基于CT-RBAC模型的继承性研究

  基于CT-RBAC模型的继承性研究* 欧阳凯1 蔡婷1 周敬利2 王恒青1 1武汉科技大学计算机学院 武汉 430081 2华中科技大学计算机学院系统结构 武汉 430074 摘要：基于条件时态的角色访问控制(CT-RBAC：Conditional Temporal Role Based Access Control)模型提高了RBAC安全模型控制的灵活性和多样性。在继承CT-RBAC的条件周期理论和约束关联的基础上，本文完善了该模型的角色关系约束，规范了相应的角色继承约束语义。同时，提出一种能够确保在继承条件下静态权责分割(SSD：Static Separation of Duty )策略安全实施的机制，避免了由SSD局限性所导致的冲突。最后，我们给出了一个实现原型及相关性能测试。关键词： 角色访问控制，条件，时态，继承分类号： TP309.2   The Research for inheritance in CT-RBAC model Kai Ouyang1, Ting Cai1, Jingli Zhou2, Hengqing Wang1 1College of Computer, Wuhan Univ. of Sci. and Tech., Wuhan 430074, 2College of Computer, Huazhong Univ. of Sci. and Tech., Wuhan 430074 Abstract: Conditional Temporal Role Based Access Control (CT-RBAC) model improves the flexibility and variety of control mechanism of the RBAC security model. Based on the inheritance of the Conditional Periodic theory of CT-RBAC and constraint relations, this paper make further detailed work of role related constraints of this model, and formalize the relevant role inheritance constraint semantics. Meanwhile, the paper address a mechanism to ensure the SSD policy can perform in security on the condition of inheritance, by which means avoiding the conflicts made by the natural localization of conditional temporal SSD in inheritance. We finally provide an implemented prototype and its related performance testing. Keywords: Role Based Access Control, Conditional, Temporal, Inheritance   1．引言与背景目前安全模型领域的研究热点---基于角色的访问控制模型(RBAC)自1992年Ferraiolo等人第一次提出以后，在很多方面取代了传统的强制访问控制MAC和自主访问控制DAC模型[1]。RBAC具有策略中立性，被广泛地应用在操作系统、数据库和网络控制等方面，并于2004形成了NIST标准[2]。随着研究的深入，基于时态的角色访问控制(TRBAC：Temporal RBAC)模型[3]和一种更为普遍适用的时态角色访问控制(GTRBAC：generalized Temporal RBAC)模型[4]相继被提出。K. Ouyang和J. B. D. Joshi在此基础上进一步提出的基于条件时态的角色访问控制(CT-RBAC：Conditional Temporal Role Based Access Control)模型[5]引入了条件周期表达式和条件周期事件，通过条件来约束时态控制，从而将<时间，约束>的平面控制关系扩展为<条件，时间，约束>的三维控制空间，提高了模型控制的灵活性和多样性。 CT-RBAC模型中缺乏对角色继承的深入研究，且CT-RBAC模型中主要集中在用户与角色、许可之间的约束关系[6]，缺少角色间操作的权责控制。为此，本文首先规范了角色和资源策略，进而分析CT-RBAC模型中条件时态约束和角色继承层次间的内在关联，提出角色继承约束来描述角色继承过程的权责分割。在CT-RBAC模型中提出了角色关系约束和相关的状态断言，本文在此基础之上扩展了四个状态断言，通过引用强约束weakly restricted和弱约束strongly restricted层次两概念[7]并结合考虑条件时态的约束，引出动态角色的继承性语义。同时，文中讨论了角色层次中的SSD策略，并引进了先前许可和历史许可的概念，设计了一种保证SSD策略安全性的机制。最后，本文通过模型的性能分析测试说明了继承性控制提高了原型系统的安全性。 2．条件时态的角色继承分析角色层次定义了角色集间的继承关系，为了更好地描述角色继承，CT-RBAC模型中提出了针对角色的层次操作提出角色继承约束，用于控制角色是否可被继承以及解除继承关系，从而为角色间的权责分割提供约束机制的思想。在此基础上，本文扩展了CT-RBAC模型中状态断言及公理，并对条件时态下的层次、动态角色的继承问题进行了探讨，给出了角色继承约束语义及模型实例。 2.1层次间的角色继承约束基础在CT-RBAC模型中，角色继承性形式化描述[5]是：(I，Á，ρ：hierarchyr1/de-hierarchyr1 r1 to r)；其中，I是时间间隔，ρ：E是具有优先次序的事件表达式，Á是条件周期表达式。 根据J. B. D. Joshi等人[4]提出的状态断言定义，假如rÎROLES，uÎUSERS, pÎPRMS, sÎSESSIONS, ξ ÎÁ引进如下四个状态断言(如表1)：表1.扩展的状态断言 基本状态 语义(在条件时态ξ下) can_active (u, r, ξ ) 用户u被直接或间接地指派给角色r can_acquire(u, r, ξ ) 角色r直接或间接地指派给用户u can_be_acquired(p, r, ξ ) 许可p被直接或间接地分配给角色r acquires(u, p, s, ξ ) 会话s中的用户u能够获得许可p   CT-RBAC模型中提出了角色继承约束来描述角色过程的权责分割的思想。如图1所示的常规层次(General Role Hierarchies)RBAC模型示例中[2]R5继承了R2，R3和R4；而R6只继承了R3和R4。因此，R2的继承性约束状态描述是：r_hierarchy(r5, r2, ξ)和r_de_hierarchy(r6, r2, ξ)。 图1. 常规层次RBAC示例基于上述层次RBAC的角色继承模型示例，结合RBAC模型中角色层次的理论基础[2]：许可继承语义中明确上级角色可拥有下级角色的所有许可；同样地，角色活性语义中指出被指派给上级角色的用户能够激活所有的下级角色。本文提出如下扩展定理： rÎROLES, uÎUSERS, pÎPRMS, sÎSESSIONS, ξÎÁ, Path()运算结果为TRUE，有如下结论成立： 1.       assigned(p, r1, ξ) Ù r_hierarchy(r1, r, ξ) → can_be_acquired(p, r, ξ)  如果r1继承了r，许可被分配给角色r1，即可被该角色r所获得； 2.       assigned(u, r, ξ) Ù r_hierarchy(r1, r, ξ) → can_activate (u, r1, ξ)    如果r1继承了r，凡被指派给角色r的用户，均能激活角色r1； 3.       can_activate(u, r, ξ) Ù can_be_acquired(p, r1, ξ) Ù r_hierarchy(r1, r, ξ) →can_acquire(u, p, ξ) 如果r1继承了r，用户u能够激活角色r，则所有能够被r1获得的许可也能够被u获得； 4.       active(u, r, s, ξ) Ùcan_be_acquired(p, r1, ξ) Ùr_hierarchy(r1, r, ξ) →acquires(u, p, s, ξ)    如果r1继承了r，在用户会话中，用户u已经激活角色r，则u将获得角色r1有的全部许可。证明1： rÎROLES, uÎUSERS, pÎPRMS, sÎSESSIONS, ξÎÁ        根据定理[4] assigned(p, r, ξ)→can_be_acquired(p, r, ξ) 且有r_hierarchy(r1, r, ξ) 根据RBAC模型中角色层次的理论基础[2]： assigned(p, r1, ξ) →assigned(p, r, ξ) / assigned(p, r1, ξ) Ù r_hierarchy(r1, r, ξ) →can_be_acquired(p, r, ξ) 同样地，可依次证明公理2，3，4。 2.2动态角色的继承性语义为了阐述基于条件时态的动态角色继承，根据TRBAC和GT-RBAC模型的研究工作[3, 4]，此文引入两个受限层次概念：强约束(weakly restricted)和弱约束(strongly restricted)层次，用以定义可用间隔中层次相关角色部分交迭时的继承规范和激活语义 (其中：前者允许交迭期间的角色继承和激活语义；后者只允许非交迭期间的继承和激活语义)；以及三种层次类型：继承层(I-hierarchy：inheritance-only hierarchy)，活性层(A-hierarchy：activation-only hierarchy) 和活性继承层 (IA-hierarchy：inheritance-activation hierarchy)。根据上述理论基础，本文给出条件周期ξ中层次间角色的继承语义如表2所示。表2. 动态层次角色的继承语义 r2继承于r1 ξ r1 disabled, r2 enabled ξ r1 enabled, r2 disabled 继承类型 I-hierarchy Iw 无继承性 允许继承 Is 无继承性 无继承性 A- hierarchy Aw 活性继承 无继承性 As 无继承性 无继承性 IA- hierarchy I Aw 活性继承 允许继承 I As 无继承性 无继承性示例1：当兼职医生(PartTimeDoctor)有效时，模型系统将在有效条件周期ξ中允许其继承生效白天医生(DayDoctor)或夜间医生(NightDoctor)的角色；如果兼职医生具有高级医师资格证，则其有效(enable)周期段为{(15:00-18:00), (7:00-10:00)}，且白天医生和夜间医生的有效时间段分别为(9:00-21:00)和(21:00-9:00)。则模型通过两种约束的继承描述： Iw-hierarchy：在{(15:00-18:00), (7:00-10:00)}中，持证PartTimeDoctor同时继承DayDoctor和NightDoctor的所有权限，即生效两种角色； Is - hierarchy：在{(15:00-18:00), (9:00-10:00)}中，持证PartTimeDoctor生效DayDoctor 的角色；在(7:00-9:00)中，PartTimeDoctor生效NightDoctor的角色。 3．角色继承中的SSD扩展静态权责分割(SSD：Static Separation of Duty )为定义时的一种静态约束。角色层次中用SSD关系时，要注意确保继承性不会给SSD策略带来破坏。Ferraiolo等人[2]所提出的RBAC模型一文中为了解决角色分层带来的继承因素的影响，在定义分层中的静态权责分割时，采取用授权用户替换指派用户，即： 其中，SSD Í (2ROLES×N)是静态权责分割中(rs, n)对的集成；rs代表角色集，n是大于等于2的自然数。其含义是在任意一个(rs, n)ÎSSD的情况下，不存在用户能从rs中同时获得大于等于n的角色个数。在CT-RBAC模型中为解决角色继承中时态SOD的定义静态约束，不让其局限于定义时的明确指派，提出了针对角色层次操作的角色继承性约束语义，明确了其权责分割约束机制。考虑到SOD策略的安全性同时取决于当前(current)和先前历史(history)的授权关系[8]，本文引进先前许可和历史许可概念，提出一种确保SSD策略安全的机制。如图2所示， 图2. 历史授权关系示意图即：XH (Y1) ∩ XH (Y2) = Æ ；其中，X(z) Í X；Y1，Y2为两冲突角色；X(A ) Í XH (A)。其含义是当前授权用户不可同时获得历史许可中有冲突的两角色。示例2：假设顾问(consultants)能够访问客户的文件资料(client files)，并且consultants在访问客户文件时(由于客户间是彼此竞争的公司)，禁止两个或两个以上有利益冲突的客户角色激活顾问角色。考虑到consultants的记忆保留功能(consultants可能记录了先前咨询客户的文件信息)，则上述图2模型可形式化描述为：X→ consultants；Y1，Y2 Y→ client files；Z→ history Assigned，授权关系为先前的历史的。通过比较Y1，Y2的历史活动，判断访问请求的响应与否。仅当XH (Y1) ∩ XH (Y2)为空时，访问请求予以响应。 4．模型的性能分析表3 SCIAC原型通道建立平均时间 通道数 SCIAC原型通道建立时间(s) 增加继承性控制的SCIAC通道建立时间(s) 1 10.58 11.04 5 10.93 11.33 10 11.22 11.51 15 11.45 11.67 20 11.63 11.78 25 11.82 11.90 SCIAC(Stream-based Centralized Information Access Control)原型系统[10]是CT-RBAC模型在VPN环境中一个应用扩展模型，本文在SCIAC基础上完善了继承性控制的实现。性能测试如表4所示，由于继承性控制的加入是的SCIAC原型通道建立平均时间比无继承性控制时稍长，但是通道建立时间增加百分比的平均值r<2.5%(r如下计算：先求出d = (增加继承性控制的SCIAC道建立时间 – 原始SCIAC隧道建立时间) / 原始SCIAC隧道建立时间；r = d的平均值，即r = ((11.04-10.58)/10.58 + (11.33-10.93)/10.93 + (11.51-11.22)/11.22 + (11.67-11.45)/11.45 + (11.78-11.63)/11.63 +  (11.90-11.82)/11.82)/6)) = 2.4%)。而且随着连接通道数增多，每条隧道建立平均时间越来越接近原模型系统的值。这是因为随着隧道数的增加，增加的控制逻辑耗时对隧道建立平均时间的影响越来越小，而SSL握手和加密解密耗时对隧道建立时间的影响占了主要。由此可见，虽然继承性控制会导致隧道建立时间稍微增加，但是继承性控制进一步提高和完善了原型系统的安全性。 5．结束语本文在深入研究CT-RBAC模型的基础上，拓展了角色关系约束中的状态断言和公理以及角色继承约束，并规范出动态角色继承性语义。通过上述的研究工作，完善了CT-RBAC模型的相关理论，并于文末给出了在继承条件下确保SSD策略安全的一种机制以及相关模型的性能测试。但对涉入条件时态后角色的静态职责分割SSD的动态化以及如何突破这种定义时的静态约束还有待更深入的研究。   参考文献 [1]  D. Ferraiolo, J. Cugini, and D. R. Kuhn. Role Based Access Control (RBAC): Features and Motivations [C]. Proc. 1995 Computer Security Applications Conference, Charlie Payne, New Orleans, December 1995: 241-248. [2]  D. Ferraiolo, R. Sandhu, S. Gavrila, D.R. Kuhn, R. Chandramouli. A Proposed Standard for Role Based Access Control [J]. ACM Transactions on Information and System Security. August, 2001: 224-274. [3]   E. Bertino, P. A. Bonatti and E. Ferrari. TRBAC: A temporal role-based access control model [J]. ACM Trans. on Information and System Security, 2001, 4(3): 191-233. [4]   J.B.D. Joshi, E. Bertino, U. Latif, and A. Ghafoor. A Generalized Temporal Role-Based Access Control Model [J]. IEEE Transactions on Knowledge and Data Engineering, Jan. 2005, 17(1): 4-23. [5]  K. Ouyang and J. B. D. Joshi. CT-RBAC: A Temporal RBAC Model with Conditional Periodic Time [C]. Proceedings the 3rd International Workshop on Information Assurance of the 26th IEEE International Performance Computing and Communications Conference, New Orleans, LA, April, 2007: 467-474. [6]  J.B.D. Joshi, B. Shafig, A. Ghafoor, and E. Bertino. Dependencies and separation of duty constraints in GTRBAC [J]. In proceedings of the eighth ACM symposium on Access control models and technologies, ACM Press, June, 2003: 51-64. [7]  J. B. D. Joshi, E. Bertino, U. Latif, and A. Ghafoor. Hybrid Role Hierarchy for Generalized Temporal Role Based Access Control Model. In Proceeding of the 26th Annual International Computer Software and Applications Conference, IEEE, Chicago, 2002: 951-956. [8]   J. Tidswell, and T. Jaeger. An Access Control Model for Simplifying Constraint Expression [J]. ACM Transaction on Information and System Security, ACM Press, Feb.2000: 154-163.   *课题来源：国家自然科学基金，编号：60673001 作者简介: 欧阳凯(1977-), 男, 博士, 研究方向为安全操作系统、网络安全控制技术, Email: kai.dolphin@gmail.com；蔡婷(1984-), 女, 硕士研究生, 主要研究领域为网络安全结构与控制技术；周敬利(1946-), 女, 教授, 博士生导师, 主要研究领域为高性能网络存储技术及安全模型；.王恒青(1983-), 男, 硕士研究生, 主要研究领域为网络安全结构与控制技术。