基于角色的分布式環(huán)境轉(zhuǎn)授權(quán)模型

基于角色的分布式環(huán)境轉(zhuǎn)授權(quán)模型

1rbac98的結(jié)構(gòu)隨著信息技術(shù)的發(fā)展和廣泛應(yīng)用，信息系統(tǒng)的安全性已成為一個日益突出的問題。在過去10年中，基于角色的訪問控制（rbac）技術(shù)得到了廣泛應(yīng)用。這是一種非常有前景的新的信息安全技術(shù)，信息安全領(lǐng)域越來越受到重視。具有代表性的rbac是sunrise等提出的rbac96（role-basedresversion96）模型和模型中的一些補(bǔ)充模型。rbac96已得到美國國家標(biāo)準(zhǔn)學(xué)研究所（nationalacademyofinformationsecurity）技術(shù)研究所（nist）的支持，并公布了rbac技術(shù)標(biāo)準(zhǔn)。目前，它支持rbac技術(shù)的商業(yè)產(chǎn)品已經(jīng)銷售，如transport、nordic等。作為“中立”模型，rbac可以適應(yīng)不同的安全政策要求，并廣泛應(yīng)用于各種安全政策要求。rbac96的結(jié)構(gòu)如圖1所示。在分布環(huán)境下,系統(tǒng)的管理工作異常繁重.完全依賴于某個或者某些管理者的集中式管理方式,需要管理者參與系統(tǒng)中所有的授權(quán)行為,更加重了系統(tǒng)的管理負(fù)擔(dān).轉(zhuǎn)授權(quán)(delegation)的基本思想是用戶將自己所具有的部分或全部權(quán)限轉(zhuǎn)授給其他用戶,讓接受授權(quán)的用戶代表發(fā)出授權(quán)用戶執(zhí)行某些任務(wù).轉(zhuǎn)授權(quán)技術(shù)允許將分布環(huán)境下的集中式管理工作分散實(shí)施,是提高分布式系統(tǒng)伸縮性的重要的技術(shù),而基于角色的轉(zhuǎn)授權(quán)技術(shù)為在分布系統(tǒng)中實(shí)現(xiàn)角色訪問控制提供了一種有效的手段.RDM2000模型是從層次角色(hierarchicalroles)和多步轉(zhuǎn)授權(quán)(multi-stepdelegation)兩方面對RBDM0(role-baseddelegationmodel0)擴(kuò)充而成的基于角色的轉(zhuǎn)授權(quán)模型.時限是授權(quán)模型的重要組成部分,但RDM2000并不支持時限,是不具備時限的轉(zhuǎn)授權(quán)模型.本文深入分析了轉(zhuǎn)授權(quán)的時限性,基于RDM2000提出了具有時限的基于角色的轉(zhuǎn)授權(quán)模型TRDM,并實(shí)現(xiàn)了一個TRDM的原型.本文其他部分的結(jié)構(gòu)是這樣的:第2節(jié)論述了轉(zhuǎn)授權(quán)的特性和RDM2000,分析了轉(zhuǎn)授權(quán)模型中的時限性;第3節(jié)是本文的重點(diǎn),系統(tǒng)地論述了具有時限的轉(zhuǎn)授權(quán)模型的授權(quán)以及授權(quán)撤銷;全文的總結(jié)及其展望是第4節(jié).2多重轉(zhuǎn)授權(quán)和撤銷在基于角色的轉(zhuǎn)授權(quán)模型中,發(fā)起轉(zhuǎn)授權(quán)動作的用戶稱為授權(quán)用戶(delegatinguser)記做uing,轉(zhuǎn)授出去的角色稱為被轉(zhuǎn)授角色(delegatedrole),記做red,接受被轉(zhuǎn)授角色的用戶稱為被授權(quán)用戶(delegateduser),記作ued.轉(zhuǎn)授權(quán)主要有以下特性,包括:時限性、單調(diào)/非單調(diào)性、完全/部分、管理、多步轉(zhuǎn)授權(quán)、撤銷等.其中時限性(temporary)是指red的作用時限.按照時限的不同可以將轉(zhuǎn)授權(quán)分為兩種:永久性轉(zhuǎn)授權(quán)和時限性轉(zhuǎn)授權(quán).前者是指一旦把red轉(zhuǎn)授予ued,ued就具有red所包含的權(quán)限,直到系統(tǒng)管理員或者具有授權(quán)管理角色的用戶將ued的red撤銷;而時限性轉(zhuǎn)授權(quán)是指在轉(zhuǎn)授權(quán)的同時指定red的有效期,一旦red過期,系統(tǒng)自動地將red撤銷.多步轉(zhuǎn)授權(quán):在RDM中,如果允許ued將red繼續(xù)轉(zhuǎn)授予其他的用戶則稱做多步轉(zhuǎn)授權(quán);否則稱做單步轉(zhuǎn)授權(quán).多重轉(zhuǎn)授權(quán)(multipledelegation):是指同一個red可以同時授予一個或者多個ued.撤銷(revocation):如何撤銷ued所具有的red是轉(zhuǎn)授權(quán)模型中的一個非常重要的問題.當(dāng)直接撤銷red時,同時會將與該角色相關(guān)的其他角色(如ued以red為先決條件而被授予的其他角色)也一并撤銷,則這種撤銷叫做層疊式撤銷(cascadingrevocation).只有uing才能撤銷red的撤銷方式叫做授權(quán)依賴撤銷(grant-dependentrevocation);與之相對,任何具有secoff授予的red角色的其他用戶都可以撤銷ued所具有的red的撤銷方式叫做非授權(quán)依賴撤銷(grant-independentrevocation).基于角色的轉(zhuǎn)授權(quán)模型主要有RBDM0和RDM2000.基于RBAC96,RBDM0首次將角色引入轉(zhuǎn)授權(quán)模型中,并將用戶的角色分成兩類:①初始角色,secoff或具有授權(quán)管理權(quán)限的用戶授予的角色;②轉(zhuǎn)授角色,其他用戶轉(zhuǎn)授來的角色.RBDM0區(qū)分對待這兩類角色.盡管Barka和Sandhu指出基于角色的轉(zhuǎn)授權(quán)模型具有以上各種特性,但是RBDM0本身并沒有完全涵蓋這些特性,如時限、多步轉(zhuǎn)授權(quán)和授權(quán)依賴撤銷等問題,也沒有給出形式化的描述.LonghuaZhang等人提出的RDM2000模型支持層次角色和多步轉(zhuǎn)授權(quán),是基于RBDM0擴(kuò)充而成的較完善的基于角色的轉(zhuǎn)授權(quán)模型,但是該模型仍然沒有解決時限問題.RDM2000的轉(zhuǎn)授權(quán)模型如圖2所示:事實(shí)上,時限是授權(quán)的重要組成部分,任何授權(quán)都具有時限性,永久的授權(quán)不但不能滿足實(shí)際需求,不便于系統(tǒng)管理,同時也會帶來一定的系統(tǒng)安全隱患.例如教授P1因外出,將不能行使具有權(quán)限“給學(xué)生出考題”角色R1和“給學(xué)生批改試卷”的角色R2,需要把R1和R2轉(zhuǎn)授給其助教.假設(shè)助教A1被授予R1,A2被授予R2.在不支持時限的轉(zhuǎn)授權(quán)模型中,存在以下兩個問題:(1)A1被授予R1以及A2被授予R2,意味著如果沒有secoff或者P1的參與,則A1和A2將永遠(yuǎn)分別具有R1和R2,即使P1已經(jīng)外出返回.(2)A1在A2開始行使角色R2的權(quán)限后再行使R1的權(quán)限以及A2在A1行使角色R2的權(quán)限未結(jié)束前就行使R2,都會造成A2批改得出的學(xué)生成績和A1最終提交的試題不一致.以上兩個問題的根本原因在于忽略了轉(zhuǎn)授權(quán)的時限性以及各授權(quán)時限之間的關(guān)系,這也正是本文要解決的問題.3TRDM3.1rbac98中trdm結(jié)構(gòu)的統(tǒng)一在本文中,我們用[tb,te]來表示時限duration,[tb,te]是一個時間段,tb是時間段duration的開始,te是時間段duration的結(jié)束,其中,tb∈N,te∈N,tb<te.具有時限的轉(zhuǎn)授權(quán)的具體含義是uing在轉(zhuǎn)授權(quán)操作中,僅僅賦予ued在時間段duration中具有red,即ued僅僅在時間段duration中可以行使red所具有的權(quán)限,一旦當(dāng)前時間t>te,則系統(tǒng)自動撤銷ued的red.為便于突出TRDM結(jié)構(gòu)中具有實(shí)質(zhì)性的問題,本文將RBAC96中有關(guān)授權(quán)管理的部分簡化為secoff統(tǒng)一行使所有的授權(quán)管理工作.在模型RBDM0和RDM2000中,不具有時限的授權(quán)auth是二元組{u,r},而具有時限的授權(quán)tauth的形式是{ing,ed,time},ing=(uing,ring),ed=(ued,red),time=(duration,td),duration=[tb,te].即tauth={(uing,ring),(ued,red),([tb,te],td)}.其中,uing∈U,ued∈U,ring∈R,red∈R,tb∈N,te∈N∪∞,td∈N.為便于說明,我們定義以下幾類函數(shù):定義1.(1)inguing,ingringing(tauth)=ing=(uing,ring),ingu(tauth)=ingu(ing)=uing,ingr(tauth)=ingr(ing)=ring;(2)不同的國家tauth,有ued,edr,tauth,tauthed(tauth)=ed=(ued,red),edu(tauth)=edu(ed)=ued,edr(tauth)=edr(ed)=red;(3)mttauthtime(tauth)=time=(duration,td),timed(tauth)=timed(time)=duration,timet(tauth)=timet(time)=td.基于以上的定義,有:uao∈UAO?uao={(secoff,A),(ued,red),([tb,te],td)},其中te≥tb≥td,A表示secoff具有系統(tǒng)授予用戶任何角色的權(quán)限,盡管secoff可能并不具有這些角色.uad∈UAD?uad={(uing,ring),(ued,red),([tb,te],td)},其中te≥tb≥td,uing≠secoff.3.2內(nèi)容分析法uad,即s13133.TRDM的基本元素和系統(tǒng)功能函數(shù)在定義2中給出.表1描述了TRDM的功能函數(shù)的具體含義.圖3所示的是TRDM中各種授權(quán)之間的相互關(guān)系.定義2.(1)P,R,U和S分別是權(quán)限集合、角色集合、用戶集合和會話集合.(2)UAO:用戶到初始角色之間的多對多的關(guān)系;(3)UAD:用戶到被轉(zhuǎn)授角色之間的多對多的關(guān)系;(4)UA=UAO∪UAD?U×R:用戶到角色的指派關(guān)系,該關(guān)系是多對多的關(guān)系;(5)PA?P×R:權(quán)限到角色的指派關(guān)系,該關(guān)系是多對多的關(guān)系;(6)RH?R×R:角色與角色之間的繼承關(guān)系,該關(guān)系是一偏序關(guān)系;(7)userso(r,t)={u|(?r′≥r)(uao={(secoff,A),(u,r′),(duration,td)}∈UAO)∩t∈timed(uao)};(8)usersd(r,t)={u|(?r′≥r)(uad={(uing,ring),(u,r′),(duration,td)})∈UAD}∩t∈timed(uad);(9)users:R→2U,users(r,t)=usero(r,t)∪userd(r,t);(10)user:S→U,user(si,t)={u|ua={(uing,ring),(u,r′),(duration,td)}∈si∩t∈timed(ua)};(11)role:S→2R,role(si,t)?{r|(?r′≥r)[ua={(uing,ring),(user(si,t),r′),(duration,td)}∈UA∩t∈timed(ua)]};(12)permissions:S→2P.permissions(si,t)={p|(?r′≥r)[(p,r′)∈PA∩r′∈role(si,t)]};(13)rolesu(u,t)={r′|u∈users(r′,t),r′≥r};(14)N:是一個員以自然數(shù)為元素構(gòu)成的集合;(15)DLGT?UA×UA=U×R×U×R;(16)ODLGT?UAO×UAD;(17)DDLGT?UAD×UAD;(18)DLGT?ODLG∪DDLGT;(19)DT?UA×UA:轉(zhuǎn)授權(quán)樹;(20)prior:U×R→U×R;prior({ing1,(u,r),time1})={{ing2,(u′,r′),time2}|{ing1,(u,r),time1}∈UAD∩{(u′,r′),(u,r),time3}∈DLGT};prior{(secoff,A),(u,r),time1}={Φ|{(secoff,A),(u,r),time1}∈UAO};(21)轉(zhuǎn)授權(quán)路徑(delegationpath):path(u0,r0)={(u0,r0),(u1,r1),…,(ui,ri),…,(un,rn)|{ing1,(ui,ri),time1}=prior{ing2,(ui-1,ri-1),time2}∈UA,i>0};i>0,path{(secoff,A),(u,r),time1}={Φ|{(secoff,A),(u,r),time1}∈UAO};(22)depth:U×R→N;depth(u,r)={n|n=|path(u,r)|(u,r)∈UAD};depth(u,r)={0|{(secoff,A),(u,r),time1}∈UAO};(23)broths:U×R→2(U×R);broths({(uing,ring),(u,r),time1})={?{(uing,ring),(u′,r),time2}|{(uing,ring),(u′,r),time2}∈DLGT};(24)width:U×R→N;width({(uing,ring),(u,r),time1})={n|n=|broths({(uing,ring),(u,r),time1})|};(25)validd(u,r,t)={[tb,te]?當(dāng)t≤tb；[t,te]?當(dāng)tb＜t≤te；?當(dāng)te≤t；其中{(uing,ring),(u,r),([tb,te],td)}∈DLGT.3.3財(cái)務(wù)性條件定義在RDM2000中,轉(zhuǎn)授權(quán)判定公式是基于以下3方面進(jìn)行判斷的:(1)轉(zhuǎn)授權(quán)用戶所具有的角色;(2)被授權(quán)用戶的已經(jīng)具有的角色集合;(3)系統(tǒng)允許的最大轉(zhuǎn)授權(quán)步數(shù).RDM2000僅僅限制轉(zhuǎn)授權(quán)的最大步數(shù)(depth),而沒有對某一角色被轉(zhuǎn)授的次數(shù)(width)加以限制,因此,該模型不能完全控制用戶的轉(zhuǎn)授權(quán)操作.與系統(tǒng)允許的最大轉(zhuǎn)授權(quán)深度相對應(yīng),系統(tǒng)還應(yīng)該限制某一角色被同一用戶轉(zhuǎn)授的次數(shù).同時,在具有時限的授權(quán)模型中,僅僅依據(jù)上述各方面進(jìn)行判斷還是不夠的,除了上述幾方面,時限也應(yīng)該是判斷的依據(jù)之一.我們的授權(quán)判定中借用了ARBAC97和RDM2000中定義的先決條件(prerequisitecondition).定義3.先決條件CR是用操作符“&”(and,與)和“|”(or,或)將元素cr結(jié)合起來的布爾表達(dá)式.其中,cr可以是x或者-x的形式,前者表示具有角色x,后者表示不具有角色x.如:CR=cr1&cr2|(-cr3).定義4.轉(zhuǎn)授權(quán)的判定如下:candelegate?R×CR×N×Y×TIME;dlgt={r,cr,n,y,([tb,te],td)}∈candelegate?(1)uing∈{u|users(r′),r′≥r}∩(2)rolesu(ued,t)∈cr∩(3)n(dlgt)≤n∩(4)y(dlgt)≤y∩(5)[tb,te]?validd(uing,r,td).其中,R,CR,N,Y和TIME分別是角色、先決條件、最大轉(zhuǎn)授權(quán)深度、最大轉(zhuǎn)授權(quán)寬度、時限的集合;n(dlgt)表示轉(zhuǎn)授權(quán)操作dlgt中被轉(zhuǎn)授角色r的再次轉(zhuǎn)授次數(shù),即轉(zhuǎn)授權(quán)深度;y(dlgt)表示當(dāng)前操作中被轉(zhuǎn)授角色被同一用戶轉(zhuǎn)授次數(shù),即轉(zhuǎn)授權(quán)寬度.例如:{r,cr,n,y,time}∈candelegate表示具有角色r(或者r′,其中r′≥r)的用戶能夠?qū)⒔巧玶(或者r″,其中r≥r″)轉(zhuǎn)授給當(dāng)前所具有的角色滿足cr的用戶,使之在時間段time中具有被授予的角色的權(quán)限,而且當(dāng)前授權(quán)操作的深度和寬度分布不超過n和y.推論1.授權(quán)路徑中,任何授權(quán)的時限不會超過處于該授權(quán)前面的授權(quán)的時限.圖4給出了TRDM的時限實(shí)例,其中r1>r2>r3,在時限d1=[tb,te]時間段內(nèi),用戶uing具有r1角色.在滿足其他授權(quán)條件的前提下,如果uing在td1時刻將角色r2授權(quán)用戶ued1,那么,ued1具有角色r2的時限d∈d2=[tb,te];如果uing在td2時刻將角色r3授權(quán)用戶ued2,那么,ued2具有角色r3的時限d∈d3=[td2,te];在td3時刻uing就不具有角色r1,因此uing無權(quán)給其他用戶授予任何角色.3.4限制轉(zhuǎn)授權(quán)撤銷與轉(zhuǎn)授權(quán)相對應(yīng),授權(quán)撤銷也是安全系統(tǒng)訪問控制中重要的過程.如uing發(fā)現(xiàn)ued濫用被授予的角色red,不論是系統(tǒng)、secoff還是uing,都應(yīng)該及時地撤銷該角色.角色授權(quán)撤銷包括撤銷UAO中授予的角色,也包括撤銷DLGT中授予的角色,本文著重討論如何撤銷轉(zhuǎn)授權(quán)得到的角色.轉(zhuǎn)授權(quán)撤銷可以分為兩種:一種是基于時限限制的轉(zhuǎn)授權(quán)撤銷;另一種是用戶主動地撤銷轉(zhuǎn)授權(quán).基于時限的授權(quán)撤銷的基礎(chǔ)是轉(zhuǎn)授權(quán)的時限性.當(dāng)系統(tǒng)時間超過某授權(quán)的最大時限時,系統(tǒng)自動地撤銷被授權(quán)用戶的該授權(quán)所授予的