基于空间和时间的角色权限控制模型

时空角色控制模型姓名：滕庆勇学号：1620190339内容1.研究背景2.时空域定义3.具有时空约束的RBAC模型4.实例展示5.总结1.研究背景信息技术的高度发展对信息安全提出了新的挑战，经典的基于角色的访问控制（Role-BasedAccessControl，RBAC）中缺乏对时间和空间的约束，使RBAC模型不能适应信息系统新的安全需求。在RBAC的基础上，引入了时空域的定义，对模型中各要素进行了时间和空间约束，提出了具有时空约束的角色访问控制模型（Temporal-SpatioRole-BasedAccessControl，TSRBAC）。2.时空域定义定义1.令二元组(TT;≤)是一个时间域,其中,TT={t∈Rt≥0}是一个时间集,≤表示TT上的全序·定义2.时间段{[tl,tu]∈TT×TTtl≤tu}表示时间域所有闭区间段的集合·其中的时间域区间段是分别由一个下边界tl和一个上边界tu界定的·如果说区间[t1,t2]在区间[t3,t4]中,当且仅当t3≤t1且t4≥t2;同样,如果说一个时间点t1在区间段[t3,t4]中,当且仅当t3≤t1≤t4·定义3.令二元组(SS;≤)是一个空间域,其中,SS={s∈Zs≥0}是一个空间集,≤表示SS上的全序·定义4.空间段{[sl,su]∈SS×SSsl≤su}表示空间域所有闭区间段的集合·其中的空间域区间段是分别由一个下边界sl和一个上边界su界定的·如果说区间[s1,s2]在区间[s3,s4]中,当且仅当s3≤s1且s4≥s2;同样,如果说一个空间点s1在区间段[s3,s4]中,当且仅当s3≤s1≤s4·3.具有时空约束的RBAC模型3.1时空约束下的角色状态转移引入时间和空间约束后首先引起了角色状态的变化。时空角色有三种状态：禁止态、许可态和激活态。处于禁止态的角色不允许被任何用户直接激活；许可态表明有资格使用该角色的用户，当他提出请求的时候能够激活该角色；用户激活处于许可态的角色，角色的状态转变为激活态。时空角色状态转换关系如下图所示。激活态许可态禁止态禁止角色激活角色3.2访问控制策略策略1（用户-角色策略）用户在请求激活角色时，只有当用户所处的空间区域位于该角色的有效空间区域内，且用户所处的时间属于该角色的有效时间段之内，该用户才可以激活该角色。策略2（角色-权限策略）只有当角色的有效时空域处于权限的有效时空域时，该角色才能够拥有对某一客体的操作权限。3.3时空角色层次继承关系在TSRBAC模型中增加了时空角色层次这个概念。时空角色之间有相应的层次继承关系，角色继承关系自然地反映了一个组织内部权利和职责的关系，为方便权限管理提供了帮助。角色层次结构如下图所示：在相同的时空域内，角色role4继承了角色role1和角色role2所拥有的权限，而角色role6则继承了所有角色的权限。Role6Role2Role1Role3Role4Role53.4职责分离职责分离是为了实施利益冲突时的回避策略，以防止用户超越其正常的职责范围。职责分离分为静态职责分离（StaticSeparationofDuty，SSD）和动态职责分离（DynamicSeparationofDuty，DSD）。在RBAC模型标准中，静态职责分离作用于（用户-角色）分配和角色继承。简单的说，如果两个角色之间存在SSD，那么当某用户分配了其中之一时，将不能再获得另一个角色。另外，因为在定义角色继承关系时，角色将会拥有继承它的其他角色的所有用户，如果在SSD之前的角色中定义继承关系，将会间接地违反SSD的性质，所以不能在已有的SSD关系的两个角色之间定义继承关系。动态职责分离也限制了用户的权限，但是DSD作用于用户激活角色阶段，如果两个角色之间存在DSD，管理员可以将这两个角色都授予某个用户，但是该用户不能在同一个会话中同时激活这些角色，也就是说用户在登陆后不能同时获得这两个角色所具有的权限。TSRBAC模型扩展了原有的职责分离概念，允许同一用户在不同的时空区域中充当两个互不相容的角色。TSRBAC中的职责分离类似于SSD和DSD，限制用户对权限的使用；不同于SSD和DSD，角色的互斥依赖于用户所处的时空位置。时空静态职责分离（TSSSD），在时空区域中，任何用户不能分配角色中的2个或更多的角色。时空动态职责分离（TSDSD），在时空区域中，任何用户不能激活角色中的2个或更多的角色。3.5访问控制算法用户请求对客体在时空区域中拥有的权限。系统按照如下算法判断是否答应用户的请求。步骤1.利用函数计算出用户可以充当的角色集合，如果集合不为空，转步骤2，否则转步骤5；步骤2.对任意一个角色，如果用户属于角色的时空域内，则将角色赋予用户。这样可以得到赋予用户的角色集，转步骤3；步骤3.利用函数分别计算出角色集中每个角色可以拥有的权限集，转步骤4；步骤4.如果用户的请求包含于角色的权限集中，并且用户的时空区域包含于所请求权限的有效时空区域内，则系统答应用户的请求，否则转步骤5；步骤5.拒绝用户请求。4.实例展示在某产品协同设计系统中，有如下图所示的工作流任务。假如由五个任务组成：画图、审图、核图、签发、校图，并假定使用该系统的用户有五个人:设计组员1、设计组员2、设计组长1、设计组长2和设计主管，各自所处不同的空间。系统的角色有三种:设计组员、设计组长和设计主管,角色的层次关系为设计主管支配设计组长、设计组长支配设计组员。画图审图核图签发校图系统的安全策略为：①设计组员只能进行画图和校图的工作；②审图和核图工作只能由设计组长或设计主管来处理；③签发必须由设计主管来完成；④执行校图任务的用户必须是执行画图任务的用户；⑤执行核图任务的用户不能是执行审图任务的用户。假设设计组员1在合适的时间点和空间位置开始画图，所以产生授权。审图={设计组长1,设计组长2,设计主管}，假设设计组长1进行审图,在其完成审图任务后，产生授权。核图={设计组长1,设计组长2,设计主管}-{设计组长1}={设计组长2，设计主管}，假定由设计组长2进行核图,，在其完成核图任务后，形成授权。签发={设计主管}，在设计主管完成签发任务后，形成授权。校图={设计组员1}，只有设计组员1才被允许执行校图任务，在设计组员1完成校图任务后,形成授权。5.总结带有时空约束的基于角色的访问控制模型，与传统的访问控制授权模型不同，该模型对RBAC中各要素进行了时间和空间的约束，使访问控制不仅受时间约束，而且受空间区域限制。时空主体只能在某个时空域内，才能激活某个时空角色；时空角色也只能在某个时空域内，才能拥有某个权限。时空角色之间有层次继承和职责分离。TSRBAC模型适用于对时间和空间要求高的安全系统中，特别是对普适计算环境中的访问控制有重要意义。6.结束语谢谢大家