11-5多域间基于角色的访问控制模型Modi

第五讲多域间基于角色的访问控制模型利用动态角色转换实现安全互操作提出和尝试解决两个或多个安全域之间的安全互操作，特别是在基于角色的访问控制下，两个安全域之间的安全互操作性问题在RBAC中，一个用户被赋予一个角色，这个角色代表了这个用户在他（她）的组织中的功能职责如果两个安全域A和B，希望进行安全互操作。A和B需要建立一个安全性上下文什么是安全性上下文?定义“安全上下文”是“处于某种域安全策略管理之下的两个实体之间的安全性会话”为了建立一个安全上下文，两个域之间必须在安全策略上达成某种共识一种最基本的情况是两个域能建立一种缺省的安全策略，以此提供基本的安全性但这不能满足具有安全性要求的应用程序和域的基本要求例如：如果域A中的客体C希望同域B中的目标对象T建立一个安全上下文。它必须依赖底层的安全机制来建立这个安全上下文。为了获得更高程度的灵活性，客体C和目标对象T都必须知道对方的身份。这种情况在单个域中很常见。但是，因为C和T在不同的域中，他们通常互不相识,不知道对方的身份为了解决这个问题，我们提出一个策略框架来简化两个或多个域之间的安全互操作这个策略框架通过在本地域和外域角色层次之间建立一系列关联来运转。这个关联构成一个组合的角色层次，并且该角色层次仍然是偏序的通过这个组合偏序关系可以获得期望的灵活性级别外域角色现在能够转换成可被本地域实体所理解的本地角色。至少它能够提供缺省的角色转换例如：所有外域角色都当作本地的“Guest”角色对待在RBAC中，如果客体C具有外域角色“Professor”，而目标对象T通常通过本地角色“Manager”与客户打交道如果客体C（域A中）希望同目标对象T（域B中）建立一个安全上下文。这时安全员可指定A域中的“Professor”角色等同于域B中的“Manager”角色。于是这种安全上下文就建立了AdminProfessorJanitorStudentGuestAdminJanitorManagerEmployeeGuestNTH0—本域角色层次H1—外域角色层次123图1：角色层次之间的关联——虚线当这些关联建立之后，所有的外域角色将动态地转换成本地角色在此基础上，应用程序就可以做出有意义的访问控制决定这些关联怎样建立呢？这些关联可由“角色管理器”管理，“角色管理器”是本策略框架的核心，也是安全员用来管理安全互操作的工具上述模型命名为可互操作的基于角色的访问控制模型2000（IRBAC2000）策略框架考察域D0中和D1中的角色层次H0和H1。从角色x指向角色y的箭头表示x是y的父结点，在角色层次中高于y。尽管H0和H1的角色层次的结构很相似，但其语义不同如果来自外域中具有“Manager”角色的客体希望和本域中的一个应用程序进行互操作，而该应用程序通常只允许本地的“Professor”角色访问，因此须将外域“Manager”角色转换成有意义的本地角色可以看到两个域中都有“Guest”角色。如果外域角色不能被本域理解，可以定义这样一种简单策略：将所有的外域角色都当作本地“Guest”角色对待但是，既然所有的外域角色都被当作同一类角色(本地角色Guest)，这种方案不够灵活AdminProfessorJanitorStudentGuestAdminJanitorManagerEmployeeGuestNTH0—本域角色层次H1—外域角色层次123图1：角色层次之间的关联——虚线策略框架通过在两个角色层次之间添加一系列关联，产生了一种组合偏序关系通过这种机制，可以很方便地管理某个外域角色的访问级别。在下面给出形式化描述之前，我们把前面提到的概念梳理一下例如：图1中，我们有从到111111（标记为3）的关联，这意味着来自于外域中的将被转换成本地域中的角色RManager1RManager1Rofessor0PrAdminProfessorJanitorStudentGuestAdminJanitorManagerEmployeeGuestNTH0—本域角色层次H1—外域角色层次123图1：角色层次之间的关联——虚线用表示本地域中的角色集合，表示外域中的角色集合，角色层次和所表示的偏序关系如图1所示（实线箭头）。我们定义xy表示：在角色层次中x高于y，或者说“x是y的祖先”。附带下标的角色名如：读作来自于R1的Manager。用表示从R1到R0的关联集合。注意。一旦这些关联被定义后，我们就获得了一个可用于安全互操作的动态角色转换模型RManager110RR一几个概念1.管理域(“域”，“安全域”)是指“被单一的管理权限所管辖，由多个主机，路由器和互联的网络组成的一个集合体”2.角色关联将外域的某个角色a转换为本地域的某个角色b，使a在本地域中获得b的权限，称a关联到b用符号表示。(为方便起见，常简化表示为(a,b))10RRab3.符号表示从到的所有关联的集合，因此有10RR10RR0R1R1010RRRR0a0b0c0d0g1a1b1d1c1g角色层次之间的关联二关联的分类定义两种关联：可传递关联和非传递关联1.可传递关联设有关联若对于对于则称这一关联为可传递关联10RRab11101,RRRRxRxaxb蕴含；00100,RRRRyRbyay蕴含；2.非传递关联设有关联，但不允许的祖先(即级别高于的角色)继承这一关联。这样的关联成为非传递关联记作10RRab1Ra1Ra1010RNTRNTabRR或(a,b)AdminProfessorJanitorStudentGuestAdminJanitorManagerEmployeeGuestNTH0—本域角色层次H1—外域角色层次123可传递关联和非传递关联三角色转换策略(构建组合偏序关系的策略)框架在本地域和外域角色层次之间，通过使用可传递关联和非传递关联，我们可以创建一个组合偏序关系，并且定义一种安全策略这些策略可以分成以下三类：1.缺省策略这种策略是在外域角色集和本地域角色(本地域的最小角色)之间建立最小数目的关联：,使得00()Rgguest1010RRgg1110110,,RRRRxRxgxg若则2.明确的策略安全员明确地将每个外域角色映射到一个本地角色3.部分明确策略一个映射，如果它不是明确策略，并且除缺省策略外还存在一个或多个关联，则称其为部分明确策略这种策略体现了动态角色转换模型真正意义上的灵活性在这种偏序层次中，没有明确关联的外域角色仍然可以通过部分明确策略具有逻辑上的关联这个模型是高度灵活的，因为它没有强制安全员为外域角色层次中每一个角色都提供一个映射，它允许安全员只为特定的外域角色在本地层次中指明转换角色动态转换如果新的角色要添加到本地或外域的角色层次中，本模型对这些角色是自适应的，不需要安全员做任何改动因此，该策略框架本质上是动态的。通过为添加或删除角色增加适当的通知协议（详细说明后面会讲到），该角色转换模型将动态地对这些变化做出响应四策略模型的灵活性和动态性1.灵活性它没有强制安全员为外域角色层次中每一个角色都提供一个映射2.动态性①若在本地域或外域角色层次中增加新的角色，该模型自动适应这种变化。不需要安全员作任何改动②若在本地域删除一个角色，则删除每一个到达该角色的关联，添加一系列新的关联，这些新关联将原有的关联改为到达被删除角色的所有子角色③若在外域删除一个角色，则删除每一个开始于该角色的关联。对于可传递关联添加一系列新的关联，这些新关联开始于被删除角色的父节点(其父节点可能不止一个)，并指向被删除角色所到达的角色。对于非传递关联，则不需添加任何新的关联五模型的安全性1.角色层次的冲突解决这种冲突的办法是：对每一个外域角色，以它在本地角色层次中关联所允许的最高角色为其转换角色安全员可能会授予外域角色高于原本想要给予的访问权限为了避免这样情况，在建立某种关联时，安全员可选择某个外域角色，然后系统给出该外域角色可到达的角色图或可到达的本地角色。若发现问题，就可及时调整解决2.域穿梭引发的安全隐患当一个域的主体试图和另一个域的某个目标进行互操作(或访问)时，它必须穿过域边界。称此为“域穿梭”①渗透该模型不适合于多域穿梭的情形理由如下：考虑如下情形，域D2要和D1进行互操作，并且域D1和D0要互操作，这并不意味着D2和D0想要互操作。即使D0不想和D2进行互操作，来自于D2的主体可以首先进入D1然后渗透进入D0。因此，我们的角色转换模型不能用于多域穿梭的角色转换2.域穿梭引发的安全隐患②隐蔽提升域穿梭带来的另一个问题就是主体能够穿越域边界，并且能够以比起始角色更高级的角色返回到他的起始域实际上，一个主体能通过多域穿梭隐蔽地提升它在角色层次中的级别为了避免“渗透”和“隐蔽提升”，转换模型应当限定只对单域穿梭有效每个域都应当转换一个主体的“起始”角色，而不是来自于前一个域中的转换角色。这将保证除域穿梭外，角色转换模型是有效的主体的起始域和角色名称可作为标记，用来避免“渗透”和“隐蔽提升”然而，欺诈域总是存在的。这需要所有的域协同合作，因此，没有域之间的协作，很可能存在“渗透”和“隐蔽提升”六模型的适应性1.如果有n个域需要两两互操作，则需要构造个域间的角色转换。以n=10为例，则为90个域间的角色转换2(1)22(1)2nnnCnn2.每一个域(本地域)的安全员，要了解n-1个域的安全策略和角色层次3.当外域角色层次(或本地域角色层次)发生变化时，需要通过协议的方式被告知,本地域的安全员要调整其原有的角色转换关系4.渗透和隐蔽提升问题,如前所述，可用适当的策略进行限制，因此，这一控制模型仅适用于域个数不多，特别是仅有两个域的情形七实现的大致过程1.本地域安全员通过角色编辑器建立关联2.策略服务器遍历所有的关联。构造一个本地域角色的所有入口点的列表3.外域主体向本地域策略服务器提供它的证书4.策略服务器将该主体(主体的外域角色)的入口列表添加到该外域角色的证书中，转换完成RoleEditor－角色编辑器应用情况移动网络：移动网络涉及各种域之间的协作。主体不断地进入离开各种域。在这种情况下，该角色转换模型能够为主体提供有效的角色转换移动代理：当移动代理在域间穿梭漫游于网络时，为这些代理提供角色转换是非常有用的。类似于移动网络，我们的转换模型将为移动代理提供更好的安全服务