一种基于时间的角色访问控制模型

一种基于时间的角色访问控制模型

1996年，在该模型的基础上提出了基于角色的访问控制模型，即rbac96模型。该模型系统地描述了rbac多层的含义，并得到了广泛认识。RBAC模型有4个基本组成部分:用户(user)、角色(role)、权限(permission)和会话(session)。权限是责任与权力的集合。用户和角色关联,角色和权限关联,权限分配给角色而不再直接分配给单个用户。用户角色分配(UA)和权限角色分配(PA)都是多对多的关系。它的技术优势在于它可以提供传统的DAC(自主访问控制)也可以提供MAC(强制访问控制)。根据分配给角色的权限把角色组织在角色层次关系中,形成树形结构,上层角色继承下层角色的权限。本文提出RBAC的一种扩展模型TRBAC(Timerole-basedcontrolmodel),通过在该模型中引入时间等概念,增强了RBAC机构管理的能力,增加了对动态授权的支持并能够支持工作的时序要求。1系统的长期授权和安全的需求时间是授权的重要组成部分,任何授权都具有时间性,永久的授权不但不能满足实际需求,不便于系统管理,同时也会带来一定的系统安全隐患。目前,在RBAC系统中引入时间约束的主要有2类。1.1连续时间限制根据约束时间特征,连续时间约束可分为激活时间范围约束、激活时间长度约束和时间范围内激活时间长度约束3类。1.1.1激活内激。在充规定用户、角色或者权限只能在特定时间范围内可以激活。如一个有工作时间限制的企业中,在非工作时间的范围内,将不允许某些操作的发生,或者不允许某些用户登录进入系统。1.1.2活不超过一个固定长度的时间范围规定用户、角色或者访问许可每次只可以激活不超过一个固定长度的时间范围。可用该类约束限制某些很重要的操作或权限以防因激活时间过长而被盗用并产生严重后果的可能。1.1.3激活时间间隔内的激活时间长度限制规定用户、角色或者访问许可在一定的时间范围内的累计激活时间不超过一个规定的上限。其对用户的限定特别有用,可控制用户平均登录时间。1.2角色触发器rbac活动约束机制周期时间约束的基本思想是通过对周期时间P进行检测,在,〈[起始时,结束时间],P〉约束下,角色触发事件一旦产生则角色触发器可立即执行,也可在一个明确的时间内延迟执行,通过赋予许可活动的优先级,来解决许可活动的冲突,即角色的状态变化随周期时间的变化,通过周期约束的描述增强了RBAC活动约束机制。本文结合两种时间约束方案,提出一种有周期性的连续时间约束模型。2rbac的随机时间2.1周期行为的周期约束在基于角色的转授权模型中,发起转授权动作的用户称为授权用户记做uing,转授出去的角色称为被转授角色记做red,接受被转授角色的用户称为被授权用户记作ued。用[tb,te]来表示时限duration,tb是时间段开始,te是时间段结束。定义1周期的表示给定是日历Cd,C1,C2,…,Cn,周期P定义p=∑i=1nOi⋅Ci⊳r⋅Cdp=∑i=1nΟi⋅Ci⊳r⋅Cd,这里Oi=all,Oi∈2n∪{all},Ci⊆Ci-1,i=2,…,n,且r∈N。O是整数或者整数集;all表示任意时间偏移;r代表时间间隔。符号ᐅ是分割符,将周期表达式P分成两部分:前面部分表明时间间隔的起点(偏移)集合;后面部分是历法Cd时间间隔的持续时间。符号⊆代表子历法关系,即Ci是Ci-1的子历法。例如,all.year+{3,7}.monthsᐅ2.months代表所有年份的3月、7月,即每年的这2个月。周期P对应的时间区间无限集合用∏(p)表示。定义2Function∏()已知周期表示p=∑i=1nOi⋅Ci⊳r⋅Cd∏(p)p=∑i=1nΟi⋅Ci⊳r⋅Cd∏(p)是一个周期时间区间集合,持续时间是r·Cd。定义3FunctionSol()设t表示时间,P是一个周期表达式,begin和end是以天为单位的日期表示。t∈Sol(<[begin,end],P>),当且仅当存在τ∈∏(P),那么并且tb≤t≤te。定义4时间长度的表示给定时间ti,tj,其中i≤j,时间长度L定义为:L=tj-ti。具有周期性的连续时间约束的转授权的具体含义是uing在转授权操作中,仅仅赋予ued在时间周期P时间段中具有red,即仅仅在时间段中可以行使red所具有的权限,一旦当前时间tb>te,则系统自动撤销ued的red,而且行使red所具有的权限最大时间长度为L。本文将RBAC96中有关授权管理的部分简化为secoff统一行使所有的授权管理工作,具有周期性连续时间约束的授权t-auth的形式是{ing,ed,time},ing=(uing,ring),ed=(ued,red),time=(P,duration,L,td),duration=[tb,te]即t-auth={(uing,ring),(ued,red),(P,[tb,te],L,td)}其中,uing∈U,ued∈U,ring∈R,red∈R,tb∈N,te∈N∪∞,td∈N。为便于说明,我们定义以下几类函数:定义51其他测量方式ing(t-auth)=ing=(uing,ring),ingu(t-auth)=ingu(ing)=uing,ingr(t-auth)=ingr(ing)=ring;2有“auth”的车间,在平台上计算了一个市场机制,即其第5位t-auth、edredr、uedredr的车间,如果有性别,则则认为,服刑人员则认为,auth、t-auth、edredr、ued、auth、t-auth、auth、auth、t-auth、auth、型面,uedredr、t-auth、t-auth、型材料red(t-auth)=ed=(ued,red),edu(t-auth)=edu(ed)=ued,edr(t-auth)=edr(ed)=red;3duct,l,tdtime(t-auth)=time=(P,duration,L,td),timed(t-auth)=timed(time)=(P,duration,L),timet(t-auth)=timet(time)=td,uoa∈UOA⇔uoa={(secoff,A),(ued,red),(P,[tb,te],L,td)},uda∈UDA⇔uda={(uing,ring),(ued,red),(P,[tb,te],L,td)}。其中te≥td≥tb,L≥0,uing≠secoffA表示secoff具有系统授予用户任何角色的权限。2.2创建分类系统的会话定义u具有周期性的连续时间约束模型的基本元素和系统功能函数在定义6中给出。定义61)U(用户集):用户的集合;O(客体集):客体的集合;A(访问集):访问的集合;P(权限集):权限的集合;R(角色集):角色的集合;S(会话集):会话的集合;UOA:用户到初始角色之间的多对多的关系;UDA:用户到被转授角色之间的多对多的关系。2)用户角色分配集(URA):用户角色分配是二元组(u,r)∈U×R,该关系是多对多的关系。用户角色分配集的定义为:URA=UOA∪UDA={(u,r)|u∈U∧r∈R}。3)角色权限分配集(RPA):它是一个二元组(r,p)∈R×P,角色权限分配集的定义为:PA={(r,p)|r∈R∧p∈P}。4)RH⊆R×H角色与角色之间的继承关系,该关系是一偏序关系。5)用户委派集(UAP):用户委派(uap)是指某用户指定另一用户暂时代替自己执行全部或部分自身的权限。为了限制这种委派的任意性,可以在第一次委派时指定被委派用户必须具备的角色。本文将用户委派定义为三元组t-auth={(uing,ring),(ued,red),(P,[tb,te],L,td)}其中,uing∈U,ued∈U,ring∈R,red∈R,tb∈N,te∈N。6)会话集(S):会话是用户登录系统之后实际激活的角色的集合,其生命期起自用户创建,结束于用户退出会话,会话不作永久保存,可以简单地将其定义为三元组。(ID,u,R)∈N×u×2role(u)其中ID用于标识某一特定的会话,u表示用户,R表示角色集,role(u)是计算机用户角色集的函数。7)user-o(r,t):R→2U返回时刻t具有初始角色r的所有用户user-o(r,t)={u|∃r′≥r)(uoa={(secoff,A),(u,r′),(P,[tb,te],L,td)}∈UOA)∩t∈timed(uoa)。8)user-d(r,t):R→2U返回时刻t具有转授角色r的所有用户user-d(r,t)={u|∃r′≥r)(uda={(uing,ring),(u,r′),(P,[tb,te],L,td)})∈UDA∩t∈timed(uda)}。9)users(r,t):R→2U返回时刻t具有角色r的所有用户user(r,t)=user-o(r,t)∪user-d(r,t)。10)user(si,t):S→U返回时刻t会话si所属的用户user(si,t)={u|ura={(uing,ring),(u,r′),(P,[tb,te],L,td)}∈si∩t∈timed(ura)}。11)role(si,t):S→2R返回时刻t会话si所具有的所有角色role(si,t)={r|∃r′≥r)[ura={(uing,ring),(user(si,t),r′),(P,[tb,te],L,td)}∈URA∩t∈timed(ura)]}。12)permissions(si,t):S→2P返回时刻t会话si所具有的所有权限permissions(si,t)={P|(∃r′≥r)[(p,r′)∈PA∩r′∈role(si,t)]}。13)role-u(u,t):U→2R返回时刻t用户u所具有的所有角色role-u(u,t)={r′|u∈users(r′,t),r′≥r}。14)N是一个以自然数为元素构成的集合。15)DLGT⊆URA×URA=U×R×U×R。16)ODLGT⊆UOA×UDA。17)DDLGT⊆UDA×UDA。18)DLGT⊆ODLGT×DDLGT。19)DTA⊆URA×URA:转授权树。20)prior:U×R→U×R返回授权路径中在(u,r)之前的所有授权prior({ing1,(u,r),time1})={{ing2,(u′,r′),time2}|{ing1,(u,r),time1}∈UDA∩{(u′,r′),(u,r),time3}∈DLGT}prior({(secoff,A),(u,r),time1})={ϕ|{(secoff,A),(u,r),time1}∈UOA}。21)path:U×R×((u0,r0),…,(ui,ri))返回授权(u,r)的授权路径path(u0,r0)={(u0,r0),(u1,r1),…,(ui,ri),…,(un,rn)|{ing1,(ui,ri),time1}=prior(ing2,(ui-1,ri-1),time2}∈UDA,i>0}。path({(secoff,A),(u,r),time1})={ϕ|{(secoff,A),(u,r),time1}∈UOA}。2.3不允许2.3.1静态侵权分离sd束约束即某种限制,也可以理解为一种规则,TRBAC模型中主要有3种约束:1)先决角色约束(Cpr):定义角色获得的次序性。2)静态权责分离(SSD):定义权限间的强互斥关系。3)动态权责分离(DSD):定义权限间的弱互斥关系。约束1先决角色约束集(CR)定义7先决条件CR是用操作符“&”(and,与)和“|”(or,或)将元素cr结合起来的布尔表达式。其中,cr可以是x或者x¯x¯的形式,前者表示具有角色x,后者表示不具有角色x。如:CR=cr1＆cr2|(cr3¯¯¯¯¯)CR=cr1＆cr2|(cr3¯)。这种约束即为先决角色约束,可以定义如下cr=(r1,r2,r3,…,rn|-rj)其中ri∈R∧rj∈R,(1≤i≤n)它表示只有在获得了全部的ri之后,才可以得到角色rj。先决角色约束作用于所有与角色有关的分配,用户组分配、用户委派。约束2静态权责分离(SSD)静态权责分离(SSD)本质上也是一种约束,它定义了相互排斥的角色,在同一个静态权责分离集中的角色不可以分配给同一个用户。静态权责分离可以定义为角色的子集,SSD⊆2R×k,这里K是一个大于等于2的整数集。即该子集中的角色同时分配给同一用户时,必须小于指定个数k。比如k=2时,表示该角色集合中的角色最多只能分配1个给同一用户。首先定义静态权责分离角色集:定义8静态权责分离集(SSD)SSD={(rs,k)|rs⊆2R∧k≥2}。静态权责分离可以形式化描述为∀(rs,k)∈SSD(u∈U⇒|role(u)∩rs|<k)其中‘|…|’表示集合的元素个数。该定义表示在给用户分配角色时,用户获得的角色集与SSD中任何一个集合的交集,其元素个数必须小于指定的k。由于角色通过角色权限分配PA最终与权限关联,因此角色之间的静态分离实质上是权限之间的静态分离,这就要求同时在权限层定义静态权责分离,即若干权限不能被同时分配给同一个角色。约束3动态权责分离(DSD)动态权责分离是指一个角色集,该集合中的角色在分配给用户时不受限制,但用户不能同时激活这些角色,由于用户可以同时创建多个会话.因此这一约束要求跨越同一用户同一时间创建的所有会话。动态权责分离的定义类似静态权责分离,不同的是静态权责分离作用于用户角色/角色权限分配,而动态权责分离作用于创建会话的过程。其定义如下:定义9动态权责分离集(DSD)DSD={(rs,k)|rs⊆2R∧k≥2}∀(rs,k)∈DSD(u∈U⇒|permission(si)∩rs|<k)2.3.2动态权责分离转授权判定公式是基于以上几方面进行判断外还要判断系统允许的最大转授权步数,某一角色被转授的次数(width)加以限制。定义10转授权的判定如下Can-delegate⊆R×CR×SSD×DSD×N×Y×TIME;dlgt=(r,cr,ssd,dsd,n,y,(P,[tb,te],L,td)}∈can-delegate⇔⎧⎩⎨⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪uing∈{u|users(r′),r′≥r}∩roles−u(ued,t)∈cr∩roles−u(ued,t)∈ssd∩roles−u(ued,t)∈dsd∩n(dlgt)≤n∩y(dlgt)≤y∩[tb,te]⊆valid−d(uing,r,td){uing∈{u|users(r′),r′≥r}∩roles-u(ued,t)∈cr∩roles-u(ued,t)∈ssd