基于动态角色映射的多域访问控制.

yky_wenfeng@163.com2020/1/3Page:1第八章IRBAC2000模型崔永泉华中科技大学计算机学院信息安全所yky_wenfeng@163.com2020/1/3Page:2提纲多域安全互操作引言基本概念关联类型建立关联的策略IRBAC模型与安全性分析模型适应性模型应用的过程yky_wenfeng@163.com多域安全互操作引言在RBAC中，一个用户被赋予一个角色，这个角色代表了这个用户在他（她）的组织中的功能职责如果两个安全域A和B，希望进行安全互操作。A和B需要建立一个安全性上下文什么是安全性上下文?yky_wenfeng@163.com定义“安全上下文”是“处于某种域安全策略管理之下的两个实体之间的安全性会话”为了建立一个安全上下文，两个域之间必须在安全策略上达成某种共识一种最基本的情况是两个域能建立一种缺省的安全策略，以此提供基本的安全性但这不能满足具有安全性要求的应用程序和域的基本要求yky_wenfeng@163.com例如：如果域A中的客体C希望同域B中的目标对象T建立一个安全上下文。它必须依赖底层的安全机制来建立这个安全上下文。为了获得更高程度的灵活性，客体C和目标对象T都必须知道对方的身份。这种情况在单个域中很常见。但是，因为C和T在不同的域中，他们通常互不相识,不知道对方的身份多域安全互操作引言yky_wenfeng@163.com为了解决这个问题，我们提出一个策略框架来简化两个或多个域之间的安全互操作这个策略框架通过在本地域和外域角色层次之间建立一系列关联来运转。这个关联构成一个组合的角色层次，并且该角色层次仍然是偏序的通过这个组合偏序关系可以获得期望的灵活性级别多域安全互操作引言yky_wenfeng@163.com外域角色现在能够转换成可被本地域实体所理解的本地角色。至少它能够提供缺省的角色转换例如：所有外域角色都当作本地的“Guest”角色对待多域安全互操作引言yky_wenfeng@163.com在RBAC中，如果客体C具有外域角色“Professor”，而目标对象T通常通过本地角色“Manager”与客户打交道如果客体C（域A中）希望同目标对象T（域B中）建立一个安全上下文。这时安全员可指定A域中的“Professor”角色等同于域B中的“Manager”角色。于是这种安全上下文就建立了多域安全互操作引言yky_wenfeng@163.comAdminProfessorJanitorStudentGuestAdminJanitorManagerEmployeeGuestNTH0—本域角色层次H1—外域角色层次123图1：角色层次之间的关联——虚线yky_wenfeng@163.com当这些关联建立之后，所有的外域角色将动态地转换成本地角色在此基础上，应用程序就可以做出有意义的访问控制决定这些关联怎样建立呢？多域安全互操作引言yky_wenfeng@163.com考察域D0中和D1中的角色层次H0和H1。从角色x指向角色y的箭头表示x是y的父结点，在角色层次中高于y。尽管H0和H1的角色层次的结构很相似，但其语义不同如果来自外域中具有“Manager”角色的客体希望和本域中的一个应用程序进行互操作，而该应用程序通常只允许本地的“Professor”角色访问，因此须将外域“Manager”角色转换成有意义的本地角色多域安全互操作引言——策略框架yky_wenfeng@163.comAdminProfessorJanitorStudentGuestAdminJanitorManagerEmployeeGuestNTH0—本域角色层次H1—外域角色层次123图1：角色层次之间的关联——虚线yky_wenfeng@163.com多域安全互操作引言——策略框架用表示本地域中的角色集合，表示外域中的角色集合，角色层次和所表示的偏序关系如图1所示（实线箭头）。我们定义xy表示：在角色层次中x高于y，或者说“x是y的祖先”。附带下标的角色名如：读作来自于R1的Manager。用表示从R1到R0的关联集合。注意。一旦这些关联被定义后，我们就获得了一个可用于安全互操作的动态角色转换模型RManager110RR10RRyky_wenfeng@163.com2020/1/3Page:14提纲多域安全互操作引言基本概念关联类型建立关联的策略IRBAC模型与安全性分析模型适应性模型应用的过程yky_wenfeng@163.com基本概念1.管理域(“域”，“安全域”)是指“被单一的管理权限所管辖，由多个主机，路由器和互联的网络组成的一个集合体”2.角色关联将外域的某个角色a转换为本地域的某个角色b，使a在本地域中获得b的权限，称a关联到b用符号表示。(为方便起见，常简化表示为(a,b))10RRabyky_wenfeng@163.com3.符号表示从到的所有关联的集合，因此有10RR10RR0R1R1010RRRR0a0b0c0d0g1a1b1d1c1g角色层次之间的关联yky_wenfeng@163.com2020/1/3Page:17提纲多域安全互操作引言基本概念关联类型建立关联的策略IRBAC模型与安全性分析模型适应性模型应用的过程yky_wenfeng@163.com关联的类型定义两种关联：可传递关联和非传递关联1.可传递关联设有关联若对于对于则称这一关联为可传递关联10RRab11101,RRRRxRxaxb蕴含；00100,RRRRyRbyay蕴含；yky_wenfeng@163.com2.非传递关联设有关联，但不允许的祖先(即级别高于的角色)继承这一关联。这样的关联称为非传递关联记作10RRab1Ra1Ra1010RNTRNTabRR或(a,b)关联的类型yky_wenfeng@163.comAdminProfessorJanitorStudentGuestAdminJanitorManagerEmployeeGuestNTH0—本域角色层次H1—外域角色层次123可传递关联和非传递关联yky_wenfeng@163.com2020/1/3Page:21提纲多域安全互操作引言基本概念关联类型建立关联的策略IRBAC模型与安全性分析模型适应性模型应用的过程yky_wenfeng@163.com建立关联的策略在本地域和外域角色层次之间，通过使用可传递关联和非传递关联，我们可以创建一个组合偏序关系，并且定义一种安全策略这些策略可以分成以下三类：yky_wenfeng@163.com1.缺省策略这种策略是在外域角色集和本地域角色(本地域的最小角色)之间建立最小数目的关联：,使得00()Rgguest1010RRgg1110110,,RRRRxRxgxg若则建立关联的策略yky_wenfeng@163.com建立关联的策略——缺省策略APSGJCFADBCE缺省策略的一个例子R0R1yky_wenfeng@163.com2.明确的策略本地安全员明确地将每一个外域角色直接关联到一个本域角色，安全员能够将每一个外域角色指定至少一个直接的关联对象。实现这种策略的一个有效方法就是用非传递关联为外域中每个角色指定本域中一个角色子集与之对应。建立关联的策略yky_wenfeng@163.com建立关联的策略——明确策略APSGJCFADBCE明确策略的一个例子NTNTNTNTNTR0R1yky_wenfeng@163.com3.部分明确策略一个映射，如果它不是明确策略，并且除缺省策略外还存在一个或多个关联，则称其为部分明确策略建立关联的策略yky_wenfeng@163.com建立关联的策略——部分明确策略部分明确策略的一个例子yky_wenfeng@163.com这种策略体现了动态角色转换模型真正意义上的灵活性在这种偏序层次中，没有明确关联的外域角色仍然可以通过部分明确策略具有逻辑上的关联建立关联的策略yky_wenfeng@163.com建立关联的策略——明确与部分明确在部分明确策略下，外域至少有一个角色没有被直接关联到本域的任何一个角色；而在明确策略下，外域的每一个角色都被直接关联到本域的某一角色集。这是两种策略最根本的区别。yky_wenfeng@163.comyky_wenfeng@163.comyky_wenfeng@163.com这个模型是高度灵活的，因为它没有强制安全员为外域角色层次中每一个角色都提供一个映射，它允许安全员只为特定的外域角色在本地层次中指明转换角色建立关联的策略yky_wenfeng@163.com动态转换如果新的角色要添加到本地或外域的角色层次中，本模型对这些角色是自适应的，不需要安全员做任何改动因此，该策略框架本质上是动态的。通过为添加或删除角色增加适当的通知协议（详细说明后面会讲到），该角色转换模型将动态地对这些变化做出响应yky_wenfeng@163.com2020/1/3Page:35提纲多域安全互操作引言基本概念关联类型建立关联的策略IRBAC模型与安全性分析模型适应性模型应用的过程yky_wenfeng@163.comIRBAC模型与安全性分析1.灵活性它没有强制安全员为外域角色层次中每一个角色都提供一个映射2.动态性①若在本地域或外域角色层次中增加新的角色，该模型自动适应这种变化。不需要安全员作任何改动yky_wenfeng@163.comIRBAC模型——动态角色维护2.角色删除1）本域角色被删除：删除每一个到达该角色的关联，添加一系列新的关联并且这些关联到达被删除角色的所有子角色。可传递关联被一系列可传递关联替代，非传递关联被一系列非传递关联替代。yky_wenfeng@163.comIRBAC模型——动态角色维护2）外域角色的删除分为两种情况：a.若开始于该角色的关联是可传递关联，则删除开始于该角色的这个可传递关联，添加一系列新的可传递关联，新的关联开始于被删除角色的父角色，并指向被删除角色到达的角色；b.若开始于该角色的关联是非传递关联，则接删除该关联即可。yky_wenfeng@163.comIRBAC模型——动态角色维护APSGJCFADBCE角色删除的例子：未删除前的角色关联图NTNTNTR0R1yky_wenfeng@163.comIRBAC模型——动态角色维护APSGJCADBCENTNTNTR0R1角色删除的例子：删除本域角色F的情况yky_wenfeng@163.comIRBAC模型——动态角色维护APSGJCFABCENTNTNTR0R1角色删除的例子：删除外域角色D的情况yky_wenfeng@163.com1.角色层次的冲突解决这种冲突的办法是：对每一个外域角色，以它在本地角色层次中关联所允许的最高角色为其转换角色IRBAC模型安全性分析yky_wenfeng@163.comyky_wenfeng@163.comyky_wenfeng@163.com安全员可能会授予外域角色高于原本想要给予的访问权限为了避免这样情况，在建立某种关联时，安全员可选择某个外域角色，然后系统给出该外域角色可到达的角色图或可到达的本地角色。若发现问题，就可及时调整解决IRBAC模型安全性分析yky_wenfeng@163.com2.域穿梭引发的安全隐患当一个域的主体试图和另一个域的某个目标进行互操作(或访问)时，它必须穿过域边界。称此为“域穿梭”①渗透该模型不适合于多域穿梭的情形IRBAC模型安全性分析yky_wenfeng@163.com考虑如下情形，域D2要和D1进行互操作，并且域D1和D0要互操作，这并不意味着D2和D0想要互操作。即使D0不想和D2进行互操作，来自于D2的主体可以首先进入D1然后渗透进入D0。因此，我们的角色转换模型不能用于多域穿梭的角色转换IRBAC模型安全性分析yky_wenfeng@163.com2.域穿梭引发的安全隐患②隐蔽提升域穿梭带来的另一个