一种使用RBAC模拟实施BLP方法.docVIP

一种使用RBAC模拟实施BLP的方法 　　摘要：给出了使用RBAC96模型模拟实施BLP模型的方法，包含实施BLP模型的安全标记、简单安全属性、自由*属性和严格*属性以及针对可信主体定义的可信范围的方法。 　　关键词：基于角色的访问控制; BLP模型; 强制访问控制; 基于格的访问控制; 角色 　　中图分类号：TP309．2文献标志码：A 　　文章编号：1001－3695(2008)03－0891－04 　　 　　基于角色的访问控制近几年来在信息安全研究领域受到越来越多的重视。RBAC是一种与应用无关的通用访问控制框架，可以应用到各种环境中，包括商业领域、组织机构和分布式环境，因此研究RBAC不仅具有理论意义，也具有很大的应用价值。目前使用和研究的RBAC主要是Sandhu等人提出的RBAC96模型[1,2]。虽然NIST对于RBAC有一个统一的标准[3]，但是该标准模型与RBAC96模型相差不大，本文就以RBAC96作为研究对象。 　　RBAC本身是一种策略中立的访问控制框架，其并不实现具体的安全策略，而是提供实现策略的工具和方法。系统安全管理员可以通过对RBAC各个组件进行精确配置来实施不同的策略。 　　强制访问控制策略是各种可信计算系统访问控制策略的基础，特别是经典的Bell LaPadula(BLP)模型，则是定义MAC的基础，也是目前计算机公认的安全定理。如何在RBAC 　　与MAC之间建立联系则是一个研究热点。如果RBAC能够配置实施MAC，不仅能够说明MAC仅仅是RBAC的一个特例，而且也会大大拓展RBAC的应用领域，因此这个问题具有重大的理论意义和应用价值。 　　 　　1RBAC模型以及前人的相关工作 　　 　　1．1RBAC96模型 　　Sandhu等人提出的RBAC96模型是包含角色管理、角色层次和约束的通用RBAC模型[1,2]。以下给出RBAC96的形式化定义。 　　定义1RBAC96元素。RBAC96模型包含以下元素： 　　U：用户集合；R和AR：角色集和管理员角色集，两者互不相交；P和AP：不相交的权限集和管理员权限集；S：会话集。 　　PA??P×R：一个多对多的权限与角色之间的映射关系；APA??AP×AR：一个多对多的管理员权限与管理员角色之间的映射关系。 　　UA??U×R：一个多对多的用户与角色之间的分配关系；AUA??U×AR：一个多对多的用户与管理员角色之间的分配关系。 　　RH??R×R：一个具有偏序关系的角色层次；ARH??AR×AR：一个具有偏序关系的管理员角色层次。 　　user：S→U：将每个会话si映射为单个用户user(si)的函数。 　　roles：S→2RUAR，将每个会话si映射为角色和管理员角色之集，roles(si)??{r|（??r′≥r）[(user(si), r′)∈UA∪AUA]}。 　　会话si具有的权限为∪r∈roles(si){p|(??r″≤r) [(p, r″)∈PA∪APA]}。 　　存在一个约束集，其中的每个约束可用于决定上述各个元素的可接收性。 　　1．2前人使用RBAC模拟LBAC的工作 　　Osborn等人对使用RBAC96模拟实施MAC进行了研究[4,5]，他们是采用LBAC这个理论化的MAC模型，并使用RBAC96的角色层次来模拟LBAC安全标记集中的安全格并使用RBAC的约束来保证实施的正确性。以下简要介绍他们的工作。 　　LBAC模型关心的主要是在安全标记格上实施和控制信息的单向流动。LBAC的核心是安全标记格，以下是安全标记格的定义。 　　定义2安全标记格。具有偏序关系≥和一个最小上界算子的安全标记集SC上的一个有限格。 　　一个简单的安全标记格结构如图1所示。H和L代表高和低级别安全标记，M1和M2是位于H与L之间的两个相互不可比较的标记。在这个安全标记格中，信息流可以从低往高流，但相反方向不行。 　　对于给定的安全标记集SC=｛L1，L2，…，Ln｝和一个偏序关系≥LBAC，针对自由*属性和严格*属性的RBAC96系统模型构造（图2、3）定义如下： 　　构造1自由*属性。 　　R={L1R，L2R，…，LnR，L1W，L2W，…，LnW}。 　　RH由两个不相交的角色层次构成：一个是读角色{L1R，L2R，…，LnR}和≥LBAC构成；另外一个是写角色和≥LBAC之逆构成。 　　P={(o, r)，(o, w)| o∈O}。其中：r表示读；w表示写；O为系统中的客体集。 　　UA约束：为每个用户精确分配xR和LW两个角色，x为分配给用户的安全标记；LW为相对于≥LBAC的最低安全层次的写角色。 　　会话约束：每个会话精确地具备yR和yW两个角色。