专利名称:一种多域间基于rbac模型的访问控制策略合成方法
技术领域:
本发明的是一种网络访问控制领域的策略合成方法,具体地说,是一种多域间基于角色的访问控制(RBAC)策略合成方法。
背景技术:
随着互联网和社会的发展,各个领域间的协同工作变得越来越重要,越来越多的资源需要在不同域间共享,因此就需要一种能够保持域内自治性,同时又最大限度的满足域间资源共享的访问控制策略。基于角色的访问控制(RBAC)具有角色层次,最小权限,权限分离等灵活特性,适合在多域环境中应用,制定满足域间安全互操作需要的全局安全策略。目前,RBAC策略合成的原理主要是域间角色映射,其方法包括基于权限和非基于权限 两类。非基于权限的合成方法基于等级或信用进行角色映射,粒度较粗,而本发明是一种基于权限的RBAC策略合成方法,其特点是方法中的角色映射都是基于角色的权限进行,其目标是保证角色在策略合成后不会获得本来不具有的权限,因此更适合应用于对于安全性要求高的环境。经对现有技术的文献检索发现,2005年Shafiq等在《Knowledge and DataEngineering))上发表的((Secure Interoperation in a Multi-Domain EnvironmentEmploying RBAC Policies》一文中提出了一种基于RBAC策略的多域访问控制策略合成方法,其主要思想是根据两个域间角色的公共权限和公共子角色创建新角色进行映射,并且映射过程保证了建立映射的角色间权限和层次结构都相同,安全性较高。但是它仅支持权限继承层次,不支持激活角色层次上的策略合成,而且会引入大量的新角色和复杂的角色层次关系,其指数级的方法复杂度降低了实用性。
发明内容
本发明在上述研究的基础上,提出了一种较为完善的RBAC策略合成方法。首先,为了保证角色映射的安全性,本发明满足角色映射应该总是朝着权限降低的方向进行的原贝U。其次,为了提高策略合成的灵活性,降低方法的复杂度,本发明提出了角色映射应根据传递性,继承类型,方向性分类,并将此应用于策略合成方法中,根据角色权限集的关系建立不同类型的角色映射,同时考虑了角色映射过程中出现的继承环(Cyclic inheritance)和权限分离(SoD)冲突。与Shafiq的方法相比,本发明引入了较少的新角色和新继承关系,具有更好的性能。为实现上述目的,本发明采用的技术方案是将需要进行策略合成的两个域的RBAC策略作为方法的输入,根据原域内的角色-权限关系和角色层次关系,建立域间角色映射集合,同时对映射过程中可能产生的策略冲突进行检测,形成全局访问控制策略输出,则此全局策略用于实现域间互操作。建立角色映射的基本思想是比较要建立映射关系的两个角色的权限集,根据比较结果,建立不同类型的映射。由于应用了角色分裂技术,保证了映射角色间权限完全相等。
首先给出几个相关定义。传统的RBAC96模型可表示为(RH,UA, PA)的3元集合,其定义如下定义II)Users、Roles、Operations、和Objects分别表示所有用户、角色、操作和对象的
口 O2) Permissions=2 (Operations X Objects)表不所有权限的集合。3)
权利要求
1.一种多域间基于RBAC模型的访问控制策略合成方法,其特征在于包括如下步骤 步骤一在单个域内进行角色树合并; 步骤二 计算角色间接权限集,A继承权限集,I继承权限集; 步骤三递归的比较域间角色的权限集,确定需要进行分裂的角色,建立域间角色映射,形成全局访问策略。
2.根据权利要求I所述的方法,其特征是,所述的步骤一,具体为将一个域内的RBAC策略组合成为一棵RBAC角色树,作为RBAC策略合成的输入,其中对于域内存在多个高等级角色的情况,可以创建一个新角色,同时继承这几个高等级角色,作为角色树的树根。
3.根据权利要求I所述的方法,其特征是,所述的步骤二,具体为计算两个域内所有角色的间接权限集,I继承权限集,A继承权限集作为原角色的属性存储起来,提供给步骤三进行权限集的比较;角色的权限集分为直接权限集,间接权限集,I继承权限集,A继承权限集。
4.根据权利要求3所述的方法,其特征是,所述的步骤二,角色的四种权限集定义如下 1)直接权限集Pd Cr):若(p,r) e PA,贝Up e Pd (r); 2)间接权限集PuOO:用户激活角色!■后,通过r在角色层次中的继承关系所获得的权限,包括r直接可以获得的子角色的权限和需要r激活子角色才能获得的权限; 3)1继承权限集Pm(r):用户激活角色r后,通过r在角色层次中的继承关系直接获得的权限; 4)A继承权限集Pui(r):用户激活角色r后,通过r在角色层次中激活其他子角色才能获得的权限。
5.根据权利要求I所述的方法,其特征是,所述的步骤三,具体为比较要建立映射关系的两个角色的权限集,根据比较结果,建立不同类型的映射,同时应用角色分裂技术,保证了映射角色间权限完全相等;其中采用以下方法判断需要建立的角色映射的类型 两个角色的直接和间接权限均相等,此时在两个角色间建立关联双向映射; 两个角色的间接权限相等,直接权限不等,此时先采用角色分裂的方法,将两个角色直接权限中的公共部分分离出来,然后再对直接权限相等的两个角色建立关联双向映射; 两个角色的间接权限不相等,此时只考虑直接权限,先进行角色分裂,再进行角色映射,此时建立非关联双向映射; 在建立角色映射之前,判断两个角色在原域内是否存在SoD关系,如果存在则建立A-继承映射,否则建立I-继承映射。
6.根据权利要求5所述的方法,其特征是,对于给定的两个角色,首先比较它们的间接权限,确定建立的角色映射的传递性;然后比较它们的直接权限,确定是否需要进行角色分裂;如需要进行角色分裂,则在两个角色所述的角色树中对应位置分别产生一个新角色,其直接权限为原两个角色的直接权限的交集。原角色作为新角色的高级角色,所属权限不变;接着对需要建立映射的角色是否在本域内与其他角色存在权限分离关系确定建立的角色映射的继承类型;最后根据所确定的属性建立相应类型的角色映射。
全文摘要
一种多域间基于RBAC模型的访问控制策略合成方法,包括首先在单个域内进行角色树合并,接着计算角色间接权限集,A继承权限集和I继承权限集,最后递归地比较域间角色的权限集,确定需要进行分裂的角色,建立域间角色映射,形成全局访问策略。本发明将需要进行策略合成的多个域的RBAC策略作为方法的输入,根据原域内的角色权限分配关系、角色层次关系以及角色间的SOD约束,建立域间角色映射集合,形成全局访问控制策略输出。
文档编号H04L29/06GK102957697SQ201210418000
公开日2013年3月6日 申请日期2012年10月26日 优先权日2012年10月26日
发明者潘理, 訾小超, 周鑫, 张清源 申请人:上海交通大学