基于空间和时间的角色权限控制模型

1、时空角色控制模型时空角色控制模型姓名：滕庆勇 学号：1620190339内容1.研究背景2.时空域定义3.具有时空约束的RBAC模型4.实例展示5.总结1.研究背景 信息技术的高度发展对信息安全提出了新的挑战，经典的基于角色的访问控制（Role-Based Access Control，RBAC）中缺乏对时间和空间的约束，使 RBAC 模型不能适应信息系统新的安全需求。在 RBAC 的基础上，引入了时空域的定义，对模型中各要素进行了时间和空间约束， 提出了具有时空约束的角色访问控制模型（Temporal-Spatio Role-Based Access Control，TSRBAC）。2.时空

2、域定义 定义 1. 令二元组(TT ;)是一个时间域,其中, TT = t R t 0是一个时间集, 表示 TT 上的全序 定义 2. 时间段 tl, tu TT TT tltu 表示时间域所有闭区间段的集合其中的时间域区间段是分别由一个下边界 tl 和一个上边界 tu 界定的如果说区间 t1 , t2 在区间 t3 , t4 中, 当且仅当 t3 t1 且 t4 t2 ;同样, 如果说一个时 间点 t1 在区间段 t3 , t4 中, 当且仅当 t3 t1 t4 定义 3. 令二元组( SS ;)是一个空间域, 其中, SS = s Z s 0是一个空间集, 表示 SS 上的全序 定义 4.

3、 空间段 sl, su SS SS slsu 表示空间域所有闭区间段的集合其中的空间域 区间段是分别由一个下边界 sl 和一个上边界 su 界定的 如果说区间 s1 ,s2 在区间 s3 , s4 中, 当且仅当 s3 s1 且 s4 s2 ;同样, 如果说一个空 间点 s1 在区间段 s3 ,s4 中, 当且仅当 s3 s1 s43.具有时空约束的 RBAC 模型 3.1 时空约束下的角色状态转移 引入时间和空间约束后首先引起了角色状态的变化。时空 角色有三种状态：禁止态、许可态和激活态。处于禁止态的角色 不允许被任何用户直接激活；许可态表明有资格使用该角色的用户，当他提出请求的时候能够激活

4、该角色；用户激活处于许可态的角色，角色的状态转变为激活态。时空角色状态转换关系如下图所示。激活态许可态禁止态3.2 访问控制策略 策略 1（用户-角色策略）用户在请求激活角色时，只有当用户所处的空间区域位于该角色的有效空间区域内，且用户所处的时间属于该角色的有效时间段之内，该用户才可以激活该角色。 策略 2（角色-权限策略）只有当角色的有效时空域处于权限的有效时空域时，该角色才能够拥有对某一客体的操作权限。 3.3 时空角色层次继承关系 在 TSRBAC 模型中增加了时空角色层次这个概念。时空角色之间有相应的层次继承关系，角色继承关系自然地反映了一 个组织内部权利和职责的关系，为方便权限管理提

5、供了帮助。 角色层次结构如下图所示：在相同的时空域内，角色 role 4 继承了角色role 1和角色role 2 所拥有的权限，而角色 role 6 则 继承了所有角色的权限。Role6Role2Role1Role3Role4Role53.4 职责分离 职责分离是为了实施利益冲突时的回避策略，以防止用户超越其正常的职责范围。职责分离分为静态职责分离（Static Separation of Duty，SSD） 和动态职责分离（Dynamic Separation of Duty，DSD）。 在 RBAC 模型标准中，静态职责分离作用于（用户-角色） 分配和角色继承。简单的说，如果两个角色之间

6、存在 SSD，那么 当某用户分配了其中之一时，将不能再获得另一个角色。另外， 因为在定义角色继承关系时，角色将会拥有继承它的其他角色 的所有用户，如果在 SSD 之前的角色中定义继承关系，将会间 接地违反 SSD 的性质，所以不能在已有的 SSD 关系的两个角 色之间定义继承关系。动态职责分离也限制了用户的权限，但是 DSD 作用于用户激活角色阶段，如果两个角色之间存在 DSD，管理员可以将这两个角色都授予某个用户，但是该用户 不能在同一个会话中同时激活这些角色，也就是说用户在登陆 后不能同时获得这两个角色所具有的权限。 TSRBAC 模型扩展了原有的职责分离概念，允许同一用户 在不同的时空区

7、域中充当两个互不相容的角色。TSRBAC 中的 职责分离类似于 SSD 和 DSD，限制用户对权限的使用；不同于 SSD 和 DSD，角色的互斥依赖于用户所处的时空位置。 时空静态职责分离（TSSSD），在时空区域中，任何用户不能分配角色中的2个或更多的角色。 时空动态职责分离（TSDSD），在时空区域中，任何用户不能激活角色中的2个或更多的角色。3.5 访问控制算法 用户请求对客体在时空区域中拥有的权限。系统按照如下算法判断是 否答应用户的请求。 步骤1 .利用函数计算出用户可以充当的角色集合，如果集合不为空，转步骤 2，否则转步骤 5； 步骤2 .对任意一个角色，如果用户属于角色的时空域内

8、， 则将角色 赋予用户 。这样可以得到赋予用户的角色集，转步骤 3； 步骤3 .利用函数分别计算出角色集中每个角色可以拥有的权限集，转步骤 4； 步骤4 .如果用户的请求包含于角色的权限集中，并且用户的时空区域包含于所请求权限的有效时空区域内，则系统答应用户的请求，否则转步骤 5； 步骤5 .拒绝用户请求。4.实例展示 在某产品协同设计系统中，有如下图所示的工作流任务。假如由五个任务组成： 画图、审图、核 图、签发、校图，并假定使用该系统的用户有五个人: 设计组员1、设计组员2、设计组长1、设计组长2和设计主管，各自所处不同的空间。系统的角色有三种: 设计组员、设计组长 和设计主管,角色的层次

9、关系为设计主管支配设计组长、设计组长支配设计组员。画图审图核图签发校图 系统的安全策略为： 设计组员只能进行画图和校图的工作； 审图和核图工作只能由设计 组长或设计主管来处理； 签发必须由设计主管来完成； 执行校图任务的用户必须是执行画图任务的用户； 执行核图任务的用户不能是执行审图任务的用户。 假设设计组员1在合适的时间点和空间位置开始画图，所以产生授权。 审图=设计组长1,设计组长2,设计主管，假设设计组长1进行审图,在其完成审图任务后，产生授权。 核图=设计组长1,设计组长2,设计主管 -设计组长1=设计组长2，设计主管 ，假定由设计组长2进行核图,，在其完成核图任务后，形成授权。 签发=设计主管 ，在设计主管完成签发任务后，形成授权。 校图=设计组员1 ，只有设计组员1才被允许执行 校图任务，在设计组员1完成校图任务后,形成授权。5.总结 带有时空约束的基于角色的访问控制模型，与传统的访问控制授权模型不同，该模型对 RBAC 中各要素进行了时间和空间