一种使用组织结构的访问控制方法
第32卷场五32第13期
№13
计算机工程
COmputerEngineering
20%年7月
JuIy2伽16
?安全技术?文章■号tl∞o—34勰(20嘶)13—∞20__03文l噱酥识码tA中啊分类号lTP3眇一种使用组织结构的访问控制方法
徐震,冯登国
(中国科学院软件所信息安全国家重点实验室,北京100080)
摘要:大型组织的信息资源往往根据组织结构维护,其中存在大量同构的、拥有同类信息资源的单元。传统RBAc模型在这种环境下进行访问控制时需要为每个同构部分定义权限和角色。其中存在大量冗余的工作,特别在同构单元数量很多时授权管理非常困难。该文提出了一个支持组织结构的RBAc模型,模型引入了组织结构,定义了抽象的角色,通过将抽象角色与组织结构单元关联解决上述问题。还给出了模型的扩展以支持角色的使用范围限制和细粒度访问控制。
关黼:访问控制;RBAc;组织结构
AnAccessControlMethodUsingorganizationStructure
XUZh朗,FENGD亡ngguo
(StateKeyLaboratoryofInfomationSecurity,Instituteofsoftware,ChineseAcademyofSciences,Beijingl00080)
IAbstractlLa曙eo喀aIlizationstendtoo唱anizetheirinfomationresourcesaccordingtomeirstnlctIlres.Suchas咖ctureoftenhaSmanysi“larsub—s仇lcturcs.Using咖i60nRBACtomodeltIleaccesscon由rolrequirementundersuchenvironmentswiUleadtodefinepenIlissionsandmlesineachoneofmesesub—smlctures.SoⅡlerehasmuchexⅡaworktomarIagesuchanaccesscontrolsystem.Thispaperpfesents锄extendedRBACmodel.Inordertosolvemeaboveproblem,mismodeladoptso曙a11izationstmctures,definesabstmctroles锄daSsociatessuchabs廿actrolesandorganizationstnlctllreuIlits.
IKeywordslAccessconⅡDl;RBAC;O唱aIlizationstrIlctIlre
1概述
在实际环境中,大型组织中往往存在大量同构部门——它们管理的客体类型和结构类似,并且内部职位和相应职能也相同,只是作用范围不同。图1是一个全国性的商业组织的组织结构,该组织在每个主要城市都有其分支结构,每个分支结构的组成和管理的信息资源类型都是相同的。本文使用RBAc对这个组织的访问控制进行建模,首先需要确定权限和角色。可以为每个部门中的信息资源定义权限,再为角色赋予权限。这种方法在分支部门和客体较少的情况下还勉强可行,但是数目到了一定规模,模型的管理就非常困难了。
圈1一个膏卫姐织昀组织鳍杓
为了勰决组织中同构部门访问控制的管理困难和冗余工作的问题,本文给出了一个新型访问控制模型。该模型扩展自RBAc模型,引入了组织结构作为模型中的实体,较好地解决了前面讨论RBAC模型的缺点。
一20一2分析
组织结构单元是为了进行有效的管理而划分的组织实体,以下简称单元。组织结构是单元构成的树形结构。下面从访问控制角度讨论问题,只考虑对组织信息资源的访问控制。
单元是一个具体的实体,它拥有信息资源和子单元,在访问控制模型中这些信息资源被抽象为客体。大型组织的组织结构中存在大量同构的单元,它们拥有同类的信息资源,对这些信息资源以相同的方式处理(相同的职能)。下面从定量的角度讨论这种组织结构中访问控制的管理复杂性。
研究者给出了RBAc模型管理的定量分析。对于任意职位",假定拥有这个职位的用户数为U,完成这个职位工作所需的权限数目为P。那么使用RBAc模型时需要的管理操作为u+P,而使用传统的自主访问控制模型则需要u×P,u+P>2时u×P>u+P。u+P≤2时定义的角色没有意义,所有对于整个系统有下面的式子:
n口n口
∑(u,+P)<∑(u,×只)
j=1仁1
这说明RBAc比传统自主访问控制易于管理。而使用RBAC进行访问控制的管理工作主要是角色定义和为用户授予角色,本文中考虑减少角色管理的工作。传统方法将权限基金项目:国家自然科学基金资助项目(60025205);国家“973”计划基金资助项目(G1999035802);国家“863”计划基金资助项目(2004AAl47070)
作者簧介:徐震(1976__),男,博士,主研方向:大型系统安全;冯登国,研究员、博导
收稿日期:2005—10-lO
E-m胡:xuzhen@is.isc髂.ac.cn 万方数据