结合属性与角色的访问控制模型综述
小型微型计算机系统Journal of Chinese Computer Systems
2018年4月第4期Vol.39No.42018
收稿日期:2017-03-21 收修改稿日期:2017-06-09 基金项目:国家 八六三 高技术研究发展计划项目(SQ 2015AA 011705)资助. 作者
简介:周 超,男,1993年生,硕士研究生,研究方向为信息安全;任志宇,女,1974年生,博士,副教授,研究方向为信息安全.
结合属性与角色的访问控制模型综述
周 超,任志宇
(解放军信息工程大学,郑州450001)(数学工程与先进计算国家重点实验室,郑州450001)
E-mail :zacharyvic @https://www.sodocs.net/doc/3112039459.html,
摘 要:随着云计算的出现,物联网时代的到来,传统单一的访问控制模型已经难以适用.基于角色的访问控制(RBAC )和基于属性的访问控制(ABAC )是近些年最为流行的访问控制模型.但是,针对大规模环境,RBAC 与ABAC 都存在已知的局限性.然而,它们能提供彼此互补的特征.因此,RBAC 与ABAC 的整合工作渐渐成为了近些年研究的热点领域.本文根据属性与角色结合方式的不同,将已有的结合属性与角色的访问控制模型归类为动态角色二以属性为中心和以角色为中心三种,目的在于总结和分析现有的这些方法,并且基于安全需求对这些方法进行比较,为优化结合属性与角色的访问控制模型提供新的思路.关键词:访问控制;属性;角色;动态;细粒度
中图分类号:TP 393 文献标识码:A 文章编号:1000-1220(2018)04-0782-05
Research of Access Control Model Combined Attribute with Role
ZHOU Chao ,REN Zhi-yu
(The PLA Information Engineering University ,Zhengzhou 450001,China )
(State Key Laboratory of Mathematical Engineering &Advanced Computing ,Zhengzhou 450001,China )
Abstract :With the advent of Cloud Computing and Internet of Things ,the traditional single access control model has been difficult to apply.Role-based access control (RBAC )and Attribute-based access control (ABAC )are the most prominent access control models in recent years.RBAC and ABAC have known limitations for large-scale environments ,while providing complementary features each other.Therefore ,the integration of RBAC and ABAC has gradually become a hot topic recently.In this paper ,according to the combi-nation of attributes and roles ,the existing access control models combined attribute with role are classified into dynamic roles ,attribute-centric and role-centric.The purpose is to summarize and analyze the existing methods ,compare these methods based on security re-quirements ,and provide new ideas for optimizing the access control model combined attribute with role.Key words :access control ;attribute ;role ;dynamic ;fine-grained
1 引 言
访问控制是允许或拒绝主体对客体的访问,或是限制主体访问能力及访问范围的一种方法,是保护资源被正确使用的重要措施.通过对受保护资源进行访问控制,可以防止非法用户入侵,将合法用户不慎操作所造成的破坏降到最低,从而保证受保护资源被合法地二受控地使用.访问控制模型则是一种描述安全系统并建立安全模型的方法,它从访问控制角度出发形式化地描述了主体二客体以及主体对客体的操作,决定了授权策略的表达能力和灵活性.
RBAC 是目前广泛采用的访问控制模型,已经成为近二十年来的研究热点.RBAC 96模型是最为经典的基于角色的访问控制模型,模型的基本思想是引入角色的概念,将用户与权限的直接关联取消,先将权限绑定到角色上,再将角色分配给用户,从而达到给用户分配权限的目的[1].这种方法使得审计某个用户拥有的权限更加简便,同时也使得策略管理的任务更加轻松,因为角色中每一次权限的改变,与之相关联的用户所拥有的权限不必逐个去更改也会随之发生改变.
基于角色的访问控制使得权限管理更加简便,降低了系统复杂度,在访问控制发展过程中取得了巨大进步.然而,随着云计算的出现,物联网时代的到来,访问决策需要根据访问需求来进行,这就使得授权与访问控制更加复杂.访问需求中的信息是一些可度量的信息,包含用户二客体以及环境等相关的信息.RBAC 已经难以适应这种需要根据访问需求才能判断用户是否能被赋予访问权限的场景.其次,RBAC 按照客体标识而非客体属性进行授权,不适用于拥有成千上万客体的场景,极有可能产生角色-权限爆炸的问题,此时,基于属性的访问控制应运而生.
2005年,Eric 等人面向Web 服务提出一个基于属性的访
问控制框架[2],该框架是ABAC 模型中最为常用的访问控制框架.在ABAC 中,主体请求策略执行点(Policy Enforcement Point ,PEP )对资源进行访问,PEP 转发请求给策略判定点(Policy Decision Point ,PDP ),PDP 向主体属性权威(Subject Attribute Authority )二资源属性权威(Resource Attribute Au-thority )二环境属性权威(Environment Attribute Authority )查询
万方数据