[发明专利]基于数据驱动角色的安全

说明书

技术领域

本发明涉及在数据上下文和对与该数据上下文有关的控制表达式的求值的基础上的基于角色的访问控制。

背景技术

作为关于某些常规系统的背景，经由访问控制系统对数据资源的访问和/或对受保护系统的操作在传统上通过将一个或多个访问特权分配给受保护系统的一个或多个用户来实现。在这点上，常规的基于角色的访问控制(RBAC)技术使得用户能够基于分配给该用户的角色来访问受保护的系统资源。由此，用户被准许基于分配给该角色的一个或多个访问特权来访问受保护系统和/或对其执行操作。例如，可以将诸如“创建存储卷”和“删除存储卷”之类的受保护系统操作(在这种情况下，存储系统是受保护系统)分配给“管理员”角色。当用户被分配管理员角色时，用户可以创建和/或删除存储系统中包括的任何存储卷。

RBAC因此是基于角色和为该角色定义的许可来将系统或系统资源的访问限于经授权的用户的一种方法。在组织内，为各种职业职责，诸如经理或管理员创建角色。将执行特定操作的许可分配给特定角色。员工或其他系统用户的成员被分配特定角色，并且那些用户通过这些角色分配来获得执行特定系统功能的许可。因为许可不是直接分配给用户而是通过他们的角色，所以对各个用户权限的管理变成了向合适的用户分配合适的角色的问题。通常，角色被表示为标识符(角色名或ID)和角色成员ID列表，例如，作为安全标识符(SID)存储在基于Windows的系统中的用户或组，或者基于Unix的系统中的用户实体名。

为了补充角色分配，在常规访问控制列表(ACL)模型中，对象或资源可被分配描述可向其授予对对象或资源的访问权的用户的有效集的角色ID集。通常在操作中，基于用户对操作或资源作出请求的用户上下文，即，基于用户被允许承担什么角色并且基于这些角色根据对正被访问的给定对象或资源施加的访问控制列表(ACL)决定什么许可集，系统作出是否准许给定用户正在采取的动作的确定。在这点上，用户可以承担的角色集和为给定角色在对象上定义的许可集两者都是完全声明性的并因此是静态地定义的。虽然这对于已知范围和规模的系统或资源的分层结构一般是足够的，但当用户数量和角色类型以及他们之间的关系变得重要或频繁变化时，静态地定义访问许可和用户角色并使得他们保持最新并且与正在变化的资源和资源分层结构保持一致可能造成麻烦的安全配置管理挑战。

在这点上，传统的访问控制管理模型是基于对象的，由此在该对象或对象容器处(例如，在ACL中)指定访问控制，并且通常管理员或其他经授权的实体指定要授予该对象的许可。管理员因此将组织授权策略转换成对对象的许可：每一对象具有授予表示组织内的各个用户和组的角色的访问许可列表。与必须定义用于控制对给定数据系统的许可的自定义代码的情形相比，RBAC通过允许按用户职业职责来管理许可来简化访问控制管理并提升企业环境中的可管理性。

基于角色的访问控制的某些目标可以使用组来实现。组对应于员工角色，而应用管理员可以通过在ACL中向该组授予对对象的许可来指定该角色所需的许可。然而，随着对象集合增长，管理员管理许可的场所数量也随之增长。频繁使用资源组和用户组可以帮助最小化这一效果，但这需要持续的实践和管理员之间的协调以及资源组的精确定义。这些过程减缓了管理过程，所以管理员常常避免使用组。

另外，随着对象数量的增长，跨应用查询对特定组或角色的经授予的访问变得困难。例如，为了准确地确定向用户或组授予了什么许可，管理员一般检查每一对象上的许可。因为有太多的对象要查询，所以可能难以验证关于特定组或用户的访问控制的状态。此外，在重要得多的变化发生在组织的资源分层结构中的情况下，诸如例如当人力资源信息管理系统记录到不同部门的职员调动时，可能需要对受影响的用户对象和任何适用的ACL都进行更新，并且如果未能这么做的话，则可能导致不正确的访问许可或系统的未定义状态。具体地，这些困难是由于在ACL中显式地分配许可而没有顾及受保护资源的扩展属性而导致的。

当今基于角色的安全系统的上述缺点仅旨在提供常规系统的一些问题的概览，并且不旨在是穷尽性的。在仔细阅读了以下具体实施方式后，当今领域的其他问题和各非限制性实施例的对应好处可变得显而易见。

发明内容

此处提供了简化概述以帮助能够对以下更详细的描述和附图中的示例性、非限制性实施例的各方面有基本或大体的理解。然而，本发明内容并不旨在作为详尽的或穷尽的概览。相反，本发明内容的唯一目的是以简化的形式来提出与一些示例性非限制性实施例相关的一些概念，作为以下各实施例的更为详细的描述的序言。