角色管理实验基本完成。

图1-4 角色审批

【实验思考题】

1、RBAC中的角色是如何划分的？

角色是由系统管理员定义，角色的增加与删除丶角色权利的增加和减少等管理工作都是有系统管理员完成，所以角色是由系统管理员定义和划分的。

2、什么是“角色互斥”关系？

3、什么是“角色基数限制”？

4、什么是管理员角色？

1.2 角色权限管理实验

【实验目的】

角色权限管理实验的目的是使实验者了解访问权限在RBAC中的类型、权限指派(Permission Assignment)的原理和权限的继承关系，并了解某个角色权限的变动对其他角色的影响。

【实验预备知识点】

1、什么是角色和用户组的区别？

2、什么是权限指派？

【实验步骤】

1、获取角色列表。

默认情况下，系统会自动刷新角色列表，并显示在左侧拦内。而权限列表栏默认情况下会显示最高级角色(CEO)的所有权限，如图1-5所示。

图1-5 角色权限管理实验示意图

2、查看指定角色的权限。

当用户单击可用角色列表中的某一个表项时，该表项会高亮显示，并在右侧权限列表栏

显示该角色的所有权限。

用户可以注意到角色的权限分为两类：自身拥有权限和继承权限。继承权限即指该角色继承于其所有子节点的权限。可以看到，顶级角色CEO的权限是最多的。

现在我们要给第一个实验中审批的角色指派角色：

请按照功能列表旁的提示给HPC项目经理角色添加对资源(1)HPC 组开发文档的读写权限，给培训部教师角色添加新技术培训计划书和新技术培训教案两个资源的读写权限，如图1-6所示。至此，用户权限管理实验暂时告一段落。

图1-6 为培训部教师角色指派权限

【实验思考题】

1、能不能限制继承权限，即不允许父角色继承子角色部分或全部权限。

2、RBAC中权限与访问类型的区别

图1-5 角色权限管理实验示意图

2、查看指定角色的权限。

当用户单击可用角色列表中的某一个表项时，该表项会高亮显示，并在右侧权限列表栏显示该角色的所有权限。

用户可以注意到角色的权限分为两类：自身拥有权限和继承权限。继承权限即指该角色继承于其所有子节点的权限。可以看到，顶级角色CEO的权限是最多的。

现在我们要给第一个实验中审批的角色指派角色：

请按照功能列表旁的提示给HPC项目经理角色添加对资源(1)HPC 组开发文档的读写权限，给培训部教师角色添加新技术培训计划书和新技术培训教案两个资源的读写权限，如图1-6所示。至此，用户权限管理实验暂时告一段落。

图1-6 为培训部教师角色指派权限

【实验思考题】

1.能不能限制继承权限，即不允许父角色继承子角色部分或全部权限。

2、RBAC中权限与访问类型的区别