资源描述:
《基于信任域的分布式安全访问控制的研究与实现》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、第6卷第19期2006年10月科学技术与工程Vol.6No.19Oct.2006167121819(2006)1923135204ScienceTechnologyandEngineeringZ2006Sci.Tech.Engng.基于信任域的分布式安全访问控制的研究与实现陈帆吴健李红英(西北工业大学计算机学院,西安710072)摘要多域环境下的访问控制是域间互操作必须要解决的重要问题。针对数据交换平台项目中政府机构存在的地域和职能域不同的管理级别,构造了地域职能域融合确定信任域的方法,并通过制定基于角色的访问控制策略实现对跨域数据交换中心系统中域资源的不同权
2、限安全访问。关键词RBAC信任域访问控制角色中图法分类号TP393.092;文献标识码A多域数据共享与交换的功能需求来自不同的者集合,操作者可以是具体用户或是应用程序。R行政管理域和地域中的业务系统需要进行信息的是系统中的功能集合,也就是一组访问授权。P是互联互通。不同级别的数据交换所涉及的机构部系统中操作许可的集合。Session是用户与激活的门也处于不同的级别,通过一个交换中心往往不能角色集合之间的映射。U与Session之间是一对多很好地解决一个庞大体系中的复杂交换;相反,若的关系,R与Session之间是多对多的关系。用户可通过将多个ExistABC数
3、据交换中心按照行政层次以在一次会话中激活它所关联的角色集中的一个和区域进行级联则可以较好地解决这个问题。多角色子集,行使这个集合中角色的权限。域间的安全互操作特点是多域间存在有限信任,每个域对局部资源有完全的自治性,并且每个域根据各自组织机构的设置情况定义了相应的角色和角色层次,采用基于角色的访问控制策略。根据地域职能域的关系确定指定域和其他域的参照关系,从而在确保原有各域安全策略的前提下实现各个域间资源有条件共享和安全互操作。1RBAC模型概述图1基本的RBAC模型除此之外,RBAC系统还可以包括角色层次在RBAC系统中,用户通过指派角色享有许可,其基本模型
4、如图1。图1中包括4个实体:用户U、划分(RoleHierarchy)和角色约束(Constraint)。角色R、许可P和会话Session。两个关系:用户角色角色分层的目的是为了更好地说明系统内部各指派关系和角色许可绑定关系。U是系统中的操作角色之间的嵌套关系,这种关系具有反身性、传递性和非对称性特点,通过继承行为形成了一个2006年6月5日收到偏序关系。角色约束可以避免一个用户各角色第一作者简介:陈帆,女,汉,陕西西安,硕士研究生,研究方之间的冲突。向:软件工程与网络软件。E2mail:ancy.831@163.com。3136科学技术与工程6卷x),(b
5、,y)〉,〈(c,x),(c,y)〉,〈(a,x),(b,x)〉,2信任域划分〈(a,y),(b,y)〉}。如图2所示:本文的多域访问控制采用基于角色的访问控制,包含三种角色:内部角色、固有角色、扩展角色。其中,内部角色用于表示域内部的适配器,固有角色是用信任参照关系表示的可信域,而扩展角色用于表示有扩展业务关系的域。ExistABC项目是一个电子政务应用,它以多个政府机构为中心建立域,而这些域之间则存在着一定的固有关系,可以通过地域和职能域的融合来划分信任域。图2域参照关系示例为了更好地进行安全策略的制定,从形式化定义的角度,对基于参照域的域关系模型进行定义
6、。通过上述模型,可以使用参照域实例的组合来首先,对域类型和域元素进行区分。比如,政表示一个计算域实例,并使用参照域实例关系派生府域就是一个域类型,陕西省政府就是一个域元出计算域实例之间的关联关系。在上面域关系参素。这里,参照面向对象中的类和实例的概念,称照式中,函数f和g代表了两种不同类型的计算域域类型为域,域元素为域实例。这样,一个域定义实例关系,分别参照D1、D2中的实例关系得来。因为:D={d1,d2,⋯},也就是说,一个域是一系列域此,以计算域实例d为例(假设d=(x,y),x=d1×实例的集合。这些域实例之间具有许多相互关联D1,y=d2×D2),可
7、以有如下的信任域范围划分,每关系,表示为R(D),假如D参照D1、D2,可以表述一个划分中的域实例享有同一级别的信任度。为:D=D1áD2,或者:d=d1ád2,(d×D,d1×D1,d2在ExistABC项目中,这些信任域范围分别表示×D2)其中,“á”为参照运算符。对于D中的每一如表1的含义。个实例,均对应一个D1、D2中的实例组合表示,也表1信任域范围划分及代表意义就是说,从D到D1·D2(笛卡尔乘积)是一个单射范围含义关系。所以,D和D1·D2是同态的。因此,不妨使p0(d):(x,y)本部门def用D1·D2中的元素来表示D中的实例,d(d1,p1(
8、d):{x,z}
9、×R(D2