專利名稱:一種多域間基于rbac模型的訪問(wèn)控制策略合成方法
技術(shù)領(lǐng)域:
本發(fā)明的是一種網(wǎng)絡(luò)訪問(wèn)控制領(lǐng)域的策略合成方法,具體地說(shuō),是一種多域間基于角色的訪問(wèn)控制(RBAC)策略合成方法。
背景技術(shù):
隨著互聯(lián)網(wǎng)和社會(huì)的發(fā)展�,各個(gè)領(lǐng)域間的協(xié)同工作變得越來(lái)越重要�,越來(lái)越多的資源需要在不同域間共享�,因此就需要一種能夠保持域內(nèi)自治性,同時(shí)又最大限度的滿足域間資源共享的訪問(wèn)控制策略�。基于角色的訪問(wèn)控制(RBAC)具有角色層次�,最小權(quán)限,權(quán)限分離等靈活特性�,適合在多域環(huán)境中應(yīng)用,制定滿足域間安全互操作需要的全局安全策略�。目前,RBAC策略合成的原理主要是域間角色映射�,其方法包括基于權(quán)限和非基于權(quán)限 兩類。非基于權(quán)限的合成方法基于等級(jí)或信用進(jìn)行角色映射�,粒度較粗,而本發(fā)明是一種基于權(quán)限的RBAC策略合成方法�,其特點(diǎn)是方法中的角色映射都是基于角色的權(quán)限進(jìn)行�,其目標(biāo)是保證角色在策略合成后不會(huì)獲得本來(lái)不具有的權(quán)限,因此更適合應(yīng)用于對(duì)于安全性要求高的環(huán)境�。經(jīng)對(duì)現(xiàn)有技術(shù)的文獻(xiàn)檢索發(fā)現(xiàn),2005年Shafiq等在《Knowledge and DataEngineering))上發(fā)表的((Secure Interoperation in a Multi-Domain EnvironmentEmploying RBAC Policies》一文中提出了一種基于RBAC策略的多域訪問(wèn)控制策略合成方法,其主要思想是根據(jù)兩個(gè)域間角色的公共權(quán)限和公共子角色創(chuàng)建新角色進(jìn)行映射�,并且映射過(guò)程保證了建立映射的角色間權(quán)限和層次結(jié)構(gòu)都相同,安全性較高�。但是它僅支持權(quán)限繼承層次,不支持激活角色層次上的策略合成�,而且會(huì)引入大量的新角色和復(fù)雜的角色層次關(guān)系�,其指數(shù)級(jí)的方法復(fù)雜度降低了實(shí)用性�。
發(fā)明內(nèi)容
本發(fā)明在上述研究的基礎(chǔ)上,提出了一種較為完善的RBAC策略合成方法�。首先,為了保證角色映射的安全性�,本發(fā)明滿足角色映射應(yīng)該總是朝著權(quán)限降低的方向進(jìn)行的原貝U。其次�,為了提高策略合成的靈活性,降低方法的復(fù)雜度�,本發(fā)明提出了角色映射應(yīng)根據(jù)傳遞性,繼承類型�,方向性分類,并將此應(yīng)用于策略合成方法中�,根據(jù)角色權(quán)限集的關(guān)系建立不同類型的角色映射,同時(shí)考慮了角色映射過(guò)程中出現(xiàn)的繼承環(huán)(Cyclic inheritance)和權(quán)限分離(SoD)沖突�。與Shafiq的方法相比,本發(fā)明引入了較少的新角色和新繼承關(guān)系�,具有更好的性能。為實(shí)現(xiàn)上述目的�,本發(fā)明采用的技術(shù)方案是將需要進(jìn)行策略合成的兩個(gè)域的RBAC策略作為方法的輸入,根據(jù)原域內(nèi)的角色-權(quán)限關(guān)系和角色層次關(guān)系�,建立域間角色映射集合,同時(shí)對(duì)映射過(guò)程中可能產(chǎn)生的策略沖突進(jìn)行檢測(cè)�,形成全局訪問(wèn)控制策略輸出,則此全局策略用于實(shí)現(xiàn)域間互操作。建立角色映射的基本思想是比較要建立映射關(guān)系的兩個(gè)角色的權(quán)限集�,根據(jù)比較結(jié)果,建立不同類型的映射�。由于應(yīng)用了角色分裂技術(shù),保證了映射角色間權(quán)限完全相等�。
首先給出幾個(gè)相關(guān)定義。傳統(tǒng)的RBAC96模型可表示為(RH�,UA, PA)的3元集合,其定義如下定義II)Users�、Roles、Operations�、和Objects分別表示所有用戶、角色�、操作和對(duì)象的
口 O2) Permissions=2 (Operations X Objects)表不所有權(quán)限的集合。3)
權(quán)利要求
1.一種多域間基于RBAC模型的訪問(wèn)控制策略合成方法�,其特征在于包括如下步驟 步驟一在單個(gè)域內(nèi)進(jìn)行角色樹合并; 步驟二 計(jì)算角色間接權(quán)限集�,A繼承權(quán)限集,I繼承權(quán)限集�; 步驟三遞歸的比較域間角色的權(quán)限集,確定需要進(jìn)行分裂的角色�,建立域間角色映射�,形成全局訪問(wèn)策略。
2.根據(jù)權(quán)利要求I所述的方法�,其特征是,所述的步驟一�,具體為將一個(gè)域內(nèi)的RBAC策略組合成為一棵RBAC角色樹�,作為RBAC策略合成的輸入�,其中對(duì)于域內(nèi)存在多個(gè)高等級(jí)角色的情況,可以創(chuàng)建一個(gè)新角色�,同時(shí)繼承這幾個(gè)高等級(jí)角色,作為角色樹的樹根�。
3.根據(jù)權(quán)利要求I所述的方法,其特征是�,所述的步驟二,具體為計(jì)算兩個(gè)域內(nèi)所有角色的間接權(quán)限集�,I繼承權(quán)限集,A繼承權(quán)限集作為原角色的屬性存儲(chǔ)起來(lái)�,提供給步驟三進(jìn)行權(quán)限集的比較;角色的權(quán)限集分為直接權(quán)限集�,間接權(quán)限集,I繼承權(quán)限集�,A繼承權(quán)限集。
4.根據(jù)權(quán)利要求3所述的方法�,其特征是,所述的步驟二�,角色的四種權(quán)限集定義如下 1)直接權(quán)限集Pd Cr):若(p,r) e PA,貝Up e Pd (r); 2)間接權(quán)限集PuOO:用戶激活角色!■后�,通過(guò)r在角色層次中的繼承關(guān)系所獲得的權(quán)限,包括r直接可以獲得的子角色的權(quán)限和需要r激活子角色才能獲得的權(quán)限�; 3)1繼承權(quán)限集Pm(r):用戶激活角色r后,通過(guò)r在角色層次中的繼承關(guān)系直接獲得的權(quán)限; 4)A繼承權(quán)限集Pui(r):用戶激活角色r后�,通過(guò)r在角色層次中激活其他子角色才能獲得的權(quán)限。
5.根據(jù)權(quán)利要求I所述的方法�,其特征是,所述的步驟三�,具體為比較要建立映射關(guān)系的兩個(gè)角色的權(quán)限集,根據(jù)比較結(jié)果�,建立不同類型的映射,同時(shí)應(yīng)用角色分裂技術(shù)�,保證了映射角色間權(quán)限完全相等;其中采用以下方法判斷需要建立的角色映射的類型 兩個(gè)角色的直接和間接權(quán)限均相等�,此時(shí)在兩個(gè)角色間建立關(guān)聯(lián)雙向映射; 兩個(gè)角色的間接權(quán)限相等�,直接權(quán)限不等,此時(shí)先采用角色分裂的方法�,將兩個(gè)角色直接權(quán)限中的公共部分分離出來(lái),然后再對(duì)直接權(quán)限相等的兩個(gè)角色建立關(guān)聯(lián)雙向映射�; 兩個(gè)角色的間接權(quán)限不相等,此時(shí)只考慮直接權(quán)限�,先進(jìn)行角色分裂,再進(jìn)行角色映射�,此時(shí)建立非關(guān)聯(lián)雙向映射; 在建立角色映射之前�,判斷兩個(gè)角色在原域內(nèi)是否存在SoD關(guān)系,如果存在則建立A-繼承映射�,否則建立I-繼承映射。
6.根據(jù)權(quán)利要求5所述的方法�,其特征是,對(duì)于給定的兩個(gè)角色�,首先比較它們的間接權(quán)限,確定建立的角色映射的傳遞性�;然后比較它們的直接權(quán)限,確定是否需要進(jìn)行角色分裂�;如需要進(jìn)行角色分裂,則在兩個(gè)角色所述的角色樹中對(duì)應(yīng)位置分別產(chǎn)生一個(gè)新角色�,其直接權(quán)限為原兩個(gè)角色的直接權(quán)限的交集。原角色作為新角色的高級(jí)角色�,所屬權(quán)限不變;接著對(duì)需要建立映射的角色是否在本域內(nèi)與其他角色存在權(quán)限分離關(guān)系確定建立的角色映射的繼承類型�;最后根據(jù)所確定的屬性建立相應(yīng)類型的角色映射。
全文摘要
一種多域間基于RBAC模型的訪問(wèn)控制策略合成方法�,包括首先在單個(gè)域內(nèi)進(jìn)行角色樹合并,接著計(jì)算角色間接權(quán)限集�,A繼承權(quán)限集和I繼承權(quán)限集,最后遞歸地比較域間角色的權(quán)限集�,確定需要進(jìn)行分裂的角色,建立域間角色映射�,形成全局訪問(wèn)策略。本發(fā)明將需要進(jìn)行策略合成的多個(gè)域的RBAC策略作為方法的輸入�,根據(jù)原域內(nèi)的角色權(quán)限分配關(guān)系、角色層次關(guān)系以及角色間的SOD約束�,建立域間角色映射集合�,形成全局訪問(wèn)控制策略輸出�。
文檔編號(hào)H04L29/06GK102957697SQ201210418000
公開日2013年3月6日 申請(qǐng)日期2012年10月26日 優(yōu)先權(quán)日2012年10月26日
發(fā)明者潘理, 訾小超, 周鑫, 張清源 申請(qǐng)人:上海交通大學(xué)