基于任务的访问控制模型
合集下载
一种军用的基于任务-角色的访问控制模型
维普资讯
第3 卷 第 2 期 2 3
0 3 r。2 t
・
计
算 机
工 程
20 年 l 06 2月
De e e 0 6 c mb r2 0
No2 .3
Co mp trEn i e rn u e gn e i g
安全技术 ・
一
文 ■ l o — 4 ( 6 3 o 5 3 文 标 码。 章 号 0 3 8呻 )_ 1 一 1 o 22 2 _ 6 献 识 A
角色 的访 问控制策 略(_ B C结合 了基于角色(B C和基于任务(B C访 问控制 的优点 ,应 用性 很广。在分析 了强制访问控制思想后 , TR A ) RA ) TA)
-
将其 引入基于任务- 角色的访问控制模型中 ,构建了一种军用 的基于任务- 角色的访 问控制模型 ,并对模 型的性能作 了简要分析
[ bt c]Tetdtnl adtr acs cn o t gd MA )w i eki m nueait adfx iy cnnt t e e A s at h aioa m na y ces ot lr ey( C, h hi w a aevr ly n ei l ,a o f li t r r i o r a c s n b i l b i t w ln h i
t s r l b sd a c s o t l a e y( BA a k o e a e c esc n o g d T R r t r C) ih c mbn s d a t e f o B n B a o d pa t a i t. e s i t f whc o ie v n a so t R AC a d T AC h s g o r ci bl y T pr a g bh a c i h i o
第3 卷 第 2 期 2 3
0 3 r。2 t
・
计
算 机
工 程
20 年 l 06 2月
De e e 0 6 c mb r2 0
No2 .3
Co mp trEn i e rn u e gn e i g
安全技术 ・
一
文 ■ l o — 4 ( 6 3 o 5 3 文 标 码。 章 号 0 3 8呻 )_ 1 一 1 o 22 2 _ 6 献 识 A
角色 的访 问控制策 略(_ B C结合 了基于角色(B C和基于任务(B C访 问控制 的优点 ,应 用性 很广。在分析 了强制访问控制思想后 , TR A ) RA ) TA)
-
将其 引入基于任务- 角色的访问控制模型中 ,构建了一种军用 的基于任务- 角色的访 问控制模型 ,并对模 型的性能作 了简要分析
[ bt c]Tetdtnl adtr acs cn o t gd MA )w i eki m nueait adfx iy cnnt t e e A s at h aioa m na y ces ot lr ey( C, h hi w a aevr ly n ei l ,a o f li t r r i o r a c s n b i l b i t w ln h i
t s r l b sd a c s o t l a e y( BA a k o e a e c esc n o g d T R r t r C) ih c mbn s d a t e f o B n B a o d pa t a i t. e s i t f whc o ie v n a so t R AC a d T AC h s g o r ci bl y T pr a g bh a c i h i o
基于任务和角色访问控制模型分析与研究
访问控制模型的适用范围各有不 同, 提出后备种模型一直不断发展 。 尤其是 R A , B C至今仍在不断 B CT A
收稿 日 g 0 ∞ 一l 期 2 6一 0 O t盒硬 目- 5北电力大学博士科研启动 基金 。 国家 自然科学基 金 (oo06 。 6 53l) 国家 自 然科学基金重大项 目(0931 . 6462 )
提高信息系统的安全性、 通用型和实用性 , 通过结合R A 及T A 模型各自的优点, B C BC 提出了一个新型的
访问控制模型T B t T k o B e ce Cnr )描述了T B C模型结构和特点, R A (a —Rl a dAcs ot 1 。 s e s s o RA 阐述了模型 对最小权限原则、 职权分离原则、 数据抽象原则及角色层次关系的支持。 并指出将来工作的主要目 标。 关 t 词: 角色; 权限; 基于任务和角色的访问控制 文献标识码: A 中田分类号:T 3l P 0
际应用中常常是建立基于行 ( 主体 ) 或列( 客体 ) 的访问控制方法 。
D C主要用在商业和工业计算机系统中 J A 。 尽管 D C已在许多系统 中得以实现 ( U L ) 然而 A 如 NX , D C的一个致命弱点是 : A 访问权 限的授予是可以传递 的。 一旦访问权 限被传递 出去将 难以控制 , 问权 访
要: 近年来 R A ( o —BsdA cs C nr ) T A (ak—B e ce ot 1 模 型 B C Rl e a ces ot 1 及 B C Ts e o s a dAcs Cnr ) s o
得到广泛的研究。 在比较了一些现有访问控制模型的各 自特点和适用范围, 针对现有模型的不足。 为了
非法用户对任何资源( 如计算机资源、 通信资源或信息资源) 进行未授权的访问及合法用户对系统资源 的非法使用。 所谓未授权的访问包括未经授权的使用 、 泄露、 修改、 以及颁发指令等。 销毁 访问控制直接
收稿 日 g 0 ∞ 一l 期 2 6一 0 O t盒硬 目- 5北电力大学博士科研启动 基金 。 国家 自然科学基 金 (oo06 。 6 53l) 国家 自 然科学基金重大项 目(0931 . 6462 )
提高信息系统的安全性、 通用型和实用性 , 通过结合R A 及T A 模型各自的优点, B C BC 提出了一个新型的
访问控制模型T B t T k o B e ce Cnr )描述了T B C模型结构和特点, R A (a —Rl a dAcs ot 1 。 s e s s o RA 阐述了模型 对最小权限原则、 职权分离原则、 数据抽象原则及角色层次关系的支持。 并指出将来工作的主要目 标。 关 t 词: 角色; 权限; 基于任务和角色的访问控制 文献标识码: A 中田分类号:T 3l P 0
际应用中常常是建立基于行 ( 主体 ) 或列( 客体 ) 的访问控制方法 。
D C主要用在商业和工业计算机系统中 J A 。 尽管 D C已在许多系统 中得以实现 ( U L ) 然而 A 如 NX , D C的一个致命弱点是 : A 访问权 限的授予是可以传递 的。 一旦访问权 限被传递 出去将 难以控制 , 问权 访
要: 近年来 R A ( o —BsdA cs C nr ) T A (ak—B e ce ot 1 模 型 B C Rl e a ces ot 1 及 B C Ts e o s a dAcs Cnr ) s o
得到广泛的研究。 在比较了一些现有访问控制模型的各 自特点和适用范围, 针对现有模型的不足。 为了
非法用户对任何资源( 如计算机资源、 通信资源或信息资源) 进行未授权的访问及合法用户对系统资源 的非法使用。 所谓未授权的访问包括未经授权的使用 、 泄露、 修改、 以及颁发指令等。 销毁 访问控制直接
一个基于任务和双权角色的访问控制模型
R H
2 B C中没有 时序 的概念 , )R A 无法直 接表达 同一 任务 的不 同授权 角色间的执行顺序 问题 。 为有效解决 以上两个 问题 , 者提 出基于任务 和双权角色 作 的访问控制模 型 T WR A D B C。在角色和权 限之 间引入 “ 任务 ” 来弥补两者 在抽 象层 次上 的差 别 , 决 了第一 个问题 。本文 又 解 在文献[ ] 3 的基础 上提 出了“ 双权 ” 即角色 的激活次数 权值 和 ,
图 2 D B C模型 T WR A
鉴 于篇 幅限制 , 这里只 给出在 R A B C模 型定义 的基础 上增 加及改 动的相关定义 。 1 : ) 表示任务 , 由一 系列授权 操作组成 , 它 一个 任务 可 以 包含 多个子任务 , 一个任务可以 由一个用 户完成 , 也可 以由多个
陈 佳 丁祥武
( 华 大 学 计算 机 科 学 与 技 术 学 院 东 上 海 20 5 ) 0 0 1
摘 要
RA B C在工作流访 问控制 的应用 中很难合理 地为角 色配置权 限, 而且无法表 达复杂 的工作流访 问控制 约束 。在 R A BC
中引入任务和权 的概念来 解决 上述 两个 问题 , 出基 于任务和双权角色 的模 型 T WR A 给 出模 型的定义和相关算法。 提 D B C,
Kew rs y od
A cs cn o R l T k We ces ot l o a r e s i  ̄t
0 引 言
基于角色的访问控制 R A B C是近年访 问控制领域 的一大热 点 。N S IT于 20 年制 定 了 R A 01 B C标 准 J根 据该标 准访 问权 , 限不再直接授予用户而是授予角色 , 简化 了安全管理工作 RA B C方面的相关 研究 也很 多 , 如将 属性 证书 与 R A B C结 合 , 利用 R A B C实现对 X ML文档 的安全访 问控制 等 。而本 文主要研究 R A B C对工作流的安全访问控制。 RA B C在用于工作 流访 问控制上存 在以下两个 问题 : 1 )角色与权限在抽 象层 次上 的不 同带来权 限配置 上的 困
2 B C中没有 时序 的概念 , )R A 无法直 接表达 同一 任务 的不 同授权 角色间的执行顺序 问题 。 为有效解决 以上两个 问题 , 者提 出基于任务 和双权角色 作 的访问控制模 型 T WR A D B C。在角色和权 限之 间引入 “ 任务 ” 来弥补两者 在抽 象层 次上 的差 别 , 决 了第一 个问题 。本文 又 解 在文献[ ] 3 的基础 上提 出了“ 双权 ” 即角色 的激活次数 权值 和 ,
图 2 D B C模型 T WR A
鉴 于篇 幅限制 , 这里只 给出在 R A B C模 型定义 的基础 上增 加及改 动的相关定义 。 1 : ) 表示任务 , 由一 系列授权 操作组成 , 它 一个 任务 可 以 包含 多个子任务 , 一个任务可以 由一个用 户完成 , 也可 以由多个
陈 佳 丁祥武
( 华 大 学 计算 机 科 学 与 技 术 学 院 东 上 海 20 5 ) 0 0 1
摘 要
RA B C在工作流访 问控制 的应用 中很难合理 地为角 色配置权 限, 而且无法表 达复杂 的工作流访 问控制 约束 。在 R A BC
中引入任务和权 的概念来 解决 上述 两个 问题 , 出基 于任务和双权角色 的模 型 T WR A 给 出模 型的定义和相关算法。 提 D B C,
Kew rs y od
A cs cn o R l T k We ces ot l o a r e s i  ̄t
0 引 言
基于角色的访问控制 R A B C是近年访 问控制领域 的一大热 点 。N S IT于 20 年制 定 了 R A 01 B C标 准 J根 据该标 准访 问权 , 限不再直接授予用户而是授予角色 , 简化 了安全管理工作 RA B C方面的相关 研究 也很 多 , 如将 属性 证书 与 R A B C结 合 , 利用 R A B C实现对 X ML文档 的安全访 问控制 等 。而本 文主要研究 R A B C对工作流的安全访问控制。 RA B C在用于工作 流访 问控制上存 在以下两个 问题 : 1 )角色与权限在抽 象层 次上 的不 同带来权 限配置 上的 困
基于任务-角色的访问控制模型研究
—
BAC d l ec mp r d a d t ea v t g so t eT& mo esa o a e d a a e f r n h n h p p lry su id rc n l, i su id i tn i ey t r s n l r p s dT R o u a l d e e e t t y s t d e e s l , wop e e t p o o e n v y RBAC mo e i a ay e . Atl t e e a i r v u g sin r ep o s dt h eT&R d ls n ls d s s a v r l mp o e s g e t sa d o r p e ot o BAC mo e, a i r v mo e i u l a d d l n mp o e d d l sb i n t d f e o mal . e n df r l i y
维普资讯
第 2 卷 第 4 8 期
V01 28 .
No 4 .
计算 机 工 程 与 设 计
Co p trE gn eiga dDe i n m u e n ie r n
A src:T ecr n sa hi ces ot l raia a zd T erl-ae ces o t l t tg ( B C , tet kb sd b tat h ur teer acs. nr e l e . h ebsdacs nr r ey R A ) h s-ae e r c n c oa sn y o c o sa a a es o t lt tg c s n o s a y c r r e (B ) a d o o e v l be ces o t lt t e t d c d ut . e to g t h rc r t s T AC n me t r au la s- nr r e a i r u e cry T ih u hs s h a c osa g r n o y l h r ,c aat i i e sc ( R AC ,whc T B ) i i hs
BAC d l ec mp r d a d t ea v t g so t eT& mo esa o a e d a a e f r n h n h p p lry su id rc n l, i su id i tn i ey t r s n l r p s dT R o u a l d e e e t t y s t d e e s l , wop e e t p o o e n v y RBAC mo e i a ay e . Atl t e e a i r v u g sin r ep o s dt h eT&R d ls n ls d s s a v r l mp o e s g e t sa d o r p e ot o BAC mo e, a i r v mo e i u l a d d l n mp o e d d l sb i n t d f e o mal . e n df r l i y
维普资讯
第 2 卷 第 4 8 期
V01 28 .
No 4 .
计算 机 工 程 与 设 计
Co p trE gn eiga dDe i n m u e n ie r n
A src:T ecr n sa hi ces ot l raia a zd T erl-ae ces o t l t tg ( B C , tet kb sd b tat h ur teer acs. nr e l e . h ebsdacs nr r ey R A ) h s-ae e r c n c oa sn y o c o sa a a es o t lt tg c s n o s a y c r r e (B ) a d o o e v l be ces o t lt t e t d c d ut . e to g t h rc r t s T AC n me t r au la s- nr r e a i r u e cry T ih u hs s h a c osa g r n o y l h r ,c aat i i e sc ( R AC ,whc T B ) i i hs
一种基于任务和角色的访问控制模型及其应用
收稿日期:2005-05-13基金项目:江苏省高校指导性项目(Q2118042)作者简介:景栋盛(1981—),男,江苏苏州人,硕士研究生,研究方向为计算机安全、CSCW ;杨季文,教授,研究方向为中文信息处理等。
一种基于任务和角色的访问控制模型及其应用景栋盛,杨季文(苏州大学计算机科学与技术学院,江苏苏州215006)摘 要:近年来RBAC (Role -Based Access Control )及TBAC (Task -Based Access Control )模型得到广泛的研究。
文中比较了一些现有访问控制模型的各自特点和适用范围,针对现有模型的不足,为了提高系统的安全性、通用型和实用性,通过结合RBAC 及TBAC 模型各自的优点,提出了一个新型的访问控制模型T -RBAC (Task -Role Based Access Control )。
描述了T -RBAC 模型结构和特点,阐述了模型对最小权限原则、职权分离原则、数据抽象原则及角色层次关系的支持,给出了模型在协同编著系统中的一个应用和将来工作的主要目标。
关键词:基于角色的访问控制;基于任务的访问控制;基于任务和角色的访问控制中图分类号:TP309 文献标识码:A 文章编号:1005-3751(2006)02-0212-03A Model of T ask -RoleB ased Access Control and Its ApplicationJ IN G Dong 2sheng ,YAN G Ji 2wen(Computer Dept.of Suzhou University ,Suzhou 215006,China )Abstract :The research work of RBAC (role -based access control )and TBAC (task -based access control )is greatly emphasized in re 2cent years.This paper compares the characteristics and applicability spectrum of some recent models.To the deficiency of the existing model ,in order to improve the security ,compatibility and practicability of application systems ,through combining the advantages of RBAC and TBAC model ,a new -type model ,T -RBAC (-role based access control ),is discussed.The configuration and character 2istics of the model is described.The support of least privilege ,separation of duties ,data abstraction and roles hierarchies in the model is explained.An application of the model in computer supported cooperative system and the main goal of future research is presented.K ey w ords :RBAC ;TBAC ;T -RBAC0 引 言访问控制在ISO74982里是网络安全服务5个层次中的重要一层。
基于用户-角色-任务的多约束访问控制模型
产 品全 生命 周 期 管 理 P L M( P r o d u c t L i f e c y c l e Ma n a g e me n t ) 系统 ,是现 今 普遍 应 用在 企 业信 息化 中 的数据管理 软件.该系 统可 以完 整地实 施业务 中所包 含 的所有解 决方案,有 效地将人 、信息 和过程整 合起 来, 进 而作 用于 企业 中.也就是 说,通过 该软件 平 台, 企业用户 可 以将与产 品相关 的概念 设计 、信 息创 建、 研发 、资源管理和 使用产 品的信 息等在产 品全 生命周
a c c u r g ni a z a t i o n e n t e r p r i s e . An d t h e mo d e l of C- URTBAC wa s p u t f o r wa r d. Th e mo de l a d o p t e d he t
C・ URTBAC Mo de l i n t he Pe r mi s s i on M a na g e me nt
YA o Lu. S H ENG Bu - Yu n
( C o l l e g e o f Me c h a n i c a l &E l e c t r i c a l E n g i n e e r i n g, Wu h a n U n i v e r s i t y o f T e c h n o l o g y , Wu h a n 4 3 0 0 7 0 , C h i n a )
i d e a o f he t l e v e l — t o — l e v e l ma n a g e me n t o f u s e r s nd a t r a n s mi s s i o n o f p e r mi s s i o n s i n t h e s u b j e c t a n d o b j e c t . I t c o u l d r e a l i z e
基于角色和任务的访问控制模型
第2 2卷 第 3期
21 0 0年 9月
常 州 大 学 学报 ( 自然科 学版 )
J u n 1 f a g h u Un v r i ( t r 1 ce c i o ) o r a O Ch n z o i e st Na u a in eEd t n y S i
Vo . .3 1 22 No
摘 要 :分 析 了 基 于 角 色 的访 问控 制 ( AC)模 型和 基 于任 务 访 问 控 制 ( B RB T AC)模 型 的 原 理 和 不 足 之 处 ,提 出 了一 种 基 于 基 色 和 任 务 的 访 问控 制模 型 ( R AC 。模 型 中描 述 了用 户 、角 色 、权 限许 可 等 要 素 问 的指 派 关 系 和 该 模 型 的 动 、 静 态 约 束 规 T— B )
r l .Th n c m b n n h o e m a a e e ta d t s a a e n ,i r a i e h s ra c s o t o y U ue e o i i g t e r l n g m n n a k m n g me t t e l s t e u e c e se n r 1 — z b n tn h y a c a d s a i i h s i a l ,t e d v c a a e e ts s e i i g t e d n mi n t t rg t .F n l i c y h e ie m n g m n y t m n ERP i h f r a i n a — n t e i o m tRP系统 中 ,将分 散 、混
R AC的优 点 是 便 于 授 权 管 理 ,便 于 职 责 分 B 离 ,从 系 统 的角度 ( 控制 环境 是静 态 的) 出发保护 资 源 ,缺 陷是 它没 有将 执行操 作所 处 的上下 文环境 考虑 在 内 ,这样 容 易造成 安全 隐患 。TB AC是从 任 务执 行 的角度来 建立 安全 模 型 ,对 象 的访 问权 限 随
21 0 0年 9月
常 州 大 学 学报 ( 自然科 学版 )
J u n 1 f a g h u Un v r i ( t r 1 ce c i o ) o r a O Ch n z o i e st Na u a in eEd t n y S i
Vo . .3 1 22 No
摘 要 :分 析 了 基 于 角 色 的访 问控 制 ( AC)模 型和 基 于任 务 访 问 控 制 ( B RB T AC)模 型 的 原 理 和 不 足 之 处 ,提 出 了一 种 基 于 基 色 和 任 务 的 访 问控 制模 型 ( R AC 。模 型 中描 述 了用 户 、角 色 、权 限许 可 等 要 素 问 的指 派 关 系 和 该 模 型 的 动 、 静 态 约 束 规 T— B )
r l .Th n c m b n n h o e m a a e e ta d t s a a e n ,i r a i e h s ra c s o t o y U ue e o i i g t e r l n g m n n a k m n g me t t e l s t e u e c e se n r 1 — z b n tn h y a c a d s a i i h s i a l ,t e d v c a a e e ts s e i i g t e d n mi n t t rg t .F n l i c y h e ie m n g m n y t m n ERP i h f r a i n a — n t e i o m tRP系统 中 ,将分 散 、混
R AC的优 点 是 便 于 授 权 管 理 ,便 于 职 责 分 B 离 ,从 系 统 的角度 ( 控制 环境 是静 态 的) 出发保护 资 源 ,缺 陷是 它没 有将 执行操 作所 处 的上下 文环境 考虑 在 内 ,这样 容 易造成 安全 隐患 。TB AC是从 任 务执 行 的角度来 建立 安全 模 型 ,对 象 的访 问权 限 随
基于角色和任务的工作流访问控制管理模型
复 杂 , 限 制 了它 的 应 用 . 而
目前 , 企业 当 中应用 较 多的是 TR AC模 型 , RB 在 B T AC在 TB AC 的基 础上 引入 角 色 , 使得 用 户 与任 务 分离 , 户通 过角色 获取 任务 , 用 从而解 决 了 R AC只能 静态 授权 的问题 和 T AC淡化 角色 的缺陷 , B B 同时方便
访 问控制 问题 已经成 为制 约企业 信息 系统进 一步 发展 的重要 因素 , 用何 种 访 问控 制 机制 来 满足 信息 采
系 统资源 的安 全需求则 成为 当前 网络 系统 的主要 研究 方 向. 目前 , 提 出 的 访 问 控 制 模 型 有 很 多 种 , 矩 阵 已 如
模型、 自主访 问控制 ( i rt n r cs o to, D s ei ayAcesC n rlDAC 模 型 、 制访 问控 制 ( n ao yAcesC nrl c o ) 强 Ma d tr cs o to , MA ) 型 、 于角 色的访 问控 制( oeB sdAcesC n rlR AC) C模 基 R l a e cs o to, B 模型 、 门面 向工 作 流系统 的基 于任 专
AR A B C模 型 中的 管 理 思 想 融 入 T AC 模 型 , 出 一 种 基 于 角 色 和 任 务 的 工 作 流 访 问控 制 管 理 模 型 RB 提 ( ATR AC) 可 以更好 地满 足工 作流 系统安 全访 问控 制 的需 求. B ,
1 现 有 访 问控制 的不 足
中 图分 类号 :TP3 1 1 l . 文 献 标 志 码 :A 文 章 编 号 :1 0 —8 3 ( 0 1 0 —0 8 -0 0 1 7 5 2 1 )2 1 7 4
目前 , 企业 当 中应用 较 多的是 TR AC模 型 , RB 在 B T AC在 TB AC 的基 础上 引入 角 色 , 使得 用 户 与任 务 分离 , 户通 过角色 获取 任务 , 用 从而解 决 了 R AC只能 静态 授权 的问题 和 T AC淡化 角色 的缺陷 , B B 同时方便
访 问控制 问题 已经成 为制 约企业 信息 系统进 一步 发展 的重要 因素 , 用何 种 访 问控 制 机制 来 满足 信息 采
系 统资源 的安 全需求则 成为 当前 网络 系统 的主要 研究 方 向. 目前 , 提 出 的 访 问 控 制 模 型 有 很 多 种 , 矩 阵 已 如
模型、 自主访 问控制 ( i rt n r cs o to, D s ei ayAcesC n rlDAC 模 型 、 制访 问控 制 ( n ao yAcesC nrl c o ) 强 Ma d tr cs o to , MA ) 型 、 于角 色的访 问控 制( oeB sdAcesC n rlR AC) C模 基 R l a e cs o to, B 模型 、 门面 向工 作 流系统 的基 于任 专
AR A B C模 型 中的 管 理 思 想 融 入 T AC 模 型 , 出 一 种 基 于 角 色 和 任 务 的 工 作 流 访 问控 制 管 理 模 型 RB 提 ( ATR AC) 可 以更好 地满 足工 作流 系统安 全访 问控 制 的需 求. B ,
1 现 有 访 问控制 的不 足
中 图分 类号 :TP3 1 1 l . 文 献 标 志 码 :A 文 章 编 号 :1 0 —8 3 ( 0 1 0 —0 8 -0 0 1 7 5 2 1 )2 1 7 4
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.TBAC授权
•
•
•
TBAC 中,授权需用五元组(S,O,P,L,AS)来表示。 其中 S 表示主体,O 表示客体,P 表示许可,L 表示生命期, AS 表示授权步。 P是授权步AS所激活的权限,而L则是授权步AS的存活期限。 在授权步AS被激活之前,它的保护态是无效的,其中包含 的许可不可使用。当授权步AS被触发时,它的委托执行者 开始拥有执行者许可集中的权限,同时它的生命期开始倒计 时。 在生命期期间,五元组(S,O,P,L,AS)有效。生命期 终止时,五元组(S,O,P,L,AS)无效,委托执行者所 拥有的权限被回收。
•
• •
•
根据需要,授权步的保护态中的权限集中也可以加入使用次 数限制。比如,保护态中的写权限只能使用 3 次,当授权步 使用写权限 3 次以后,写权限自动从保护态中的执行者许可 集中去除。 授权步不是静态的,而是随着处理的进行动态地改变内部状 态。 授权步的状态变化一般自我管理。 授权步的生命期、许可的次数限制和授权步的自我动态管理, 三者形成了 TBAC 的动态授权。
TBAC评价
•
•
TBAC 可以把实际应用中的工作流和访问控制所需的各种关 系整体地结合在一起,可以清晰地表达复杂工作流的控制机 制。 可以将授权步中受托人集说明为角色集,这样可以将 TBAC 与 RBAC(基于角色的访问控制)结合起来,从而为 TBAC 带 来更大的灵活性。
4.基于信任的TBAC
TrustTBAC评价
• • •
模型根据信任值动态授权,能随时对用户的异常行为做出反 应。 非一次性授予所有权限,更有利于对实际应用环境的访问控 制需求。 为任务访问控制添加信任度属性,能区分权限的敏感度,实 现细粒度授权。
L/O/G/O
L/O/G/O
基于任务的访问控制模型
刘晓璐 姚晓方
主要内容
1 2
简要介绍 TBAC授权
3
4
TBAC模型
基于信任的任务访问控制
1. 简要介绍
• 基于任务的访问控制模型(TBAC Model,Task-
based Access Control Model) • 是从应用和企业层角度来解决安全问题,以面向 任务的观点,从任务(活动)的角度来建立安全 模型和实现安全机制,在任务处理的过程中提供 动态实时的安全管理。 • 在TBAC中,对象的访问权限的控制并不是静止不 变的,而是随着执行任务的上下文环境发生变化。
• •
首先,TBAC 模型在成员将被授予授权步时,只验证用户的 身份真实性,而没有考虑用户行为的可信性。 其次,TBAC 模型采用预先分配的方式进行授权,而在用户 实际使用权限过程中并不进行监管与控制,当发现用户进行 恶意操作时,系统很可能已经受到伤害。 针对以上不足,提出基于信任的任务访问控制。该模型 从权限对受托人集中成员的具体要求出发,考虑用户的历史 行为信息和上下文信息,准确衡量用户的信任值,实现细粒 度、灵活的授权机制,从而更为安全合理的为用户分配权限。
3.TBAC模型
工作流 授权结构体 受托人集 许可集
TBAC模型
一个工作流的业务流程由多个
任务构成。 一个任务对应一个授权结构体。 每个授权结构体由特定的授权步 组成。 授权结构体之间以及授权步之 间通过依赖关系联系在一起。
TBAC模型
TBAC安全分析
• •
•
•
通过授权步的动态权限管理,TBAC 支持两个著名的安全控 制原则: 最小特权原则。在执行任务时只给用户分配所需的权限,未 执行任务或任务终止后用户不再拥有所分配的权限;而且在 执行任务过程中,当某一权限不再使用时,授权步自动将该 权限回收。 职责分离原则。有时,一些敏感的任务需要不同的用户执行, 如支票处理流程中准备支票和提交支票的职员必须不同。这 可通过授权步之间的分权依赖实现。 同时TBAC也支持数据抽象原则。例如,权限不局限于操作 系统提供典型的读/写/执行权限,它以可抽象为实际工作流 的操作权限,如一个银行账户对象的存款/贷款操作。
•
直接信任值越大,表示用户的可信度越高,反之越低。
用户信任值计算
• •
步骤 2: 计算推荐信任值 ET( r,op,As,t) 。 ET( r,op,As,t) 表示在时间段 t 内,授权步 As 中的操作 op 对用户 r 评估用户做出的推荐信任值。 为时间衰减函数,λ 为时间衰减因子,time 表示当前处于交 互时的时间。 步骤 3 :计算综合信任度。
重要概念
• •
•
• •
•
任务(task):工作流程中的一个逻辑单元,是一个可区分 的动作,与多个用户相关,也可能包括几个子任务。 授权结构体(authorization unit):是由一个或多个授权步 组成的结构体,它们在逻辑上是联系在一起的。 任务中的子任务,对应于授权结构体中的授权步。 授权步(authorization step):一个原始授权处理步,是指 在一个工作流程中对处理对象的一次处理过程。授权步是访 问控制所能控制的最小单元,由受托人集(trustee-set)和 多个许可集(permissions set)组成。 受托人集:可被授予执行授权步的用户的集合。 许可集:受托集的成员被授予授权步时拥有的访问许可。 依赖(dependency): 授权步之间或授权结构体之间的相互 关系。
反映直接信任与推荐信任的权重,可以通过信任策略 定义 。
以公文流转为例,说明TrustTBAC
授权分为以下过程: 1. 客户端用户通过用户服务器进行身份认证,通过身份认证 后,用户获得激活的公务流转授权步所对应的许可权限资 格,但此时还不能使用这些权限,将此时 所拥有的许可集 称为可 能许可集。 2. 在用户对授权步进行操作之前,TrustTBAC模型通过信任 服务器对用户进行信任计算,并根据授权步操作的条件判 断用户是否可以进行授权步相应的操作。 3. 当用户信任值达到授权步操作的条件后,用户可以对授权 步进行相应的操作。 4. 当用户操作完授权步后,TrustTBAC 模型对用户的行为进 行评价,这次用户的行为结果会对下一次的授权产生影响, 从而保证用户使用权限的安全性。
TBAC 有几点含义: 首先,它是在工作流的环境考虑信息的保护问 题。在工作流环境中,每一步对数据的处理都与 以前的处理相关,相应的访问控制也是这样,因 而TBAC是一种上下文相关的访问控制模型。 其次,它不仅能对不同工作流实行不同的访问控 制策略,而且还能对同一工作流的不同任务实例 实行不同的访问控制策略。所以TBAC又是一种基 于实例的访问控制模型。 最后,因为任务都有时效性,所以在基于任务的 访问控制中,用户对于授予他的权限的使用也是有 时效性的.
授权步内部状态的状态变迁图
• • •
•
•
睡眠状态: 授权步还未生成; 激活状态:授权步被请求激活,此时授权步已经生成; 有效状态:授权步开始执行,随着权限的使用,保护态发生变化; 挂起状态:授权步被管理员或因执行条件不足而强制处于挂起状 态,它可以被恢复成有效状态,也可能因生命周期用完或被管理 员强制为无效状态; 无效状态:授权步已经没有存在的必要,可以在任务流程中删除.
用户信任值计算
•
信任值( Trust value)主要依赖两方面信息: ① 授权步的 许可操作与用户的直接交互经验,称为直接信任。②用户 与其它授权步交互时对用户的主观评价,称为推荐信任。
•
•
步骤 1 :计算直接信任值 DT( r,op,As,t) 。 DT表示在时间段 t 内,授权步 As 中的操作 op 对用户 r 的 直接信任值。假设用户 r 对授权步 As 中的操作 op 的执行 次数为 count,其中成功完成交互的次数为 scount,则