技術領域

本發明涉及一種基于信任機制的dRBAC模型的改進方法，屬于信息安全技術領域。

技術背景

Internet技術的發展日益迅速，當前的一大研究熱點是多個組織在動態結盟的條件下共同完成某個任務。在這種條件下，各個結盟的組織之間，不但要保護共享的資源文件，而且對于自己不想共享的資源更要做好保護工作，這都需要授權管理和訪問控制技術來實施。在這種情況下，在互操作的實體之間建立信任并進行合理的授權委托是確保安全的關鍵。為了解決這些問題，研究人員做了大量的工作，目前已有的解決方案大體分為兩大類：第一類解決方案是在互操作的兩個管理域之間建立角色映射模型；第二類解決方案是使用信任管理。但這兩種方案都存在一定缺陷：第一種方案的擴展性不好，第二種方案在授權委托時未考慮兩個實體之間的信任度，并且對于授權委托的深度也未加控制。

Freudenthal等人提出并形式化定義了一個動態結盟環境下的分布式RBAC模型：dRBAC(distributed?RBAC)。dRBAC是一種非集中式的信任管理的訪問控制策略，并且具有面向跨多個管理域，分布式可擴展性等特點。它利用PKI機制定義信任域，通過角色指派實現多許可的分配，并且可實現跨域的角色委托。dRBAC的主要特征體現在來自于域的名空間之外引入的第三方角色委托依賴于顯式的委托指派；使用與角色關聯的數量值屬性實現權限轉移；對時間較長的交互進行持續的實體信任關系監控，從而確保信任關系的有效性和延續性。dRBAC實現了一個較為完整的訪問控制系統用于分發、搜索、驗證和撤銷基于角色的委托，適用于較大規模的分布式安全環境的構建。

但是，dRBAC模型也有一些缺陷，包括以下幾個方面：(1)對第三方委托的深度沒有進行控制；(2)由于委托分散發布和管理，委托鏈可能構成環，在委托鏈搜索時如何及時終止對循環委托鏈的重復搜索沒有涉及；(3)某個管理域的某個角色通過委托鏈可能擁有級別比它高的角色的權限，導致角色的隱式提升，這將違背RBAC模型的角色層次關系，從而產生安全隱患；(4)在dRBAC模型中，結盟的組織采用RBAC模型，職責分離是RBAC模型支持的三個基本的安全原則之一，那么某個組織的用戶在訪問另外某個組織的資源時，如果違背該組織的職責分離約束，將帶來安全隱患。

發明內容

本發明是為了克服現有技術的缺陷，提出了一種基于信任機制的dRBAC模型改進方法。

原始的dRBAC模型是一種分布式的訪問控制模型，模型包括實體、角色、主體和客體等要素。其中實體是指用戶、主機、服務等對象，每個實體能夠定義包含角色的名字空間，每個實體包含一個訪問控制列表ACL，ACL的條目由權限和主體構成；角色是特定實體名字空間里的名字，表示一組權限的集合，角色的表示形式為：Entity.LocalName，其中，Entity表示一個實體的名稱，LocalName表示該實體定義的名字空間里的一個本地名字；主體是指被委托的對象，主體是一個實體或者角色，如果主體是一個角色，則該主體所對應的實體為定義該角色的實體；客體是指委托的對象，客體是一個實體或者角色。如果客體是一個角色，則該客體所對應的實體為定義該角色的實體，例如：角色Entity.LocalName所對應的實體是Entity；

原始dRBAC模型中委托的語法形式為

[Subject-＞Object]Issure

其中Subject是一個主體，Object是一個角色，Issure是一個實體。其含義是Issure發布簽名證書，把角色Object具有的權限賦予主體Subject；原始dRBAC模型共包含對象委托、指派委托和第三方委托三種委托方式，分別為：

(1)對象委托，其語法形式為

[Subject-＞A.a]A

對象委托的效果是發布者A自己的名字空間中定義了一個角色a，a具有對于實體A部分資源的訪問權限，A發布證書宣布把a具有的權限授予Subject；

(2)指派委托，其語法形式為

[Subject-＞A.a’]B

其中，B和A可以是相同的實體，也可以是不同的實體；指派委托的效果是實體B把角色A.a的委托權限授予Subject，Subject可以進一步把角色A.a授予其他的Subject。其中A.a’中上標“’”表示將角色A.a的指派權同時委托給Subject；

(3)第三方委托，其語法形式為

[Subject-＞A.a]B