一种多级跨域访问控制管理模型概况.docx

1、一种多级跨域访问控制管理模型概况 doi ：10.3969/j.issn.1671-1122.2014.02.001一种多级跨域访问控制管理模型张红旗，刘江，代向东，王义功（1.解放军信息工程大学，河南郑州 450001；2. 河南省信息安全重点实验室，河南郑州 450001）访问控制管理为维护访问控制策略的安全、一致提供了重要保障。针对现有访问控制管理摘要：模型存在指派关系复杂、扩展性差、缺乏对跨域访问管理有效支撑的问题，结合多级跨域系统特性和访问控制管理的细粒度要求，文章提出了多级跨域访问控制管理模型，给出了模型的基本元素、元素关系、约束条件和管理规则。与现有研究相比，该模型具有良好的可扩

2、展性，支持细粒度的管理操作，能够有效支撑多级跨域环境下安全、统一的访问控制管理。多级跨域；访问控制管理；细程度关键词：中图分类号：TP309 文献标识码： A 文章编号：1671-1122（2014）02-0001-06A Multi-Level & Inter-Domain Access Control Administrative ModelZHANG Hong-qi, LIU Jiang, DAI Xiang-dong, WANG Yi-gong(1.The PLA Information Engineering University, Zhengzhou Henan 450001, C

3、hina; 2. Henan Key Laboratory ofInformation Security, Zhengzhou Henan 450001, ChinaAbstract: The technologies of access control administration provide security and consistency to access control policies. Aiming at the problems of complex assignment, scalability and lacking of effective support for c

4、ross-domain access management of exsisting models, this paper proposes a multi-level & inter-domain access control administrative model (ML-IDACAM by combining the characteristics of multi-level & inter-domain system and the ne-grained need of access control administration, bringing forward the mode

5、ls basic elements, element relationships, constraints and administration rules. Compared with related works, the ML-IDACAM model which has good expansibility and ne-grained operation can support secure and centralized access control administration.Key words: multi-level and inter-domain; access cont

6、rol administration; ne-gramed0引言访问控制是支撑信息系统安全的一项重要机制，访问控制策略集中体现了信息系统的安全需求，其有效实施为系统资源的机密性和完整性保护提供了重要保证。但是，如果缺乏安全可靠的访问控制管理技术作为支撑，即使已经制定和实施访问控制策略，也难以真正实现信息的“安全共享”。同时，随着我国等级保护建设工作1,2的全面展开，等级化信息系统规模不断扩大，表现出了访问控制策略数目剧增、策略管理对象复杂多变、多种访问控制模型并存的新特征，在很大程度上增加了访问控制管理的难度。因此，如何对访问控制策略实施统一、全局的管理，以保证等级化信息系统间的安全互操作是一

7、个亟待解决的关键问题。1 相关工作1.1 多级跨域环境多级跨域环境是一种复杂的等级化信息系统运行环境。具体而言，多级跨域是指等级保护系统中由包含相同或不同收稿日期： 2013-10-10基金项目： 国家“973”重点基础研究发展计划2011CB311801、国家“863”高技术研究发展计划2012AA012704作者简介： 张红旗(1962- ，男，河北，博士生导师，教授，博士，主要研究方向：等级保护、可信计算、安全管理；刘江（1988-），男，陕西，博士研究生，主要研究方向：安全策略管理；代向东（1977-），男，四川，讲师，硕士，主要研究方向：访问控制、安全管理；王义功（1987-），男，

8、河南，讲师，硕士，主要研究方向：访问控制、安全管理。1 等级的定级系统组成的安全域之间，通过安全互操作进行信息交互和资源共享的分布式网络环境。所谓安全域3，是指将具有相同安全需求且遵循共同访问控制策略的定级系统按照物理或逻辑关系划分的等级保护区域。针对各等级化信息系统安全域的不同安全需求，通过制定合理的安全策略，科学实施分级保护，能够有效避免因过度保护而造成系统运行效能降低和投资浪费的问题。安全域之间具有层次关系，每个安全域只有一个上级安全域，但可以包含多个下级安全域。度、操作明确等优点，代表RBAC 管理模型的最新研究成果。在国内研究中，中科院的夏鲁宁9提出基于层次命名空间的RBAC 管理模

9、型N-RBAC，使用命名空间组织角色和资源，各命名空间之间的资源互不可见，简化了角色继承结构的复杂性，对局部自治的RBAC 管理提供了有力支持。通过对上述访问控制管理模型的分析可见，现有的访问控制管理模型存在多步指派、冗余指派、越级管理和不能有效支撑跨域访问互操作管理等问题，且随着系统规模的不断扩大，管理难度也不断增加。同时，等级保护的前期建设中存在多种不同类型的访问控制模型，以ARBAC97为基础的一系列RBAC 管理模型兼容性较差，无法对除RBAC 系统以外的访问控制策略实施有效管理，虽然中科院的李晓峰10通过引入管理空间的概念，设计了分布式访问控制管理结构，提出通用的访问控制管理模型解决

10、了这一问题，但是其描述粒度比较粗糙，也没有涉及多域问题。本文针对上述问题，在深入分析多级跨域等级化信息系统多安全级、跨安全域的系统特性后，结合跨域互操作的管理需求，构建了多级跨域访问控制管理模型ML-DIACAM （Multi-Level & Inter-Domain Access Control Administrative Model），以期能够解决上述问题。1.2 访问控制管理目前，访问控制管理的研究大都基于RBAC （Role Based Access Control）模型展开，以ARBAC97为基础的一系列RBAC 管理模型虽然在一定程度上解决了访问控制管理问题，但仍具有其局限性。美

11、国乔治梅森大学的Sandhu 教授4提出ARBAC97模型，包括用户角色指派管理模型URA97、权限角色指派管理模型PRA97和角色层次结构模型RRA97。其中，URA97和PRA97通过引入先决条件，增强了系统的安全性，但引起了多步指派和冗余指派的问题；RRA97中角色层次关系的改变对角色与权限间的映射关系会产生重大影响，角色插入和边插入也是非常复杂的操作。Sejoing教授5提出一个改良的角色管理模型ARBAC02，采用组织用户池和组织权限池取代ARBAC97中的先决条件，解决了多步指派和冗余指派问题，但角色层次管理的复杂性问题仍然存在。Crampto等人62 多级跨域访问控制管理模型ML

12、-IDACAM2.1 访问控制策略抽象多级跨域环境下，不同安全域使用访问控制模型的不同，导致访问控制策略的描述形式和策略语义也各不相同。为实现对不同安全域访问控制策略的统一管理，本文利用基于属性的访问控制模型（Attribute-based Access Control，ABAC）所具备的强大表达能力11，使用实体属性概念对策略元素、元素关系及约束条件进行统一描述，将传统访问控制模型中的身份、角色以及主、客体安全级等信息抽象为实体属性，有效实现传统访问控制模型（BLP/Biba/RBAC等）的功能12，解决多级跨域等级化信息系统中多种访问控制模型并存，难以统一管理的问题。同时，以XACML 语

13、言为基础，抽取策略主体、客体、操作及环境上下文四类策略条件属性元素对访问控制策略进行抽象描述。其中，主体属性集合为ATT (S 、客体属性集合为提出SARBAC(Scope AdministrativeRBAC 模型，使用管理区间（Administrative Scope ）替代角色区间（Role Range ），部分解决了角色层次管理的复杂性问题，但没有完善对“管理角色”的管理，也没有区分管理角色和常规角色，存在越级管理问题。Jalal7提出AIRBAC2000（Administrative Interoperable RBAC ）模型，使用域间操作管理角色对域间角色关联进行管理，为实施跨域

14、互操作提供了基础，但各安全域管理员拥有独立的管理权限，容易产生管理上的不一致和冲突。2007年，Li等人8提出UARBAC （Upgraded Administrative Role-based Access Control ）模型，用户角色指派和权限角色指派关系的管理利用ARBAC02模型的管理思想，角色层次管理利用SARBAC 模型中管理区间的概念，具有扩展性好、细粒 ATT (O 、环境属性集合为ATT (E 、操作集合为 ACTION ，称为策略条件属性。访问控制策略抽象为：Permit 、Deny 和NA 分别表示允许、拒绝和不适其中，用，称为策略决策属性。图1 多级跨域访问控制管理

15、模型ML-IDACAMML-IDACAM 管理模型的管理对象为多级跨域等级化信息系统内的主体集合、客体集合、主体权限指派、主体管理角色指派、管理者管理权限指派、访问控制策略、约束集合等。模型上半部分的主、客体集合由具有不同安全级、分属不同安全域的实体组成，操作集合为常规操作，不具有管理操作的能力；模型下半部分的管理者集合由上级管理者指派满足特定条件的主体担任；约束集合作用于模型的各个部分。ML-IDACAM管理模型的主要思想是：1）ML-IDACAM管理模型对多级跨域等级化信息系统实施划域管理。定级系统设置本级安全管理中心，多个定级系统组成的安全域设置跨级安全管理中心，多个安全域间设置多级跨域

16、安全管理中心。上级管理中心为下级管理中心指定管理者并分配管理权限，只有本级管理中心的管理者可以对本级安全域内的实体实施管理操作，上级管理中心的管理者不得越级对下级安全域的实体实施管理操作，只能通过修改下级安全域管理者的管理权限达到对下级安全域进行间接管理的目的。2）ML-IDACAM管理模型不同层次管理中心的管理者拥有不同的管理权限。定级系统安全管理中心的管理者对该定级系统内的所有主体、资源、访问控制策略、约束集合等进行管理；跨级安全管理中心的管理者对定级系统间的策略属性映射和约束集合进行管理；多级跨域安全管理中心的管理者对安全域间的策略属性映射和约束集合进行管理。 3）ML-IDACAM管理

17、模型的管理粒度为实体属性级，这种细粒度的管理方式不仅能够很好地与属性映射机制相结合，还能够更为灵活和有效地实施管理操作。2.2 域间属性映射多级跨域等级化信息系统中各定级系统拥有自己独立的语义知识库，导致访问控制策略元素属性之间存在语义异构13问题，成为实施跨域访问的最大障碍。域间属性映射机制14作为跨域访问的桥梁，既为域间互操作奠定基础，又解决了域间策略属性语义异构问题。域间属性映射是指在本域实体属性和外域实体属性间建立单向映射关系，显式地将外域实体属性映射为本域实体属性。安全域管理员自定义函数，表述请求域属性到目标域属性之间的映射关系，通过自定义的函数和映射器实现各种所需的属性条件及其映射

18、实施机制。域间属性映射包括域间属性变量名映射和域间属性值区间映射。域间属性变量名映射：本域实体属性名与外域实体属性名描述的属性变量包含相同的语义信息。例如，对用户信任度的描述，安全域A 使用属性变量名“信用等级”，而安全域B 使用“可信度”，二者之间可以建立映射关系。域间属性值区间映射：本域实体属性值区间与外域实体属性值区间描述的属性变量值相同。例如，对文件不同安全级的表示，安全域A 使用“1，2，3，4”，而安全域B 使用“公开，秘密，机密，绝密”，二者之间可以建立对应的映射关系。2.3 模型核心思想多级跨域等级化信息系统由多个安全域和一个多级跨域安全管理中心组成，每个安全域包含多个等级化信

19、息系统和一个跨级安全管理中心，而每个等级化信息系统则包含不同安全级别的用户主体、资源客体以及访问权限、约束集合和访问控制策略。多级跨域访问控制管理模型ML-IDACAM 如图1所示。2.4 模型基本定义ML-IDACAM 访问控制管理模型由以下组件组成：1）基本元素3 （1）（2）（3）（4）（5）（6）；，对属性映射、权限强约束能力的约束规则集合。本文将约束规则分为属性映射约束和权限约束两大类。（1）属性映射约束AttrMapCon域内属性开放约束InOpenAttrCon ：外域属性变量只能与域内属性开放约束集合中的属性变量建立映射关系。为防止域间属性映射关系泄露安全域内实体的敏感信息，应

20、尽量避免安全域内敏感属性与外域属性建立映射关系。属性映射基数约束MaxMapAttrCon 外域属性变量能够与域内属性开放约束集合中的属性变量建立映射关系的最大数目。为防止属性信息聚合引起的安全域内实体敏感信息泄露，应限制建立域间属性映射关系的属性数量。属性映射有效期约束ValMapAttrCon 某个时间区间内，指派的约束，防止越权操作或非法访问的发生；（7）（8）（9）（10）2）元素关系（1）；跨域属性映射被允许或拒绝，当且仅当在有效的时间区间内映射属性有效。（2）权限约束Permcon 先决权限约束：安全属性和客体属性均存在层次关系，如图2所示。域主体在获取权限p m 之前必须已经拥有

21、权限约束集合图2 主客体属性层次关系中的所有权限。例如，只有获得对数据库系统其中数据表的浏览权限后才可能对其进行修改操作。权限互斥约束MutexPermCon(p1,p 2 ：两个或多个操作的联合执行会中；（2）破坏等级化信息系统的安全，系统必须对这些操作构成的权限进行约束，即权限集合权限基数约束：系统在特定环境中的映射关系。安全域d i 内实体属性att m 到安全域d j 内实体属性att n 的映射关系，记为att m att n 。属性映射具有传att n k ，则att m k ；递性，即若att m n ，（3）d m 与d n 之间的只能将指定权限p 指派给最多等于指定个数t 的

22、用户。权限有效期约束ValPermCon ：当且仅当在有效的时间区间内权限有效。层次关系。若安全域d m 直接包含d n ，称d n 为d m 的直接下级安全域，记为或；若安全域d m 间接包含d n ，；2.5 模型管理操作ML-IDACAM 管理模型的管理操作如表1所示。表1 ML-IDACAM模型管理操作支撑函数称d n 为d m 的间接下级安全域，记为（4）管理者与安全域的关系。安全域d m 的管理者为adm m ，若d m ，adm i 为安全域d i 的直接管理者，记为adm i 为安全域d m 的间接管理者，记为；3） 约束规则约束规则是等级化信息系统中管理者为实现授权约束并限制

23、用户行为而制定的规则，是说明安全策略有效性的条件集合。基本约束规则通过“与”运算可以形成具有更 下面举例对表1中的管理操作支撑函数进行说明。1）创建安全域安全域d i 的管理者amd i 可创建其直接下级安全域d i ，形式化描述为：约束库等功能模块。其中，域间属性维护点用于维护域间属性映射的同步性，确保策略决策时实体属性信息的新鲜度。多级跨域环境下的访问控制管理框架实施流程如下。1）多级跨域安全管理中心作为整个多级跨域等级化信息系统的最高管理机构，首先需要对各种管理对象进行2）添加安全域管理者上级安全域管理者d i 的管理者配置，包括用户主体集合、客体资源集合、权限操作集合，以及属性映射关系

24、和约束条件集合等；2）如果需要管理分权，由上级安全域管理者创建下级安全域，并相应为下级安全域划定其管理范围以及主体、资源集合，同时为下级安全域分派管理者；3）上级安全域管理者为下级安全域管理者分配管理权限，同时创建约束集合约束下级安全域管理者的管理行为，上级安全域管理者在必要的时候可以修改下级安全域管理者的管理权限；4）安全域管理者依据访问控制策略将权限赋予满足策略条件属性要求和安全域约束条件限制的用户主体；5）安全域管理者可以添加、修改、删除策略库内的访问控制策略，但必须在完成策略编辑后，对其进行冲突检测和消解，以确保访问控制策略不存在冲突；6）安全域管理者可以修改安全域内的实体属性，例如管

25、理者可以根据安全级调整策略调整本安全域内用户主体和资源客体的安全级属性；7）当安全域管理者删除用户主体、客体资源和权限时，可能会引起部分访问控制策略的失效。此时，安全域管理者需要将其删除。amd i ，当且仅当下级安全域d i 不存在管理者，形式化描述为：3）修改属性映射约束ModifyAttrMapCon (adm i ,d i ,AttrM apCon 安全域d i 的管理员amd i 根据安全管理需求修改本域的属性映射约束AttrMapCon ，形式化描述为：对于表1中所有其它的管理操作支撑函数都可以使用类似的形式化方法进行描述，不再赘述。3 ML-IDACAM管理模型实施框架ML-ID

26、ACAM 管理模型实施框架以多级跨域安全管理中心为核心，各安全域以扩展的IETF 策略管理框架为基础，对多级跨域访问控制实施管理，如图3 所示。 4 ML-IDACAM管理模型分析表2将本文提出的ML-DLACAM 管理模型与现有的几类具有代表性的访问控制管理模型进行了比较。表2 ML-DIACAM管理模型与相应研究成果对比一览表图3 ML-IDACAM管理模型实施框架多级跨域安全管理中心由域间身份认证、域间属性映射、域间约束管理、数据传输保护、操作安全审计等模块组成。其中，域间属性映射模块用于建立和更新安全域间的属性映射关系；域间约束管理模块用于建立对跨域访问的约束，限制域间访问的有效性。等

27、级化信息系统安全域包括策略管理点、策略信息点、策略决策点、策略执行点以及域间属性维护点和策略库、通过分析对比结果可知，本文提出的ML-DIACAM 管理模型的优势主要体现在：5 等 级 保 护 2014 02 1）ML-IDACAM 管理模型具备细粒度的管理能力。 ML-IDACAM 管理模型利用基于属性访问控制强大的表达 能力，将系统主体、客体、域间映射关系、访问控制策略 和约束条件集合都基于属性进行描述。这种细粒度的管理 方式并没有加重管理者的负担，因为随着用户和资源数目 的增长，使用 RBAC 模型的系统策略数目呈指数级增长， 而使用 ABAC 模型的系统策略数目呈线性增长 15。同时，

28、 主体权限关系指派直接通过属性关联关系体现，克服了传 统访问控制管理模型存在的多步指派、冗余指派问题。 2）ML-IDACAM 管理模型具有良好的可扩展性。等级 保护建设中，要求二级以上信息系统必须使用自主访问控 制和强制访问控制，为达到这一目标，各等级系统在前期 建设中使用了不同类型的多级安全模型，如何在不改变现 有系统建设的基础上对其进行统一管理是一个难题。MLIDACAM 管理模型在分析不同访问控制模型安全策略的基 础上，对其进行统一的抽象描述，解决了不同类型访问控 制模型的策略异构问题，提高了管理模型的灵活性和可扩 展性，克服了以往管理模型面向特定访问控制模型的缺陷。 Structur

29、eC. In: Proc. of the 7th ACM symposium on Access control modls and technologies, Monterey, California, USA, New York, ACM, 2002: 155-162. 6CRAMPTON J,LOIZOU G. Administrative scope: A foundation for the role-based administration of rolesJ. ACM Transactions. on Information and System Security, 2003,

30、6(2: 201-231. 7AL-MUHTADI J, KAPADI A, CAMBELL R, et al. The AIRBAC 2000 Model: Administrative Interoperable Role Based Access ControlJ. ACM Transactions on Information and System Security, 2001, 3(2: 173-182. 8 Li NH, Mao ZQ. Administrative in role-based access controlC. In: Proc. of the 2nd ACM Sy

31、mp. on Information, Computer and Communications Security. Singapore: ACM, 2007: 127-138. 9 夏鲁宁，荆继武 . 一种基于层次命名空间的 RBAC 管理模型 J. 计算机研究与发展，2007，44（12） ： 2020-2027. 10 李晓峰，冯登国，徐震 . 一种通用访问控制管理模型 J. 计算机 研究与发展，2007，44（6） ： 947-957. 11 HAN R F, WANG H X, XIAO Q, et al. A united access control model for syste

32、ms in collaborative commerce J. Journal of Networks, 2009, 4(4: 279-289. 12 王小明，付红，张立臣 . 基于属性的访问控制研究进展 J. 电子 学报，2010，38（7） ： 1660-1667. 13DAMIANI E, BIMERCATI S, SAMARATI P. New paradigms for access control in open environmentC. In: Proc. Of the 5th IEEE International Sysposium on Signal Processing and Information, December,