1、1,RBAC中的SoD和約束,2,職責(zé)分離 一.資金撥付 以下是對公司部門和會計(jì)辦公室負(fù)責(zé)撥付資金的人應(yīng)用的最小職責(zé)分離。 下列職責(zé)應(yīng)當(dāng)由不同的人執(zhí)行： 1.支票申請審查-就申請的商業(yè)目的、適用政策、備份文件、核準(zhǔn)簽字進(jìn)行評估 2.支票準(zhǔn)備-準(zhǔn)備支票，并在分戶賬簿記賬 3.支票核發(fā)-在支票上簽章，確認(rèn)分戶賬簿的記賬條目 4. 支票交付-分送支票，或寄送給收款人 5. 分戶賬簿審查員-就總賬現(xiàn)金帳戶核對銀行對帳單，看賬目是否平衡,3,二.儲存資金 以下是對公司部門和會計(jì)辦公室負(fù)責(zé)儲存資金的人應(yīng)用的最小職責(zé)分離。 下列職責(zé)應(yīng)當(dāng)由不同的人執(zhí)行： 1.郵件收發(fā)-打開郵件，審核，背書支票 2.出納-處理

2、現(xiàn)金，確定賬戶代碼，存入銀行賬戶或交付給另一出納 3.審計(jì)-長確保所有收到的支票存入帳戶，賬戶代碼無誤。同時也核收退回辦公室的支票 4. 審查分戶賬簿-比對部門會計(jì)記錄與財(cái)務(wù)辦公室記錄，看賬目是否平衡,4,職責(zé)分離定義 美國國家標(biāo)準(zhǔn)學(xué)會： “為敏感信息劃分責(zé)任，以便沒有單獨(dú)行動的個人可以危及數(shù)據(jù)處理系統(tǒng)的安全。” （2000年，美國國家標(biāo)準(zhǔn)學(xué)會） 美國管理和預(yù)算辦公室文件A - 123 （修訂1995年6月21日） ： “授權(quán)，處理， 記錄，審查官方代理事務(wù)中的關(guān)鍵職責(zé)和責(zé)任應(yīng)當(dāng)由不同的個人分開執(zhí)行”,5,職責(zé)分離的類型 研究者們已經(jīng)提出許多不同的職責(zé)分離模型，而只有一部分被付諸實(shí)踐 由Sim

3、on和Zurko所做的全面調(diào)查發(fā)現(xiàn)了兩種粗略的職責(zé)分離方法的分類：靜態(tài)職責(zé)分離和動態(tài)職責(zé)分離 簡單的區(qū)分這兩類職責(zé)分離的方法是考慮角色約束被提出的時間。靜態(tài)職責(zé)分離在用戶被授予某種角色時就對角色加以約束,6,在動態(tài)職責(zé)分離里，只有當(dāng)用戶正在應(yīng)用系統(tǒng)時約束才起作用。因此這是一種較弱的職責(zé)分離形式 根據(jù)一個機(jī)構(gòu)的安全需求和資源的不同，靜態(tài)和動態(tài)角色可以分別滿足其不同的要求,7,靜態(tài)職責(zé)分離 職責(zé)分離關(guān)系經(jīng)常被用來實(shí)施利益相互沖突的策略，而這種策略應(yīng)橫跨分布式系統(tǒng)，從整個組織機(jī)構(gòu)范圍內(nèi)進(jìn)行分析 避免這一形式的利益沖突，方法之一就是使用靜態(tài)職責(zé)分離static SoD 對用戶角色指派施加約束。如果這意

4、味著如果一個用戶被指派到一個角色A，這個用戶就被禁止成為第二個角色B的成員,8,舉例來說，下圖顯示了一個帶有職責(zé)分離約束的角色層次,9,一個被指派了票據(jù)文員角色的用戶就不能再被指派作為應(yīng)收會計(jì)文員。就是說，票據(jù)文員和應(yīng)收會計(jì)文員是相互排斥的 以策略的觀點(diǎn)來看，靜態(tài)約束關(guān)系為處理沖突利益，以及對RBAC元素集施加其它的分離規(guī)則提供了一種有力手段,10,在定義靜態(tài)職責(zé)分離需求時必須考慮角色層次存在或不存在兩種情況 靜態(tài)職責(zé)分離：靜態(tài)職責(zé)分離關(guān)系在用戶指派角色時設(shè)置約束。視乎靜態(tài)職責(zé)分離實(shí)施的規(guī)則，一個角色的成員資格可能防止同一個用戶成為另一個或更多其它角色的成員 角色層次中的靜態(tài)職責(zé)分離：這種靜態(tài)

5、職責(zé)分離關(guān)系和基本的靜態(tài)職責(zé)分離類似，不同之處在于當(dāng)施加約束時繼承的角色和直接指派的角色都要考慮,11,為了定義角色集在用戶角色指派上施加的約束，可定義為一個二元組（角色集，n）作為static SoD，（角色集，n）表示沒有一個用戶能夠指派“角色集”中多于n個或更多的角色，實(shí)際應(yīng)用中，n=2 因此，存在許多不同的靜態(tài)職責(zé)分離策略 舉例來說，一個用戶可能不能被指派到指定角色集合中的所有角色，而同一特點(diǎn)的一個強(qiáng)部署可能限制用戶被指派到角色集中任何兩個或兩個以上角色的組合,12,13,靜態(tài)約束具有多種形式。普通的例子是用戶到角色集的互不相交的指派 盡管靜態(tài)職責(zé)分離過于嚴(yán)格，未必適合小機(jī)構(gòu)，因?yàn)樗?/p>

6、易實(shí)現(xiàn)和驗(yàn)證，還是經(jīng)常被投入使用 Simon和Zurko ，Gligor以及其他人，Ahn和Sandhu已經(jīng)確認(rèn),職責(zé)分離關(guān)系包含了用戶，操作和對象以及它們的組合之上的所有約束,14,靜態(tài)職責(zé)分離 如果角色r1和r2需要靜態(tài)分離，那么r1和r2不能被指派給相同的用戶 SSD (2USERS N )，它由靜態(tài)職責(zé)分離中的（rs，n）二元組組成，每個二元組中rs是一個角色集合，n是一個大于或等于2的自然數(shù)，具有性質(zhì)： （rs，n）SSD，沒有一個用戶被指派到rs中的n個或更多的角色 形式定義： (rs,n) SSD, s rs：|s|nassigned_users(r)= r s,15,層次結(jié)構(gòu)中

7、的靜態(tài)職責(zé)分離: 層次結(jié)構(gòu)中的靜態(tài)職責(zé)分離是依據(jù)被授權(quán)的用戶而不是依據(jù)被指派的用戶來定義的： (rs,n) SSD, s rs：|s|nauthorized_users(r)= r s 靜態(tài)職責(zé)分離也很容易在基于角色的訪問控制中實(shí)現(xiàn),16,職責(zé)分離中的規(guī)則-薪金處理數(shù)據(jù)庫應(yīng)用案例 舉例來說，一個被授權(quán)能對薪金注冊表進(jìn)行更新和添加權(quán)限的員工不能開出付薪金的支票。如果這種情況發(fā)生了，這個員工可能偽造支票（比如通過修改工作時間，幫朋友增加一個考勤卡，或者虛構(gòu)一個具有郵政信箱地址的職工，而只有他擁有這個郵箱的鑰匙）。這種類型的安全代表一種邏輯職責(zé)分離（logical SoD）。手工職責(zé)分離（Manua

8、l SoD）也很重要；它包含了防止薪金文員弄到空白薪金支票,17,本案例使用了一種傳統(tǒng)的ACL方法 員工的用戶ID被記錄在薪金注冊表的ACL表中，該用戶便具有添加和更新的權(quán)限。必須利用一個審計(jì)程序來確保該員工的用戶ID沒在申請開薪金支票的應(yīng)用程序的ACL表中 額外的審查也是必須的，用以確保這個特殊的員工沒有另一個違反該約束的用戶ID。當(dāng)公司員工成千上萬時，象這樣的權(quán)限審計(jì)就變得非常復(fù)雜和耗時,18,在一個基于角色的訪問控制系統(tǒng)中，可以通過指派更新薪金注冊表的權(quán)限給一個角色，開薪金支票的權(quán)利給另一個角色來滿足本例中的職責(zé)分離需求。然后使得這些角色相互排斥 從這個角度來說，基于角色的訪問控制系統(tǒng)能

9、確保沒有人能同時被指派到這兩個角色,18,19,動態(tài)職責(zé)分離 動態(tài)職責(zé)分離（DSD）（如圖5.4）是另一種應(yīng)用廣泛的職責(zé)分離機(jī)制。通過動態(tài)分離，用戶可以被授予相沖突的角色，但是一旦用戶登錄系統(tǒng)以后就會受到限制 例如，它可能允許一個用戶同時被授予A和B兩種角色，但不允許用戶在一段時期里同時擁有這兩種角色,20,圖5.4 動態(tài)職責(zé)分離,21,舉例來說，讓我們來考慮小交易中支出處理問題 在員工少事情多的情況下，圖5.1中要求由不同的個人履行的職責(zé)，現(xiàn)在不可能一個職責(zé)安排一個人，因?yàn)槿耸植粔?一種替代的方法是要求同一時間內(nèi)同一個人不能擁有兩種角色。這樣，有的員工可以同時擁有幾個需要分離的角色的成員資格

10、，但需要一個動態(tài)職責(zé)分離規(guī)則防止這個員工在一個會話中同時申請兩種沖突的權(quán)利：申請支出和批準(zhǔn)支出,22,職責(zé)分離 一.資金撥付 以下是對公司部門和會計(jì)辦公室負(fù)責(zé)撥付資金的人應(yīng)用的最小職責(zé)分離。 下列職責(zé)應(yīng)當(dāng)由不同的人執(zhí)行： 1.支票申請審查-就申請的商業(yè)目的、適用政策、備份文件、核準(zhǔn)簽字進(jìn)行評估 2.支票準(zhǔn)備-準(zhǔn)備支票，并在分戶賬簿記賬 3.支票核發(fā)-在支票上簽章，確認(rèn)分戶賬簿的記賬條目 4. 支票交付-分送支票，或寄送給收款人 5. 分戶賬簿審查員-就總賬現(xiàn)金帳戶核對銀行對帳單，看賬目是否平衡,23,二.儲存資金 以下是對公司部門和會計(jì)辦公室負(fù)責(zé)儲存資金的人應(yīng)用的最小職責(zé)分離。 下列職責(zé)應(yīng)當(dāng)由

11、不同的人執(zhí)行： 1.郵件收發(fā)-打開郵件，審核，背書支票 2.出納-處理現(xiàn)金，確定賬戶代碼，存入銀行賬戶或交付給另一出納 3.審計(jì)-長確保所有收到的支票存入帳戶，賬戶代碼無誤。同時也核收退回辦公室的支票 4. 審查分戶賬簿-比對部門會計(jì)記錄與財(cái)務(wù)辦公室記錄，看賬目是否平衡,24,如果該用戶未終止上述會話而以另一個角色登錄系統(tǒng)是不可能的，那么就不會有問題 事實(shí)上審計(jì)或其它機(jī)制能夠用來防止這一漏洞,25,動態(tài)職責(zé)分離 如果角色r1和r2需要動態(tài)分離，那么r1和r2不能有相同的授權(quán)用戶 動態(tài)職責(zé)分離DSD= （rs，n） (2ROLES N)，是二元組（rs，n）的集合，每個rs是一個角色集，n是大于

12、等于2的自然數(shù)。同時要求沒有一個主體可以激活n或n個以上角色,26,動態(tài)職責(zé)分離 形式化定義： rs 2ROLES, n N, (rs, n)DSD n 2 |rs| n， 同時 s SUBJECTS, rs 2ROLES， role_subset 2ROLES n N，(rs, n) DSD， role_subset rs，role_subset subject_roles(s) |role_subset| n,27,動態(tài)職責(zé)分離關(guān)系與靜態(tài)職責(zé)分離一樣限制了用戶可以取得的權(quán)限。然而動態(tài)職責(zé)分離關(guān)系與靜態(tài)職責(zé)分離的區(qū)別在于施加約束的背景（上下文）不同 動態(tài)職責(zé)分離要求通過在一個會話或跨越用戶會

13、話中限制角色的激活來限制權(quán)限的取得,28,類似靜態(tài)職責(zé)分離關(guān)系，動態(tài)職責(zé)分離關(guān)系也將約束定義為一個二元組（角色集，n），其中n是大于2的自然數(shù)，一個用戶會話不能同時激活角色集中n個或更多個角色,29,動態(tài)職責(zé)分離特性為最小權(quán)限原則提供了可申縮的支持，即根據(jù)實(shí)施的任務(wù)不同每個用戶在不同的時間段內(nèi)具有不同的許可等級。這確保了用戶完成任務(wù)后許可權(quán)限不可能持續(xù)存在 這種最小權(quán)限的觀點(diǎn)一般被稱為“有時限的信任撤回”。如果不引入動態(tài)職責(zé)分離，動態(tài)許可撤回會成為一個復(fù)雜的問題，過去人們因此而忽略了對這一問題的研究,30,當(dāng)一個用戶被分配一個角色時，靜態(tài)職責(zé)分離關(guān)系能保證處理潛在的利益沖突問題 動態(tài)職責(zé)分離則允許一個用戶成為兩個或更多個產(chǎn)生利益沖突的角色的授權(quán)用戶，當(dāng)這些角色分別獨(dú)立地激活時不會發(fā)生問題（同時激活這些角色會存在問題）,31,舉例 一個用戶