基于組織架構(gòu)的網(wǎng)絡(luò)安全權(quán)限管理

陳 柯 李 鋼

（中國(guó)電子科技集團(tuán)公司第28研究所 江蘇 210007）

0 引言

大型組織（如跨國(guó)企業(yè)）的信息資源往往根據(jù)組織結(jié)構(gòu)維護(hù)，其中存在大量同構(gòu)的、擁有同類信息資源的單元。采用傳統(tǒng)的RABC對(duì)于單個(gè)獨(dú)立系統(tǒng)內(nèi)用戶的以及權(quán)限的管理是相當(dāng)有效的，但是傳統(tǒng)的RBAC模型在這種環(huán)境下需要為每個(gè)同構(gòu)單元定義權(quán)限和角色。雖然可以利用RABC模型中的角色繼承概念，通過對(duì)于角色對(duì)于整個(gè)層次組織架構(gòu)的模仿，構(gòu)建層次，具有繼承結(jié)構(gòu)的角色樹。但是由于角色繼承是一個(gè)偏序關(guān)系，是對(duì)組織機(jī)構(gòu)層次中權(quán)限和責(zé)任的一種映射，實(shí)際的使用中違反了權(quán)限最小化原則。如一個(gè)企業(yè)有總經(jīng)理、部門經(jīng)理和材料員，而角色繼承表示總經(jīng)理繼承部門經(jīng)理的權(quán)限，部門經(jīng)理繼承材料員的權(quán)限，也就是說總經(jīng)理通過傳遞關(guān)系獲取了材料員的權(quán)限，而在實(shí)際的工作中，總經(jīng)理是不具備材料員的管理權(quán)限。

在分層管理的大型分布式系統(tǒng)中使用基于角色的訪問控制往往會(huì)面臨角色、對(duì)象、權(quán)限過多的問題。如果在各個(gè)機(jī)構(gòu)內(nèi)部重復(fù)建立大量的角色、分配相似的權(quán)限，不但工作量大，而且容易出錯(cuò)，而他們之間的區(qū)別僅僅在于所屬的分支機(jī)構(gòu)不同。特別在同構(gòu)單元數(shù)量很多時(shí)授權(quán)管理非常困難，尤其是在進(jìn)行跨域授權(quán)時(shí)，涉及到互聯(lián)系統(tǒng)間角色、用戶、信息資源和它們之間的相互關(guān)系，為了保證訪問授權(quán)和管理簡(jiǎn)化這兩個(gè)目標(biāo)，這對(duì)于安全管理員來說是非常困難的。

按照大型跨國(guó)公司的組織架構(gòu)，劃分為公司總部，區(qū)域管理中心，分區(qū)公司，營(yíng)運(yùn)團(tuán)隊(duì)以及外部實(shí)體這幾個(gè)層次。大型組織內(nèi)的信息單元是具有獨(dú)立性，同時(shí)在整個(gè)系統(tǒng)內(nèi)具有大量功能，角色，用戶相似的特征。采用這項(xiàng)特質(zhì)，按照其在組織架構(gòu)內(nèi)的特征，劃分為管理域（域?qū)樱ＤＰ筒辉偈褂媒巧^承來表示組織結(jié)構(gòu)，而是將組織結(jié)構(gòu)引入訪問控制模型，用它來組織客體、權(quán)限以及之間相互的關(guān)系。

1 基于角色的訪問控制模型（RBAC）

基于角色訪問控制模型由Ferraio1o和 Kuhn在 1992年提出，這是當(dāng)今使用最為廣泛的權(quán)限管理模型，這是一個(gè)復(fù)合的訪問控制策略，用戶并不直接獲取對(duì)于資源的權(quán)限，而是用戶通過擔(dān)任某些角色而獲取訪問權(quán)限，這能夠大大的簡(jiǎn)化權(quán)限管理且易于理解和描述，其中關(guān)鍵的概念如下。

用戶（U）：系統(tǒng)資源的使用者 U sers={U1,U2,..., Un}

角色（R）：多個(gè)權(quán)限的集合 R oles={R1,R2... Rn}

許可（P）：對(duì)系統(tǒng)資源的操作權(quán)限 P ermissions ={P1,P2...Pn}

用戶與角色以及角色與權(quán)限之間為多對(duì)多的關(guān)系

PA? P × R 表示從許可到角色的多對(duì)多的關(guān)系；

PA? P × R 表示從用戶到角色的多對(duì)多的關(guān)系。

在 RBAC0模型的基礎(chǔ)上引入了角色層次關(guān)系擴(kuò)展為RBAC1模型。

PA? P × R 表示角色集 R 上的一個(gè)偏序，稱為角色繼承關(guān)系。

引入了了約束形成了RBAC2模型。將RBAC1與RBAC2特性結(jié)合形成RBAC3模型，具體的關(guān)系見圖1。

由于 RBAC將用戶從底層的訪問控制實(shí)現(xiàn)機(jī)制中脫離出來，同時(shí)可以靈活的表達(dá)組織中的各種安全角色，可以映射日常組織架構(gòu)，在各個(gè)領(lǐng)域中均得到了廣泛的應(yīng)用。實(shí)際上RBAC訪問控制模型應(yīng)用中采用一級(jí)控制模型，即將訪問資源的權(quán)限授予角色，再將角色授予用戶。在傳統(tǒng)的獨(dú)立管理域環(huán)境下可以很好的解決權(quán)限管理的問題。這種方法在單元和客體較少的情況下還勉強(qiáng)可行，但是數(shù)目到了一定規(guī)模，模型的管理就非常困難了?，F(xiàn)今分布式系統(tǒng)（多域）環(huán)境下，造成管理員額外的負(fù)擔(dān)。

圖1 RBAC訪問控制模型

2 改進(jìn)的層次RABC

將組織中的一個(gè)相對(duì)自治的機(jī)構(gòu)劃分為域，以此為基礎(chǔ)，為解決大型組織中對(duì)于海量的用戶及對(duì)象的管理問題，將系統(tǒng)中的各個(gè)要素（U，P，R）劃分至不同的域。對(duì)應(yīng)于組織中的相似結(jié)構(gòu)的機(jī)構(gòu)劃分為一個(gè)組，稱為域?qū)?。這就為我們簡(jiǎn)化對(duì)于海量權(quán)限以及用戶的管理提供了前提基礎(chǔ)。同一個(gè)策略域中的分支機(jī)構(gòu)具有相同的組織結(jié)構(gòu)，在同一個(gè)域?qū)哟蝺?nèi)實(shí)施統(tǒng)一的角色，用戶，對(duì)象組定義。在同一域?qū)觾?nèi)實(shí)施統(tǒng)一的用戶、角色，當(dāng)然也可以定義自己私有的特殊角色減少了系統(tǒng)中的角色和權(quán)限。將權(quán)限授予崗位而不是直接授予企業(yè)中的用戶，崗位與一組完成崗位任務(wù)的角色相對(duì)應(yīng)。當(dāng)組織內(nèi)的人員發(fā)生流動(dòng)，只需在權(quán)限模型中修改該用戶的崗位信息即可，無需針對(duì)該用戶重新進(jìn)行權(quán)限授予。相比較傳統(tǒng)的訪問控制模型，可大大減輕管理員的工作負(fù)擔(dān)。

傳統(tǒng)的RBAC中權(quán)限定義為對(duì)客體的操作，其中的客體是獨(dú)立的對(duì)象，如針對(duì)某個(gè)資源如數(shù)據(jù)庫對(duì)象，文件對(duì)象等。針對(duì)大型的機(jī)構(gòu)中的域，為了簡(jiǎn)化對(duì)客體的定義，引入對(duì)象組概念。對(duì)象組定義為一組具有相同屬性對(duì)象的集合，同一個(gè)對(duì)象依據(jù)提取出的不同屬性可以被劃分到不同的對(duì)象組。原先操作定義為對(duì)象而現(xiàn)在該為對(duì)象組。

這些對(duì)象組按照域?qū)庸芾淼囊螅瑢?duì)象組中對(duì)象允許的操作是一致的，對(duì)象必須屬于一個(gè)對(duì)象組且可以屬于多個(gè)對(duì)象組。對(duì)象組必須屬于一個(gè)域或是屬于一個(gè)域?qū)?，隸屬于域?qū)拥膶?duì)象被域?qū)觾?nèi)所有的域所擁有；而屬于域的對(duì)象只能被該域獨(dú)占。

3 多域環(huán)境下用戶訪問控制管理策略

分布式系統(tǒng)通常按組織機(jī)構(gòu)層次、應(yīng)用系統(tǒng)范圍、管理策略等原則進(jìn)行安全域劃分。在大型企業(yè)中，采用按照組織結(jié)構(gòu)的層次進(jìn)行安全域的劃分特別適合這種具有強(qiáng)烈層次結(jié)構(gòu)的組織。在分布式環(huán)境中，權(quán)限以及權(quán)限-角色分配都是本地自治，而不強(qiáng)調(diào)全局化。多域之間針對(duì)權(quán)限的管理較之傳統(tǒng)的單一信任域情況下主要體現(xiàn)在域之間的交叉授權(quán)問題，需要將域內(nèi)訪問控制規(guī)則和域間訪問控制規(guī)則有機(jī)結(jié)合起來。核心問題在于計(jì)算系統(tǒng)的各種資源處于分級(jí)的多個(gè)管理域中，分別由相應(yīng)的訪問控制規(guī)則進(jìn)行控制。根據(jù)被訪問的資源所在管理域的不同，訪問控制規(guī)則可以分為域內(nèi)訪問控制和域間訪問控制。在進(jìn)行跨域訪問的使用場(chǎng)景下，可以根據(jù)安全域?qū)嶋H的劃分情況采用集中或者分層兩種權(quán)限管理策略。

在集中式驗(yàn)證的策略下，通過中心安全認(rèn)證服務(wù)器提供域之間的交叉驗(yàn)證和授權(quán)，并提供單點(diǎn)登錄控制，避免域之間的多個(gè)授權(quán)交互。

在分布式驗(yàn)證的策略下，為了保證信息交換的正確性，需要在每一個(gè)安全域上增加一些相應(yīng)的路由信息，使各個(gè)安全域能夠訪問其上級(jí)和下級(jí)安全域，這些路由信息可以從組織架構(gòu)的層次關(guān)系上獲取。

3.1 集中式

在網(wǎng)絡(luò)條件正常，系統(tǒng)服務(wù)運(yùn)行正常的情況下，采用集中式安全策略訪問管理，所有的安全策略均由中心安全認(rèn)證服務(wù)器提供。由于所有節(jié)點(diǎn)都必須和中心服務(wù)器通信，導(dǎo)致中心服務(wù)器負(fù)載過重，容易形成阻塞，影響效率；但該體系結(jié)構(gòu)簡(jiǎn)單，最大的缺點(diǎn)在于擴(kuò)展性不強(qiáng)，不能滿足大規(guī)模復(fù)雜應(yīng)用。

3.2 分布式

為了提高系統(tǒng)的可靠性，提供系統(tǒng)抗毀性，在分布式系統(tǒng)中，對(duì)任何一個(gè)安全域的用戶-角色分配操作，都把該分配信息推到層次結(jié)構(gòu)中該安全域的上級(jí)安全域服務(wù)器，利用“推”結(jié)構(gòu)和“拉”結(jié)構(gòu)，高效地進(jìn)行用戶-角色全局性管理。在最差的情況下，采用本節(jié)點(diǎn)自己提供的安全信息管理服務(wù)。在分布式系統(tǒng)中，對(duì)任何一個(gè)安全域的用戶-角色分配操作，都把該分配信息"推"到層次結(jié)構(gòu)中該安全域的上級(jí)安全域服務(wù)器。在實(shí)施訪問控制時(shí)，若一個(gè)用戶在某個(gè)安全域沒有直接訪問某資源的權(quán)限，則沿路由信息回溯其上級(jí)安全域，“拉”回其需要的用戶-角色分配信息。

4 結(jié)束語

本文構(gòu)建的模型，將組織結(jié)構(gòu)劃分為域?qū)樱?duì)象組的概念引入RBAC，減少了角色的重復(fù)定義，簡(jiǎn)化了權(quán)限的分配，使 RBAC模型更適合在大型的、具有大量分支機(jī)構(gòu)的系統(tǒng)中應(yīng)用。在不同的實(shí)際使用場(chǎng)景中，依據(jù)當(dāng)時(shí)的網(wǎng)絡(luò)環(huán)境采用不同的策略對(duì)用戶權(quán)限進(jìn)行驗(yàn)證及進(jìn)行交叉授權(quán)。

[1]Sandhu R S.Coyne E J,Feinstein H L,et al.Role-based Access Control Models[J].IEEE Computer,1996.

[2]Ferraiolo D F，Barkley J F，Kuhn D R.A Role-based Access Control Model and Reference Implementation Within a Corporate Intranet[J].ACM Transaction of Information System Security.1999.

[3]Kumar A,Karnik N,Chafle G.Context Sensitivity in Role-based Access Control[J].ACM SIGOPS Operating Systems Review,2002.

[4]徐震，馮登國(guó).一種使用組織結(jié)構(gòu)的訪問控制方法.計(jì)算機(jī)工程.2006.

[5]孫艷俊.基于RBAC模型的應(yīng)用訪問權(quán)限系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)現(xiàn)代電子工程.2013.

[6]余亮.基于CAS的單點(diǎn)登錄系統(tǒng).現(xiàn)代電子工程.2012.