面向信息安全的域间角色访问控制模型的改进(

1、面向信息安全的域间角色访问控制模型的改进*收稿日期: 改回日期:基金项目:国家高技术研究发展计划(863计划)（No. 2006AA01Z455）专项经费资助。作者简介: 宫阿都(1976-），男，山东威海人，博士，讲师，主要研究方向：GIS与城镇信息系统，Email: gad 吴亚非，男，主要研究方向：信息安全，Email：wuyafei. 任金强，男，博士，主要研究方向：信息安全，Email：renjq 宫阿都1,2，吴亚非3，孙俊峰4，任金强3，李晨4(1.民政部/教育部减灾与应急管理研究院空间信息科学与技术所,北京 100876; 2. 北京师范大学地表过程与资源生态国家重点实验室,北

2、京 100876; 3. 国家信息中心信息安全研究与服务中心,北京 100045; 4. 北京邮电大学网络与交换技术国家重点实验室信息安全中心,北京 100876)摘 要：基于传统的IRBAC2000模型，对域间角色转换时产生的安全问题进行了分析。并提出了一种改进的IRBAC2000模型，该模型将传统模型中的角色分为域内角色和域间管理员角色，为域间角色转换产生的安全的问题提供了一种新的判定方法，提出了先决条件的概念来加强IRBAC 2000模型安全性的保护机制。关键词：域间互操作模型; 角色转换; 角色继承; 信息安全中图法分类号：TP393.08 文献标识码：AStudy on an Imp

3、roved IRBAC Model for Information SecurityGONG Adu 1,2，Wu Yafei3，SUN Junfeng4，Ren Jinqiang3，LI Chen4 (1. Institute of Geoinformation Science and Technology，Academy of Disaster Reduction and Emergency Management, Ministry of Civil Affairs, Ministry of Education, Beijing Normal University, Beijing, 10

4、0875; 2. State Key Laboratory of Earth Surface Processes and Resource Ecology, Beijing Normal University, Beijing,100875; 3. State Information Center, Information Security Research and Services Center, Beijing 100045; 4. Information Security Center, State Key Laboratory of Networking and Switching T

5、echnology, Beijing University of Posts and Telecommunications, Beijing 100876 )Abstract: Based on traditional IRBC Model, Analysis particularly the secure issue happened in Role Transformation among Domains. An improved IRBAC2000 Model has been provided, further divide the Roles in the traditional m

6、odel into two types: inside-domain role and outside domain role; provide a judgment method for the secure issue happened in the Roles transformation among Domains, introduce a new way of strengthening the security by using preliminary condition.Key words: IRBAC; Role-Transform; Role-Heritage引言IRBAC（

7、Improved Role-Based Access Control，改进的基于角色的访问控制模型）是Kapadi等人于2000年提出的域间的安全互操作模型1，然而通过对IRBAC2000模型进行进一步的安全分析发现IRBAC2000中的域间角色转换可能会产生安全性问题2，进而违背RBAC模型（Role-Based Access Control，基于角色的访问控制模型）所支持的众所周知的三个基本安全原则，而RBAC模型所支持的三个基本原则作为RBAC模型的建议标准于2001年8月被美国国家标准技术协会(NIST)所接受。本文首先对IRBAC模型的域间角色转化时发生的安全性问题进行了详细的分析3

8、，提出了一种改进的IRBAC模型，将传统模型中的角色分为域内角色和域间管理员角色，为域间角色转换发生安全性问题提供了一种判定方法并给出了相应的算法，从而使得IRBAC模型满足了RBAC模型所支持的众所周知的三个基本安全原则。 1 IRBAC模型中域间角色转换存在的问题多个管理域间的安全互操作是分布式计算环境中资源共享和安全的一个关键技术。IRBAC提出的多域间的安全互操作模型，该模型是在采用RBAC模型的管理域之间通过动态的角色转换进行安全互操作4。该模型也有两个弱点：1) 它不适合在大规模复杂的角色层次之间进行角色映射；2) 在多个域的安全管理员中协调角色转换的管理权限是比较困难的。这两个弱

9、点制约了该模型的进一步应用5。1.1 IRBAC模型中的角色分配的违规由于域间策略的作用，使得某个域中的角色拥有了本来不是直接分配给他的角色而导致的违规。如图1所示，在域D2中，角色D和角色E之间本来没有任何联系。但在域间角色映射关系的作用下，如果域D1中的角色A被分配了域D2中角色E，那么域D1中的角色A也将拥有域D2中的角色D。图1 角色分配的违规示意图1.2 IRBAC模型中的角色转换继承违规由于域间策略的作用，使得某个域中的某个角色拥有了其父角色而导致的违规。如图2所示，域间的角色映射，域D1中的角色B继承了域D1中的角色A,并同时域D1中的角色B被域D2中的角色C所继承，根据域D2中

10、的角色继承关系，域D2中的角色E拥有了同域中父角色C的权限。图2 角色转换继承违规示意图1.3 IRBAC模型中角色的职责分离冲突RBAC模型支持众所周知的3个基本安全原则：最小权限、职责分离和数据抽象6。由于IRBAC模型中的每个管理域均采用RBAC模型，因而IRBAC模型中的动态角色转换是否会违背职责分离是必须考虑的安全问题之一。由于域间策略的作用，使得某个域中的用户可在同一个会话中访问互斥角色集中的多个角色，如图3所示。在域D2中的角色D和角色E满足SSD为互斥角色，显然用户不能同时拥有两者，如果用户拥有域D2中的角色D，他可在一个会话中拥有通过域间的角色映射，即通过域D1中的角色A而拥

11、有域D2中的角色E，从而违背了角色互斥的原则。图3 角色的职责分离冲突违规示意图1.4 IRBAC模型中多域间相互穿梭的问题当一个主体试图和另一个域中的目标进行互操作时，必须穿过主机的边界，我们称之为“穿梭”。多重域之间的穿梭将会产生安全隐患，因为它有可能会带来渗透。如图4所示：域D1的角色A继承了域D2中的角色C，域D2中的角色C继承了域D3中的角色E，这并不意味着域D1中的角色A与域D3中的角色E之间意图相互操作，即使域D3中的角色E并不允许域D1中的角色A访问，域D1中的角色A也能通过域D2中的角色C进行渗透。图4 多域间相互穿梭示意图多个管理域间的安全互操作应对域间角色转换的安全性提出

12、更高的要求，同时要降低域间角色转换和权限验证的复杂性。因此目前理论界提出了一种新的可管理的互操作基于角色访问控制（A-IRBAC）模型7。该模型是受ARBAC97模型的启发，对RBAC96标准模型进行定制，引入了“管理安全互操作角色”的概念，利用RBAC自身来管理域间角色转换8，但是降低管理上的复杂性和权限验证的复杂性、提高角色转换的安全性仍是域间角色转换要考虑的问题。2 IRBAC模型的改进2.1 建立IRBAC域间互操作模型知识库针对IRBAC模型中的域间角色转换存在的种种问题，我们提出了域间接口角色包括对内角色和对外角色，并增加互操作管理员角色完成对内角色和对外角色之间的继承管理。 域内

13、角色(1) 接口角色对内角色：完成域间互操作管理员角色的请求，继承本域内的普通角色供外域对外角色继承。对内角色只继承本域内普通角色，在满足RBAC三原则的基础上，还要满足本域内角色的约束规则，这样避免了域间角色转换的无序。对外角色：负责本域角色向互操作管理员提出继承外域对内角色的转换。规定对外角色不继承本域内的其它类任何角色，只继承外域的对内角色。(2) 普通角色等同于原来RBAC模型中的角色，但不用来进行域间角色的转换，普通角色不继承本域内的对内角色和对外角色。普通角色是除接口角色和互操作管理员角色以外的其它角色。(3) 域内管理员角色负责管理本域内普通成员角色及其继承关系。 域间角色互操作

14、管理员角色：负责域间对内角色和对外角色间的继承关系，即域间角色的转换。2.2 IRBAC域间互操作规则策略基于IRBAC模型建立多域互操作模型，如图5所示NH0表示本域的普通角色层次，通过ECA域间审计模块实现本域对外角色对外域对内角色的继承实现。多域环境下IRBAC中，互操作管理员通过ECA多域互操作模型的角色转换原则来对访问本域的对外角色进行对内角色的继承和转换工作，即让外域用户获得访问本域资源的角色身份。角色授权过程如下：图5 IRBAC多域互操作规则策略框架图(1) 当域1中的普通角色A试图继承域2中的普通角色B时，A将会通过本域的对外角色向域间角色继承审计模块提出申请。(2) 域间角

15、色继承审计模块会根据能否获取的用户身份信息决定，将此申请作重定向到身份验证模块(不存在用户身份信息)或者是重定向到域间互操作管理员模块进行下一步的操作。(3) 域间互操作管理员会根据三种角色转换原则和域间角色转换的规则对此申请进行审计,最后发出角色继承的许可或者是返回否决要求。(4) 如果此角色继承的请求得到许可，则域1中的角色A将会通过域2中的对内角色进行域2中普通角色的继承，并将结果反馈给域间角色继承审计模块。在此我们还要对授权步3中的动态角色转换是否违背了静态互斥角约束提出进一步的规则策略。该规则的基本思想是:当域1中的角色A对域2中的角色B进行角色的继承时，域间互操作管理员角色根据域1

16、中由角色A及其子角色申请对外角色中继承的域2中的对内角色，与本次会话中域1中由角色A向域2中申请的本域普通角色进行冲突检测。3 结语本文研究了如何通过建立域间动态角色的转换来实现域间互操作。在本文中域间角色的转换是通过对外角色对外域对内角色的继承来实现的，通过这种方式也就实现了动态角色的转换，而且这种转换是单向的，这样简化了域间角色转换的复杂性，同时提高了域间角色转换的安全性，并且可以建立域间稳定的角色转换关系。当需要改变转换后角色的权限时，只需要变更用户指派的对外角色或者变更对内角色对普通角色的继承关系，不需要对域间的角色转换关系进行更改，从而保证了域间转换关系的稳定性。参考文献：1. OS

17、BON S, SANDHU R. Configuring role-based access control to enforce mandatory and discretionary access control policies. ACM Transactions on Information and System Security J, 2000, 3(2):85-106.2. ELISA BERTINO, A Temporal Access Control Mechanism for Database Systems. IEEE Transactions on knowledge a

18、nd data engineering C, Vol. 8, No. 1, February 19963. JOSHI J B D. A Generalized Temporal Role Based Access Control Model for Developing Secure systemD.West Lafayette: Purdue University, 2003.4. APU KAPADIA, JALAL AL-MUHTADI, R CAMBELL,et al. IRBAC 2000: Secure interoperability using dynamic role translation. University of Illinois, Technical Report： UIUCDCS-R-2000-2162, 20005. SANDHU R, COYNE E, Feinstein H, e