6.4 帶約束的RBAC

6.4.1　概述

帶約束的RBAC模型增加了職責分離關系。職責分離關系可以被用來實施利益沖突(Conflict Of Interest)策略(防止某個人或某些人同時對于不同的某些個人、某些集團或組織以及某種事物在忠誠度和利害關系上發生矛盾的策略)以防止組織中用戶的越權行為。

作為一項安全原則，職責分離在工商業界和政府部門得到了廣泛的應用，其目的是保證安全威脅只有通過多個用戶之間的串通勾結才能實現。具有不同技能和利益的工作人員分別被分配一項事務中不同的任務，以保證欺詐行為和重大錯誤只有通過多個用戶的勾結才可能發生。本標準支持靜態和動態的職責分離。

6.4.2　靜態職責分離關系

在RBAC系統中，一個用戶獲得了相互沖突的角色的權限就會引起利益沖突。阻止這種利益沖突的一個方法是靜態職責分離，即對用戶/角色分配施加約束。

本標準中定義的靜態約束主要是作用于角色，特別是用戶/角色分配關系，也就是說，如果用戶被分配了一個角色，他/她將不能被分配另一些特定的角色。從策略的角度，靜態約束關系提供了一種有效的在RBAC元素集上實施職責分離和其它分離規則的有效手段。靜態約束通常要限制那些可能會破壞高層職責分離策略的管理操作。

以往的RBAC模型通常通過限制一對角色上的用戶分配來定義靜態職責分離（一個用戶不能同時分配處于SSD關系下的兩個角色）。盡管現實世界中確實存在這樣的例子，這樣定義的SSD在兩個方面限制性太強：SSD關系中角色集的成員數（只能為2）和角色集中角色的可能組合情況（每個用戶最多只能分配角色集中的一個角色）。在本標準中，靜態職責分離通過兩個參數定義：一個包含兩個或更多角色的角色集和一個大于1的閾值（用戶擁有的角色中包含在該角色集中角色的數量小于這個閾值）。例如，一個組織可能要求任何一個用戶不能被分配代表采購職能的4個角色中的3個。

正如圖3所示，靜態職責分離可能存在于層次RBAC中。在存在角色層次的情況下，必須注意不要讓用戶成員的繼承違反靜態職責分離策略。為此，層次RBAC也被定義為繼承靜態職責分離約束。在角色層次RBAC中，為了解決可能出現的不一致性，靜態職責分離被定義為針對角色的授權用戶的約束。

6.4.3　動態職責分離關系

靜態職責分離關系和動態職責分離（DSD）關系的目的都是限制用戶的可用權限，不過它們施加約束的上下文不同。SSD定義并且施加約束到用戶總的權限空間上，而DSD通過約束一個用戶會話可以激活的角色來限制用戶的可用權限。DSD使用戶可用以在不同的時間擁有不同的權限，從而進一步擴展了對最小特權原則的支持。DSD能夠保證權限的有效期不超過完成某項職責所需要的時間段，這通常被稱為信任的及時撤銷。在沒有DSD的情況下，動態的權限撤銷是非常困難的，因此通常被忽略。

SSD解決在給用戶分配角色的時候可能存在的利益沖突問題。DSD允許用戶同時擁有兩個或者更多這樣的角色：這些角色在各自獨立地被激活時不會產生安全威脅，而同時被激活時就可能會產生違反安全策略的行為。

動態職責分離被定義為針對用戶會話激活的角色的約束（見圖4）。