基于角色的访问控制技术综述.docxVIP

基于角色的访问控制技术综述 1 bac2c2模型的主要特征 r.s.桑德虎等人于1996年提出了基于模型的验证模型，即rbac96模型。该模型系统地描述了rbac的多级含义，并得到了广泛认识。之后他们很快就提出了著名的分布式角色管理模型ARBAC97(Administrative RBAC),从理论上给出了RBAC模型中角色管理的办法。ARBAC02模型是对ARBAC97模型的一次改进,它保留了ARBAC97模型的主要特征,修改了ARBAC97模型的URA97和PRA97模型,增加了新的概念“组织结构”,RRA97模型保持不变。NIST(National Institute of Standards Technology)提出的NIST模型实质上是RBAC96 中RBAC3 模型的一个扩展。NRBAC是国内学者提出的一个RBAC 模型,NRBAC模型主要是细化了RBAC的实现机制,从其内容来看,它属于RBAC3的扩展。 OASIS(Open Architecture for Secure Interworking Services提出的OASIS模型是针对分布式系统的访问控制而设计的。它建立在开放的、非集中式方法的基础上。 根据实际需要在访问控制方面的诸多特点,基于改进RBAC96的实现模型,对RBAC96模型的基本要素重新进行描述和进行形式化定义将它提升为一种扩展的基于角色的访问控制模型TRBAC(Time Role-Based Control Model)。 2 周期约束与时间约束 目前在RBAC系统中引入时间约束的主要有两类: (1)周期时间约束; (2)连续时间约束。 文中结合两种时间约束方案提出一种有周期性的连续时间约束模型。 3 rbac的随机时间 3.1 周期和周期约束的转授权 在基于角色的转授权模型中,发起转授权动作的用户称为授权用户记做uing,转授出去的角色称为被转授角色记做red,接受被转授角色的用户称为被授权用户记作ued。用[tb,te]来表示时限duration,[tb,te]是一个时间段,tb是时间段duration的开始,te是时间段duration的结束,其中,tb∈N,te∈N,tbte。 定义1:周期的表示。 给定日历Cd,C1,C2,…,Cn,周期P定义为 Ρ=n∑i=1Οi?Ci?r?CdP=∑i=1nOi?Ci?r?Cd 这里O1=all,Oi∈2IN∪{all},Ci?Ci-1fori=2,…,n,Cd?Cn,且r∈IN。其中all表法Ci的所有时间区间,Oi∈2IN∪{all}是时间区间子集,Ci?Ci-1(i=2,…,n),Cd?Cn是时间区间的长度单位,IN是自然数集合,r为时间区间长度。符号?表示将第一部分的周期表示分离出来,即从它所代表的时间区间的开始点持续的日历长度Cd的数量。周期P对应的时间区间无限集合用∏(P)表示。 定义2:Function ∏( )。 已知周期表示:p=n∑i=1Οi?Ci?r?Cd?∏(Ρ)p=∑i=1nOi?Ci?r?Cd?∏(P)是一个周期时间区间集合,它的一般持续时间是r·Cd。 定义3:Function Sol()。 设t表示时间,P是一个周期表达式,begin和end是以天为单位的日期表示。t∈Sol([being,end],P),当且仅当存在τ∈∏(P),那么t∈τ并且tb≤t≤te,这里tb,te分别代表开始时间和结束时间。 定义4:时间长度的表示。 给定时间ti,tj,其中i≤j,时间长度L定义为:L=tj-ti。 具有周期性的连续时间约束的转授权的具体含义是:uing在转授权操作中,仅仅赋予ued在时间周期P时间段duration中具有red,即ued仅仅在时间段duration中可以行使red所具有的权限,一旦当前时间tbte,则系统自动撤销ued的red,而且行使red所具有的权限最大时间长度为L。文中将RBAC96中有关授权管理的部分简化为secoff统一行使所有的授权管理工作。 具有周期性连续时间约束的授权t-auth的形式是:{ing,ed,time},ing=(uing,ring),ed=(ued,red),time=(P,duration,L,td),duration=[tb,te],即tauth={(uing,ring),(ued,red),(P,[tb,te],L,td)} 其中,uing∈U,ued∈U,ring∈R,red∈R,tb∈N,te∈N,td∈N。 定义以下几类函数: 定义5: (1)授权用户和转授角色函数: ing(t-auth)=ing=(uing,ring), ingu(t-auth)=ingu(ing)=uing, ingr(t-auth)=ingr(ing)=ring; (2)被授