[发明专利]一种多域间基于RBAC模型的访问控制策略合成方法

说明书

技术领域

本发明的是一种网络访问控制领域的策略合成方法，具体地说，是一种多域间基于角色的访问控制（RBAC）策略合成方法。

背景技术

随着互联网和社会的发展，各个领域间的协同工作变得越来越重要，越来越多的资源需要在不同域间共享，因此就需要一种能够保持域内自治性，同时又最大限度的满足域间资源共享的访问控制策略。基于角色的访问控制（RBAC）具有角色层次，最小权限，权限分离等灵活特性，适合在多域环境中应用，制定满足域间安全互操作需要的全局安全策略。目前，RBAC策略合成的原理主要是域间角色映射，其方法包括基于权限和非基于权限两类。非基于权限的合成方法基于等级或信用进行角色映射，粒度较粗，而本发明是一种基于权限的RBAC策略合成方法，其特点是方法中的角色映射都是基于角色的权限进行，其目标是保证角色在策略合成后不会获得本来不具有的权限，因此更适合应用于对于安全性要求高的环境。

经对现有技术的文献检索发现，2005年Shafiq等在《Knowledge and Data Engineering》上发表的《Secure Interoperation in a Multi-Domain Environment Employing RBAC Policies》一文中提出了一种基于RBAC策略的多域访问控制策略合成方法，其主要思想是根据两个域间角色的公共权限和公共子角色创建新角色进行映射，并且映射过程保证了建立映射的角色间权限和层次结构都相同，安全性较高。但是它仅支持权限继承层次，不支持激活角色层次上的策略合成，而且会引入大量的新角色和复杂的角色层次关系，其指数级的方法复杂度降低了实用性。

发明内容

本发明在上述研究的基础上，提出了一种较为完善的RBAC策略合成方法。首先，为了保证角色映射的安全性，本发明满足角色映射应该总是朝着权限降低的方向进行的原则。其次，为了提高策略合成的灵活性，降低方法的复杂度，本发明提出了角色映射应根据传递性，继承类型，方向性分类，并将此应用于策略合成方法中，根据角色权限集的关系建立不同类型的角色映射，同时考虑了角色映射过程中出现的继承环（Cyclic inheritance）和权限分离（SoD）冲突。与Shafiq的方法相比，本发明引入了较少的新角色和新继承关系，具有更好的性能。

为实现上述目的,本发明采用的技术方案是:将需要进行策略合成的两个域的RBAC策略作为方法的输入，根据原域内的角色-权限关系和角色层次关系，建立域间角色映射集合，同时对映射过程中可能产生的策略冲突进行检测，形成全局访问控制策略输出，则此全局策略用于实现域间互操作。建立角色映射的基本思想是比较要建立映射关系的两个角色的权限集，根据比较结果，建立不同类型的映射。由于应用了角色分裂技术，保证了映射角色间权限完全相等。

首先给出几个相关定义。传统的RBAC96模型可表示为(RH,UA,PA)的3元集合，其定义如下：

定义1

1)Users、Roles、Operations、和Objects分别表示所有用户、角色、操作和对象的集合。

2)Permissions=2(Operations×Objects)表示所有权限的集合。

3)是从权限集合到角色集合的多对多映射，表示角色被赋予的权限。

4)是从用户集合到角色集合的多对多映射，表示用户被赋予的角色。

5)是角色层次中的一个继承关系，记作≤。

本发明主要基于现在广泛使用的ERBAC模型，这种模型在RBAC96模型的基础上将角色继承分为了A继承（≤_A）和I继承（≤_I），这两种继承方式分别对应了角色激活和直接继承权限，则上文中的RH可以分为RH_A和RH_I，分别表示A继承集合和I继承集合。因此可以把一个ERBAC系统表示为(RH_A,RH_I,UA,PA)的四元集合。其中A-继承和I-继承的定义如下：

定义2：当(u,r,)∈UA，且r≤_Ar’时，用户u可以激活角色r；当(u,r,)∈UA，且r≤_Ir’时，用户u可以通过激活角色r’具有权限p，

其中(p,r)∈PA。

基于上述定义，一个角色的权限分为直接权限和间接权限，其中间接权限集又分为I继承所获得的权限和A继承所获得的权限。对于各种权限集，定义如下：

定义3