一種基于時間的角色訪問控制模型

一種基于時間的角色訪問控制模型

1996年，在該模型的基礎(chǔ)上提出了基于角色的訪問控制模型，即rbac96模型。該模型系統(tǒng)地描述了rbac多層的含義，并得到了廣泛認識。RBAC模型有4個基本組成部分:用戶(user)、角色(role)、權(quán)限(permission)和會話(session)。權(quán)限是責任與權(quán)力的集合。用戶和角色關(guān)聯(lián),角色和權(quán)限關(guān)聯(lián),權(quán)限分配給角色而不再直接分配給單個用戶。用戶角色分配(UA)和權(quán)限角色分配(PA)都是多對多的關(guān)系。它的技術(shù)優(yōu)勢在于它可以提供傳統(tǒng)的DAC(自主訪問控制)也可以提供MAC(強制訪問控制)。根據(jù)分配給角色的權(quán)限把角色組織在角色層次關(guān)系中,形成樹形結(jié)構(gòu),上層角色繼承下層角色的權(quán)限。本文提出RBAC的一種擴展模型TRBAC(Timerole-basedcontrolmodel),通過在該模型中引入時間等概念,增強了RBAC機構(gòu)管理的能力,增加了對動態(tài)授權(quán)的支持并能夠支持工作的時序要求。1系統(tǒng)的長期授權(quán)和安全的需求時間是授權(quán)的重要組成部分,任何授權(quán)都具有時間性,永久的授權(quán)不但不能滿足實際需求,不便于系統(tǒng)管理,同時也會帶來一定的系統(tǒng)安全隱患。目前,在RBAC系統(tǒng)中引入時間約束的主要有2類。1.1連續(xù)時間限制根據(jù)約束時間特征,連續(xù)時間約束可分為激活時間范圍約束、激活時間長度約束和時間范圍內(nèi)激活時間長度約束3類。1.1.1激活內(nèi)激。在充規(guī)定用戶、角色或者權(quán)限只能在特定時間范圍內(nèi)可以激活。如一個有工作時間限制的企業(yè)中,在非工作時間的范圍內(nèi),將不允許某些操作的發(fā)生,或者不允許某些用戶登錄進入系統(tǒng)。1.1.2活不超過一個固定長度的時間范圍規(guī)定用戶、角色或者訪問許可每次只可以激活不超過一個固定長度的時間范圍。可用該類約束限制某些很重要的操作或權(quán)限以防因激活時間過長而被盜用并產(chǎn)生嚴重后果的可能。1.1.3激活時間間隔內(nèi)的激活時間長度限制規(guī)定用戶、角色或者訪問許可在一定的時間范圍內(nèi)的累計激活時間不超過一個規(guī)定的上限。其對用戶的限定特別有用,可控制用戶平均登錄時間。1.2角色觸發(fā)器rbac活動約束機制周期時間約束的基本思想是通過對周期時間P進行檢測,在,〈[起始時,結(jié)束時間],P〉約束下,角色觸發(fā)事件一旦產(chǎn)生則角色觸發(fā)器可立即執(zhí)行,也可在一個明確的時間內(nèi)延遲執(zhí)行,通過賦予許可活動的優(yōu)先級,來解決許可活動的沖突,即角色的狀態(tài)變化隨周期時間的變化,通過周期約束的描述增強了RBAC活動約束機制。本文結(jié)合兩種時間約束方案,提出一種有周期性的連續(xù)時間約束模型。2rbac的隨機時間2.1周期行為的周期約束在基于角色的轉(zhuǎn)授權(quán)模型中,發(fā)起轉(zhuǎn)授權(quán)動作的用戶稱為授權(quán)用戶記做uing,轉(zhuǎn)授出去的角色稱為被轉(zhuǎn)授角色記做red,接受被轉(zhuǎn)授角色的用戶稱為被授權(quán)用戶記作ued。用[tb,te]來表示時限duration,tb是時間段開始,te是時間段結(jié)束。定義1周期的表示給定是日歷Cd,C1,C2,…,Cn,周期P定義p=∑i=1nOi?Ci?r?Cdp=∑i=1nΟi?Ci?r?Cd,這里Oi=all,Oi∈2n∪{all},Ci?Ci-1,i=2,…,n,且r∈N。O是整數(shù)或者整數(shù)集;all表示任意時間偏移;r代表時間間隔。符號?是分割符,將周期表達式P分成兩部分:前面部分表明時間間隔的起點(偏移)集合;后面部分是歷法Cd時間間隔的持續(xù)時間。符號?代表子歷法關(guān)系,即Ci是Ci-1的子歷法。例如,all.year+{3,7}.months?2.months代表所有年份的3月、7月,即每年的這2個月。周期P對應(yīng)的時間區(qū)間無限集合用∏(p)表示。定義2Function∏()已知周期表示p=∑i=1nOi?Ci?r?Cd∏(p)p=∑i=1nΟi?Ci?r?Cd∏(p)是一個周期時間區(qū)間集合,持續(xù)時間是r·Cd。定義3FunctionSol()設(shè)t表示時間,P是一個周期表達式,begin和end是以天為單位的日期表示。t∈Sol(<[begin,end],P>),當且僅當存在τ∈∏(P),那么并且tb≤t≤te。定義4時間長度的表示給定時間ti,tj,其中i≤j,時間長度L定義為:L=tj-ti。具有周期性的連續(xù)時間約束的轉(zhuǎn)授權(quán)的具體含義是uing在轉(zhuǎn)授權(quán)操作中,僅僅賦予ued在時間周期P時間段中具有red,即僅僅在時間段中可以行使red所具有的權(quán)限,一旦當前時間tb>te,則系統(tǒng)自動撤銷ued的red,而且行使red所具有的權(quán)限最大時間長度為L。本文將RBAC96中有關(guān)授權(quán)管理的部分簡化為secoff統(tǒng)一行使所有的授權(quán)管理工作,具有周期性連續(xù)時間約束的授權(quán)t-auth的形式是{ing,ed,time},ing=(uing,ring),ed=(ued,red),time=(P,duration,L,td),duration=[tb,te]即t-auth={(uing,ring),(ued,red),(P,[tb,te],L,td)}其中,uing∈U,ued∈U,ring∈R,red∈R,tb∈N,te∈N∪∞,td∈N。為便于說明,我們定義以下幾類函數(shù):定義51其他測量方式ing(t-auth)=ing=(uing,ring),ingu(t-auth)=ingu(ing)=uing,ingr(t-auth)=ingr(ing)=ring;2有“auth”的車間,在平臺上計算了一個市場機制,即其第5位t-auth、edredr、uedredr的車間,如果有性別,則則認為,服刑人員則認為,auth、t-auth、edredr、ued、auth、t-auth、auth、auth、t-auth、auth、型面,uedredr、t-auth、t-auth、型材料red(t-auth)=ed=(ued,red),edu(t-auth)=edu(ed)=ued,edr(t-auth)=edr(ed)=red;3duct,l,tdtime(t-auth)=time=(P,duration,L,td),timed(t-auth)=timed(time)=(P,duration,L),timet(t-auth)=timet(time)=td,uoa∈UOA?uoa={(secoff,A),(ued,red),(P,[tb,te],L,td)},uda∈UDA?uda={(uing,ring),(ued,red),(P,[tb,te],L,td)}。其中te≥td≥tb,L≥0,uing≠secoffA表示secoff具有系統(tǒng)授予用戶任何角色的權(quán)限。2.2創(chuàng)建分類系統(tǒng)的會話定義u具有周期性的連續(xù)時間約束模型的基本元素和系統(tǒng)功能函數(shù)在定義6中給出。定義61)U(用戶集):用戶的集合;O(客體集):客體的集合;A(訪問集):訪問的集合;P(權(quán)限集):權(quán)限的集合;R(角色集):角色的集合;S(會話集):會話的集合;UOA:用戶到初始角色之間的多對多的關(guān)系;UDA:用戶到被轉(zhuǎn)授角色之間的多對多的關(guān)系。2)用戶角色分配集(URA):用戶角色分配是二元組(u,r)∈U×R,該關(guān)系是多對多的關(guān)系。用戶角色分配集的定義為:URA=UOA∪UDA={(u,r)|u∈U∧r∈R}。3)角色權(quán)限分配集(RPA):它是一個二元組(r,p)∈R×P,角色權(quán)限分配集的定義為:PA={(r,p)|r∈R∧p∈P}。4)RH?R×H角色與角色之間的繼承關(guān)系,該關(guān)系是一偏序關(guān)系。5)用戶委派集(UAP):用戶委派(uap)是指某用戶指定另一用戶暫時代替自己執(zhí)行全部或部分自身的權(quán)限。為了限制這種委派的任意性,可以在第一次委派時指定被委派用戶必須具備的角色。本文將用戶委派定義為三元組t-auth={(uing,ring),(ued,red),(P,[tb,te],L,td)}其中,uing∈U,ued∈U,ring∈R,red∈R,tb∈N,te∈N。6)會話集(S):會話是用戶登錄系統(tǒng)之后實際激活的角色的集合,其生命期起自用戶創(chuàng)建,結(jié)束于用戶退出會話,會話不作永久保存,可以簡單地將其定義為三元組。(ID,u,R)∈N×u×2role(u)其中ID用于標識某一特定的會話,u表示用戶,R表示角色集,role(u)是計算機用戶角色集的函數(shù)。7)user-o(r,t):R→2U返回時刻t具有初始角色r的所有用戶user-o(r,t)={u|?r′≥r)(uoa={(secoff,A),(u,r′),(P,[tb,te],L,td)}∈UOA)∩t∈timed(uoa)。8)user-d(r,t):R→2U返回時刻t具有轉(zhuǎn)授角色r的所有用戶user-d(r,t)={u|?r′≥r)(uda={(uing,ring),(u,r′),(P,[tb,te],L,td)})∈UDA∩t∈timed(uda)}。9)users(r,t):R→2U返回時刻t具有角色r的所有用戶user(r,t)=user-o(r,t)∪user-d(r,t)。10)user(si,t):S→U返回時刻t會話si所屬的用戶user(si,t)={u|ura={(uing,ring),(u,r′),(P,[tb,te],L,td)}∈si∩t∈timed(ura)}。11)role(si,t):S→2R返回時刻t會話si所具有的所有角色role(si,t)={r|?r′≥r)[ura={(uing,ring),(user(si,t),r′),(P,[tb,te],L,td)}∈URA∩t∈timed(ura)]}。12)permissions(si,t):S→2P返回時刻t會話si所具有的所有權(quán)限permissions(si,t)={P|(?r′≥r)[(p,r′)∈PA∩r′∈role(si,t)]}。13)role-u(u,t):U→2R返回時刻t用戶u所具有的所有角色role-u(u,t)={r′|u∈users(r′,t),r′≥r}。14)N是一個以自然數(shù)為元素構(gòu)成的集合。15)DLGT?URA×URA=U×R×U×R。16)ODLGT?UOA×UDA。17)DDLGT?UDA×UDA。18)DLGT?ODLGT×DDLGT。19)DTA?URA×URA:轉(zhuǎn)授權(quán)樹。20)prior:U×R→U×R返回授權(quán)路徑中在(u,r)之前的所有授權(quán)prior({ing1,(u,r),time1})={{ing2,(u′,r′),time2}|{ing1,(u,r),time1}∈UDA∩{(u′,r′),(u,r),time3}∈DLGT}prior({(secoff,A),(u,r),time1})={?|{(secoff,A),(u,r),time1}∈UOA}。21)path:U×R×((u0,r0),…,(ui,ri))返回授權(quán)(u,r)的授權(quán)路徑path(u0,r0)={(u0,r0),(u1,r1),…,(ui,ri),…,(un,rn)|{ing1,(ui,ri),time1}=prior(ing2,(ui-1,ri-1),time2}∈UDA,i>0}。path({(secoff,A),(u,r),time1})={?|{(secoff,A),(u,r),time1}∈UOA}。2.3不允許2.3.1靜態(tài)侵權(quán)分離sd束約束即某種限制,也可以理解為一種規(guī)則,TRBAC模型中主要有3種約束:1)先決角色約束(Cpr):定義角色獲得的次序性。2)靜態(tài)權(quán)責分離(SSD):定義權(quán)限間的強互斥關(guān)系。3)動態(tài)權(quán)責分離(DSD):定義權(quán)限間的弱互斥關(guān)系。約束1先決角色約束集(CR)定義7先決條件CR是用操作符“&”(and,與)和“|”(or,或)將元素cr結(jié)合起來的布爾表達式。其中,cr可以是x或者xˉxˉ的形式,前者表示具有角色x,后者表示不具有角色x。如:CR=cr1＆cr2|(cr3ˉˉˉˉˉ)CR=cr1＆cr2|(cr3ˉ)。這種約束即為先決角色約束,可以定義如下cr=(r1,r2,r3,…,rn|-rj)其中ri∈R∧rj∈R,(1≤i≤n)它表示只有在獲得了全部的ri之后,才可以得到角色rj。先決角色約束作用于所有與角色有關(guān)的分配,用戶組分配、用戶委派。約束2靜態(tài)權(quán)責分離(SSD)靜態(tài)權(quán)責分離(SSD)本質(zhì)上也是一種約束,它定義了相互排斥的角色,在同一個靜態(tài)權(quán)責分離集中的角色不可以分配給同一個用戶。靜態(tài)權(quán)責分離可以定義為角色的子集,SSD?2R×k,這里K是一個大于等于2的整數(shù)集。即該子集中的角色同時分配給同一用戶時,必須小于指定個數(shù)k。比如k=2時,表示該角色集合中的角色最多只能分配1個給同一用戶。首先定義靜態(tài)權(quán)責分離角色集:定義8靜態(tài)權(quán)責分離集(SSD)SSD={(rs,k)|rs?2R∧k≥2}。靜態(tài)權(quán)責分離可以形式化描述為?(rs,k)∈SSD(u∈U?|role(u)∩rs|<k)其中‘|…|’表示集合的元素個數(shù)。該定義表示在給用戶分配角色時,用戶獲得的角色集與SSD中任何一個集合的交集,其元素個數(shù)必須小于指定的k。由于角色通過角色權(quán)限分配PA最終與權(quán)限關(guān)聯(lián),因此角色之間的靜態(tài)分離實質(zhì)上是權(quán)限之間的靜態(tài)分離,這就要求同時在權(quán)限層定義靜態(tài)權(quán)責分離,即若干權(quán)限不能被同時分配給同一個角色。約束3動態(tài)權(quán)責分離(DSD)動態(tài)權(quán)責分離是指一個角色集,該集合中的角色在分配給用戶時不受限制,但用戶不能同時激活這些角色,由于用戶可以同時創(chuàng)建多個會話.因此這一約束要求跨越同一用戶同一時間創(chuàng)建的所有會話。動態(tài)權(quán)責分離的定義類似靜態(tài)權(quán)責分離,不同的是靜態(tài)權(quán)責分離作用于用戶角色/角色權(quán)限分配,而動態(tài)權(quán)責分離作用于創(chuàng)建會話的過程。其定義如下:定義9動態(tài)權(quán)責分離集(DSD)DSD={(rs,k)|rs?2R∧k≥2}?(rs,k)∈DSD(u∈U?|permission(si)∩rs|<k)2.3.2動態(tài)權(quán)責分離轉(zhuǎn)授權(quán)判定公式是基于以上幾方面進行判斷外還要判斷系統(tǒng)允許的最大轉(zhuǎn)授權(quán)步數(shù),某一角色被轉(zhuǎn)授的次數(shù)(width)加以限制。定義10轉(zhuǎn)授權(quán)的判定如下Can-delegate?R×CR×SSD×DSD×N×Y×TIME;dlgt=(r,cr,ssd,dsd,n,y,(P,[tb,te],L,td)}∈can-delegate????????????????????????????uing∈{u|users(r′),r′≥r}∩roles?u(ued,t)∈cr∩roles?u(ued,t)∈ssd∩roles?u(ued,t)∈dsd∩n(dlgt)≤n∩y(dlgt)≤y∩[tb,te]?valid?d(uing,r,td){uing∈{u|users(r′),r′≥r}∩roles-u(ued,t)∈cr∩roles-u(ued,t)∈ssd