基于双层角色映射跨域授权管理模型.doc

基于双层角色映射跨域授权管理模型 　　摘要： 　　针对传统跨域授权管理模型角色设置方法单一，以及有可能出现隐蔽提升、职责分离冲突等问题，提出一种基于双层角色结构的跨域授权管理模型。通过在管理域内设置双层角色，使得角色的设置与管理更加符合现实需求；采用单向角色映射的方式杜绝映射环路；引入属性、条件等动态因素，实现了权限的动态调整。采用动态描述逻辑刻画了模型中的概念、关系及管理动作。对模型的安全性分析表明，该模型满足自治性和安全性原则。 　　关键词： 信息安全；多域安全互操作；跨域角色映射；授权管理模型；动态描述逻辑 　　中图分类号：TP393.08 　　文献标志码：A 　　0引言 　　随着域间资源共享需求日益突出，跨域授权管理的理论和实现方案成为了研究热点。实现跨域授权管理的主要方法有映射机制、委托机制、策略集成机制等。由于基于角色的访问控制（Rolebased Access Control，RBAC）模型在信息系统中的广泛应用，采用角色映射方法实现域间安全互操作具有较好的通用性和实用性，因而得到了广泛的关注，陆续推出了一系列跨域角色映射模型和实现方案。 　　IRBAC2000[1]实现了两个静态域之间互操作策略的集成，而dRBAC[2]则重点研究动态变化环境下的多域互操作，但这两个模型均存在权限隐蔽提升、职责分离原则冲突等问题。为确保域间互操作的安全性，许多学者从不同角度入手进行了研究和探索。文献[3]通过构造跨域访问路径来保证映射链的安全性和有效性。文献[4]通过设计多域策略集成算法杜绝跨域安全冲突。文献[5-8]则通过引入风险、信任度等因素避免安全违反情况的发生。然而，以上跨域角色映射模型均以经典RBAC为基础进行域内的角色管理，而经典RBAC模型存在角色设置方式单一的问题，无论从组织架构的职能分工角度，还是从应用系统的业务划分角度，均无法很好地实施授权管理，限制了模型的推广应用。 　　本文从实用性的角度，提出了一种基于双层角色架构的跨域授权管理模型，丰富了授权管理语义，在此基础上实现跨域授权管理，并采用动态描述逻辑对模型进行了描述和分析。 　　1动态描述逻辑 　　描述逻辑只能表示和推理静态领域的知识。为了增强描述逻辑的表达能力，文献[9]将描述逻辑、动态逻辑以及动作理论结合起来，提出了动态描述逻辑（Dynamic Description Logic， DDL），形成了能同时处理静态知识和动态知识的形式化逻辑框架。文献[10-11]研究了动作的推理问题，将动作的可实现性、可执行性、投影、规划等问题归约为对特定公式的可满足性问题。文献[12-13]给出了动态描述逻辑的表判定算法，为动作的建模与推理提供了逻辑支持。 　　2模型的基本思想 　　基于RBAC的授权管理中最主要的工作可分为两类：用户授权和角色授权。在大规模的企业或组织中，通常有数量众多的应用系统，如果将角色按照组织架构内的职能分工来设置，为角色授权的工作就变得非常复杂，管理员既需要了解组织架构内人员的具体分工情况，又需要了解应用系统中的业务划分及工作流程。反之，如果将角色按照应用系统内的业务划分来设置，为用户授权的工作则会变得比较烦琐，尤其当应用系统的数量比较多的情况下，负责为用户授权的管理员需要理解所有角色在应用系统内部所具有的权限，授权管理负担重，授权的准确性也难以保证。 　　为解决上述问题，本文将角色的概念进行拆分，在组织层面，按照组织架构中岗位职责的分工情况设置岗位角色；在应用层面，按照应用系统内部的业务划分和工作流程设置应用角色。如图1所示。将角色划分为两个层次，可对授权工作进行更加明确的分工：一方面，熟悉人员分工的管理员对于创建岗位角色、建立用户岗位角色、岗位角色应用角色之间的映射等工作能够轻松胜任；另一方面，熟悉应用系统的管理员能够根据应用系统的功能划分建立应用角色，并为应用角色授权。岗位角色应用角色之间的映射关系通常较为稳定，映射关系一旦建立，后期维护的工作量相对较小。在进行跨域角色映射时，由于岗位角色的设置是基于组织中的职能划分，具有良好的直观性，方便管理员准确地做出跨域角色映射的决策。 　　岗位角色和应用角色均具有层次结构。为了更好地实现角色管理，角色树中包含两类节点：虚节点和角色节点。虚节点不是真实的角色，仅用于构造角色树。在岗位角色树中，虚节点通常是指某个部门；在应用角色树中，虚节点通常是指应用系统或应用系统的集合。应用角色直接与权限相关联，是权限的集合，其层次结构能够体现权限的继承关系。岗位角色树中上下级节点之间是部门间的层次关系和岗位对部门的隶属关系，上下级角色间没有权限继承关系。 　　为了保持各管理域内部策略的独立性，本文采用单向角色映射的思想。在双层角色架构中，单向映射的涵义包含三个方面：其一，在域内