译文 中文 基于角色的访问控制.doc

《译文 中文 基于角色的访问控制.doc》由会员分享，可在线阅读，更多相关《译文 中文 基于角色的访问控制.doc（11页珍藏版）》请在咨信网上搜索。

基于角色的访问控制 作者：大卫 F. 佛莱欧罗，D. 理查德 库恩 和 拉马斯瓦米.昌德拉穆里 ISBN：1580533701 出版社：Artech House 2003（316 页） 这是第一部探讨基于角色的访问控制 （RBAC）的教科书，RBAC 是一种用于大型 网络应用程序安全管理的安全体系模型，运 用它可以降低安全管理中的成本和复杂性。 第一章：绪论 概述 访问控制（AccessControl）——从广义的角度也叫做权限授予（Authorization） ——在很久以前当人们意识到要保护财产的时候就已经有这个概念了。从古代开 始，守卫、门锁就已经用于限制人们对有价物品的使用了。对于访问控制的需求实际上促使了世界上第一个安全计算机系统的发明。1879 年，俄亥俄州代顿市的一个酒馆老板，詹姆斯.里蒂发明了“清廉出纳员”，这就是后来众所周知的现金出纳机。里蒂的发明减少了雇员偷盗现金的现象，雇员仅能在把款项记入现金记录机后才能打开装现金的抽屉，一举一动都逃不出顾客的眼睛。只要记录下销售量和累计总额，出纳机就可以让店主确保现金抽屉里的钱和一天的总销量相互吻合。 在现今的信息技术中，权限授予”是指用户访问计算机系统资源的有关方法，或者简单的说就是：“谁可以干什么”。访问控制无疑是现今使用的，最基本、最普遍的安全机制。事实上，访问控制出现于各种系统之中，它在体系结构和行政管理上给各层次的企业级计算都带来了巨大影响。从商业角度看，访问控制可以潜在的促进最优化的资源共享和互换，但也有潜在的困难等待着用户：巨额的管理成本，以及未授权的信息泄漏和讹误。 访问控制有许多种形式。为了决定用户是否有权使用某项资源，访问控制系统可以限定用户何时以及如何使用该项资源。例如，用户仅仅可以在工作时间访问网络。某些机构可能会建立起更加复杂的控制机制，像一些需要两个工作人员共同执行的特定的高危操作，比如打开金库或发射导弹。访问控制的定义和模型最初源于 20 世纪 70 年代早期的一篇颇具创造性的论文，早期的标准化运动产生于 20 世纪 80 年代，RBAC 的出现则起始于 20 世纪 90 年代并延续至今。本章将介绍访问控制的起源、历史和重要概念，评述现今流行的访问控制机制，并讲述RBAC 的基本概念及其在系统程序、应用程序及网络安全领域的优势。 1.1 访问控制的目标和基本原理 访问控制仅仅是综合性计算机安全解决方案的一部分，但它是最为显著的部分之一。每当用户登录某个多用户计算机系统时，访问控制机制就会工作起来。为了更好的理解访问控制的目的，有必要回顾一下信息系统中，所存在的危险。信息系统安全风险可以被广义的划分为三类：秘密性（Confidentiality）、完整性（Integrity）和可用性（Availability），简记作“CIA”。这三个类别描述如下： 机密性是指对于保证信息安全和秘密的需要。任何来自于国家保密部门的密件、金融信息、安全信息（如密码）等均属此类。 完整性是指防止信息被未授权的用户变动或修改。例如，大部分用户都要确保财务软件使用的银行账户不能被任何人改变，并且，只有该用户自己或已授权的安全管理员才能改变密码。 可用性指当用户需要使用信息时就可以正常使用。攻击者会尝试攻击 Web 服务器并使其超负荷运转，这些广为人知的攻击行为即是在进行可用性攻击。 访问控制重点要保证信息的秘密性和完整性。机密性要求只有授权用户才可以读取信息，完整性要求只有授权用户才可以在授权的方式下变更信息。访问控制很少注重保证可用性，但它显然扮演了一个重要的角色：非法获得系统访问权的攻击者很可能在攻陷系统时遇到一些麻烦。 1.1.1 权限授予和身份鉴别 权限授予和身份鉴别是访问控制的基础。它们是截然不同的两个概念，但总被混淆。之所以混淆，部分原因是两者总是紧密联系的——正确的权限授予事实上依赖于身份验证。 身份验证是确定用户所声明的身份是否合法的过程。每个计算机使用者都熟悉密码，这是一种最常见的身份验证形式。如果爱丽丝以 alice46 和一个对应于此用户标识（ID）的正确密码登录，她就通过了系统的身份验证。还有一些不常见的身份验证形式，如：生物识别（例如指纹识别）和智能卡。身份验证是基于如下的一个或多个因素： 某种你知道的信息，例如：密码，个人识别号（PIN）或密码锁； 某种你拥有的东西，例如：智能卡，自动取款机（ATM）卡，密钥； 某种你本身具有的物理特性，例如：指纹，视网膜或者面部特征。 显而易见，如果综合使用两个或更多因素，身份鉴别将更加健壮。密码可以被猜测出来，密钥可能丢失，面部识别系统也可能有一定的错误率，所以只使用一种身份鉴别方法也许并不能达到可接受的安全级别。这就是为什么银行的ATM 机需要同时提供智能卡和 PIN 码，而不只是单独的密码、密钥或智能卡。如果智能卡丢失，窃贼需要在三次机会中猜出 PIN 码，才能击败身份鉴别系统。 身份鉴别是确定“你是谁”的过程，权限授予则是确定“你能干什么”的过程。权限授予机制对用户是否可以访问系统资源作出“是”或“否”的决定。信息系统必须负责维护一组用户 ID 和系统资源之间的关系，可以将授权用户的列表绑定在资源上，或者为每个用户 ID 绑定一个可访问资源的列表。值得注意的是，权限授予必须依赖对应的身份验证机制。如果系统不能确认某用户的 ID，也就没有合法方式去确定该用户是否应被授权。 1.1.2 用户、主体、客体、操作和权限 30 多年前，业内就已经使用一套合理、一致的术语来描述访问控制模型和系统。几乎所有的访问控制模型都可以使用用户、主体、客体、操作和权限以及它们之间的关系进行形式描述。理解这些术语非常重要，因为这些术语不仅出现在本书中而且在访问控制和计算机安全领域的大多数文献中总会频频出现。 术语“用户”是指和计算机系统交互的人。在许多设计方案中，单个用户可能拥有多个登录标识（ID），这些标识可能同时处于活跃状态，但身份验证机制可以使多个标识匹配到某个具体的人。 用户和系统交互的实例被称为会话（Session）。 一个代表用户行为的计算机进程称为主体。实际上，用户在计算机上的所有操作都通过计算机系统中某些运行着的程序来施行。即使某用户只登陆了一次并且只有一个会话，该用户的某项操作也可能包含多个主体。例如，当用户使用Web 浏览器时，一个电子邮件系统可能在后台运行，定时的从服务器上获取邮件。每个用户的程序都是一个主体，并且需要检查每个程序的访问行为，确保系统允许该用户程序施行其访问行为。 客体可以是计算机系统中任意可访问的资源，包括文件、外围设备——如打印机、数据库，细粒度的实体——如数据库记录中存储个人数据的字段。尽管早期的访问控制模型可能将诸如程序、打印机或其它主动实体视为客体，但传统上，客体仍被看作是被动实体，只用来存储或接受信息[1]。 操作是由客体触发的活动进程。早期的访问控制模型非常关注信息流动（也就是读写访问），它将所有的活动进程都称为客体，但是 RBAC 模型需要区分客体和操作。比如，当某用户向 ATM 中插卡并输入正确的 PIN 码后，执行用户行为的控制程序就是一个客体，但这个客体可以初始化多个操作——存款、取款、帐务查询等。 权限（Permission 或 Privilege）是系统中授权可以执行的动作。正如这本书和大多数计算机安全文献所使用的，术语权限代表客体和操作的组合。两个不同客体进行的同一操作代表两种不同的权限，同样的，同一客体执行的两个不同操作也是两种不同权限。例如，一个银行柜员可能有权限通过交易在客户帐户上进行借记或贷记操作，会计也可以在合并了帐务数据后的总账上进行借记或贷记操作。 1.1.3 最小特权原则 最小特权是一项历史悠久的管理实践经验，它有选择的为用户指派权限,使得仅能刚好满足用户任务所需的权限。最小特权原则可以避免用户去执行不需要的和有潜在危险的行为。这样问题就演变为，如何为用户角色或代表用户行为的主体，指派反映功能或职责集合的系统权限集。最小权限原则提供一组基本规范，说明在哪设置权限边界，此边界由访问控制机制提供。保证遵守最小特权原则是管理上的一大挑战，这需要识别任务功能，需要说明执行每个功能所需的权限集合以及权限所在的域中针对某用户的限制。 严格遵守最小权限原则，需要根据用户执行的任务或功能，在不同的时间里有不同级别的权限。这项工作必须经过某些环境的验证及有关许可才能施行，因为它并不实用且会给用户增加麻烦，或是加重管理员的负担。然而无节制的授权会发生绕过系统保护机制的情况，无论为了满足一致性或机密性都需要随时避免发生这种情况。同样重要的是，必须保证用户不执行任务的这段时间里其权限是无效的。 1.2 访问控制简史 早在 20 世纪 60 年代，在某些早期分时计算机系统中，安全问题就已引起了人们的关注，但是，直到 20 世纪 70 年代初，计算机安全学才开始快速发展。那时，大型资源共享系统普遍出现在政府部门、军事机构和大型商务公司中,该技术也就在政府、军用系统和商业领域中发展起来，像 ATM 那样的应用程序也对强壮的安全系统提出了要求。 1.2.1 大型机时代的访问控制 多用户计算机系统的发展和对计算机防护系统的日益依赖，使得美国国防科学委员会在 20 世纪 60 年代对政府系统的漏洞进行了一次评估。大学里的研究者们也注意到了这个问题。早期关于访问控制的形式化数学描述是由兰普森给出的[2]。他正式提出了主体、客体的概念，以及关联主体和客体的访问矩阵。访问矩阵是一种简易的概念表示法，它用矩阵（i，j）中的值来代表主体 i 拥有访问客体 j 的权利。图 1.1 给出了一个事例。系统允许主体（用户发起执行的进程）按照矩阵标示的权利访问那些客体（文件、外围设备等）。如图，用户系统允许鲍勃读和写工资文件，允许读应收款和应付款文件。 总账 薪资 应收款 应付款 爱丽丝 R,W R R 鲍勃 R,W R R 查尔斯 R R R 图 1.1：访问矩阵 1970 年兰德公司提供了一份国防部计算机系统的安全分析报告。在报告中，包含了一份实现资源共享系统多级访问控制方法的定义（分为三个安全级：秘密、机密和绝密），文中指出需对基于口令授权的本地访问和远程访问分别对待。报告还讨论了存储于系统中文件的许可级（clearance level）和密级（classification level）的信息访问控制基础需求（译注：许可级是针对用户的，密级是针对数据对象的）。安全系统分级的方法后来被美国空军的一份通信系统工程的开发计划所扩展。 贝尔和拉帕杜拉为军方的访问控制规则建立了数学模型，以便用于计算机安全系统的定义和评估。这个模型中所公式化的多级安全系统实现了一个与政府规 定相似的保密规则：系统允许用户访问的信息，其密级必须等于或低于用户的许可级。从概念上讲，这是一个非常简单的策略，容易被人们理解和接受。然而，在计算机系统中运用信息技术实现这个看似简单的策略却会很棘手。意料之外的差错和系统组件间不易察觉的相互作用都可能导致计算机安全系统的漏洞。贝尔-拉帕杜拉模型（Bell-LaPadula model，后文简作：贝拉模型）具有重大意义，因为它提供了一个多级安全策略的形式化（也就是数学上的）模型，这使得我们 可以从细节上分析模型的各种属性。 该形式化模型需要两个基本的准则：简单安全准则（simple security rule）和等级特性（*-property），即，严禁上读-下写。简单安全准则是：具有某一许可级的用户不能读取更高级别客体的信息（例如，一个机密级的用户不能读取绝密级文件）。等级特性本质上是简单安全准则的反面，它要求：具有某一许可级的用户仅可以向其同级或较高级的客体中写入信息。例如，如果某用户以机密级别登录，该用户运行的程序或进程不能写入秘密级别的信息，但可以写入更高级别（如绝密级）的信息。（值得注意的是，这项准则只对计算机上执行操作的进程有意义。显而易见，某人可能以高安全级登录，然后将信息打印或者记忆下来， 再以低安全级进入并重新输入这些信息。）贝拉模型还包含类别的概念，类别是一种垂直跨越级别的安全单元。用户除了需具有合适的许可级外，还需将所有的类别属性赋予保密文件。例如，某个文档可能被分类为[机密，核子，北约]，用户需要一个机密级或更高级的许可并且必须指定两个类别——核子和北约。（第二章将更详细的讨论这个准则的细节。）该策略确保信息不会被进程无意或恶意的降低级别。 1976 年，哈里逊，卢佐和厄尔曼在他们的一篇论文中指出：本质上，传统的安全访问矩阵的安全状况具有不可判定性[6]。换句话说，我们不可能确知系统中符合安全要求的所谓“安全”配置是否真正安全。如果系统最初包含一系列访问某些客体的权力，那么系统将有可能授予源矩阵中不存在的访问权力。虽然证明这一结果需要一些理论知识，但是其不可判定性的根本原因是由于用户可以放弃访问权限。如果系统不能对权限的传递进行控制，那么就不能确保一个未授权用户不会通过一系列的权力代理非法获得权力。 1.2.2 国防部标准 1983 年，访问控制模型的标准化进程前进了一大步，美国国防部（DoD）发布了其可信计算机系统评估标准（TCSEC）[1]，即通常说的“黄皮书”（因为其封面是桔黄色的）。这份标准详细的为军用系统规定了两种重要的访问控制模型：自主访问控制（DAC）和强制访问控制（MAC）。正如其名称所暗示的，DAC 是这样一种模型：文件创建者或拥有者赋予其访问权力，主体可以自由决定对信息的访问情况，也可以将信息传递给其它客体。 仅靠 DAC 模型本身还不足以实现军方的文档分级管理模式。由于 DAC 模型允许用户将访问权限授予客体，所以哈里逊，卢佐和厄尔曼的“不可判定性”结论也适用于 DAC。在那些需要确保安全的系统中，我们需要一个真正的安全模式——MAC。 通常，MAC 提供一种多层级的安全策略，1.2.1 小节介绍了贝拉模型对其做的形式化描述。（第二章将会更细致的讨论 DAC 和 MAC。）MAC 的关键特性是（正如其名称所蕴含的）：系统中对客体的所有访问操作都必须先由其处理。由于访问控制系统强制干预对客体的访问操作，用户也就不能将权限授予客体。用户只能执行其被限定的行为，这样访问控制体系就可以确保系统安全而无须考虑用户行为。 1.2.3 克拉克‐威尔逊模型 TCSEC 的目标之一是鼓励安全操作系统和计算机安全产品的市场化。有很多人撰稿称系统可以实现 TCSEC 需求中较低的安全级别来满足商业应用，人们希望能够在 TCSEC提供的指导说明下建立同时适于民用和军用安全产品的统一市场。 尽管许多厂商为促进 TCSEC 兼容性系统成为商用安全解决方案做出了很多努力，但大多数厂商认为 DAC 和 MAC 并不能满足他们的需求。面向 TCSEC 的系统关注信息的流动及其机密性。在 1987 年一份被广泛引用的论文中，克拉克和威尔逊[7]指出当信息机密性被广泛关注后，用户的基本需求已经转向了信息完整性（即，只有授权用户才能对信息进行修改。） 克拉克和威尔逊将商务安全实践形式化成安全模型，该模型的结论与贝尔和拉帕杜拉的军用安全模型差别很大。克拉克-威尔逊模型（Clark-Wilson model，后文简作：克威模型）的两个核心概念是良构事务和职责分离（SoD）。良构事务机制使得用户只能在授权的方式下修改数据。例如，银行出纳员不能随意修改顾客记录，除非这项操作被集成到某个正在运行的事务中，如存款或提款。古老的职责分离原则是良构事务机制的有益补充，它可以确保关键数据的一致性。例如，某个部门经理申请了一笔经费，这需要另外一个人的批准，并且第三个人还需要审计这个事务中是否有欺诈行为。使用信息流策略是很难在计算机系统中实 现这一过程的。RBAC 的一个初衷就是要使商业安全策略便于管理。 1.2.4 RBAC的由来 如同贝尔和拉帕杜拉的多层安全策略一样，RBAC 也是植根于历史上曾经出现的形式化模型，而且，RBAC 的主要特性都来源于商业领域。像多级安全体系那样，RBAC 在概念上也很简单：对计算机系统客体的访问是基于组织中的用户角色。角色是不同权限和职责的集合，它很早就被商家所了解。在商用计算机程序中，实现有限形式的用户角色访问限制机制至少要追溯到 20 世纪 70 年代。例如，当时的在线银行系统就包括出纳员和出纳管理员两个角色，这两个角色运行不同的事务集合，与此同时，ATM 机上的用户也可以在同一数据库中，运行另外的事务集合。 在 20 世纪 80 年代末及 90 年代初，研究者们开始注意到在应用程序和数据库系统的权限管理中进行角色抽象的好处。一个角色被看作机构内的一项工作或职位。角色作为一种结构而存在，与用户截然不同，但可将角色赋予用户。杜布森和麦克德米[8]称之为“功能性角色”（functional roles）。鲍德温[9]称这样的结构为命名保护域（NPD），并指出他们可以被整合进基于 NPD 权限子集的体系中。同时认识到的还有：角色的使用也需要符合最小特权原则，当创建角色时需要按照特定的职责需求赋予其最小的权限。布鲁尔和纳什模型[11]给出了一个基本理论，该理论可用于实现动态变更访问权限。这个模型也是一种商用安全模 型，被称为中国墙（Chinese wall）。该模型首先定义了什么是中国墙，然后定义了一系列准则（SoD 需求），以防止用户不能在错误的墙一侧访问数据。纳什和博兰[12]讨论了基于角色的安全应用程序中的密码验证设备在银行系统中的普遍应用。 基于角色的系统相对简单且具有针对性。也就是说，没有一个通用的模型来定义访问控制系统是如何以角色为基础的，这类系统的安全性形式化分析也很少。许多组织都曾参与开发此类系统，但他们并不能对正式标准的定义或认知达成普遍一致。 1992 年，NIST 展开了一项有关商业和政府组织的研究，研究发现当时市场上的软件产品并没有满足人们对访问控制的需求，大多数产品实现 TCSEC 式的自由访问控制，TCSEC 仍是许多机构的标准考察对象。在许多企业和民间政体中，终端用户并不“拥有”被 DAC 允可访问的信息。在这些组织中，公司或代理机构是系统客体的实际所有者，代表用户的自由访问控制并不适合这些公司。传统的 MAC 模型注重保护信息的机密性，它也不完全适合于组织。虽然强制实行“需知原则”（need-to-know）策略对所关心的机密信息是重要的，但大众普遍需要一种基于主体的安全策略支持，例如：基于能力资格的访问，对利益冲突准则的强制要求，或是严格依照最小权限准则的访问控制。为了支持这些策略， 需要一种基于企业中用户功能或角色的设限访问。 1992 年佛莱欧罗和库恩提出了一个满足这些需求的解决方案[14]，该方案集成了已有的专用模型形成了 RBAC 的广义模型。这篇论文以一种简单的方式描述了集合、关系以及定义角色和角色体系的映射，主体-角色关系的激活，主体-客体之间的调节，还有用户与角色间的隶属关系和角色集的激活。该模型包含三个基本准则： 1．角色指派：只有当主体被选定或被指派角色时，该主体才能运行某项事务。人们并不把身份识别和权限授予进程（例如，登录过程）当作事务来对待。系统中所有其它的用户行为都必须通过事务执行。因此，每个活动用户都需要有某个活动的角色。 2．角色授权：主体的活动角色必须授权给该主体。该准则与准则 1 确保用户只能获得被授权使用的角色。 3．事务授权：只有当事务获得了主体活动角色的授权时，主体才能运行该事务。该准则与准则 1、2 一起保证用户只能运行被授权的事务。 佛莱欧罗和库恩模型的形式化描述在图 1.2 中给出。该模型的关键是：所有的访问都必须通过角色。角色本质上是权限的集合，所有用户只能通过指派给他们的角色获得权限，如图 1.3。在某些组织中，用户和权限众多且变更频繁，角色则相对稳定。通过角色来控制访问行为简化了访问控制的管理和审核。 原先的 RBAC 形式化描述 对于每一个主体，活动角色是主体当前所应用角色的其中之一： AR(s : 主体) = {s 的活动角色} 每个主体可以被指派一个或多个角色： RA (s : 主体) = {s 的一个或多个角色} 每个角色可以被授权执行一个或多个事务 TA (r : 角色) = {授权给 r 的一个或多个事务} 主体可以运行事务。当且仅当主体 s 在当前时间可以运行事务 t 时，谓词 exec(s,t)为真， 否则为假： exec (s:主体,t:事务) = {True，当且仅当主体 s 可以运行事务 t} 1. 角色指派：仅当主体被选中或被指派给某角色时，该主体才能运行事务： o s : 主体,t : 事务 exec(s,t) AR (s) ≠ 2. 角色授权：主体的活动角色必须授权给该主体： o s: 主体 AR(s) RA (s) 3. 事务授权：仅当事务被授权给客体的活动角色时客体才能运行该事务： o s:主体 t,t : 事务 exec(s,t) t TA (AR(s)) 必须注意，由于准则 3 中是“仅当”，所以有可能在事务运行中存在附加的限制。也就是说该规则并不要求某个可以运行的事务必须属于 TA[AR(s)]。主体的活动角色暗示着事务集合是可以运行的。例如，一个新来的管理者可能需要被授予监管性的角色，但也许会在他的角色上加上一些限制，该角色可能只是那个监管性角色的子集。 图 1.2RBAC 模型 Ferraiolo 和 Kuhn 的形式化描述[4] 图 1.3：RBAC 中各元素的关系 计算机系统上最普通的实现访问控制的方法是访问控制列表（ACL）。所有的系统资源，例如文件、打印机和终端，都有一个和用户绑定的授权列表。这样可以便捷的回答每个客体的问题：“什么用户有权访问客体 X？”回答每个主体的问题却很困难：“什么客体可以被用户 X 访问？”这需要检查计算机系统中的所有客体才能回答这个问题，也许需要检查数百万个，记录他们的访问控制列表， 最终报告给用户 X。实践表明这一过程可能会持续一天多。这一模式还将导致易于向客体添加权限而难于撤销所有用户都有的某个指定权限。在许多系统中，都对用户编组，并将此作为 ACL 的一个表项。 熟悉常规组机制的读者会发现，表面上，RBAC 和组之间很相似。像通常实现的那样，组是用户的集合而不是权限的集合，权限则既可以和用户也可以和组关联在一起，如图 1.4所示。因为用户既可以通过用户 ID 也可以通过组 ID 来访问客体，这可能导致当该客体上的组权限被撤销时用户可能还保留有访问权限，而此权限应被撤销。基于单一用户 ID 的权限机制在执行安全策略时存在一个可以利用的漏洞。RBAC 需要所有访问必须通过角色以增强安全性从而消除此漏洞。 图 1.4：组访问控制关系 佛莱欧罗-库恩模型的第二个重要特性是：角色是分层次的角色。角色可以 从其它角色中继承权限，如图 1.5，“组”简单的被看作是用户的一种“平面”集合。该模型还可以在角色关系上提供约束机制，尽管并不提倡使用特殊类型的限制。 图 1.5：功能性角色分层 一篇 1992 年的论文指出，该模型包含克威模型（也就是说，克威模型是一种特例）。后来 NIST 出版的一份资料研究了 RBAC 的许多细节，提出了许多附加功能，远远超过 1992 年的模型，并包含一种特定的处理约束问题的方法来实现职责分离。 乔治.梅森大学的拉维.桑德胡教授是一位颇有影响的著名安全专家，他这样评价佛莱欧罗-库恩的 RBAC 模型：“它是一项重要的创新，它使得 RBAC 成为应用程序的一种服务，而不是在应用程序中散乱的代码，RBAC 将作为一种方便管理的针对特定程序可伸缩、可定制的统一服务集成进安全系统中”[16]。桑德胡博士在 RBAC 领域领导了广泛的研究并发表了大量论文。他的几个学生也加入到课题中，并完成了与 RBAC 相关的博士论文。 1994 年，尼安察玛和奥斯本[17]提出了一个广义的角色组织模型，称为角色图模型。作者指出：可以基于三种角色关系来组织角色——局部，共享和增广权限。角色图模型在分析权限共享时特别有用，它可用来检测和预防角色间的利益冲突。格利戈尔引入了“角色类型”的概念，这意味着允许角色管理员以参数化的形式产生角色。这项工作取得了 RBAC 领域的第一项美国专利[18]。 1996 年，桑德胡和同事们[19]提出了 RBAC 模型的一个框架，RBAC96，将 RBAC 分为四个概念模型。如图 1.6，这个框架规定了一个基础模型 RBAC0，包含系统需实现的最小 RBAC 特性的集合。两个高级模型，RBAC1 和 RBAC2，包含 RBAC0，分别加入了层次和约束的支持，例如 SoD。第四个组成部分是RBAC3，包含低级模型的所有特性。桑德胡等人的 RBAC96 框架建立了一个模块化的 RBAC 系统，提供了包含基本 RBAC0 功能集的简单商用实现，及更多客户要求的高级特性。 图 1.6：Sandhu 等人的 RBAC96 框架 桑德胡和 NIST 的大卫.佛莱欧罗教授所建立的美国计算机协会（ACM）发起了多次会议，在这些会议的推动下，一个强大的 RBAC 研究团体成立了，今天，商用 RBAC 模型的实现已经有了很大的改进。RBAC 开始将应用程序带入一个广阔的领域。巴克利早先所作的工作[20]说明 RBAC 可以很自然的应用于卫生保健领域。工作流管理是经济学中的重要领域，用于处理商业过程自动化问题，在概念上，RBAC 似乎与它并不相关，不过，RBAC 不仅擅长于安全领域，也可作为工作流的框架。巴克利和辛科塔[21]和伯蒂诺，佛莱欧罗和阿特鲁里[22]提出了基于 RBAC 的工作流系统。 2000 年，NIST 开始为建立一套 RBAC 的国际统一的标准而努力，并在 ACM的 RBAC 专题研讨会上发布了相关议案[23]。NIST 的建议标准延续了 RBAC96结构，并加入了新的特性，这些特性都来自研究机构和商业公司的讨论及正式意见。2002 年，建议标准被提交给国家标准进程，商业公司也已经开始开发符合RBAC 标准的产品。 从概念产生到商用实现和部署，RBAC 的快速发展令人吃惊。虽然 RBAC 的成功归于诸多因素，但它的双重策略和生产率上的优势无疑成就了它现在的地位。在这方面，RBAC 不同于其他众多安全理念，它在系统部署方面的成本并不依赖于已知的威胁和系统漏洞。虽然 RBAC 可以执行许多重要的访问控制策略，如果没有 RBAC，这些策略既不实用也不可能发挥作用，但是 RBAC 在生产力方面的独特优势证明其在部署时足够有效。这两个因素联合在一起就可强有力的证明其在商业领域的普遍适用。为了改进健康护理系统，1996 年美国健康保险流通与责任法案（HIPPA）明确提出对 RBAC 的需求，美国联邦民航局将 RBAC 作为国家航空系统的安全标准。RBAC 现在已经成为普遍指定的访问控制方法。RBAC已被建立成“适用于多领域数字政务体系最具吸引力的安全解决方案”[26] 并且非常适合于处理 Web 应用中的复杂安全问题。 虽然在经济方面，RBAC 也被证明是确实有效的，但过去十年里还发生了其它一些事。这段时间里，有数百篇关于 RBAC 的论文发表。如前所述，RBAC 是一组紧密联系且互相依赖的访问控制及管理特性和概念的集合。虽然，RBAC 主要关注于访问控制，但在许多方面，RBAC 也可以作为 IT 领域里用户行为和活动的调节管理系统的模型。并且这些行为被自然的封装成体现实际商业环境的角色结构中。角色框架不仅可以用于资源供应、访问控制和策略管理系统，也天生适合工作流，过程管理，协作以及虚拟企业环境。RBAC 模型最初出现时，这些企业级应用还是不可想象的。然而，当 RBAC 公布并通过检验后，其他的研究员很快就开始讲解和拓展 RBAC 的概念和框架了。 现代社会，RBAC 应用程序普遍深入 IT 领域的基础架构中是一件意义重大的事。今天，RBAC 包含于各种层面上的企业计算中，包括操作系统，数据库管理系统，网络，企业管理系统等。RBAC 也包含其他基础性技术，如公钥基础结构（PKI），工作流管理系统以及目录和 Web 服务。另外，在协作和虚拟企业系统中，RBAC 被推荐为其规范元策略的支持性技术。