关于RBAC的相关知识
信安0802王昊3080604040
一、背景
随着网络HYPERLINK"http://text.dotmore.cn/Redir.html?http%3A//www.lxrzrc.com"\t"_blank"技术的HYPERLINK"http://text.dotmore.cn/Redir.html?http%3A//www.dotmore.cn"\t"_blank"发展和网上应用的日益增加，信息安全问题日益凸现当前信息安全技术主要HYPERLINK"http://text.dotmore.cn/Redir.html?http%3A//www.chinayzh.cn"\t"_blank"包括密码技术、身份HYPERLINK"http://text.dotmore.cn/Redir.html?http%3A//www.bthj.cn"\t"_blank"认证、访问控制、入侵检测、风险分析与评估等诸多方面在实际应用中，这些安全技术相互支持与协作，各自解决安全问题的某一方面但目前人们关注的重点是密码技术、身份认证、入侵检测等，访问控制技术没有得应有的重视事实上访问控制技术是一个安全信息系统不可或缺的安全措施，对保护主机系统和应用系统的安全都有重要意义。
访问控制技术起源于70年代，当时是为了满足管理大型主机系统上共享数据授权访问的需要但随着计算机技术和应用的发展，特别是网络应用的发展，这一技术的思想和方法迅速应用于信息系统的各个领域在30年的发展过程中，先后出现了多种重要的访问控制技术，它们的基本目标都是防止非法用户进入系和合法用户对系统资源的非法使用为了达到这个目标，访问控制常以用户身份认证为前提，在此基础上实施各种访问策略来控制和规范合法用户在系统中的行为。
二、传统访问控制技术
自主访问控制
自主访问控制随分时系统的出现而产生，其基本思想是：系统中的主体可以自主的将其拥有的对客体的权限部分或者全部授予其它主体。其通常通过访问控制列表（ACL：AccessControlList）来实现，包括基于行（主体）的DAC和基于列（客体）的DAC。基于行的DAC在每个主体上都附加一个该主体可访问的客体的明细表，而基于列的DAC则在每一个客体上都附加一个可以访问该客体的主体的明细表。其实现简单，在早期得到了广泛的应用。但是由于其允许访问权的传递，使得传递出去的访问权难以管理。另外其无法保护受保护资源的副本。最后，其用于管理主客体数量巨大的系统将造成开销巨大，效率低下的问题，难以满足大型应用，特别是网络应用的需要。
强制访问控制强制访问控制最初源于对信息机密性的要求以及防止特洛伊木马之类的攻击，其最开始应用于军方系统中。其通过对主体和客体分配HYPERLINK"http://text.dotmore.cn/Redir.html?http%3A//www.szokco.com.cn/"\t"_blank"固定的安全属性，HYPERLINK"http://text.dotmore.cn/Redir.html?http%3A//www.stockdiy.com/ad.asp%3Fboardid%3D7"\t"_blank"利用安全属性来决定主体是否可以对客体的进行访问。安全属性是固定的，任何用户或者用户进程都无法改变自身或者其它主/客体的安全属性。另外，强制访问控制通常和自主访问控制结合使用，主体只有通过了强制访问控制和自主访问控制检查后才能访问客体，因而可以防止特洛伊木马之类的程序窃取信息。
其本质是基于格的非循环单向信息流政策。其具有两个关键规则：不向上读，不向下写，即信息只能由低安全级向高安全级流动，任何反向信息流动都是被禁止的。
虽然其通过增加访问HYPERLINK"http://text.dotmore.cn/Redir.html?http%3A//www.metermart.com/"\t"_blank"限制来增加了信息的机密性，但是也不可避免的降低了系统的灵活性，另外其不能实施完整性控制，这限制了它在网络中的应用。再者，现代计算机中不可避免的存在大量的逆向潜信道，如：共享内存，大量的Cache，这也影响了其的广泛应用。
三、新型访问控制技术
基于角色的访问控制
基于角色访问控制RBAC（RoleBasedAccessControl）的概念早在七十年代就已经提出，但在相当长的一段时间并没有得到人们的关注。进入九十年代，安全需求的发展使RBAC又引起了人们的极大关注。
在RBAC中，在用户和访问许可权之间引入角色（Role）的概念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可权相联系，角色可以根据实际的HYPERLINK"http://text.dotm