基于IRBAC2000的角色映射冲突检测方法研究.docVIP

  基于 IRBAC2000 的角色映射冲突检测方法 研究 刘扬，温巧燕** 5 10 15 20 25 30 35 （北京邮电大学网络与交换技术国家重点实验室，北京 100876） 摘要：随着分布式网络技术的发展，信息资源往往存在于不同的安全域中，因而跨域访问控 制受到越来越多的重视。IRBAC2000 是一种通过动态角色映射实现域间授权访问的模型， 该模型的角色映射过程中可能会出现映射冲突，容易引入安全风险。本文在该模型的基础上， 针对不同的映射冲突问题，分别给出了相应的检测算法，降低了域间互操作安全风险。 关键词：信息安全；跨域；角色映射；IRBAC2000；冲突检测 中图分类号：TP309 Research of role-mapping conflict detection methods based on IRBAC2000 Liu Yang, Wen Qiaoyan (State Key Laboratory of Networking and Switching Technology, Beijing University of Posts and Telecommunications,beijing 100876) Abstract: With the development of distributed network technology, information resources often exist in different security domains, and thus cross-domain access control has been paid more and more attention.. The IRBAC2000 is a model that achieves inter-domain access authorization by dynamic role mapping. The mapping conflicts may occur in the role mapping process, and it is easy to introduce security risks. On the basis of this model, this paper gives the corresponding detection algorithms in response to these conflicts, reducing the security risks of inter-domain interoperability. Key words: information security; cross-domain; role mapping; IRBAC2000; conflict detection 0 引言 互联网技术的飞速发展，使得信息在更大程度上得到共享。企业越来越重视网络信息系 统的建设，不断涌现的网络办公自动化系统极大提高了办公效率。然而在使用网络信息系统 处理业务流程的过程中，不可避免的会涉及敏感数据和商业信息，如何保证这些系统的安全 性引起了很多研究人员的关注。访问控制服务作为 ISO7498-2[1]中定义的五大安全服务之一， 是继身份验证之后保护系统资源的第二个安全机制，对于构筑安全的网络架构起到至关重要 的作用。由此看来，访问控制作为一项安全技术已经引起越来越多人们的重视，将不可避免 的在当今网络安全领域的研究中掀起热潮。 随着现代信息系统朝着高度动态、分布式的方向发展，人们开发了越来越多的大规模分 布式系统。不同于以往只在自己的域内访问资源，现在的用户经常需要在各个系统间进行频 繁的切换，这个过程往往存在着大量的跨越多域的信息交换和资源共享，与单个组织内的访 问控制相比，多域之间授权和访问控制问题的复杂性大大增强，安全性方面也会存在更多的 问题，能否解决好这些问题将直接决定这些分布式系统的使用和推广。 作者简介：刘扬（1987-），男，研究生，主要研究方向：信息安全 通信联系人：温巧燕，女，教授，现代密码理论、量子密码和网络安全技术. E-mail: wqy@bupt.edu.cn -1-   40 45 50 55 60  Kapadia 等人提出的 IRBAC2000 模型[2]通过动态角色映射来实现域间互操作，但是进行 角色映射过程中存在冲突现象，导致出现安全风险，如何解决这些冲突成为跨域访问能否顺 利进行的关键。因此，本文针对此模型在跨域角色映射时存在的冲突问题进行研究，并给出 相应的冲突检测方法。当域间进行角色映射时首先检测冲突是否存在，若存在冲突，则不允 许这样的角色映射，或者提交给管理员进行相应处理，以此保