基于角色权限代理审计模型.docVIP

基于角色权限代理审计模型 　　摘要：提出了一种基于角色的权限代理审计模型――RBDAM，讨论了RBDAM的基本思想、体系结构、构成要素以及相应的审计功能，并提供了一种有很大参考价值的实现权限代理审计模型的设计思路，这在网络安全、分布式计算、协同系统中都有着广泛应用。 　　关键词：角色； 权限代理； 审计； 模型 　　中图分类号：TP309文献标志码：A 　　文章编号：1001-3695(2007)11-0139-04 　　 　　0引言?? 　　 　　在基于角色的访问控制RBAC系统中，授权管理集中统一由系统管理用户实施，一般用户不具有授权管理的权限[1]。这在本质上是类似于强制性访问控制策略。然而在基于角色的权限代理模型中，再引入权限代理的思想后[2]，允许一般用户将自己所拥有的权限再分配给其他用户，使系统授权管理的权限分散实施。这在某种程度上类似于自主访问控制的授权模式。与集中式授权指派、权限分配相比，在权限代理模型中，这种具有自主特性的授权模式（允许一般用户把权限赋予其他用户）给系统带来了很大的灵活性，但同时也带来了严重的安全隐患。?? 　　 系统审计是指为了信息系统的安全、可靠与有效，由独立于审计对象的审计主体，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向有关人员提出问题与建议的一连串活动[3]。从信息系统的安全访问控制角度来看，系统审计的主要目就是检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。系统审计是构成安全系统模型的必不可少的一个组成部分，安全系统要求用审计方法监视与安全相关的活动[3,4]。?? 　　与目前的安全操作系统、安全数据库系统以及一些安全的应用系统相比，在现有的基于角色的权限代理模型中几乎都没有考虑和设计对授权分配、权限代理以及权限撤销等活动的审计。因此，为确保系统的安全、可靠和有效，充分考虑系统审计的目的和意义，本文提出了一种新的基于角色的权限代理审计模型（role－based delegation audit model，RBDAM）。?? 　　 　　1相关工作?? 　　 　　现有的基于角色的代理模型主要有RBDM0、RDM2000和PBDM[5~7]。其中RBDM0[5]是较早提出的一个建立在RBAC96扁平模型之上的权限代理模型，它首次将角色引入权限代理中，但它不支持角色层次关系，也不支持代理约束；RDM2000[6]是RBDM0的扩展模型，在RBDM0的基础上支持角色层次关系和多步代理。 但与RBDM0相似， RDM2000的代理粒度也是角色，不支持基于部分角色（权限）的代理，这一点不符合授权管理的最小特权原则。为了克服这方面的不足， Zhang Xin－wen等人[7]提出了基于权限的代理模型PBDM。PBDM建立在RBAC96模型之上，支持部分角色授权代理，满足最小特权原则，为权限的管理提供了更大的灵活性；但PBDM非常复杂，存在着角色名空间爆炸等问题。?? 　　为了提高效率，避免相同权限的重复设置，RBAC引入了角色层次（roles hierarchical，RH）。角色层次是RBAC模型中一个非常重要的概念[1]。在一般的单位或组织中，特权或职权通常是具有线性关系的，角色层次把角色组织起来,能够很自然地反映单位或组织内部人员之间的职权、责任关系。因此基于角色的权限代理模型中引进一定的层次结构用于反映这一实际是自然的。特别是在多级安全控制系统内，存取类的保密级别是线性排列的。例如：?? 　　公开 ＜ 秘密 ＜ 机密 ＜ 绝密 　　其中的安全策略的一个要求就是，要想合法地获得信息，提出存取请求的人员的存取类别要大于信息的存取类别级。为了实现上述需求，本文提出RBDAM支持角色层次结构。?? 　　另一方面，权限代理的最小粒度是角色，即要么不代理角色，要么代理角色就要把角色的全部权限代理给代理用户。这种全部角色权限代理的方式破坏了最小特权的安全原则[2,7]。所以在RBDAM中，支持部分角色（权限）的授权代理。?? 　　此外大多数审计系统都要考虑效率和功能的折中问题。如果审计粒度非常细，审计事件量非常庞大，那么系统开销就比较大；如果要保证对系统效率影响比较低，系统效率比较高，那么审计记录就要有选择，可能不够详细[4,8]。?? 　　本文拟构造权限代理审计模型――RBDAM，使其支持角色层次结构，具有部分角色代理的权限代理特性，同时兼顾效率和功能，设计必要的审计功能，保证系统安全、可靠。?? 　　2RBDAM?? 　　2．1模型体系结构?? 　　权限代理审计模型RBDAM体系结构如图1所示。RBDAM中包含了四大基本要素，即用户集（U）、角色集（R）、权限集（P）和审计集合（audit）。其中用户集和权限集的