基于角色的訪問(wèn)控制技術(shù)綜述

基于角色的訪問(wèn)控制技術(shù)綜述

1bac2c2模型的主要特征r.s.桑德虎等人于1996年提出了基于模型的驗(yàn)證模型，即rbac96模型。該模型系統(tǒng)地描述了rbac的多級(jí)含義，并得到了廣泛認(rèn)識(shí)。之后他們很快就提出了著名的分布式角色管理模型ARBAC97(AdministrativeRBAC),從理論上給出了RBAC模型中角色管理的辦法。ARBAC02模型是對(duì)ARBAC97模型的一次改進(jìn),它保留了ARBAC97模型的主要特征,修改了ARBAC97模型的URA97和PRA97模型,增加了新的概念“組織結(jié)構(gòu)”,RRA97模型保持不變。NIST(NationalInstituteofStandards&Technology)提出的NIST模型實(shí)質(zhì)上是RBAC96中RBAC3模型的一個(gè)擴(kuò)展。NRBAC是國(guó)內(nèi)學(xué)者提出的一個(gè)RBAC模型,NRBAC模型主要是細(xì)化了RBAC的實(shí)現(xiàn)機(jī)制,從其內(nèi)容來(lái)看,它屬于RBAC3的擴(kuò)展。OASIS(OpenArchitectureforSecureInterworkingServices提出的OASIS模型是針對(duì)分布式系統(tǒng)的訪問(wèn)控制而設(shè)計(jì)的。它建立在開放的、非集中式方法的基礎(chǔ)上。根據(jù)實(shí)際需要在訪問(wèn)控制方面的諸多特點(diǎn),基于改進(jìn)RBAC96的實(shí)現(xiàn)模型,對(duì)RBAC96模型的基本要素重新進(jìn)行描述和進(jìn)行形式化定義將它提升為一種擴(kuò)展的基于角色的訪問(wèn)控制模型TRBAC(TimeRole-BasedControlModel)。2周期約束與時(shí)間約束目前在RBAC系統(tǒng)中引入時(shí)間約束的主要有兩類:(1)周期時(shí)間約束;(2)連續(xù)時(shí)間約束。文中結(jié)合兩種時(shí)間約束方案提出一種有周期性的連續(xù)時(shí)間約束模型。3rbac的隨機(jī)時(shí)間3.1周期和周期約束的轉(zhuǎn)授權(quán)在基于角色的轉(zhuǎn)授權(quán)模型中,發(fā)起轉(zhuǎn)授權(quán)動(dòng)作的用戶稱為授權(quán)用戶記做uing,轉(zhuǎn)授出去的角色稱為被轉(zhuǎn)授角色記做red,接受被轉(zhuǎn)授角色的用戶稱為被授權(quán)用戶記作ued。用[tb,te]來(lái)表示時(shí)限duration,[tb,te]是一個(gè)時(shí)間段,tb是時(shí)間段duration的開始,te是時(shí)間段duration的結(jié)束,其中,tb∈N,te∈N,tb<te。定義1:周期的表示。給定日歷Cd,C1,C2,…,Cn,周期P定義為Ρ=n∑i=1Οi?Ci?r?CdP=∑i=1nOi?Ci?r?Cd這里O1=all,Oi∈2IN∪{all},Ci?Ci-1fori=2,…,n,Cd?Cn,且r∈IN。其中all表法Ci的所有時(shí)間區(qū)間,Oi∈2IN∪{all}是時(shí)間區(qū)間子集,Ci?Ci-1(i=2,…,n),Cd?Cn是時(shí)間區(qū)間的長(zhǎng)度單位,IN是自然數(shù)集合,r為時(shí)間區(qū)間長(zhǎng)度。符號(hào)?表示將第一部分的周期表示分離出來(lái),即從它所代表的時(shí)間區(qū)間的開始點(diǎn)持續(xù)的日歷長(zhǎng)度Cd的數(shù)量。周期P對(duì)應(yīng)的時(shí)間區(qū)間無(wú)限集合用∏(P)表示。定義2:Function∏()。已知周期表示:p=n∑i=1Οi?Ci?r?Cd?∏(Ρ)p=∑i=1nOi?Ci?r?Cd?∏(P)是一個(gè)周期時(shí)間區(qū)間集合,它的一般持續(xù)時(shí)間是r·Cd。定義3:FunctionSol()。設(shè)t表示時(shí)間,P是一個(gè)周期表達(dá)式,begin和end是以天為單位的日期表示。t∈Sol(<[being,end],P),當(dāng)且僅當(dāng)存在τ∈∏(P),那么t∈τ并且tb≤t≤te,這里tb,te分別代表開始時(shí)間和結(jié)束時(shí)間。定義4:時(shí)間長(zhǎng)度的表示。給定時(shí)間ti,tj,其中i≤j,時(shí)間長(zhǎng)度L定義為:L=tj-ti。具有周期性的連續(xù)時(shí)間約束的轉(zhuǎn)授權(quán)的具體含義是:uing在轉(zhuǎn)授權(quán)操作中,僅僅賦予ued在時(shí)間周期P時(shí)間段duration中具有red,即ued僅僅在時(shí)間段duration中可以行使red所具有的權(quán)限,一旦當(dāng)前時(shí)間tb>te,則系統(tǒng)自動(dòng)撤銷ued的red,而且行使red所具有的權(quán)限最大時(shí)間長(zhǎng)度為L(zhǎng)。文中將RBAC96中有關(guān)授權(quán)管理的部分簡(jiǎn)化為secoff統(tǒng)一行使所有的授權(quán)管理工作。具有周期性連續(xù)時(shí)間約束的授權(quán)t-auth的形式是:{ing,ed,time},ing=(uing,ring),ed=(ued,red),time=(P,duration,L,td),duration=[tb,te],即tauth={(uing,ring),(ued,red),(P,[tb,te],L,td)}其中,uing∈U,ued∈U,ring∈R,red∈R,tb∈N,te∈N,td∈N。定義以下幾類函數(shù):定義5:(1)授權(quán)用戶和轉(zhuǎn)授角色函數(shù):ing(t-auth)=ing=(uing,ring),ingu(t-auth)=ingu(ing)=uing,ingr(t-auth)=ingr(ing)=ring;(2)被授權(quán)用戶和被轉(zhuǎn)授角色函數(shù):ed(t-auth)=ed=(ued,red),edu(t-auth)=edu(ed)=ued,edr(t-auth)=edr(ed)=red;(3)時(shí)限和授權(quán)時(shí)間函數(shù):time(t-auth)=time=(P,duration,L,td),timed(t-auth)=timed(time)=(P,duration,L),timet(t-auth)=timet(time)=td;基于以上的定義,有:uoa∈UOA?uoa={(secoff,A),(ued,red),(P,[tb,te],L,td)},其中te≥tb≥td,L≥0,A表示secoff具有系統(tǒng)授予用戶任何角色的權(quán)限,盡管secoff可能并不具有這些角色。uda∈UDA?uda{(uing,ring),(ued,red),(P,[tb,te],L,td)},其中te≥tb≥td,L≥0,uing≠secoff。3.2具有周期性的連續(xù)時(shí)間約束模型具有周期性的連續(xù)時(shí)間約束模型的基本元素和系統(tǒng)功能函數(shù)在定義5中已給出。定義6:(1)U:用戶的集合;O:客體的集合;A:訪問(wèn)的集合;P:權(quán)限的集合;R:角色的集合;S:會(huì)話的集合;UOA:用戶到初始角色之間的多對(duì)多的關(guān)系;UDA:用戶到被轉(zhuǎn)授角色之間的多對(duì)多的關(guān)系。(2)用戶角色分配集(URA):URA=UOA∪UDA={(u,r)|u∈U∧r∈R}。(3)角色權(quán)限分配集(RPA):RPA={(r,p)|r∈R∧p∈P}。(4)RH?R×R:角色與角色之間的繼承關(guān)系,該關(guān)系是一偏序關(guān)系。(5)用戶委派集(UAP):用戶委派(uap)是指某用戶指定另一用戶暫時(shí)代替自己執(zhí)行全部或部分自身的權(quán)限。(6)會(huì)話集(S):可以簡(jiǎn)單地將其定義為三元組(ID,u,R)∈N×u×2role(u),其中ID用于標(biāo)識(shí)某一特定的會(huì)話,role(u)是計(jì)算機(jī)用戶角色集的函數(shù)。(7)users-o(r,t):R→2U返回時(shí)刻t具有初始角色r的所有用戶users-o(r,t)={u|(?r′≥r)(uoa={(secoff,A),(u,r′),(P,[tb,te],L,td)}∈UOA)∩t∈timed(uoa)};(8)users-d(r,t):R→2U返回時(shí)刻t具有轉(zhuǎn)授角色r的所有用戶users-d(r,t)={u|(?r′≥r)(uda={(uing,ring),(u,r′),(P,[tb,te],L,td)})∈UDA}∩t∈timed(uda);(9)users(r,t):R→2U返回時(shí)刻t具有角色r的所有用戶users(r,t)=user-o(r,t)∪user-d(r,t);(10)user(si,t):S→U返回時(shí)刻t會(huì)話si所屬的用戶user(si,t)={u|ura={(uing,ring),(u,r′),(P,[tb,te],L,td)}∈si∩t∈timed(ura)};(11)role(si,t):S→2R返回時(shí)刻t會(huì)話si所具有的所有角色role(si,t)?{r|(?r′≥r)[ura={(uing,ring),(user(si,t),r′),(P,[tb,te],L,td)}∈URA∩t∈timed(ura)]};(12)permissions(si,t):S→2P返回時(shí)刻t會(huì)話si所具有的所有權(quán)限permissions(si,t)={p|(?r′≥r)[(p,r′)∈PA∩r′∈role(si,t)]};(13)role-u(u,t):U→2R返回時(shí)刻t用戶u所具有的所有角色roles-u(u,t)={r′|u∈users(r′,t),r′≥r};(14)N:是一個(gè)以自然數(shù)為元素構(gòu)成的集合;(15)DLGT?URA×URA=U×R×U×R;(16)ODLGT?UOA×UDA;(17)DDLGT?UDA×UDA;(18)DLGT?ODLG∪DDLGT;(19)DTA?URA×URA:轉(zhuǎn)授權(quán)樹;(20)path:U×R×((u0,r0),…,(ui,ri))返回授權(quán)(u,r)的授權(quán)路徑path(u0,r0)={(u0,r0),(u1,r1),…,(ui,ri),…,(un,rn)|{ing1,(ui,ri),time1}=prior{ing2,(ui-1,ri-1),time2}∈UDA,i>0};path{(secoff,A),(u,r),time1}={Φ|{(secoff,A),(u,r),time1}∈UOA};(21)depth:U×R→N返回授權(quán)(u,r)的授權(quán)路徑的長(zhǎng)度depth(u,r)={n|n=|path(u,r)|(u,r)∈UDA};depth(u,r)={0|{(secoff,A),(u,r),time1}∈UOA};(22)width:U×R→N返回同是由(uing,ring)轉(zhuǎn)授的授權(quán)(u,r)的個(gè)數(shù)width({(uing,ring),(u,r),time1})={n|n=|broths({(uing,ring),(u,r),time1})|};(23)valid-d:U×R×T→[tb,te]返回時(shí)刻t用戶u具有r的有效時(shí)限valid-d(u,r,t)={[tb?te]?當(dāng)t≤tb∩t∈Sol(<Ρ,[tb,te]>)∩1＞0[t,te]?當(dāng)tb＜t≤te∩t∈Sol(<Ρ,[tb,te]>)∩1＞0〉當(dāng)te≤t∪t?Sol(<Ρ,[tb,te]>)∩1<0其中{(uing,ring),(u,r),(P,[tb,te],L,td)}∈DLGT。42允許和中斷4.1靜態(tài)權(quán)責(zé)分離集ss約束即某種限制,也可以理解為一種規(guī)則,TRBAC模型中主要有三種約束:(1)先決角色約束集(CR)。定義7:先決條件CR是用操作符“&”(and,與)和“|”(or,或)將元素cr結(jié)合起來(lái)的布爾表達(dá)式。其中,cr可以是x或者-x的形式,前者表示具有角色x,后者表示不具有角色x。這種約束即為先決角色約束,可以定義如下:cr=(rl,r2,r3,…,rn┝rj)其中ri∈R∧rj∈R(1≤i≤n),它表示只有在獲得了全部的ri(1≤i≤n)之后,才可以得到角色rj。系統(tǒng)中所有的先決角色約束的集合即構(gòu)成先決角色約束集:CR={cr|cr=(r1,r2,r3,…,rn┝rj),ri∈R∧rj∈R,(1≤i≤n)}先決角色約束作用于所有與角色有關(guān)的分配,用戶組分配、用戶委派。(2)靜態(tài)權(quán)責(zé)分離(SSD)。靜態(tài)權(quán)責(zé)分離(SSD)它定義了相互排斥的角色,在同一個(gè)靜態(tài)權(quán)責(zé)分離集中的角色不可以分配給同一個(gè)用戶。靜態(tài)權(quán)責(zé)分離可以定義為角色的子集,SSD?2R×K,這里K是一個(gè)≥2的整數(shù)集。即該子集中的角色同時(shí)分配給同一用戶時(shí),必須小于指定個(gè)數(shù)k。定義8:靜態(tài)權(quán)責(zé)分離集(SSD)。SSD={(rs,k)|rs?2R∧k≥2}?(rs,k)∈SSD(u∈U?|Role(u)∩rs|<k)其中‘|…|’表示集合的元素個(gè)數(shù)。該定義表示在給用戶分配角色時(shí),用戶獲得的角色集與SSD中任何一個(gè)集合的交集,其元素個(gè)數(shù)必須小于指定的k。(3)動(dòng)態(tài)權(quán)責(zé)分離(DSD)。動(dòng)態(tài)權(quán)責(zé)分離是指一個(gè)角色集,該集合中的角色在分配給用戶時(shí)不受限制,但用戶不能同時(shí)激活這些角色,由于用戶可以同時(shí)創(chuàng)建多個(gè)會(huì)話。因此這一約束要求跨越同一用戶同一時(shí)間創(chuàng)建的所有會(huì)話。定義9:動(dòng)態(tài)權(quán)責(zé)分離集(DSD)。DSD={(rs,k)|rs?2R∧k≥2}?(rs,k)∈DSD(u∈U?|permission(si)∩rs|<k)4.2動(dòng)態(tài)權(quán)責(zé)分離dlrt轉(zhuǎn)授權(quán)判定公式是基于以上幾方面進(jìn)行判斷外還要判斷系統(tǒng)允許的最大轉(zhuǎn)授權(quán)步數(shù),某一角色被轉(zhuǎn)授的次數(shù)(width)加以限制。定義10:轉(zhuǎn)授權(quán)的判定如下:Can-delegate?R×CR×SSD×DSD×N×Y×TIME;dlgt={r,cr,ssd,dsd,n,y,(P,[tb,te],L,td)}∈can-delegate?uing∈{u|users(r′),r′≥r}∩roles-u(ued,t)∈cr∩roles-u(ued,t)∈ssd∩roles-u(ued,t)∈dsd∩n(dlgt)≤n∩y(dlgt)≤y∩[tb,te]?valid-d(uing,r,td)