《基于角色访问控制约束的研究综述》-工学论文，计算机论文-论文范文参考-科学狗论文网

标题

基于角色访问控制约束的研究综述

范文

顾春华+高远+田秀霞

摘要：基于角色的访问控制（Role-Based Access Control， RBAC）凭借其出色的灵活性、可扩展性以及较高的安全性成为了企业信息应用的首选模型。约束作为RBAC系统的一套强制性规则，是保证RBAC系统的安全原则得以实施的前提。该文就RBAC系统中约束的意义以及必要性进行了简要的说明，结合近年来的文献资料对RBAC系统中约束的主要研究方向进行了详尽的总结，对每个研究方向存在的缺陷也一并进行了说明。最后，对约束研究在未来的发展趋势进行了合理的展望。

关键词：基于角色的访问控制；约束；研究现状；发展趋势

中图分类号：TP311.5 文献标识码：A 文章编号：1009-3044（2017）35-0024-04

A Review of Research on Role - based Access Control Constraints

GU Chun-hua， GAO Yuan， TIAN Xiu-xia

（Institute of Computer Science and Technology， Shanghai University of Electric Power， Shanghai 200082）

Abstract： RBAC （Role-Based Access Control） with its excellent flexibility， scalability and high security has become the preferred model for enterprise information applications. Constraints As a set of mandatory rules for RBAC systems， it is a prerequisite for ensuring that the security principles of RBAC systems are implemented. In this paper， the meaning and necessity of constraint in RBAC system are briefly described. Combined with the literature in recent years， the main research direction of RBAC system constraints were summarized， the flaws in each research direction are also described. Finally， a reasonable outlook was given to the future development of the constraint research.

Key words： Role-Based Access Control； constraint； research status； development trend

随着大数据时代的到来，云计算、分布式储存的快速发展，各个企业数据保有量的快速增长，如何在保证企业数据应用安全的前提下，提高数据存储和管理的效率已成为各相关研究人员以及企业的研究重点。在各种访问控制模型中，基于角色的访问控制模型（Role-Based Access Control， RBAC）[1] 与传统的访问控制模型相比具有简化系统管理、提高企业生产力、减少新员工的适应期和增加系统安全性和完整性等优点[2]。

保证企业信息系统数据的安全性和完整性是对访问控制模型最基本的要求。为了充分体现基于角色访问控制的优势，各类约束的使用至关重要：

1） RBAC系统的约束是RBAC系统安全和功能得以保证的一套强制性规则[3]。它是一系列的强约束集合，约束的集合可能会随系统环境的变化而动态变化。

2）约束条件为RBAC系统提供基本的分配原则。现实应用的信息系统千差万别，如果没有最小特权原则，权责分离原则等约束的存在，RBAC系统模型难免会和企业需求出现冲突，难以保证系统的稳定高效运行。

3）在大型的信息系统中，为了提高系统的运行效率，权限以及角色的分配过程难免会出现“自治”的情况：遵循一定的约束条件，以继承等方式自发地传递权限或角色信息。此时约束条件存在的意义就在于保证“自治”的过程不会出现权限越级、权限滥用等安全问题。

1 RBAC模型概述

访问控制技术最早兴起于20世纪70年代，它的出现主要是为了解决大型主机之间共享数据访问的管理问题[4]。最早的访问控制模型主要使用的是自主访问控制（Discretionary Access Control， DAC）和强制访问控制（Mandatory Access Control， MAC）。但随着互联网技术的飞速发展，DAC和MAC已经不能满足日渐增长的实际需求，之后RBAC应运而生。

1992年David Ferraiolo和Rick Kuhn提出了首个RBAC模型，被称作Ferraiolo-Kuhn92[5]模型。随后于1996年，美国George Mason大学的Sandhu等提出了具有框架性意义的RBAC96[6]模型。RBAC96模型描述了完备的基础理论，确立了用户-角色-权限的基本映射框架，具有里程碑式的意义。2001年，Ferraiolo和Kuhn根据RBAC96模型提出了RBAC模型的一致性建议，即NIST RBAC[7]。随后经过相关研究人員的进一步研究提炼，美国国家信息技术标准委员会（ANSI/INCITS）于2004年2月将NIST RBAC制定为美国国家标准（ANSI INCITS 359-2004）[8]，扩充标准化后的模型称为RBAC2004模型。

RBAC2004模型主要元素包括用户U，角色R，权限P，会话S。主要过程包括用户角色指派过程（User Assignment，UA）以及角色权限指派过程（Permission Assignment，PA）。同时，为了适应大型系统，引入了角色层次（Role hierarchy，RH）的概念，实现上下级角色之间权限的继承，父角色继承子角色的权限，子权限继承父角色的用户，避免了为每一个角色重复分配权限，节约了系统的运行以及维护开销[9]。

2 RBAC约束条件的定义

约束是一组限制关系，它用来判定RBAC系统的各个部分组成的值是否可以被接受，只有可接受的值才被许可[6]。一个系统的约束条件可以表示为一个集合称作约束集，每一个约束条件都是约束集的元素。最基本的约束包括势约束、职责分离约束、最小特权原则以及上下文约束[6]等。

在RBAC模型中，约束条件被用在UA、PA、 RH以及权限资源操作当中，用以规范各个过程中的行为，加强系统的安全性、表达能力和应用效果。RBAC模型以其约束条件如图1所示。

图1 RBAC模型及约束

3 RBAC约束条件的主要研究方向

3.1 势约束

势约束（Cardinality constraint，CC），由Ferraiolo等在1999年提出的一个附加的RBAC约束种类[10]。势约束规定了UA和PA过程中各个对象之间的约束关系。它主要通过会话S来限制对象元素的最大数量，故又称为基数约束。如一个部门经理的权限账户在不同的时间内可以由不同的人登录操作，但在某一个时间节点内，有且只有一人能够登录该账户。

势约束在较为复杂的系统中一般不会单独使用，它会结合时间约束、资源约束等约束条件，作为一个附加约束来构成动态的系统约束集。文献[11]描述了一种使用包括势约束在内的约束集RBAC模型。文章结合模型以及算法分析描述了这种多约束模型在高适应性和安全性方面的优势。

此外，文献[12]提出一种基于模型势约束的角色构建算法，降低了角色的状态成本，也是势约束在RBAC模型中另一种功用的开发。

3.2 职责分离约束

作为信息安全领域的重要机制，职责分离约束[13]于1975年由Saltzer 和 Schroeder提出并定名为“Separation of Privilege”[14]。随后在1987年，Clark 和 Wilson对其进行了扩充：提出了保证安全性和完整性两个方面的两套标准[15]。随后相关研究人员的不断完善使之逐渐成为一个理论体系。

职责分离（Separation of Duty， SoD）在RBAC模型中主要的作用是为高层组织安全策略提供一种有力的机制，能够防止系统的冲突和欺骗的发生[16]。RBAC中的职责分离约束主要分为两大类：一类为单自治域中的职责分离约束研究；二类为多自治域中的职责分离约束研究[17]。

3.2.1 单自治域职责分离

单自治域职责分离约束主要包括静态职责分离和动态职责分离两类。

1）静态职责分离静态职责分离指任意角色拥有的任意两个用户是非互斥的，即若k个用户拥有权限集P，则静态权限分离原则不允许n（n

2）动态职责分离由于角色继承关系，父角色可能从其子角色繼承了互斥权限，从而变相地打破了静态职责分离原则[18]。动态职责分离约束允许一个用户同时拥有互斥的角色，但是在一个会话的时间节点内，该用户只能以一个固定的角色访问系统资源。

文献[18]对单自治域职责分离进行优化，利用划分私有角色和历史记录解决了职责分离的问题，提出了I-TRBAC模型。另外，针对角色继承可能造成的违背职责分离原则的情况，文献[19]，针对角色继承提出了权限传播深度阈值的优化算法，算法通过分析静态职责分离约束权限集与用户集之间的关系，减少了用户的复杂度。

3.2.2 多自治域职责分离

随着大数据、云计算以及分布式存储的快速发展，人们已经不仅仅满足于传统的单自治域系统。不同部门、不同企业甚至不同自治域间信息的共享成为了近些年的发展趋势。这就对跨域信息共享过程中的安全问题提出了更加苛刻的要求。其中最具代表性的模型是Kapadia在2000年提出的自治域间实现角色动态映射和转化的模型IRBAC2000[20]。IRBAC2000模型将自治域内的角色层次拓展到全局域中，实现了动态的角色跨域变换，从而实现了多自治域间的授权操作。但该模型虽然提出了角色关联的概念，但却没有建立对应的约束机制，在实际应用中难免会出现冲突的情况。文献[21]利用矩阵来判别多自治域间的映射关系，并通过矩阵的变换解决了多自治域间互操作过程中的职责分离约束冲突问题。针对多域互操作角色冲突难以检测的问题，陈胜等[22]对角色的本质进行了分析，之后列举了角色冲突的各种类型，并实现了一个带角色互斥检测的角色分配控制器，便于多域互操作职责分离约束的实际制定。

文献[23]对多域静态职责分离约束进行了定义：

其中表示多自治域角色访问系统中的一个权限集，表示系统中的不同自治域，为正整数，且满足。该约束禁止少于k个域的用户共同拥有权限集中的权限。

虽然已有对多域静态职责分离约束的定义，但尚未有研究者针对多自治域互操作职责分离约束制定一套完备的理论。

3.3 最小特权原则

作为信息安全领域的一个基本原则，最小特权原则于1975年由Saltzer J.H等人提出[24]。其最初的应用范围就是计算机的信息保护。随后，经过理论的逐渐完善，美国国防部颁布的“可信计算机系统评价标准（Trusted Computer System Evaluation Criteria）” [25]把最小特权原则作为B2级的要求制定为安全标准。

最小特权原则的定义为：分配给系统中的每一个进程和用户的特权应该是他们完成工作所必须享有特权的最小集合[26]。RBAC中的最小特权原则通过限制用户所能获取的角色进而限制用户在完成某个任务时所需要的全部权限，从而保证用户拥有的权限不多于该任务所需的最小权限集，从而达到保证系统信息安全的目的。

RBAC系统最小特权原则的实现大多归结到确定最小角色集的问题上。最小角色集应满足：拥有的权限刚好能满足用户需要的全部权限集。而因为角色继承以及多域互操作的快速发展，角色之间的关系复杂性更高，如何在错综复杂的角色关系网中确定最小角色集成为了研究的难点。文献[27]在角色集和权限集中间引入了最小角色集来清晰角色间的关系。作者形式化定义了角色继承的两种形式：多角色完全继承和多角色部分继承，并引入了权限继承路径的概念来生成最小角色。Chen和Jason[28]等人提出了重载覆盖的方法实现角色间关系的优化，并在文中给出了最小特权原则问题另一种改进解决方案。

但由于RBAC系统的泛用性，针对角色划分算法的改进在具体实现的过程中效果往往不理想。对RBAC模型中最小特权原则的研究，需要研究者从其他方面例如任务流等方向，找出新的切入点。

3.4 时间约束

在传统RBAC模型约束中，用户只能通过角色来获得权限，这虽然简化了用户授权的复杂性，加强了系统的安全性，但是用户角色关联关系不够灵活，不能随时间动态变化。针对这一问题，Bertino等于1998年首次提出时态授权的概念，明确了RBAC系统中授权的时态依赖[29]。随后，2000年，Gal和Atluri提出了时态授权模型（Temporal Data Authorization Model，TDAM），进一步说明了RBAC模型对时态的依赖性[30]。2001年，Bertino等人再次提出了TRBAC模型的完整构架[31]。这个模型的基本思想是在RBAC模型的基础上通过周期的时态检测使角色处于许可和非许可状态[32]。文献[33]提出一个具有时间约束的动态角色访问控制模型，根据时间状态的不同将权限分为四种状态：有效、无效、激活和阻塞。并制定了权限状态的转化算法，以及权限转化最短时间的相应算法。该模型有效地解决了时间敏感活动的访问控制问题，并具有更强、更细致的安全描述能力。文献[34]提出了HARBAC模型，将时间约束作为模型的一项属性，实现了权限的动态授予。

目前在RBAC系统中引入的时间约束主要有两种：连续时间约束和周期时间约束。

1）连续时间约束。现实世界里时间是连续的量，而计算机所能表达的量都是离散的。所以所谓的连续时间约束对于计算机而言实际是离散的长段时间。它对RBAC模型在时间维度上进行了扩展，对会话和全局系统状态空间进行扩展，以实现解决计算时间约束变化算法[35]。连续时间约束又可以分为激活时间范围约束、激活时间长度约束以及时间范围内激活时间长度约束。可以根据系统状态和实际情况选用。

2）周期时间约束。引入类似日历的概念，周期性地对角色的可用状态进行检测，即角色的状态随周期时间变化。周期性的时间约束增强了RBAC活动约束机制，模型TRBAC就是使用的这种时间约束。

第一种时间约束在实际的应用中表现并不出色，例如，当时间的细粒度很细时，时间状态的监测会占用大量的系统资源[35]。第二种周期性的时间约束则比较符合现实中角色的规律性活动。

时间约束的加入使RBAC模型在实现的过程中更加符合实际情况，但时间的细粒度和系统资源之间的平衡很难掌握：细粒度过细占用大量系统资源拖累系统，而细粒度过粗会影响角色的时态属性。

3.5 上下文约束

上下文是普适计算中的一个概念[36]，于2000年由Anind.K.Dey提出。其定义为：对于描述一个实体状态或动作的特征以及该实体所操作的对象有用的所有信息[37]。上下文可以看作对象的一个特定属性，该属性的值可能在系统环境变化时随之变化，或者对于同一个客体对象，不同的主体有不同的取值。

把上下文引进RBAC系统中，即在为用户划分角色以及权限的过程中，加入上下文的信息作为属性，保证该用户只有满足一定的前提条件并处于相应的上下文域中时，才能拥有该权限。结合上下文约束，能够保证访问控制过程中权限的动态性以及实时性，且能提高系统的安全性以及稳定性。

文献[38]根据上下文策略，提出了上下文感知的RBAC动态访问控制模型CDAC（Context-aware Dynamic Access Control Mode），将之应用在醫院的门户系统中并较传统的RBAC系统全局策略更加灵活，可扩展性更高。

文献[39]把上下文作为角色的一个属性，将RBAC的角色进行了扩充，避免了把上下文约束添加到RBAC策略中心之后系统的复杂度变大的问题，实现了机动灵活的权限配置管理。

如今的上下文约束条件大多是针对某些方面或者是根据既定的规则确定的。但现实情况下的上下文域不计其数，如何制定一个统一的规则，或者结合机器学习使RBAC系统的策略中心能够根据样本策略进行自我学习可能是未来的一个研究方向。

4 总结与展望

由以上总结可知，由于实际环境的快速变化，新技术的不断发展等因素影响，新的约束不断地被提出，包括最小特权原则和职责分离原则这两大基石在内的已有约束也在被不断地完善，RBAC系统中的约束研究在理论方面已经有了长足的发展。但还有以下问题亟须解决，或许是未来的一些发展趋势：

1） RBAC系统是一项应用型的技术，实现的过程更加关键。就目前的研究来看，由于应用环境复杂多样，虽然系统的核心并没有大的变化，但可移植性并不高，这就造成许多理论上针对模型约束的改进在实现的过程中效果并不理想。

2）约束的作用很大一方面是为了提高系统的安全性，RBAC系统的安全性是一项重要的指标，但现在并没有一个明确的方法来量化系统的安全性，这就造成许多基于约束改进安全性的模型只能停留在理论的层次。

3）过多的约束会占用大量系统资源而约束过少系统的安全性和稳定性不能满足实际的需求，如何在两者之间找到一个平衡的阈值是研究者需要解决的一个问题。

另外，下一代的访问控制模型-UCON（Usage Control）模型也已经渐渐地步入了大众的视野。UCON集传统的访问控制、信任管理以及数字版权管理于一体，能够更好地满足现代信息系统的要求。而随着UCON研究的发展，其策略中心关于约束的研究也可能成为未来的一个研究热点。

参考文献：

[1] Feng Deng-guo， Zhang Min， Li Hao. Big data security and privacy protection[J]. Chinese Journal of Computer，2014，37（1）：246-258.

[2] Ma Xiao-pu， Li Rui-xuan， Hu Jin-wei. Role engineering in access control[J]. Journal of Chinese Computer Systems，2013，34（6）：1301-1306.

[3] 马晓普，赵莉，李瑞轩. 基于角色访问控制中的约束研究[J]. 小型微型计算机系统，2015，（09）：1982-1987.

[4] 李凤华，苏铓，史国振，马建峰. 访问控制模型研究进展及发展趋势[J]. 电子学报，2012，（04）：805-813.

[5] Ferraiolo D， Kuhn R. Role-based Access Control[C]. Proceedings of 15th National Computer Security Conference， 1992.

[6] Sandhu R， Coyne E， Feinstein H， et al. Role-based Access Control Models[J]. IEEE Computer， 1996， 29（2）：38-47.

[7] Ferraiolo D， Sandhu R， Gavrila S. A Proposed Standard for Role Based Access Control[J]. ACM Transactions on Information and System Security， 2001，4（3）.

[8] American National Standard 359-2004 is the Information Technology Industry Consensus Standard for RBAC[EB/OL]. http：//csrc.nist.gov/rbac/，2005-10-20.

[9] 熊厚仁，陳性元，杜学绘，王义功. 基于角色的访问控制模型安全性分析研究综述[J]. 计算机应用研究，2015，（11）：3201-3208.

[10] 陈军冰，王志坚，艾萍，许发见. 关于RBAC模型中约束的研究综述[J]. 计算机工程，2006（9）：1-3.

[11] 汪杰，孙玲芳. 多约束的基于角色的访问控制扩展模型[J]. 信息技术，2011（3）：110-113.

[12] 李华青. 基于势约束的角色挖掘算法研究[D].华中科技大学，2013.

[13] Chen Hong，Li Ning-hui. Constraints generation for separation of duty[C]. Proceedings of the 7th ACM Symposium on Access Control Models and Technologies，Lake Tahoe，California，USA，June，2006：130-138.

[14] Saltzer J H， Schroeder M D.The protection of information in computer systems[C].Proceedings of the IEEE， 1975，63（9）：1278-1308.

[15] Crampton J， Loizou G. Administrative scope： A foundation for role based administrative models[J].ACM Transactions on Information and System Security，2003，6（2）：201- 231.

[16] Dang Nguyen，Jaehong Park，Ravi Sandhu. A provenance-based access control model for dynamic separation of duties[C]. 2013 Eleventh Annual Conference on Privacy， Security and Trust （ PST），2013： 247- 256.

[17] 赵莉. 角色访问控制中的职责分离约束[J]. 电子技术与软件工程，2016（20）：216-218.

[18] 冯俊，王箭. 一种基于T-RBAC的访问控制改进模型[J]. 计算机工程，2012（16）：138-141.

[19] 高川，朱群雄. RBAC角色继承关系中私有权限问题的研究[J]. 计算机应用，2010（5）：1230-1232+1235.

[20] Apu K， AI-Muhtadi J， Campbell R， et al.IRBAC2000： secure interoperability using dynamic role translation[R]. Technical Report： UIUCDCS-R-2000-2162，2000：1-8.

[21] Wang Xin-yu， Yang Xiao-hua， Huang Chao， et al. Security violation detection for RBAC based interoperation in distributed environment[J]. IEICE TRANS.INF.& SYST， 2008， 91（5）：1447- 1456.

[22] 陈胜，娄渊胜，张文渊. RBAC模型中角色互斥研究及应用[J]. 计算机技术与发展，2012（12）：21-24+28.

[23] Ma Xiao-pu，Li Rui-xuan，Lu Zheng-ding，et al. Global static separation of duty in multi-domains[C]. Proceeding of the 2009 International Conference on Multimedia Information Networking and Security， Wuhan， China， 2009： 18- 20.

[24] 王瑞，杨震晖. 论网络环境下最小特权原则与隐私权的法律保护[J]. 北方工业大学学报，2014（2）：13-17.

[25] 王志刚，孙允标. 最小特权原理应用研究[J]. 计算机工程，2005（15）：125-126+141.

[26] 李翔，曹淼，李勤爽. 程序行为监控技术与“最小特权”原则[J]. 信息安全与通信保密，2008（12）：97，98.

[27] 蔡婷，聂清彬，欧阳凯，周敬利. 基于角色扩展的RBAC模型[J]. 计算机应用研究，2016（3）：882-885.

[28] Chen Liang， Jason Crampton. Inter-domain role mapping and least privilege[C]. Proceeding of the 12th ACM Symposiums on Access Control Models and Technologies， 2007：157-162.

[29] Bertino E，Bettini C， Ferrari E. An Access Control Model Supporting Periodicity Constraints and Temporal Reasoning[J]. ACM Trans.Database Syst.， 1998， 23（3）：231-285.

[30] Gal A， Atlurl V. An Authorization Model for Temporal Data[C].Proceedings of 7th ACM Conference on Computer and Communication Security， 2000： 144-153.

[31] Bertino E， Bonatti P， Ferrar E. T RBAC ： A Temporal Rolebased Access Control Model[J] . ACM T ransactions on Information and Sy stems Security， 2001，4（3）：191-233.

[32] 金光明，沈曄，袁定莲，张坤，庞琨. 带时间约束的访问控制模型的研究与应用[J]. 软件工程师，2015（3）：30-34.

[33] 向华萍，付智辉，陈红丽. 具有时间约束的动态角色的访问控制策略[J]. 河北科技大学学报，2010（6）：558-563.

[34] 熊厚仁，陈性元，费晓飞，桂海仁. 基于属性和RBAC的混合扩展访问控制模型[J]. 计算机应用研究，2016（7）：2162-2169.

[35] 张新华，陈军冰. 时间约束的RBAC模型及应用[J]. 计算机技术与发展，2007（6）：246-249.

[36] Weiser M. The computer for the 21th Century[J].Scientific American，1991，265（3）：94-104.

[37] Mostefaoui G， Brezillon P. A Generic Framework for Context-Based Distributed Authorizations[A]. Proc of the 4th Intl and Interdisciplinary Conf on Modeling and listing Context[C].2003.204-217.

[38] 张沙沙，姜华，谢圣献，李秋静. 基于上下文感知的RBAC动态访问控制研究[J]. 计算机安全，2009（8）：5-8.

[39] 许淳，王文发，李竹林，刘芬. 一种基于角色的多约束动态权限管理模型研究[J]. 电子设计工程，2016（19）：31-33.

[40] Pullamsetty Harika， Marreddy Negajyothi， John C John， et al.Meeting cardinality constraints in role mining[J].IEEE Transaction on Dependable and Secure Computing，2015，12（1）：71-84.

随便看

科学优质学术资源、百科知识分享平台，免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。