面向信息安全的域間角色訪問(wèn)控制模型的改進(jìn)(

1、面向信息安全的域間角色訪問(wèn)控制模型的改進(jìn)*收稿日期: 改回日期:基金項(xiàng)目:國(guó)家高技術(shù)研究發(fā)展計(jì)劃(863計(jì)劃)（No. 2006AA01Z455）專(zhuān)項(xiàng)經(jīng)費(fèi)資助。作者簡(jiǎn)介: 宮阿都(1976-），男，山東威海人，博士，講師，主要研究方向：GIS與城鎮(zhèn)信息系統(tǒng)，Email: gad 吳亞非，男，主要研究方向：信息安全，Email：wuyafei. 任金強(qiáng)，男，博士，主要研究方向：信息安全，Email：renjq 宮阿都1,2，吳亞非3，孫俊峰4，任金強(qiáng)3，李晨4(1.民政部/教育部減災(zāi)與應(yīng)急管理研究院空間信息科學(xué)與技術(shù)所,北京 100876; 2. 北京師范大學(xué)地表過(guò)程與資源生態(tài)國(guó)家重點(diǎn)實(shí)驗(yàn)室,北

2、京 100876; 3. 國(guó)家信息中心信息安全研究與服務(wù)中心,北京 100045; 4. 北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室信息安全中心,北京 100876)摘 要：基于傳統(tǒng)的IRBAC2000模型，對(duì)域間角色轉(zhuǎn)換時(shí)產(chǎn)生的安全問(wèn)題進(jìn)行了分析。并提出了一種改進(jìn)的IRBAC2000模型，該模型將傳統(tǒng)模型中的角色分為域內(nèi)角色和域間管理員角色，為域間角色轉(zhuǎn)換產(chǎn)生的安全的問(wèn)題提供了一種新的判定方法，提出了先決條件的概念來(lái)加強(qiáng)IRBAC 2000模型安全性的保護(hù)機(jī)制。關(guān)鍵詞：域間互操作模型; 角色轉(zhuǎn)換; 角色繼承; 信息安全中圖法分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：AStudy on an Imp

3、roved IRBAC Model for Information SecurityGONG Adu 1,2，Wu Yafei3，SUN Junfeng4，Ren Jinqiang3，LI Chen4 (1. Institute of Geoinformation Science and Technology，Academy of Disaster Reduction and Emergency Management, Ministry of Civil Affairs, Ministry of Education, Beijing Normal University, Beijing, 10

4、0875; 2. State Key Laboratory of Earth Surface Processes and Resource Ecology, Beijing Normal University, Beijing,100875; 3. State Information Center, Information Security Research and Services Center, Beijing 100045; 4. Information Security Center, State Key Laboratory of Networking and Switching T

5、echnology, Beijing University of Posts and Telecommunications, Beijing 100876 )Abstract: Based on traditional IRBC Model, Analysis particularly the secure issue happened in Role Transformation among Domains. An improved IRBAC2000 Model has been provided, further divide the Roles in the traditional m

6、odel into two types: inside-domain role and outside domain role; provide a judgment method for the secure issue happened in the Roles transformation among Domains, introduce a new way of strengthening the security by using preliminary condition.Key words: IRBAC; Role-Transform; Role-Heritage引言IRBAC（

7、Improved Role-Based Access Control，改進(jìn)的基于角色的訪問(wèn)控制模型）是Kapadi等人于2000年提出的域間的安全互操作模型1，然而通過(guò)對(duì)IRBAC2000模型進(jìn)行進(jìn)一步的安全分析發(fā)現(xiàn)IRBAC2000中的域間角色轉(zhuǎn)換可能會(huì)產(chǎn)生安全性問(wèn)題2，進(jìn)而違背RBAC模型（Role-Based Access Control，基于角色的訪問(wèn)控制模型）所支持的眾所周知的三個(gè)基本安全原則，而RBAC模型所支持的三個(gè)基本原則作為RBAC模型的建議標(biāo)準(zhǔn)于2001年8月被美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)(NIST)所接受。本文首先對(duì)IRBAC模型的域間角色轉(zhuǎn)化時(shí)發(fā)生的安全性問(wèn)題進(jìn)行了詳細(xì)的分析3

8、，提出了一種改進(jìn)的IRBAC模型，將傳統(tǒng)模型中的角色分為域內(nèi)角色和域間管理員角色，為域間角色轉(zhuǎn)換發(fā)生安全性問(wèn)題提供了一種判定方法并給出了相應(yīng)的算法，從而使得IRBAC模型滿(mǎn)足了RBAC模型所支持的眾所周知的三個(gè)基本安全原則。 1 IRBAC模型中域間角色轉(zhuǎn)換存在的問(wèn)題多個(gè)管理域間的安全互操作是分布式計(jì)算環(huán)境中資源共享和安全的一個(gè)關(guān)鍵技術(shù)。IRBAC提出的多域間的安全互操作模型，該模型是在采用RBAC模型的管理域之間通過(guò)動(dòng)態(tài)的角色轉(zhuǎn)換進(jìn)行安全互操作4。該模型也有兩個(gè)弱點(diǎn)：1) 它不適合在大規(guī)模復(fù)雜的角色層次之間進(jìn)行角色映射；2) 在多個(gè)域的安全管理員中協(xié)調(diào)角色轉(zhuǎn)換的管理權(quán)限是比較困難的。這兩個(gè)弱

9、點(diǎn)制約了該模型的進(jìn)一步應(yīng)用5。1.1 IRBAC模型中的角色分配的違規(guī)由于域間策略的作用，使得某個(gè)域中的角色擁有了本來(lái)不是直接分配給他的角色而導(dǎo)致的違規(guī)。如圖1所示，在域D2中，角色D和角色E之間本來(lái)沒(méi)有任何聯(lián)系。但在域間角色映射關(guān)系的作用下，如果域D1中的角色A被分配了域D2中角色E，那么域D1中的角色A也將擁有域D2中的角色D。圖1 角色分配的違規(guī)示意圖1.2 IRBAC模型中的角色轉(zhuǎn)換繼承違規(guī)由于域間策略的作用，使得某個(gè)域中的某個(gè)角色擁有了其父角色而導(dǎo)致的違規(guī)。如圖2所示，域間的角色映射，域D1中的角色B繼承了域D1中的角色A,并同時(shí)域D1中的角色B被域D2中的角色C所繼承，根據(jù)域D2中

10、的角色繼承關(guān)系，域D2中的角色E擁有了同域中父角色C的權(quán)限。圖2 角色轉(zhuǎn)換繼承違規(guī)示意圖1.3 IRBAC模型中角色的職責(zé)分離沖突RBAC模型支持眾所周知的3個(gè)基本安全原則：最小權(quán)限、職責(zé)分離和數(shù)據(jù)抽象6。由于IRBAC模型中的每個(gè)管理域均采用RBAC模型，因而IRBAC模型中的動(dòng)態(tài)角色轉(zhuǎn)換是否會(huì)違背職責(zé)分離是必須考慮的安全問(wèn)題之一。由于域間策略的作用，使得某個(gè)域中的用戶(hù)可在同一個(gè)會(huì)話(huà)中訪問(wèn)互斥角色集中的多個(gè)角色，如圖3所示。在域D2中的角色D和角色E滿(mǎn)足SSD為互斥角色，顯然用戶(hù)不能同時(shí)擁有兩者，如果用戶(hù)擁有域D2中的角色D，他可在一個(gè)會(huì)話(huà)中擁有通過(guò)域間的角色映射，即通過(guò)域D1中的角色A而擁

11、有域D2中的角色E，從而違背了角色互斥的原則。圖3 角色的職責(zé)分離沖突違規(guī)示意圖1.4 IRBAC模型中多域間相互穿梭的問(wèn)題當(dāng)一個(gè)主體試圖和另一個(gè)域中的目標(biāo)進(jìn)行互操作時(shí)，必須穿過(guò)主機(jī)的邊界，我們稱(chēng)之為“穿梭”。多重域之間的穿梭將會(huì)產(chǎn)生安全隱患，因?yàn)樗锌赡軙?huì)帶來(lái)滲透。如圖4所示：域D1的角色A繼承了域D2中的角色C，域D2中的角色C繼承了域D3中的角色E，這并不意味著域D1中的角色A與域D3中的角色E之間意圖相互操作，即使域D3中的角色E并不允許域D1中的角色A訪問(wèn)，域D1中的角色A也能通過(guò)域D2中的角色C進(jìn)行滲透。圖4 多域間相互穿梭示意圖多個(gè)管理域間的安全互操作應(yīng)對(duì)域間角色轉(zhuǎn)換的安全性提出

12、更高的要求，同時(shí)要降低域間角色轉(zhuǎn)換和權(quán)限驗(yàn)證的復(fù)雜性。因此目前理論界提出了一種新的可管理的互操作基于角色訪問(wèn)控制（A-IRBAC）模型7。該模型是受ARBAC97模型的啟發(fā)，對(duì)RBAC96標(biāo)準(zhǔn)模型進(jìn)行定制，引入了“管理安全互操作角色”的概念，利用RBAC自身來(lái)管理域間角色轉(zhuǎn)換8，但是降低管理上的復(fù)雜性和權(quán)限驗(yàn)證的復(fù)雜性、提高角色轉(zhuǎn)換的安全性仍是域間角色轉(zhuǎn)換要考慮的問(wèn)題。2 IRBAC模型的改進(jìn)2.1 建立IRBAC域間互操作模型知識(shí)庫(kù)針對(duì)IRBAC模型中的域間角色轉(zhuǎn)換存在的種種問(wèn)題，我們提出了域間接口角色包括對(duì)內(nèi)角色和對(duì)外角色，并增加互操作管理員角色完成對(duì)內(nèi)角色和對(duì)外角色之間的繼承管理。2.1

13、.1 域內(nèi)角色(1) 接口角色對(duì)內(nèi)角色：完成域間互操作管理員角色的請(qǐng)求，繼承本域內(nèi)的普通角色供外域?qū)ν饨巧^承。對(duì)內(nèi)角色只繼承本域內(nèi)普通角色，在滿(mǎn)足RBAC三原則的基礎(chǔ)上，還要滿(mǎn)足本域內(nèi)角色的約束規(guī)則，這樣避免了域間角色轉(zhuǎn)換的無(wú)序。對(duì)外角色：負(fù)責(zé)本域角色向互操作管理員提出繼承外域?qū)?nèi)角色的轉(zhuǎn)換。規(guī)定對(duì)外角色不繼承本域內(nèi)的其它類(lèi)任何角色，只繼承外域的對(duì)內(nèi)角色。(2) 普通角色等同于原來(lái)RBAC模型中的角色，但不用來(lái)進(jìn)行域間角色的轉(zhuǎn)換，普通角色不繼承本域內(nèi)的對(duì)內(nèi)角色和對(duì)外角色。普通角色是除接口角色和互操作管理員角色以外的其它角色。(3) 域內(nèi)管理員角色負(fù)責(zé)管理本域內(nèi)普通成員角色及其繼承關(guān)系。2.1

14、.2 域間角色互操作管理員角色：負(fù)責(zé)域間對(duì)內(nèi)角色和對(duì)外角色間的繼承關(guān)系，即域間角色的轉(zhuǎn)換。2.2 IRBAC域間互操作規(guī)則策略基于IRBAC模型建立多域互操作模型，如圖5所示NH0表示本域的普通角色層次，通過(guò)ECA域間審計(jì)模塊實(shí)現(xiàn)本域?qū)ν饨巧珜?duì)外域?qū)?nèi)角色的繼承實(shí)現(xiàn)。多域環(huán)境下IRBAC中，互操作管理員通過(guò)ECA多域互操作模型的角色轉(zhuǎn)換原則來(lái)對(duì)訪問(wèn)本域的對(duì)外角色進(jìn)行對(duì)內(nèi)角色的繼承和轉(zhuǎn)換工作，即讓外域用戶(hù)獲得訪問(wèn)本域資源的角色身份。角色授權(quán)過(guò)程如下：圖5 IRBAC多域互操作規(guī)則策略框架圖(1) 當(dāng)域1中的普通角色A試圖繼承域2中的普通角色B時(shí)，A將會(huì)通過(guò)本域的對(duì)外角色向域間角色繼承審計(jì)模塊提出

15、申請(qǐng)。(2) 域間角色繼承審計(jì)模塊會(huì)根據(jù)能否獲取的用戶(hù)身份信息決定，將此申請(qǐng)作重定向到身份驗(yàn)證模塊(不存在用戶(hù)身份信息)或者是重定向到域間互操作管理員模塊進(jìn)行下一步的操作。(3) 域間互操作管理員會(huì)根據(jù)三種角色轉(zhuǎn)換原則和域間角色轉(zhuǎn)換的規(guī)則對(duì)此申請(qǐng)進(jìn)行審計(jì),最后發(fā)出角色繼承的許可或者是返回否決要求。(4) 如果此角色繼承的請(qǐng)求得到許可，則域1中的角色A將會(huì)通過(guò)域2中的對(duì)內(nèi)角色進(jìn)行域2中普通角色的繼承，并將結(jié)果反饋給域間角色繼承審計(jì)模塊。在此我們還要對(duì)授權(quán)步3中的動(dòng)態(tài)角色轉(zhuǎn)換是否違背了靜態(tài)互斥角約束提出進(jìn)一步的規(guī)則策略。該規(guī)則的基本思想是:當(dāng)域1中的角色A對(duì)域2中的角色B進(jìn)行角色的繼承時(shí)，域間互操

16、作管理員角色根據(jù)域1中由角色A及其子角色申請(qǐng)對(duì)外角色中繼承的域2中的對(duì)內(nèi)角色，與本次會(huì)話(huà)中域1中由角色A向域2中申請(qǐng)的本域普通角色進(jìn)行沖突檢測(cè)。3 結(jié)語(yǔ)本文研究了如何通過(guò)建立域間動(dòng)態(tài)角色的轉(zhuǎn)換來(lái)實(shí)現(xiàn)域間互操作。在本文中域間角色的轉(zhuǎn)換是通過(guò)對(duì)外角色對(duì)外域?qū)?nèi)角色的繼承來(lái)實(shí)現(xiàn)的，通過(guò)這種方式也就實(shí)現(xiàn)了動(dòng)態(tài)角色的轉(zhuǎn)換，而且這種轉(zhuǎn)換是單向的，這樣簡(jiǎn)化了域間角色轉(zhuǎn)換的復(fù)雜性，同時(shí)提高了域間角色轉(zhuǎn)換的安全性，并且可以建立域間穩(wěn)定的角色轉(zhuǎn)換關(guān)系。當(dāng)需要改變轉(zhuǎn)換后角色的權(quán)限時(shí)，只需要變更用戶(hù)指派的對(duì)外角色或者變更對(duì)內(nèi)角色對(duì)普通角色的繼承關(guān)系，不需要對(duì)域間的角色轉(zhuǎn)換關(guān)系進(jìn)行更改，從而保證了域間轉(zhuǎn)換關(guān)系的穩(wěn)定性。

17、參考文獻(xiàn)：1. OSBON S, SANDHU R. Configuring role-based access control to enforce mandatory and discretionary access control policies. ACM Transactions on Information and System Security J, 2000, 3(2):85-106.2. ELISA BERTINO, A Temporal Access Control Mechanism for Database Systems. IEEE Transactions on k

18、nowledge and data engineering C, Vol. 8, No. 1, February 19963. JOSHI J B D. A Generalized Temporal Role Based Access Control Model for Developing Secure systemD.West Lafayette: Purdue University, 2003.4. APU KAPADIA, JALAL AL-MUHTADI, R CAMBELL,et al. IRBAC 2000: Secure interoperability using dynamic role translation. University of Illinois, Technical Report： UIUCDCS-R-2000-2162, 20005. SANDHU R, COYNE E, Feinstein H, e