專利名稱:基于映射非傳遞性的多域間rbac策略沖突解決方法
技術領域:
本發(fā)明是一種網絡訪問控制領域的策略沖突解決方法����,具體地說,是一種基于映射非傳遞性的多域間RBAC策略沖突解決方法�����。
背景技術:
隨著互聯(lián)網和社會的發(fā)展,分布式系統(tǒng)間信息與資源共享的需求越來越緊迫和頻繁�,如何整合各個獨立域的策略,從而提供并保證一套安全的多域間互操作機制至關重要�。基于角色的訪問控制(RBAC)是目前最為廣泛接受的訪問控制模型���?����;赗BAC的多域間策略合成方法主要是角色映射�,即通過建立域間角色對等關系來互訪資源���,其方法包括基于權限和非基于權限兩類��。其中����,基于權限的角色映射方法粒度較細��,安全性較高����。它又可以 分為兩類��,靜態(tài)映射與動態(tài)映射����。其中�����,靜態(tài)映射是有協(xié)調中心的����,適合緊耦合系統(tǒng)的,基于全局的映射方式�。這種方法基本特點包括一是角色映射都是基于角色的權限進行�����,可以保證角色在策略合成后不會獲得本來不具有的權限�����;二是靜態(tài)映射方法沒有動態(tài)映射方法所導致的域間訪問的計算開銷��。本發(fā)明主要用于在基于權限的靜態(tài)映射的RBAC策略合成過程中的沖突解決�。經對相關技術文獻檢索后發(fā)現(xiàn)�����,2005年Shafiq等人在《Knowledge andDataEngineering))上發(fā)表的((Secure Interoperation in a Multi-Domain EnvironmentEmployingRBAC Policies)) 一文中提出了一種比較好的靜態(tài)映射的RBAC策略合成框架����,即先進行域間角色映射�,再把沖突解決問題轉換為整數規(guī)劃的最優(yōu)化問題。其主要思想是根據兩個域間角色的公共權限和公共子角色創(chuàng)建新角色進行映射����,可以解決在I角色層次下的多域間策略合成問題,同時支持靜態(tài)SOD約束�����。但是這個方法有如下缺陷①沒能在A(激活)角色層次下���,甚至混合角色層次下進行策略合成與沖突解決��;②無法支持動態(tài)權限分離SOD約束����;③不支持多域間存在兩兩禁止交互的情況�;④算法整體復雜度為指數級����,難以處理舊域離開����、新域加入的變動情況。這些問題期待著一種更有效率的沖突解決算法�����。根據RBAC模型的PI (高級角色繼承低級角色的權限)�,Π (低級角色繼承高級角色的用戶)屬性,本發(fā)明假設混合角色層次由A角色層次和I (繼承)角色層次構成��,其中���,I層次為PI與UI特性的組合,并且子角色在一個會話session中自動激活�,本文用^ fr2表示rl為r2的I繼承高級角色,若省略上標星號���,則表示直接繼承關系��。A層次僅為UI特性�����,子角色在一個會話session中需要申請激活�。本文用d $ f2表示rl為r2的A繼承高級角色,若省略上標星號�,則表示直接繼承關系。
發(fā)明內容
在多域合成過程中�����,策略的沖突解決是關鍵問題�����。ANSI所定義的RBAC標準明確了靜態(tài)權限分離SSOD與動態(tài)權限分離DSOD約束的重要性�����,而混合角色層次是這兩個約束的基礎前提�。針對需要緊密合作的多域間合作問題,目前多域間策略合成與沖突解決方法中�����,缺少對于混合角色層次的有效支持���,而且現(xiàn)有的靜態(tài)映射方法復雜度很高��,同時不支持多域間可能存在的禁止某兩域互訪的情況���。為了解決上述問題�,本發(fā)明在上述研究的基礎上�,提出了一種基于映射非傳遞性的多域間RBAC策略沖突解決方法。它支持SSOD與DSOD約束��,支持部分域禁止互訪的多域間合作需求�����,可以求得最優(yōu)的全局策略��,同時算法復雜度較低��,具有高效實用的應用前景����。本發(fā)明提出了一種基于映射非傳遞性的多域間RBAC策略沖突解決方法�,框圖如圖I所示。它的應用場景在N個RBAC域間�����,根據域間互訪矩陣建立兩兩域間映射后,可能存在策略沖突的情況����,應用本發(fā)明的沖突解決算法,可以定義一套最優(yōu)性標準并從所有映射關系集合中選出滿足該最優(yōu)性的一套映射關系���,從而化解域間的策略沖突����,得到完全滿足安全性和自治性的全局最優(yōu)策略���。本發(fā)明的前提假設是若不考慮域間映射的影響�����,在沖突解決之前���,作為輸入策略的各個域內部滿足其自身的 SSOD約束。由于��,DSOD約束沖突可以在系統(tǒng)正常運行過程中由系統(tǒng)中心動態(tài)檢測與化解,而角色層次關系沖突可以被映射的非傳遞性消除����,所以合成結果中僅違反SSOD約束沖突的情況,需要交由后續(xù)的沖突解決算法來去除不合理映射�,得到最優(yōu)的全局策略。在介紹具體發(fā)明算法前���,首先把相關的概念定義和具體說明羅列如下�����。定義I域間互訪矩陣IDAM對于N個域的策略合成問題�,域間互訪矩陣IDAM= (IDAMij) N���,其中 =1�,2···Ν���,j=l, 2…N�����,元素lDAM_;i€{0,l丨�����,當為I時表示第j個域可以訪問第i個域的資源��,當為O時表示禁止訪問����。說明I約束策略表示法關于約束策略(包括SSOD與DSOD約束)先說明兩點���。首先���,本發(fā)明為了算法表述的便利性,默認用t-t規(guī)范形式(形如(rl����,r2,r3�����,3)的SOD約束表示法)并省略參數t的方式來表示約束關系�����,例如(rl,r2�,r3)出現(xiàn)在SSOD約束策略中則代表這三個角色不能同時賦予給一個用戶,若出現(xiàn)在DSOD約束策略中則代表這三個角色不能同時被一個用戶激活�。其次,本發(fā)明用集合SSOD-set表示一個域原始的靜態(tài)職責分離約束集���,就是約束關系沒有向高級角色擴展的最底層的約束集����;而高級角色繼承低級角色的靜態(tài)職責分離約束關系后形成的全部約束集合用ex-SSOD-set表示��;DS0D-set為動態(tài)職責分離約束集����,表示指定的幾個角色不能同時被同一個用戶激活。關于角色映射表示法,設Iei ���; rl,G2 �; r2表示從域Gl的角色rl到域G2的角色r2的一個映射關系�����,在單獨考慮兩個域且沒有重名的影響下�,可以簡寫為Iri,r2���,域Gl到域G2所有的映射集合設為RMei^e2t5定義2映射的三個屬性本發(fā)明提出了映射關系具有三個屬性,分別是方向性�����、繼承性和非傳遞性�����。方向性是指根據映射的方向�����,源方向的角色作為目標方向角色的高級角色����;繼承性是指兩個映射角色之間的角色層次關系��,可以是I層次也可以是A層次�����;非傳遞性是指映射只對涉及到的兩域可見��,與其中一域相連的第三方域的用戶不能通過使用該映射作為傳遞中介進入另一個域進行訪問操作。映射非傳遞性的重要性在于(I)外域的被映射角色不能與本域子角色同等對待��,不然會混淆本域角色層次結構��,不利于之后的角色映射�����。如圖2所示�����,G2域映射至G3域后無法于Gl域順利合成����。(2)N個域間存在并非都可以兩兩互訪的情況,映射的非傳遞性可以防止第三方通過中介映射訪問被禁止的資源���,可如圖3所示�。定義3角色映射的分類本發(fā)明把域間角色映射分為如下兩類①受限映射�����。如附圖
4所示�,如果存在一個映射關系e RMe2^ei�����,同時Gl域內存在角色r」?jié)M足(rk彡*rj) Λ (r」e e) Λ (e e SSOD-set)���,則稱1H, A為G2到Gl的關于r」的一條受限映射,并設rj的所有受限映射集合為Lhnm設G2到Gl的所有受限映射集合為Lre2I115②自由映射�。若某映射e RMe2^ei,但非受限映射�,則稱該映射為自由映射�����,并設G2到Gl的自由映射集合為Lfe2I115顯然����,自由映射不影響域內的安全性。定義4用戶角色分配 設布爾型變量Wrj為用戶角色分配�����,表示用戶Ui對角色rj的擁有與否���。Wrj=I表示該用戶擁有該角色���,UA=O則表示該用戶不擁有該角色��。任意一個SSOD約束��,例如(rl���,r2,r3)��,我們可以用如下限制條件表示該約束關系對于任意用戶Ui需滿足uir1+uir2+uir3<30定義5受限通路如附圖4所示��,設布爾型變量rk = Iri, A^ri為受限通路(實線箭頭標識)�����,表示外域任意用戶Ux是否可通過外域角色A和關于本域角色h的一條受限映射獲得本域角色當ι·ρΗ =1時表示該受限通路打開�,用戶Ux可通過ri與該受限映射獲得rj角色;反之受限通路關閉�����,用戶需要從其他受限通路獲取本域角色����。我們可以把rp&ud稱為關于本域角色h的一條受限通路��,并且定義RP .為關于角色&的受限通路集合����。定義6任意用戶Ux的最廣約束角色集假設某域Gi中存在擴展SSOD約束集合為ex-SSODi-set��,對于任意元素e e ex-SSODi-set���,域Gi中假想的任意用戶Ux因為必須滿足SSOD約束���,所以最多只能擁有e中Ie卜I個元素。依次遍歷ex-SSODi-set中所有元素��,在滿足安全性條件下取出該約束關系中最多數目的角色����,直至遍歷完成���,所取出的不同角色的集合稱之為任意用戶Ux的一個最廣約束角色集���。按照所取先后次序不同,所取出的不同角色集所組成的集合稱之為任意用戶Ux的最廣約束角色集的限定集�����。定義7任意用戶Ux的最廣角色集對于任意用戶Ux的每一個最廣約束角色集,都存在唯一的一個最廣角色集包含前者的所有元素,同時包含該域中所有的非約束角色(即不存在于擴展SSOD約束中的角色)����。任意用戶Ux的所有最廣角色集的集合稱之為任意用戶Ux的最廣角色集的限定集。本發(fā)明中的沖突解決模塊算法首先對問題進行了分解�,把N個域的策略沖突問題分解為多個由單域和另外一個域指向該域的映射集合組成的SSOD約束沖突問題,并將該子問題轉換為0-1規(guī)劃的最優(yōu)化問題����,各子問題的最優(yōu)解的合成就是全局最優(yōu)解。所以本模塊策略沖突解決算法就是循環(huán)調用多個0-1規(guī)劃最優(yōu)化算法的過程���。本發(fā)明提出一種基于映射非傳遞性的多域間RBAC策略沖突解決算法Conflict-Resolution (Gl, G2,…�����,Gn, IDAM)���,其輸入為已建立了域間角色映射的N個域策略,以及域間互訪矩陣IDAM��。它的基本思想是根據域間互訪矩陣確定所有存在映射關系的兩個域,分別對單獨的兩個域進行沖突化解�,最終得到全局最優(yōu)解。它主要分為如下5個步驟根據本發(fā)明提供的基于映射非傳遞性的多域間RBAC策略沖突解決方法����,其特征在于,包括如下步驟步驟I :令所有域間映射為非傳遞性映射�;依次遍歷域間互訪矩陣各元素,若域間互訪矩陣的元素IDAMij=I,則順序執(zhí)行步驟2飛來解決Gj域對Gi域的映射所導致的SSOD約束沖突問題�,直至遍歷完所有元素;經過遍歷所有域間互訪矩陣IDAM元素后�����,各子問題中不合理的映射關系已被去除�����,剩下為最優(yōu)的全局策略����,結束本方法操作��;步驟2 :根據定義���,找到受限映射集合;跳轉并執(zhí)行步驟3 �;步驟3 :針對Gi域內的SSOD-set集合,進行映射關系和SSOD約束轉換����;并根據任意用戶Ux的最廣角色集的限定集,確定SSOD約束式的最簡安全集合���;跳轉并執(zhí)行步驟4�,其 中��,SSOD-set集合表示一個域原始的靜態(tài)職責分離約束集�;步驟4 :選取合適的權重參數C,結合步驟3中產生的約束集��,定義0-1規(guī)劃問題來求解各受限映射的值���;跳轉并執(zhí)行步驟5 ����;步驟5 :對于最優(yōu)化結果等于O的受限映射�,在全局策略中去除該映射,輸出相關處理結果后返回步驟I����。優(yōu)選地�����,所述步驟I包含了非傳遞性映射的定義����,即非傳遞性是指若一個域A的某用戶通過某映射進入另一個域B��,只能獲得該域B的本地角色權限���,該域B的所有對外映射關系對其不可見�,無法再次映射���。優(yōu)選地����,所述步驟2具體為找出Gj域指向Gi域的所有映射�����,根據受限映射定義�����,分別查看每一條映射��,若為受限映射�����,則把它放入集合中��;其中�����,受限映射的定義為如果存在一個映射關系e RMg2^gi,同時Gl域內存在角色&滿足(rk彡*rj) Λ e e) Λ (e e SSOD-set)�,則稱lri,rk為G2到Gl的關于r」的一條受限映射�,并設r」的所有受限映射集合為設G2到Gl的所有受限映射集合為Lre2^,其中,RMg2^G1為域G2到域Gl所有的映射集合�����,(rk彡*r)表示rk是r」的直接或間接的高級角色����,e為一個SSOD約束���。優(yōu)選地,所述步驟3具體為先進行映射關系轉換����,隨后進行SSOD約束轉換,最后進行SSOD約束式的最簡安全集合的轉換,其中,相關約束轉換規(guī)則如下規(guī)則(I)映射關系轉換任意映射為布爾型變量����,要么取0,要么取I ;若為自由映射即Im e Lfe2^1,則Im=I ;若為受限映射即Im e Lre2 —ei����,則其值為最優(yōu)化問題的變量,需要滿足該域內SSOD約束��;其中��,Lfe2^ei表示G2域到Gl域的自由映射集合���,Lrc2^ci表示G2域到Gl域的所有受限映射集合����;規(guī)則(2)SS0D約束轉換對于Gl域內任意一個SSOD約束�,該約束中至少存在一個角色���,滿足該角色的受限通路全關閉����;根據受限通路的定義,可得SSOD約束式��;規(guī)則(3) SSOD約束式的最簡安全集合的轉換根據定義�����,取得任意用戶Ux的最廣角色集的限定集�,對于該限定集合中的每一個元素,即任意用戶Ux的每一個最廣角色集��,任意用戶Ux擁有該角色集中每一個角色令U^i=I ;把相關等式代入規(guī)則(2)中的SSOD約束式中��,則每一個最廣角色集對應一套化簡后的SSOD約束式����;由任意用戶Ux的最廣角色集的限定集則對應得到SSOD約束式的最簡安全集合。優(yōu)選地�����,所述步驟4具體為根據客戶需求,選取最優(yōu)化目標式中受限映射的權重參數C ;把步驟3中得到的映射關系式和SSOD約束式的最簡安全集合一起作為最優(yōu)化的約束關系式��,則得到最優(yōu)化問題并利用數學界現(xiàn)有的計算方法求解��;其中���,最優(yōu)化問題的形式有如下的兩個0-1規(guī)劃問題Ql和Q2��,其中Ql含有非線性SSOD約束�����,Q2含有線性SSOD約束����,但后者約束關系式多于如者����,
權利要求
1.一種基于映射非傳遞性的多域間RBAC策略沖突解決方法,其特征在于�,包括如下步驟 步驟I :令所有域間映射為非傳遞性映射;依次遍歷域間互訪矩陣各元素�����,若域間互訪矩陣的元素IDAMu=I,則順序執(zhí)行步驟2飛來解決Gj域對Gi域的映射所導致的SSOD約束沖突問題,直至遍歷完所有元素����;經過遍歷所有域間互訪矩陣IDAM元素后,各子問題中不合理的映射關系已被去除���,剩下為最優(yōu)的全局策略,結束本方法操作���; 步驟2 :根據定義����,找到受限映射集合Lr^ei ;跳轉并執(zhí)行步驟3 ���; 步驟3 :針對Gi域內的SSOD-set集合���,進行映射關系和SSOD約束轉換;并根據任意用戶Ux的最廣角色集的限定集���,確定SSOD約束式的最簡安全集合�;跳轉并執(zhí)行步驟4���,其中��,SSOD-set集合表示一個域原始的靜態(tài)職責分離約束集���; 步驟4 :選取合適的權重參數C�,結合步驟3中產生的約束集����,定義0-1規(guī)劃問題來求解各受限映射的值;跳轉并執(zhí)行步驟5 ��; 步驟5 :對于最優(yōu)化結果等于O的受限映射�,在全局策略中去除該映射,輸出相關處理結果后返回步驟I���。
2.根據權利要求I所述的基于映射非傳遞性的多域間RBAC策略沖突解決方法��,其特征在于�����,所述步驟I包含了非傳遞性映射的定義���,即非傳遞性是指若一個域A的某用戶通過某映射進入另一個域B���,只能獲得該域B的本地角色權限,該域B的所有對外映射關系對其不可見��,無法再次映射�����。
3.根據權利要求I所述的基于映射非傳遞性的多域間RBAC策略沖突解決方法�,其特征在于����,所述步驟2具體為找出Gj域指向Gi域的所有映射,根據受限映射定義�����,分別查看每一條映射�����,若為受限映射����,則把它放入集合中�����;其中�,受限映射的定義為如果存在一個映射關系1&1;£觀(�;2 — (;1���,同時61域內存在角色1'」?jié)M足(rk彡*r」)Λ (r」e e) Λ (e e SSOD-set),則稱為G2到Gl的關于rj的一條受限映射���,并設rj的所有受限映射集合為Lr rJ:G2.G1,設G2到Gl的所有受限映射集合為Lre2^ei,其中����,RMe2^為域G2到域Gl所有的映射集合,(rk彡*rj)表示rk是r」的直接或間接的高級角色�,e為一個SSOD約束。
4.根據權利要求I所述的基于映射非傳遞性的多域間RBAC策略沖突解決方法��,其特征在于�,所述步驟3具體為先進行映射關系轉換,隨后進行SSOD約束轉換�����,最后進行SSOD約束式的最簡安全集合的轉換,其中�,相關約束轉換規(guī)則如下 規(guī)則(I)映射關系轉換任意映射為布爾型變量,要么取0�����,要么取I ;若為自由映射即e Lfe2^JiJ Im=I ;若為受限映射即Im e Lre2 —ei�,則其值為最優(yōu)化問題的變量,需要滿足該域內SSOD約束�;其中,Lfe2^表示G2域到Gl域的自由映射集合��,Lre2^表示G2域到Gl域的所有受限映射集合��; 規(guī)則(2) SSOD約束轉換對于Gl域內任意一個SSOD約束�,該約束中至少存在一個角色����,滿足該角色的受限通路全關閉;根據受限通路的定義���,可得SSOD約束式���; 規(guī)則(3) SSOD約束式的最簡安全集合的轉換根據定義���,取得任意用戶Ux的最廣角色集的限定集,對于該限定集合中的每一個元素����,即任意用戶Ux的每一個最廣角色集,任意用戶Ux擁有該角色集中每一個角色令U^i = I ;把相關等式代入規(guī)則(2)中的SSOD約束式中�����,則每一個最廣角色集對應一套化簡后的SSOD約束式�;由任意用戶Ux的最廣角色集的限定集則對應得到SSOD約束式的最簡安全集合。
5.根據權利要求I所述的基于映射非傳遞性的多域間RBAC策略沖突解決方法�,其特征在于,所述步驟4具體為根據客戶需求���,選取最優(yōu)化目標式中受限映射的權重參數c ;把步驟3中得到的映射關系式和SSOD約束式的最簡安全集合一起作為最優(yōu)化的約束關系式����,則得到最優(yōu)化問題并利用數學界現(xiàn)有的計算方法求解���;其中���,最優(yōu)化問題的形式有如下的兩個0-1規(guī)劃問題Ql和Q2�,其中Ql含有非線性SSOD約束��,Q2含有線性SSOD約束�,但后者約束關系式多于前者,
6.根據權利要求I所述的基于映射非傳遞性的多域間RBAC策略沖突解決方法�����,其特征在于�����,所述步驟5具體為根據步驟4中計算結果��,取出為O的映射變量并消除該映射關系��,同時對本次循環(huán)體內該子問題的最優(yōu)化的結果做記錄�,并輸出該子問題的相關處理內容反饋給用戶。
全文摘要
本發(fā)明提供了一種基于映射非傳遞性的多域間RBAC策略沖突解決方法�����,其輸入為已建立了域間角色映射的N個域策略���,以及域間互訪矩陣IDAM��,基本思想是根據域間互訪矩陣確定所有存在映射關系的兩個域�,分別對單獨的兩個域進行沖突化解����,最終得到全局最優(yōu)解。與相關的沖突解決算法相比����,本發(fā)明能夠有效地在各域間去除不合理的角色映射,找到最優(yōu)的全局訪問控制策略�����,在跨域合作越來越頻繁和緊密的今天����,具有非常廣泛的應用前景。
文檔編號H04L29/06GK102946382SQ201210408999
公開日2013年2月27日 申請日期2012年10月23日 優(yōu)先權日2012年10月23日
發(fā)明者潘理, 周鑫, 訾小超 申請人:上海交通大學