面向信息安全的域間角色訪問控制模型的改進(

1、面向信息安全的域間角色訪問控制模型的改進*收稿日期: 改回日期:基金項目:國家高技術研究發(fā)展計劃(863計劃)（No. 2006AA01Z455）專項經(jīng)費資助。作者簡介: 宮阿都(1976-），男，山東威海人，博士，講師，主要研究方向：GIS與城鎮(zhèn)信息系統(tǒng)，Email: gad 吳亞非，男，主要研究方向：信息安全，Email：wuyafei. 任金強，男，博士，主要研究方向：信息安全，Email：renjq 宮阿都1,2，吳亞非3，孫俊峰4，任金強3，李晨4(1.民政部/教育部減災與應急管理研究院空間信息科學與技術所,北京 100876; 2. 北京師范大學地表過程與資源生態(tài)國家重點實驗室,北

2、京 100876; 3. 國家信息中心信息安全研究與服務中心,北京 100045; 4. 北京郵電大學網(wǎng)絡與交換技術國家重點實驗室信息安全中心,北京 100876)摘 要：基于傳統(tǒng)的IRBAC2000模型，對域間角色轉換時產(chǎn)生的安全問題進行了分析。并提出了一種改進的IRBAC2000模型，該模型將傳統(tǒng)模型中的角色分為域內角色和域間管理員角色，為域間角色轉換產(chǎn)生的安全的問題提供了一種新的判定方法，提出了先決條件的概念來加強IRBAC 2000模型安全性的保護機制。關鍵詞：域間互操作模型; 角色轉換; 角色繼承; 信息安全中圖法分類號：TP393.08 文獻標識碼：AStudy on an Imp

3、roved IRBAC Model for Information SecurityGONG Adu 1,2，Wu Yafei3，SUN Junfeng4，Ren Jinqiang3，LI Chen4 (1. Institute of Geoinformation Science and Technology，Academy of Disaster Reduction and Emergency Management, Ministry of Civil Affairs, Ministry of Education, Beijing Normal University, Beijing, 10

4、0875; 2. State Key Laboratory of Earth Surface Processes and Resource Ecology, Beijing Normal University, Beijing,100875; 3. State Information Center, Information Security Research and Services Center, Beijing 100045; 4. Information Security Center, State Key Laboratory of Networking and Switching T

5、echnology, Beijing University of Posts and Telecommunications, Beijing 100876 )Abstract: Based on traditional IRBC Model, Analysis particularly the secure issue happened in Role Transformation among Domains. An improved IRBAC2000 Model has been provided, further divide the Roles in the traditional m

6、odel into two types: inside-domain role and outside domain role; provide a judgment method for the secure issue happened in the Roles transformation among Domains, introduce a new way of strengthening the security by using preliminary condition.Key words: IRBAC; Role-Transform; Role-Heritage引言IRBAC（

7、Improved Role-Based Access Control，改進的基于角色的訪問控制模型）是Kapadi等人于2000年提出的域間的安全互操作模型1，然而通過對IRBAC2000模型進行進一步的安全分析發(fā)現(xiàn)IRBAC2000中的域間角色轉換可能會產(chǎn)生安全性問題2，進而違背RBAC模型（Role-Based Access Control，基于角色的訪問控制模型）所支持的眾所周知的三個基本安全原則，而RBAC模型所支持的三個基本原則作為RBAC模型的建議標準于2001年8月被美國國家標準技術協(xié)會(NIST)所接受。本文首先對IRBAC模型的域間角色轉化時發(fā)生的安全性問題進行了詳細的分析3

8、，提出了一種改進的IRBAC模型，將傳統(tǒng)模型中的角色分為域內角色和域間管理員角色，為域間角色轉換發(fā)生安全性問題提供了一種判定方法并給出了相應的算法，從而使得IRBAC模型滿足了RBAC模型所支持的眾所周知的三個基本安全原則。 1 IRBAC模型中域間角色轉換存在的問題多個管理域間的安全互操作是分布式計算環(huán)境中資源共享和安全的一個關鍵技術。IRBAC提出的多域間的安全互操作模型，該模型是在采用RBAC模型的管理域之間通過動態(tài)的角色轉換進行安全互操作4。該模型也有兩個弱點：1) 它不適合在大規(guī)模復雜的角色層次之間進行角色映射；2) 在多個域的安全管理員中協(xié)調角色轉換的管理權限是比較困難的。這兩個弱

9、點制約了該模型的進一步應用5。1.1 IRBAC模型中的角色分配的違規(guī)由于域間策略的作用，使得某個域中的角色擁有了本來不是直接分配給他的角色而導致的違規(guī)。如圖1所示，在域D2中，角色D和角色E之間本來沒有任何聯(lián)系。但在域間角色映射關系的作用下，如果域D1中的角色A被分配了域D2中角色E，那么域D1中的角色A也將擁有域D2中的角色D。圖1 角色分配的違規(guī)示意圖1.2 IRBAC模型中的角色轉換繼承違規(guī)由于域間策略的作用，使得某個域中的某個角色擁有了其父角色而導致的違規(guī)。如圖2所示，域間的角色映射，域D1中的角色B繼承了域D1中的角色A,并同時域D1中的角色B被域D2中的角色C所繼承，根據(jù)域D2中

10、的角色繼承關系，域D2中的角色E擁有了同域中父角色C的權限。圖2 角色轉換繼承違規(guī)示意圖1.3 IRBAC模型中角色的職責分離沖突RBAC模型支持眾所周知的3個基本安全原則：最小權限、職責分離和數(shù)據(jù)抽象6。由于IRBAC模型中的每個管理域均采用RBAC模型，因而IRBAC模型中的動態(tài)角色轉換是否會違背職責分離是必須考慮的安全問題之一。由于域間策略的作用，使得某個域中的用戶可在同一個會話中訪問互斥角色集中的多個角色，如圖3所示。在域D2中的角色D和角色E滿足SSD為互斥角色，顯然用戶不能同時擁有兩者，如果用戶擁有域D2中的角色D，他可在一個會話中擁有通過域間的角色映射，即通過域D1中的角色A而擁

11、有域D2中的角色E，從而違背了角色互斥的原則。圖3 角色的職責分離沖突違規(guī)示意圖1.4 IRBAC模型中多域間相互穿梭的問題當一個主體試圖和另一個域中的目標進行互操作時，必須穿過主機的邊界，我們稱之為“穿梭”。多重域之間的穿梭將會產(chǎn)生安全隱患，因為它有可能會帶來滲透。如圖4所示：域D1的角色A繼承了域D2中的角色C，域D2中的角色C繼承了域D3中的角色E，這并不意味著域D1中的角色A與域D3中的角色E之間意圖相互操作，即使域D3中的角色E并不允許域D1中的角色A訪問，域D1中的角色A也能通過域D2中的角色C進行滲透。圖4 多域間相互穿梭示意圖多個管理域間的安全互操作應對域間角色轉換的安全性提出

12、更高的要求，同時要降低域間角色轉換和權限驗證的復雜性。因此目前理論界提出了一種新的可管理的互操作基于角色訪問控制（A-IRBAC）模型7。該模型是受ARBAC97模型的啟發(fā)，對RBAC96標準模型進行定制，引入了“管理安全互操作角色”的概念，利用RBAC自身來管理域間角色轉換8，但是降低管理上的復雜性和權限驗證的復雜性、提高角色轉換的安全性仍是域間角色轉換要考慮的問題。2 IRBAC模型的改進2.1 建立IRBAC域間互操作模型知識庫針對IRBAC模型中的域間角色轉換存在的種種問題，我們提出了域間接口角色包括對內角色和對外角色，并增加互操作管理員角色完成對內角色和對外角色之間的繼承管理。 域內

13、角色(1) 接口角色對內角色：完成域間互操作管理員角色的請求，繼承本域內的普通角色供外域對外角色繼承。對內角色只繼承本域內普通角色，在滿足RBAC三原則的基礎上，還要滿足本域內角色的約束規(guī)則，這樣避免了域間角色轉換的無序。對外角色：負責本域角色向互操作管理員提出繼承外域對內角色的轉換。規(guī)定對外角色不繼承本域內的其它類任何角色，只繼承外域的對內角色。(2) 普通角色等同于原來RBAC模型中的角色，但不用來進行域間角色的轉換，普通角色不繼承本域內的對內角色和對外角色。普通角色是除接口角色和互操作管理員角色以外的其它角色。(3) 域內管理員角色負責管理本域內普通成員角色及其繼承關系。 域間角色互操作

14、管理員角色：負責域間對內角色和對外角色間的繼承關系，即域間角色的轉換。2.2 IRBAC域間互操作規(guī)則策略基于IRBAC模型建立多域互操作模型，如圖5所示NH0表示本域的普通角色層次，通過ECA域間審計模塊實現(xiàn)本域對外角色對外域對內角色的繼承實現(xiàn)。多域環(huán)境下IRBAC中，互操作管理員通過ECA多域互操作模型的角色轉換原則來對訪問本域的對外角色進行對內角色的繼承和轉換工作，即讓外域用戶獲得訪問本域資源的角色身份。角色授權過程如下：圖5 IRBAC多域互操作規(guī)則策略框架圖(1) 當域1中的普通角色A試圖繼承域2中的普通角色B時，A將會通過本域的對外角色向域間角色繼承審計模塊提出申請。(2) 域間角

15、色繼承審計模塊會根據(jù)能否獲取的用戶身份信息決定，將此申請作重定向到身份驗證模塊(不存在用戶身份信息)或者是重定向到域間互操作管理員模塊進行下一步的操作。(3) 域間互操作管理員會根據(jù)三種角色轉換原則和域間角色轉換的規(guī)則對此申請進行審計,最后發(fā)出角色繼承的許可或者是返回否決要求。(4) 如果此角色繼承的請求得到許可，則域1中的角色A將會通過域2中的對內角色進行域2中普通角色的繼承，并將結果反饋給域間角色繼承審計模塊。在此我們還要對授權步3中的動態(tài)角色轉換是否違背了靜態(tài)互斥角約束提出進一步的規(guī)則策略。該規(guī)則的基本思想是:當域1中的角色A對域2中的角色B進行角色的繼承時，域間互操作管理員角色根據(jù)域1

16、中由角色A及其子角色申請對外角色中繼承的域2中的對內角色，與本次會話中域1中由角色A向域2中申請的本域普通角色進行沖突檢測。3 結語本文研究了如何通過建立域間動態(tài)角色的轉換來實現(xiàn)域間互操作。在本文中域間角色的轉換是通過對外角色對外域對內角色的繼承來實現(xiàn)的，通過這種方式也就實現(xiàn)了動態(tài)角色的轉換，而且這種轉換是單向的，這樣簡化了域間角色轉換的復雜性，同時提高了域間角色轉換的安全性，并且可以建立域間穩(wěn)定的角色轉換關系。當需要改變轉換后角色的權限時，只需要變更用戶指派的對外角色或者變更對內角色對普通角色的繼承關系，不需要對域間的角色轉換關系進行更改，從而保證了域間轉換關系的穩(wěn)定性。參考文獻：1. OS

17、BON S, SANDHU R. Configuring role-based access control to enforce mandatory and discretionary access control policies. ACM Transactions on Information and System Security J, 2000, 3(2):85-106.2. ELISA BERTINO, A Temporal Access Control Mechanism for Database Systems. IEEE Transactions on knowledge a

18、nd data engineering C, Vol. 8, No. 1, February 19963. JOSHI J B D. A Generalized Temporal Role Based Access Control Model for Developing Secure systemD.West Lafayette: Purdue University, 2003.4. APU KAPADIA, JALAL AL-MUHTADI, R CAMBELL,et al. IRBAC 2000: Secure interoperability using dynamic role translation. University of Illinois, Technical Report： UIUCDCS-R-2000-2162, 20005. SANDHU R, COYNE E, Feinstein H, e