基于角色的分布式環(huán)境轉(zhuǎn)授權(quán)模型

基于角色的分布式環(huán)境轉(zhuǎn)授權(quán)模型

1rbac98的結(jié)構(gòu)隨著信息技術(shù)的發(fā)展和廣泛應(yīng)用，信息系統(tǒng)的安全性已成為一個(gè)日益突出的問(wèn)題。在過(guò)去10年中，基于角色的訪問(wèn)控制（rbac）技術(shù)得到了廣泛應(yīng)用。這是一種非常有前景的新的信息安全技術(shù)，信息安全領(lǐng)域越來(lái)越受到重視。具有代表性的rbac是sunrise等提出的rbac96（role-basedresversion96）模型和模型中的一些補(bǔ)充模型。rbac96已得到美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)研究所（nationalacademyofinformationsecurity）技術(shù)研究所（nist）的支持，并公布了rbac技術(shù)標(biāo)準(zhǔn)。目前，它支持rbac技術(shù)的商業(yè)產(chǎn)品已經(jīng)銷(xiāo)售，如transport、nordic等。作為“中立”模型，rbac可以適應(yīng)不同的安全政策要求，并廣泛應(yīng)用于各種安全政策要求。rbac96的結(jié)構(gòu)如圖1所示。在分布環(huán)境下,系統(tǒng)的管理工作異常繁重.完全依賴于某個(gè)或者某些管理者的集中式管理方式,需要管理者參與系統(tǒng)中所有的授權(quán)行為,更加重了系統(tǒng)的管理負(fù)擔(dān).轉(zhuǎn)授權(quán)(delegation)的基本思想是用戶將自己所具有的部分或全部權(quán)限轉(zhuǎn)授給其他用戶,讓接受授權(quán)的用戶代表發(fā)出授權(quán)用戶執(zhí)行某些任務(wù).轉(zhuǎn)授權(quán)技術(shù)允許將分布環(huán)境下的集中式管理工作分散實(shí)施,是提高分布式系統(tǒng)伸縮性的重要的技術(shù),而基于角色的轉(zhuǎn)授權(quán)技術(shù)為在分布系統(tǒng)中實(shí)現(xiàn)角色訪問(wèn)控制提供了一種有效的手段.RDM2000模型是從層次角色(hierarchicalroles)和多步轉(zhuǎn)授權(quán)(multi-stepdelegation)兩方面對(duì)RBDM0(role-baseddelegationmodel0)擴(kuò)充而成的基于角色的轉(zhuǎn)授權(quán)模型.時(shí)限是授權(quán)模型的重要組成部分,但RDM2000并不支持時(shí)限,是不具備時(shí)限的轉(zhuǎn)授權(quán)模型.本文深入分析了轉(zhuǎn)授權(quán)的時(shí)限性,基于RDM2000提出了具有時(shí)限的基于角色的轉(zhuǎn)授權(quán)模型TRDM,并實(shí)現(xiàn)了一個(gè)TRDM的原型.本文其他部分的結(jié)構(gòu)是這樣的:第2節(jié)論述了轉(zhuǎn)授權(quán)的特性和RDM2000,分析了轉(zhuǎn)授權(quán)模型中的時(shí)限性;第3節(jié)是本文的重點(diǎn),系統(tǒng)地論述了具有時(shí)限的轉(zhuǎn)授權(quán)模型的授權(quán)以及授權(quán)撤銷(xiāo);全文的總結(jié)及其展望是第4節(jié).2多重轉(zhuǎn)授權(quán)和撤銷(xiāo)在基于角色的轉(zhuǎn)授權(quán)模型中,發(fā)起轉(zhuǎn)授權(quán)動(dòng)作的用戶稱為授權(quán)用戶(delegatinguser)記做uing,轉(zhuǎn)授出去的角色稱為被轉(zhuǎn)授角色(delegatedrole),記做red,接受被轉(zhuǎn)授角色的用戶稱為被授權(quán)用戶(delegateduser),記作ued.轉(zhuǎn)授權(quán)主要有以下特性,包括:時(shí)限性、單調(diào)/非單調(diào)性、完全/部分、管理、多步轉(zhuǎn)授權(quán)、撤銷(xiāo)等.其中時(shí)限性(temporary)是指red的作用時(shí)限.按照時(shí)限的不同可以將轉(zhuǎn)授權(quán)分為兩種:永久性轉(zhuǎn)授權(quán)和時(shí)限性轉(zhuǎn)授權(quán).前者是指一旦把red轉(zhuǎn)授予ued,ued就具有red所包含的權(quán)限,直到系統(tǒng)管理員或者具有授權(quán)管理角色的用戶將ued的red撤銷(xiāo);而時(shí)限性轉(zhuǎn)授權(quán)是指在轉(zhuǎn)授權(quán)的同時(shí)指定red的有效期,一旦red過(guò)期,系統(tǒng)自動(dòng)地將red撤銷(xiāo).多步轉(zhuǎn)授權(quán):在RDM中,如果允許ued將red繼續(xù)轉(zhuǎn)授予其他的用戶則稱做多步轉(zhuǎn)授權(quán);否則稱做單步轉(zhuǎn)授權(quán).多重轉(zhuǎn)授權(quán)(multipledelegation):是指同一個(gè)red可以同時(shí)授予一個(gè)或者多個(gè)ued.撤銷(xiāo)(revocation):如何撤銷(xiāo)ued所具有的red是轉(zhuǎn)授權(quán)模型中的一個(gè)非常重要的問(wèn)題.當(dāng)直接撤銷(xiāo)red時(shí),同時(shí)會(huì)將與該角色相關(guān)的其他角色(如ued以red為先決條件而被授予的其他角色)也一并撤銷(xiāo),則這種撤銷(xiāo)叫做層疊式撤銷(xiāo)(cascadingrevocation).只有uing才能撤銷(xiāo)red的撤銷(xiāo)方式叫做授權(quán)依賴撤銷(xiāo)(grant-dependentrevocation);與之相對(duì),任何具有secoff授予的red角色的其他用戶都可以撤銷(xiāo)ued所具有的red的撤銷(xiāo)方式叫做非授權(quán)依賴撤銷(xiāo)(grant-independentrevocation).基于角色的轉(zhuǎn)授權(quán)模型主要有RBDM0和RDM2000.基于RBAC96,RBDM0首次將角色引入轉(zhuǎn)授權(quán)模型中,并將用戶的角色分成兩類(lèi):①初始角色,secoff或具有授權(quán)管理權(quán)限的用戶授予的角色;②轉(zhuǎn)授角色,其他用戶轉(zhuǎn)授來(lái)的角色.RBDM0區(qū)分對(duì)待這兩類(lèi)角色.盡管Barka和Sandhu指出基于角色的轉(zhuǎn)授權(quán)模型具有以上各種特性,但是RBDM0本身并沒(méi)有完全涵蓋這些特性,如時(shí)限、多步轉(zhuǎn)授權(quán)和授權(quán)依賴撤銷(xiāo)等問(wèn)題,也沒(méi)有給出形式化的描述.LonghuaZhang等人提出的RDM2000模型支持層次角色和多步轉(zhuǎn)授權(quán),是基于RBDM0擴(kuò)充而成的較完善的基于角色的轉(zhuǎn)授權(quán)模型,但是該模型仍然沒(méi)有解決時(shí)限問(wèn)題.RDM2000的轉(zhuǎn)授權(quán)模型如圖2所示:事實(shí)上,時(shí)限是授權(quán)的重要組成部分,任何授權(quán)都具有時(shí)限性,永久的授權(quán)不但不能滿足實(shí)際需求,不便于系統(tǒng)管理,同時(shí)也會(huì)帶來(lái)一定的系統(tǒng)安全隱患.例如教授P1因外出,將不能行使具有權(quán)限“給學(xué)生出考題”角色R1和“給學(xué)生批改試卷”的角色R2,需要把R1和R2轉(zhuǎn)授給其助教.假設(shè)助教A1被授予R1,A2被授予R2.在不支持時(shí)限的轉(zhuǎn)授權(quán)模型中,存在以下兩個(gè)問(wèn)題:(1)A1被授予R1以及A2被授予R2,意味著如果沒(méi)有secoff或者P1的參與,則A1和A2將永遠(yuǎn)分別具有R1和R2,即使P1已經(jīng)外出返回.(2)A1在A2開(kāi)始行使角色R2的權(quán)限后再行使R1的權(quán)限以及A2在A1行使角色R2的權(quán)限未結(jié)束前就行使R2,都會(huì)造成A2批改得出的學(xué)生成績(jī)和A1最終提交的試題不一致.以上兩個(gè)問(wèn)題的根本原因在于忽略了轉(zhuǎn)授權(quán)的時(shí)限性以及各授權(quán)時(shí)限之間的關(guān)系,這也正是本文要解決的問(wèn)題.3TRDM3.1rbac98中trdm結(jié)構(gòu)的統(tǒng)一在本文中,我們用[tb,te]來(lái)表示時(shí)限duration,[tb,te]是一個(gè)時(shí)間段,tb是時(shí)間段duration的開(kāi)始,te是時(shí)間段duration的結(jié)束,其中,tb∈N,te∈N,tb<te.具有時(shí)限的轉(zhuǎn)授權(quán)的具體含義是uing在轉(zhuǎn)授權(quán)操作中,僅僅賦予ued在時(shí)間段duration中具有red,即ued僅僅在時(shí)間段duration中可以行使red所具有的權(quán)限,一旦當(dāng)前時(shí)間t>te,則系統(tǒng)自動(dòng)撤銷(xiāo)ued的red.為便于突出TRDM結(jié)構(gòu)中具有實(shí)質(zhì)性的問(wèn)題,本文將RBAC96中有關(guān)授權(quán)管理的部分簡(jiǎn)化為secoff統(tǒng)一行使所有的授權(quán)管理工作.在模型RBDM0和RDM2000中,不具有時(shí)限的授權(quán)auth是二元組{u,r},而具有時(shí)限的授權(quán)tauth的形式是{ing,ed,time},ing=(uing,ring),ed=(ued,red),time=(duration,td),duration=[tb,te].即tauth={(uing,ring),(ued,red),([tb,te],td)}.其中,uing∈U,ued∈U,ring∈R,red∈R,tb∈N,te∈N∪∞,td∈N.為便于說(shuō)明,我們定義以下幾類(lèi)函數(shù):定義1.(1)inguing,ingringing(tauth)=ing=(uing,ring),ingu(tauth)=ingu(ing)=uing,ingr(tauth)=ingr(ing)=ring;(2)不同的國(guó)家tauth,有ued,edr,tauth,tauthed(tauth)=ed=(ued,red),edu(tauth)=edu(ed)=ued,edr(tauth)=edr(ed)=red;(3)mttauthtime(tauth)=time=(duration,td),timed(tauth)=timed(time)=duration,timet(tauth)=timet(time)=td.基于以上的定義,有:uao∈UAO?uao={(secoff,A),(ued,red),([tb,te],td)},其中te≥tb≥td,A表示secoff具有系統(tǒng)授予用戶任何角色的權(quán)限,盡管secoff可能并不具有這些角色.uad∈UAD?uad={(uing,ring),(ued,red),([tb,te],td)},其中te≥tb≥td,uing≠secoff.3.2內(nèi)容分析法uad,即s13133.TRDM的基本元素和系統(tǒng)功能函數(shù)在定義2中給出.表1描述了TRDM的功能函數(shù)的具體含義.圖3所示的是TRDM中各種授權(quán)之間的相互關(guān)系.定義2.(1)P,R,U和S分別是權(quán)限集合、角色集合、用戶集合和會(huì)話集合.(2)UAO:用戶到初始角色之間的多對(duì)多的關(guān)系;(3)UAD:用戶到被轉(zhuǎn)授角色之間的多對(duì)多的關(guān)系;(4)UA=UAO∪UAD?U×R:用戶到角色的指派關(guān)系,該關(guān)系是多對(duì)多的關(guān)系;(5)PA?P×R:權(quán)限到角色的指派關(guān)系,該關(guān)系是多對(duì)多的關(guān)系;(6)RH?R×R:角色與角色之間的繼承關(guān)系,該關(guān)系是一偏序關(guān)系;(7)userso(r,t)={u|(?r′≥r)(uao={(secoff,A),(u,r′),(duration,td)}∈UAO)∩t∈timed(uao)};(8)usersd(r,t)={u|(?r′≥r)(uad={(uing,ring),(u,r′),(duration,td)})∈UAD}∩t∈timed(uad);(9)users:R→2U,users(r,t)=usero(r,t)∪userd(r,t);(10)user:S→U,user(si,t)={u|ua={(uing,ring),(u,r′),(duration,td)}∈si∩t∈timed(ua)};(11)role:S→2R,role(si,t)?{r|(?r′≥r)[ua={(uing,ring),(user(si,t),r′),(duration,td)}∈UA∩t∈timed(ua)]};(12)permissions:S→2P.permissions(si,t)={p|(?r′≥r)[(p,r′)∈PA∩r′∈role(si,t)]};(13)rolesu(u,t)={r′|u∈users(r′,t),r′≥r};(14)N:是一個(gè)員以自然數(shù)為元素構(gòu)成的集合;(15)DLGT?UA×UA=U×R×U×R;(16)ODLGT?UAO×UAD;(17)DDLGT?UAD×UAD;(18)DLGT?ODLG∪DDLGT;(19)DT?UA×UA:轉(zhuǎn)授權(quán)樹(shù);(20)prior:U×R→U×R;prior({ing1,(u,r),time1})={{ing2,(u′,r′),time2}|{ing1,(u,r),time1}∈UAD∩{(u′,r′),(u,r),time3}∈DLGT};prior{(secoff,A),(u,r),time1}={Φ|{(secoff,A),(u,r),time1}∈UAO};(21)轉(zhuǎn)授權(quán)路徑(delegationpath):path(u0,r0)={(u0,r0),(u1,r1),…,(ui,ri),…,(un,rn)|{ing1,(ui,ri),time1}=prior{ing2,(ui-1,ri-1),time2}∈UA,i>0};i>0,path{(secoff,A),(u,r),time1}={Φ|{(secoff,A),(u,r),time1}∈UAO};(22)depth:U×R→N;depth(u,r)={n|n=|path(u,r)|(u,r)∈UAD};depth(u,r)={0|{(secoff,A),(u,r),time1}∈UAO};(23)broths:U×R→2(U×R);broths({(uing,ring),(u,r),time1})={?{(uing,ring),(u′,r),time2}|{(uing,ring),(u′,r),time2}∈DLGT};(24)width:U×R→N;width({(uing,ring),(u,r),time1})={n|n=|broths({(uing,ring),(u,r),time1})|};(25)validd(u,r,t)={[tb,te]?當(dāng)t≤tb；[t,te]?當(dāng)tb＜t≤te；?當(dāng)te≤t；其中{(uing,ring),(u,r),([tb,te],td)}∈DLGT.3.3財(cái)務(wù)性條件定義在RDM2000中,轉(zhuǎn)授權(quán)判定公式是基于以下3方面進(jìn)行判斷的:(1)轉(zhuǎn)授權(quán)用戶所具有的角色;(2)被授權(quán)用戶的已經(jīng)具有的角色集合;(3)系統(tǒng)允許的最大轉(zhuǎn)授權(quán)步數(shù).RDM2000僅僅限制轉(zhuǎn)授權(quán)的最大步數(shù)(depth),而沒(méi)有對(duì)某一角色被轉(zhuǎn)授的次數(shù)(width)加以限制,因此,該模型不能完全控制用戶的轉(zhuǎn)授權(quán)操作.與系統(tǒng)允許的最大轉(zhuǎn)授權(quán)深度相對(duì)應(yīng),系統(tǒng)還應(yīng)該限制某一角色被同一用戶轉(zhuǎn)授的次數(shù).同時(shí),在具有時(shí)限的授權(quán)模型中,僅僅依據(jù)上述各方面進(jìn)行判斷還是不夠的,除了上述幾方面,時(shí)限也應(yīng)該是判斷的依據(jù)之一.我們的授權(quán)判定中借用了ARBAC97和RDM2000中定義的先決條件(prerequisitecondition).定義3.先決條件CR是用操作符“&”(and,與)和“|”(or,或)將元素cr結(jié)合起來(lái)的布爾表達(dá)式.其中,cr可以是x或者-x的形式,前者表示具有角色x,后者表示不具有角色x.如:CR=cr1&cr2|(-cr3).定義4.轉(zhuǎn)授權(quán)的判定如下:candelegate?R×CR×N×Y×TIME;dlgt={r,cr,n,y,([tb,te],td)}∈candelegate?(1)uing∈{u|users(r′),r′≥r}∩(2)rolesu(ued,t)∈cr∩(3)n(dlgt)≤n∩(4)y(dlgt)≤y∩(5)[tb,te]?validd(uing,r,td).其中,R,CR,N,Y和TIME分別是角色、先決條件、最大轉(zhuǎn)授權(quán)深度、最大轉(zhuǎn)授權(quán)寬度、時(shí)限的集合;n(dlgt)表示轉(zhuǎn)授權(quán)操作dlgt中被轉(zhuǎn)授角色r的再次轉(zhuǎn)授次數(shù),即轉(zhuǎn)授權(quán)深度;y(dlgt)表示當(dāng)前操作中被轉(zhuǎn)授角色被同一用戶轉(zhuǎn)授次數(shù),即轉(zhuǎn)授權(quán)寬度.例如:{r,cr,n,y,time}∈candelegate表示具有角色r(或者r′,其中r′≥r)的用戶能夠?qū)⒔巧玶(或者r″,其中r≥r″)轉(zhuǎn)授給當(dāng)前所具有的角色滿足cr的用戶,使之在時(shí)間段time中具有被授予的角色的權(quán)限,而且當(dāng)前授權(quán)操作的深度和寬度分布不超過(guò)n和y.推論1.授權(quán)路徑中,任何授權(quán)的時(shí)限不會(huì)超過(guò)處于該授權(quán)前面的授權(quán)的時(shí)限.圖4給出了TRDM的時(shí)限實(shí)例,其中r1>r2>r3,在時(shí)限d1=[tb,te]時(shí)間段內(nèi),用戶uing具有r1角色.在滿足其他授權(quán)條件的前提下,如果uing在td1時(shí)刻將角色r2授權(quán)用戶ued1,那么,ued1具有角色r2的時(shí)限d∈d2=[tb,te];如果uing在td2時(shí)刻將角色r3授權(quán)用戶ued2,那么,ued2具有角色r3的時(shí)限d∈d3=[td2,te];在td3時(shí)刻uing就不具有角色r1,因此uing無(wú)權(quán)給其他用戶授予任何角色.3.4限制轉(zhuǎn)授權(quán)撤銷(xiāo)與轉(zhuǎn)授權(quán)相對(duì)應(yīng),授權(quán)撤銷(xiāo)也是安全系統(tǒng)訪問(wèn)控制中重要的過(guò)程.如uing發(fā)現(xiàn)ued濫用被授予的角色red,不論是系統(tǒng)、secoff還是uing,都應(yīng)該及時(shí)地撤銷(xiāo)該角色.角色授權(quán)撤銷(xiāo)包括撤銷(xiāo)UAO中授予的角色,也包括撤銷(xiāo)DLGT中授予的角色,本文著重討論如何撤銷(xiāo)轉(zhuǎn)授權(quán)得到的角色.轉(zhuǎn)授權(quán)撤銷(xiāo)可以分為兩種:一種是基于時(shí)限限制的轉(zhuǎn)授權(quán)撤銷(xiāo);另一種是用戶主動(dòng)地撤銷(xiāo)轉(zhuǎn)授權(quán).基于時(shí)限的授權(quán)撤銷(xiāo)的基礎(chǔ)是轉(zhuǎn)授權(quán)的時(shí)限性.當(dāng)系統(tǒng)時(shí)間超過(guò)某授權(quán)的最大時(shí)限時(shí),系統(tǒng)自動(dòng)地撤銷(xiāo)被授權(quán)用戶的該授權(quán)所授予的