基于重复和部分角色的分布式转授权模型.docxVIP

基于重复和部分角色的分布式转授权模型 1 rrdm和prd 随着信息技术的发展和广泛应用，信息系统的安全问题日益突出。基于角色的访问控制技术（rbac）被广泛应用为信息安全领域的新信息安全技术。rbac96是sundhu提出的rbac模型（如图1所示）和模型的一些补充模型。rbac96已得到美国国家行业标准技术研究所（nist）的支持，并已作为rbac技术标准发布。目前，rbac支持的商业产品包括transport、orale等。rbac的“中立政策”和rbac管理rbac的想法可以满足不同的安全政策要求，并得到广泛应用。 在分布环境下,系统的管理工作异常繁重.完全依赖于管理者的集中式管理方式,需要管理者参与系统中所有的授权行为,更加重了系统的管理负担.转授权(delegation)的基本思想是用户将自己所具有的部分或全部权限转授给其他用户,让接受授权的用户代表发出授权用户执行某些任务.转授权技术允许将分布环境下的集中式管理工作分散实施,是一种提高分布式系统伸缩性的重要技术,而基于角色的转授权技术为在分布系统中实现角色访问控制提供了一种有效的手段. 作为两种主要的RDM,RDM2000和RBDM0认为将被转授角色再次转授给已经具有该被转授角色的用户,或者具有比该被转授角色高级的角色的用户是没有意义的,因此禁止此类重复角色转授权(RRD).事实上,禁止这种所谓的“向上转授权”(upward delegation)是错误的,因为用户所具有的角色是动态变化的,不同用户转授的同一角色应该区别对待,否则将会造成系统授权管理的混乱.同时,RBDM0和RDM2000不支持PRD,而采用“全部角色转授权”的方式,即要么不转授角色,要么将被转授角色的全部权限都转授给被转授用户,这种方式破坏了“最小特权”的安全原则,给系统带来了潜在的威胁.本文提出的RPRDM支持RRD和PRD,更符合实际的安全需求. 第2节论述了转授权的特性和RDM2000,分析了转授权模型中的RRD和PRD的必要性;第3节是本文的重点,系统地论述了支持RRD和PRD的RPRDM以及授权撤销;第4节描述了我们基于Linux实现的RPRDM原型;全文的总结及其展望是第5节. 2 按照转向授权和许可证模型 与授权相比,转授权有其自身的特点;RBDM0和RDM2000是具有代表性的转授权,但是它们仍然具有不足和缺陷. 2.1 ued的revi中小型转授权roovson 在基于角色的转授权模型中,发起转授权动作的用户称为授权用户(delegating user),记做uing;转授出去的角色称为被转授角色(delegated role),记做red;接受被转授角色的用户称为被授权用户(delegated user),记做ued.转授权主要有以下特性: (1) 时限性:是指red的作用时限.按照时限的不同可以将转授权分为两种:永久性转授权和时限性转授权.前者是指一旦把red转授予ued,ued就具有red所包含的权限,直到系统管理员或者具有授权管理角色的用户将ued的red撤销;而时限性转授权是指在转授权的同时指定red的有效期,一旦red过期,系统自动地将red撤销. (2) 单调/非单调:uing将red授予ued后,如果uing还具有red,这种转授权方式称为单调转授权;与之相对,如果uing不再具有red,则称之为非单调转授权. (3) 完全/部分:是指uing将red所具有的全部或者部分权限转授给ued. (4) 管理:在实际的转授权操作中,转授权可以由uing本身完成,还可以由第3方的授权代理用户来完成. (5) 多步转授权:在RDM中,如果允许ued将red继续转授予其他的用户则称做多步转授权;否则称做单步转授权. (6) 多重转授权:是指同一个red可以同时授予一个或者多个ued. (7) 协商:是指uing和ued之间在转授权过程中所采用的协议.根据ued是否参与转授权决策分为双边协商和单边协商. (8) 撤销:当直接撤销red时,同时会将与该角色相关的其他角色(如:ued以red为先决条件而被授予的其他角色)也一并撤销,则这种撤销叫做层叠式撤销(cascading revocation).只有uing才能撤销red的撤销方式叫做授权依赖撤销(grant-dependent revocation);与之相对,任何具有管理员授予的red角色的其他用户都可以撤销ued所具有的red的撤销方式叫做非授权依赖撤销(grant-independent revocation). 2.2 按rbtm0和rbda低转授权 基于RBAC96,RBDM0首次将角色引入转授权模型中,并将用户的角色分成两类:① 初始角色:管理员或具有授权管理权限的用户授予的角色;② 转授角色:其他用户转授来