基于角色的分布式环境转授权模型.docxVIP

基于角色的分布式环境转授权模型 1 rbac98的结构 随着信息技术的发展和广泛应用，信息系统的安全性已成为一个日益突出的问题。在过去10年中，基于角色的访问控制（rbac）技术得到了广泛应用。这是一种非常有前景的新的信息安全技术，信息安全领域越来越受到重视。具有代表性的rbac是sunrise等提出的rbac96（role-basedresversion96）模型和模型中的一些补充模型。rbac96已得到美国国家标准学研究所（nationalacademyofinformationsecurity）技术研究所（nist）的支持，并公布了rbac技术标准。目前，它支持rbac技术的商业产品已经销售，如transport、nordic等。作为“中立”模型，rbac可以适应不同的安全政策要求，并广泛应用于各种安全政策要求。rbac96的结构如图1所示。 在分布环境下,系统的管理工作异常繁重.完全依赖于某个或者某些管理者的集中式管理方式,需要管理者参与系统中所有的授权行为,更加重了系统的管理负担.转授权(delegation)的基本思想是用户将自己所具有的部分或全部权限转授给其他用户,让接受授权的用户代表发出授权用户执行某些任务.转授权技术允许将分布环境下的集中式管理工作分散实施,是提高分布式系统伸缩性的重要的技术,而基于角色的转授权技术为在分布系统中实现角色访问控制提供了一种有效的手段. RDM2000模型是从层次角色(hierarchical roles)和多步转授权(multi-step delegation)两方面对RBDM0(role-based delegation model 0)扩充而成的基于角色的转授权模型.时限是授权模型的重要组成部分,但RDM2000并不支持时限,是不具备时限的转授权模型.本文深入分析了转授权的时限性,基于RDM2000提出了具有时限的基于角色的转授权模型TRDM,并实现了一个TRDM的原型. 本文其他部分的结构是这样的:第2节论述了转授权的特性和RDM2000,分析了转授权模型中的时限性;第3节是本文的重点,系统地论述了具有时限的转授权模型的授权以及授权撤销;全文的总结及其展望是第4节. 2 多重转授权和撤销 在基于角色的转授权模型中,发起转授权动作的用户称为授权用户(delegating user)记做uing,转授出去的角色称为被转授角色(delegated role),记做red,接受被转授角色的用户称为被授权用户(delegated user),记作ued.转授权主要有以下特性,包括:时限性、单调/非单调性、完全/部分、管理、多步转授权、撤销等. 其中时限性(temporary)是指red的作用时限.按照时限的不同可以将转授权分为两种:永久性转授权和时限性转授权.前者是指一旦把red转授予ued,ued就具有red所包含的权限,直到系统管理员或者具有授权管理角色的用户将ued的red撤销;而时限性转授权是指在转授权的同时指定red的有效期,一旦red过期,系统自动地将red撤销.多步转授权:在RDM中,如果允许ued将red继续转授予其他的用户则称做多步转授权;否则称做单步转授权.多重转授权(multiple delegation):是指同一个red可以同时授予一个或者多个ued.撤销(revocation):如何撤销ued所具有的red是转授权模型中的一个非常重要的问题.当直接撤销red时,同时会将与该角色相关的其他角色(如ued以red为先决条件而被授予的其他角色)也一并撤销,则这种撤销叫做层叠式撤销(cascading revocation).只有uing才能撤销red的撤销方式叫做授权依赖撤销(grant-dependent revocation);与之相对,任何具有secoff授予的red角色的其他用户都可以撤销ued所具有的red的撤销方式叫做非授权依赖撤销(grant-independent revocation). 基于角色的转授权模型主要有RBDM0和RDM2000.基于RBAC96,RBDM0首次将角色引入转授权模型中,并将用户的角色分成两类:①初始角色,secoff或具有授权管理权限的用户授予的角色;②转授角色,其他用户转授来的角色. RBDM0区分对待这两类角色. 尽管Barka和Sandhu指出基于角色的转授权模型具有以上各种特性,但是RBDM0本身并没有完全涵盖这些特性,如时限、多步转授权和授权依赖撤销等问题,也没有给出形式化的描述.Longhua Zhang等人提出的RDM2000模型支持层次角色和多步转授权,是基于RBDM0扩充而成的较完善的基于角色的转授权模型,但是该模型仍然没有解决时限问题. RDM2000的转授权模型如图2所示: 事实上,时限是授