多自治域中基于风险的动态访问控制系统的设计与实现.docxVIP

-1-

多自治域中基于风险的动态访问控制系统的设计与实现

陈洪强

湖南大学软件学院，长沙(410082)

摘要：多自治域中基于风险的动态访问控制系统是在综合已有研究成果的基础上开发的，该系统适用于多自治域中支持J2EE应用的网络分布式环境，并且将风险的概念引入其中。通过授权管理模块维护权限、角色、用户以及不同系统之间角色、用户之间的相互关联等，并完成授权，同时实现查询用户权限以及各业务系统之间的安全互访；该系统能完成基于风险的用户权限的自动优化，同时实现为互操作的各个应用系统提供单点登录，以跨域验证用户身份。

关键词：风险；访问控制；单点登录

1．引言

随着网络和信息技术的飞速发展，大量信息资源由集中转向分布，各种不同的服务层出不穷，随着应用需求的不断增加，越来越多的用户希望能够透明地获取和使用来自这些海量信息源中的资源和服务，实现多个软硬件系统以及不同信息源之间的互操作。访问控制技术也从单一的集中式管理发展到分布式应用之间的协作。传统的访问控制策略自主访问控制(DiscretionaryAccessControl，DAC)和强制访问控制(MandatoryAccessControl，MAC)以用户为基本对象授予权限，权限的动态变化。需要为所有用户一一更改，在用户群庞大，系统复杂的环境中，管理员工作繁重．差错和混乱在所难免。基于角色的访问控制（RoleBasedAccessControl，RBAC）模型[1]根据业务逻辑的需要对用户授予角色的方式来进行授权与访问控制，简化了授权过程，灵活性和可操作性大为增强，管理也更为规范．已经替代DAC和MAC成为当前访问控制策略的主流。1997年，Sandhu等人提出了RBAC的管理模型，ARBAC97[2]，在RBAC内部实现了对各部分元素的管理。作为RBAC模型在角色时间依赖关系上的一个扩展，E.Bertino于2000年提出TemporalRole-BasedAccessControl(TRBAC)模型[3]，该模型通过角色触发器(roletrigger)支持角色激活的依赖关系。在此基础上James.B.D等人提出了有关混杂角色层次中的权限查询等问题[4]，提出了唯一可激活角色集合（UniquelyActivableSet，UAS）[5]以及求解算法。ApuKapadia等人提出的IRBAC2000（SecureInteroperabilityUsingDynamicRoleTranslation）模型则主要关注两个或多个安全域之间的安全交互[6]。综上所述，目前国内外对单域的访问控制模型的研究比较多，但是这些模型缺乏一个统一的理论化的描述，且没有涉及到策略之间如何进行统一和协调。

在传统的RBAC模型中，用户创建一个会话并激活这个会话中的一系列角色，之后用户将获得所激活的角色的所有权限。而对于用户的访问控制权限，往往存在不同的角色指派方案，一定的权限可以由许多种不同的角色组合指派给用户来获得。因此，如何获得最优的访问控制策略，成为一个亟需解决的问题。

在访问控制技术中，风险管理是一个不容忽视的环节，访问控制的目的实际上在于实现系统效用的最大化和风险的最小化。实践证明，如果对潜在的风险重视程度不够，风险造成的损失是超乎想象的。在用户执行权限的过程中，风险不单会影响事件的执行进程，它还会影响整个访问控制的管理流程。在广泛查阅相关参考文献和分析国内外有关分布式环境下的访问控制研究的基础上，本文提出了一种多自治域中基于风险动态访问控制模型。该模型将

-2-

风险作为访问控制策略的一个基本属性，提出了如何根据主体的安全级，事件中客体对象的安全等级，以及非授权访问成功的概率来量化访问控制策略的风险，并且根据所处的环境，寻找一种最优的访问控制策略的设置方案，使用户执行权限的时候，既能满足最小权限原则，又能有更好的安全性，对主体所拥有的权限进行动态管理，使用不同风险等级的访问控制策略，可以相互比较其安全性的差异。

基于上述理论研究成果，本文实现了一个多自治域中基于风险的访问控制授权系统，使用该系统可以方便地实现自治域间基于用户请求的授权及访问控制，并通过系统的测试，给出了性能分析与评价。

2．系统概述

按照GTRBAC模型关于角色层次模型的定义[7]，角色之间的关系分成三种类型：继承关系(I-hierarchy)，激活关系(A-hierarchy)以及继承-激活关系(IA-hierarchy)。多自治域中基于风险的动态访问控制系统中的关键的问题就是如何控制用户的访问请求.

r

r0

I-