12-DRBAC-动态结盟环境下分布式的RBAC-38.ppt

1、dRBAC: Distributed Role-based Access Control for Dynamic Coalition Environments (TR2001-819) Eric Freudenthal, Tracy Pesin, Lawrence Port, Edward Keenan, and Vijay Karamcheti Department of Computer Science Courant Institute of Mathematical Sciences New York University freudent, tracyp, lport, woodie

2、k, ,DRBAC：动态结盟环境下的分布式的基于角色的访问控制,DRBAC的目标 跨多个管理域的访问控制 DRBAC的三个特征 第三方委托(third-party delegations)：一个实体如果被授予了指派委托(delegation of assignment)后，就可以委托它的名字空间以外的角色，从而提高表现力 值属性(valued attributes)：通过分配和处理与角色有关的数值的机制来调整传递的访问权限 证书预定(credential subscription)：用pub/sub基础设施来跟踪可被回收证书的状态，从而实现对建立的信任关系进行持

3、续监控,1 引言 2 DRBAC纵览(overview) 3 DRBAC模型和理论 4 DRBAC的支撑基础设施 5 DRBAC在更大安全环境中的实例研究 6 相关工作 结论 说明：为了便于讲解，第2部分在第3部分中讲解，第5部分穿插在第1、3部分讲解。,1 引言,1.1 DRBAC产生的应用背景 例1：由A、B和C三个国家的军队组成一个军事联盟，正在举行联合军事演习。A国方面的视频设备获得一些视频信息，A国军队指定史密斯将军(Smith General)既可以观察视频信息又可以将这个权力委托给参加军事演习的B国和C国军队，实现动态结盟环境下的资源共享。 提出的问题是：在结盟环境中如何控制对资

4、源的访问？ 1.2 挑战 结盟的成员如何相互证明自己的身份 在访问控制系统中如何认识和维持组织的自然结构 如何支持第三方委托 如何持续监控已建立的信任关系,1.3 现有的解决方案分析,1.4 DRBAC的提出 DRBAC综合了传统的基于角色的访问控制和信任管理系统的优点 DRBAC的三个特征： 第三方委托(third-party delegations)：一个实体如果被授予了指派委托(delegation of assignment)后，就可以委托它的名字空间以外的角色，从而提高表现力 值属性(valued attributes)：通过分配和处理与角色有关的数值的机制来调整传递的访问权限 证书

5、预定(credential subscription)：用pub/sub基础设施来跟踪可被回收证书的状态，从而实现对建立的信任关系进行持续监控,3 DRBAC模型和理论,3.1 委托的基本模型(Base model for delegations) 3.1.1 实体(Entities) 定义：实体是代表一个主体(principal)或资源的公钥，定义了包含角色的名字空间 形式：加密公钥和一个可读的名字 例子：AirNet, BigISP, Maria, Sheila 说明：所有的资源和主体都被看作“实体”。比如资源、主体(principal)、用户(user)、主机、服务、个体。它既可以代表个

6、体的集合，也可以是具体的个体，例如，“A国军队”可以是一个实体；而“史密斯将军”也是一个实体；并且“视频设备”也是一个实体 通过公/私钥对来唯一的标识一个实体。根据公钥密码学的相关理论，公/私钥对在全局范围内是唯一的,3 DRBAC模型和理论,3.1.2 角色(Roles) 定义：实体名字空间里的一个名字(与实体的名字捆绑在一起) 形式：Entity.LocalName 例子：AirNet.Access,AirNet.mktg, BigISP.member 说明:dRBAC的核心组件就是角色。系统将受保护资源的访问权限都指派给相应的角色，用户通过角色获得对系统资源的访问权限 “Camera.V

7、iew”就表示在视频设备（Camera）实体内定义的一个角色“View”，它代表了对视频信息的查看权限。用户必须具有“Camera.View”角色才能查看视频信息 dRBAC试图回答的关键问题是：“用户P拥有角色R吗”？,3.1.3 委托(Delegations) 定义：将某个对象的访问权授予给某个主体的签名证书 形式：SubjectObjectIssuer （一般形式） Subject(主体)是一个角色或实体，Object(对象)是一个角色，Issuer (发布者)是一个实体。 “”读作“拥有角色”(“”can be read as “has the role of”)。发布者通过创建委托，

8、以自己的名义将客体角色授予给主体 说明：角色通过委托（Delegation）授予给客体。从一般意义上而言，委托具有托付给别人做某些事情的含义。例如“Alice委托给Bob一些权利” 意思就是：Alice以自己的名义授予给Bob行使某些任务的权限 通常，客体实体和发布者是同一个实体，是“自我证明”的(“self-certifying” delegation)。实体都有权将自己内部的任何角色指派给别的主体，所以“自我证明”委托都是有效的。这基于自主访问控制的安全策略。所有的委托都是由自我证明的委托所发起的,3.1.4 三种主要类型的委托 (1)对象委托(Object Delegation)：发布者

9、(Issuer)A将角色A.a 授予给某个主体(Subject)，这个角色定义在A的名字空间里 形式：SubjectA.aA 例子：A.role1 B.role2B Subject是角色，实体B将角色B.role2指派给A.role1，使得具有角色A.role1 的用户获得了角色B.role2的权限。类似于IRBAC2000描述的角色映射技术。主体A还可以将A.role1进一步（间接地）委托给其他的主体，即将B.role2的角色继续向下传递委托 A B.role2B Subject是实体，实体B将角色指派给主体，使得主体A具有角色B.role2的权限。此种委托类似于RBAC中的用户角色指派，即

10、将角色B.role2指派给主体A。 在这种情况下，主体A不能再进一步将角色B.role2委托给别的主体。因为实体不能将身份委托给别人,(2)指派委托(Assignment Delegation)：实体B把指派角色A.a给其他实体的权力委托给某个Subject。能够将某个角色授予给相应的主体或角色的能力称为该角色的“分配权”或“指派权” 形式：SubjectA.aB A.a表示A.a的指派权(right of assignment) 例子：A B.role2B 说明：实体B将角色B.role2分配权指派给主体A，使得主体A可以将角色B.role2指派给别的主体。 分配权的含义类似于RBAC中的管

11、理角色，可以把主体A看作是角色B.role2的管理角色，主体A能够将角色B.role2指派给其他的主体或角色 基于自主访问控制的策略，主体A拥有自身内角色的分配权，并没有实体B内角色的分配权。但是主体B通过发布分配委托，授予主体A对角色B.role2的分配权。在此基础上，A获得了实体B内部角色的指派权限，从而引发了下面的“第三方委托”,(3)第三方委托(Third-Party Delegation)：发布者B委托A的名字空间里的一个角色给某个主体，A和B是不相同的实体 形式：SubjectA.aB 例子：BigISP.memberAirNet. MemberSheila 说明：第三方委托是通过

12、指向(refer to)对象的名字空间来分发(give away)对象的角色，而不是发布者自己的名字空间 在第三方委托中，发布者(Issuer)必须具有对象的指派权力(the right of assignment on the object)。这可通过指派委托来实现。 下文举例说明该问题,(3)第三方委托(Third-Party Delegation)举例 D B.b B 主体B将角色B.b的分配权指派给D。主体D获得了角色B.b的分配权，可以将角色指派给其他的主体或角色 C B.b D 该委托是第三方委托，主体D将角色B.b的分配权指派给主体C。主体C获得了角色B.b的分配权 A B.b

13、C 该委托是第三方委托，主体C将角色B.b指派给主体A 将委托（1）（2）（3）组合起来就构成了一个有效的授予实体A角色B.b的委托链，实体A就具有了角色B.b的访问权限 通过这种方式，每个实体就变成自己的认证中心（CA）。自我证明的委托就避免了对外部第三方的依赖，直接由发布委托的主体对委托链进行自我证明,第三方委托的好处： 减少名字空间的冲突 如果一个用户，比如Alice，想要指派(assign)角色CameraB.view，而她自己名字空间的view属性(attribute)已被使用了，怎么办？如果使用第三方委托，她可以通过指向 CameraB的名字空间来明确指派CameraB.view，

14、这样， CameraB和Alice不需要在他们各自的名字空间里对view的含义取得一致意见。而如果使用对象委托，她就需要找一个新的角色名字来使用，或者使在他们各自的名字空间里对view的含义取得一致意见 增强了表现力 第三方委托能创建一些对象委托中所没有的能力(capabilities),实例分析1 例1：BigISP和AirNet是市场合作伙伴，BigISP的成员可以使用AirNet的服务。Sheila是AirNet的市场部管理人员，管理这个业务。Maria，一个BigISP成员，想要用她的成员资格登录到AirNet 实例中包含的实体 AirNet公司、BigISP公司、管理人员Sheila

15、、BigISP公司成员Maria，这些实体分别简写为：AirNet、BigISP、Sheila、Maria。 实例中包含的角色 AirNet公司市场部管理员、BigISP公司的员工和AirNet公司的服务等，即AirNet. Mktg、BigISP. Member、AirNet. Access。 AirNet公司服务的访问权限被指派给AirNet. Access角色,实例中包含的委托 这个实例体现了以下关系： (1) AirNet的成员可以使用AirNet的服务 AirNet.memberAirNet.Access AirNet (2)市场部管理人员管理这个业务 AirNet.mktgAirN

16、et. Member AirNet (3) Sheila是AirNet的市场部管理人员 SheilaAirNet.mktg AirNet BigISP.memberAirNet. MemberSheila (4) Maria是一个BigISP成员 MariaBigISP.memberBigISP,MariaBigISP.memberBigISP BigISP.memberAirNet. memberSheila AirNet.memberAirNet.Access AirNet,问：Maria是否有权使用AirNet的服务，即Maria是否拥有角色AirNet.access？(Maria =

17、AirNet.access),SheilaAirNet.mktg AirNet AirNet.mktgAirNet. Member AirNet,主链(Primary Chain),支持链(Supporting Chain),证书(Credential),证据(Proof) 子证据(Sub-Proof) 证据监控(Proof Monitor),实例分析2 例1：由A、B和C三个国家的军队正在举行联合军事演习。A国方面的视频设备获得一些视频信息，A国军队指定史密斯将军(Smith General)既可以观察视频信息又可以将这个权力委托给参加军事演习的B国和C国军队。Alice、Joe分别是A国和

18、B国的军士，Bob和Carle是B国和C国的将军 实例中包含的实体 A国军队、B国军队、C国军队、视频设备、Smith将军、Bob将军、Carle将军、Alice军士、Joe军士，简写：A、B、C、Camera、Smith、Bob、Carle、Alice、Joe 实例中包含的角色 简写为：A.General、B. General、C. General、A. Soldier、B. Soldier、Camera. View。 视频信息的访问权限被指派给Camera. View 角色,实体Camera将角色Camera. View分配权授予给角色A. General： A. GeneralCamer

19、a. View Camera （6.1） 实体A将角色A. General指派给Smith： SmithA. General A （6.2） 实体Smith将角色Camera. View指派给实体和角色： AliceCamera. View Smith （6.3） B. GeneralCamera. View Smith （6.4） C. GeneralCamera. View Smith （6.5） 实体B将角色B. General和B. Soldier分别指派给实体Bob和Joe： BobB. General B （6.6） JoeB. Soldier B （6.7） 实体C将角色C. G

20、eneral指派给实体Carle： CarleC. General C （6.8）,AliceCamera. View Smith,问：哪些用户拥有角色Camera. View ？(Maria = AirNet.access)： Alice！,SmithA. General A A. GeneralCamera. View Camera,主链(Primary Chain),支持链(Supporting Chain),证书(Credential),证据(Proof) 子证据(Sub-Proof) 证据监控(Proof Monitor),BobB. General B B. GeneralCame

21、ra. View Smith,问：哪些用户拥有角色Camera. View ？(Maria = AirNet.access)： Bob！,SmithA. General A A. GeneralCamera. View Camera,主链(Primary Chain),支持链(Supporting Chain),证书(Credential),证据(Proof) 子证据(Sub-Proof) 证据监控(Proof Monitor),CarleC. General C C. GeneralCamera. View Smith,问：哪些用户拥有角色Camera. View ？(Maria = Air

22、Net.access)： Carle ！,SmithA. General A A. GeneralCamera. View Camera,主链(Primary Chain),支持链(Supporting Chain),证书(Credential),证据(Proof) 子证据(Sub-Proof) 证据监控(Proof Monitor),JoeB. Soldier B B. Soldier Camera. View Smith,问：哪些用户拥有角色Camera. View ？(Maria = AirNet.access)： Joe ?,SmithA. General A A. GeneralCa

23、mera. View Camera,主链(Primary Chain),支持链(Supporting Chain),证书(Credential),证据(Proof) 子证据(Sub-Proof) 证据监控(Proof Monitor),证书链(Credential Chains) 角色在主体之间的传递成为证书链。(The transitive passing of Roles from principal to principal can be imaged as Credential Chain) 支持链(Supporting Chains) 用来证明用户U有进一步委托不在它的名字空间里的角

24、色R的权限，并且以R的创建者为根的证书链。 证据(Proofs) 回答“主体(principal)P 拥有角色R吗？”这个问题所需的证书链和支持链的全部集合就称作证据 子证据(Sub-Proofs) 主链中委托的连续子集，包含所有需要的支持链 说明：所有有效的证书链均以“自证明”委托(“self-certifying” delegation)结束,3 DRBAC模型和理论,3.2 基本委托模型的扩展(Extensions to Base Delegation Model) 例3：BigISP和AirNet是市场合作伙伴，BigISP的成员可以以一种受限制的方式使用AirNet的服务。如，更小的

25、带宽，更少的存储空间，更少的每月在线时间。Sheila是AirNet的市场部管理人员，管理这个业务。Maria，一个BigISP成员，想要用她的成员资格登录到AirNet 提出的问题是：如何控制访问的级别或者服务的质量？ 解决的办法：设置和处理值属性(Valued Attributes) 3.2.1 值属性(Valued Attributes) 定义：实体名字空间里的一个名字，它能被设置数值以便调整访问级别。与角色委托相结合，一个或更多的值属性可以被设置,形式：SubjectObject with A.ValuedAttribute1 = =* C 例子：AirNet.memberAirNet

26、.access with AirNet.BW = 200 and AirNet.storage = 50 and AirNet.monthlyHrs = 60 AirNet 说明：A，B，C可以是相同的实体，也可以不相同 值属性存在于一个给定实体的名字空间里，但是他们与实体的角色的集合分开 只有设置对象角色的名字空间里定义的属性或者被对象角色继承的属性才有意义,3.2.2 值属性的指派委托(Delegation of Assignment for Valued Attributes) 定义：这些委托给予主体在它创建的进一步委托中设置对象属性的权力 形式：SubjectEntity.Valued

27、Attribute= Issuer 例子：AirNet.mktgAirNet.BW AirNet AirNet.mktgAirNet.storage- AirNet AirNet.mktgAirNet.monthlyHrs= AirNet AirNet.mktgAirNet.member with AirNet.BW and AirNet.storage- and AirNet.monthlyHrs= AirNet,例3：在例1应用背景需求的基础上，添加访问级别的安全需求，要求A国军官收到的视频数据比其他国家的军官具有更高的图像分辨率和更短的时间延迟 定义如下的值属性： Camera.Dela

28、y：表示视频信息延迟多长时间，初始值为0；Camera.Rez：表示视频的图像分辨率的高低，分辨率的变化范围是从0到1，其中0表示视频分辨率最低，1表示分辨率最高，初始值为1 然后定义如下操作符和参数数值： +：对数值属性加一个正值，值越高就表明延迟时间越长，基值是0 *：对数值属性乘以一个0到1之间的正值。值越大就表明图像分辨率越高，最大的值是不大于1，表明图像分辨率不可能比发布者主体自己所拥有的分辨率更高,例3：在例1所发布委托的基础上，添加委托中对值属性的支持如下 在例1中，（6.1）委托的含义是实体Camera将角色Camera. View分配权授予给角色A. General。在此例中

29、，实体Camera还需要将调整值属性的分配权也指派给角色A. General，所以将（6.1）委托修改如下： A. GeneralCamera. View Camera （6.13） A. GeneralCamera. Delay += Camera （6.14） A. GeneralCamera. Rez *= Camera （6.15）,例3在例1中，（6.3）、（6.4）、（6.5）委托的含义是实体Smith发布第三方委托，将角色Camera. View指派给实体Alice、角色B. General、角色C. General。在此例中，主体Smith发布委托时，根据授权对象不同，需要对值

30、属性进行相应的调整，所以将（6.3）、（6.4）、（6.5）委托修改如下： AliceCamera. View with Camera.Delay += 0 and Camera.Rez *= 1 Smith（6.16） B. GeneralCamera. View with Camera.Delay += 1 and Camera.Rez *= 0.5 Smith（6.17） C. GeneralCamera. View with Camera.Delay += 1 and Camera.Rez *= 0.5 Smith（6.18） 例1中其他的委托不需要修改,例3根据上述的实体、角色和发布

31、的委托以及值属性设置，可以看出Alice、Bob和Carle具有对视频信息的访问权限 但是根据委托 (6.16) 、(6.17) 、(6.18)中值属性的设置不同，可以看出Alice具有最短的延迟时间，延迟时间为0；具有最高的图像分辨率，分辨率值为1。Bob和Carle的延迟时间为1；图像分辨率为0.5,4 DRBAC的支撑基础设施,4.1 功能需求 在分布式环境下配置dRBAC需要健壮的基础设施实现下列功能： 分配(Distribution)：提供一种为新委托发布者发布这些委托的方法，以便其他实体都可以发现这些委托 发现(Discovery)：当出现“实体x拥有角色y吗？”这个问题时，找到一组有效的从x到y的委托链，或者报告不存在这样的链 有效性(Validation)：一旦确认了一个委托链，验证链中每一个委托的签名，并且检查截止日期 监控