基于属性和规则的访问控制模型概要.docx
- 文档编号:11780665
- 上传时间:2023-06-02
- 格式:DOCX
- 页数:11
- 大小:38.26KB
基于属性和规则的访问控制模型概要.docx
《基于属性和规则的访问控制模型概要.docx》由会员分享,可在线阅读,更多相关《基于属性和规则的访问控制模型概要.docx(11页珍藏版)》请在冰点文库上搜索。
基于属性和规则的访问控制模型概要
—29—
基于属性和规则的访问控制模型
朱一群,李建华,张全海
(上海交通大学电子工程系,上海200030
摘要:
针对分布式服务环境中用户数目大量增长和资源访问策略复杂多样化的问题,分析目前访问控制模型的应用局限性,提出多用户服务模式中一种基于属性和规则的访问控制模型。
该模型引入复合属性表达式和复合权限的概念,制定授权约束规则,为用户分配多组角色。
给出模型实例,并将其与其他模型进行比较。
关键词:
多用户服务;用户角色分配;属性;规则;访问策略
AccessControlModelBasedonAttributeandRule
ZHUYi-qun,LIJian-hua,ZHANGQuan-hai
(Dept.ofElectronicEngneering,ShanghaiJiaotongUniversity,Shanghai200030
【Abstract】Accordingtotherequirementsofhugecustomersandresource’saccesspolicydiversificationindistributedserviceenvironmentsandapplicationlimitationofaccesscontrolmodels,thispaperproposesanAttributeAndRule-basedAccessControl(ARBACmodelformultipleusersservicemode.Itintroducesnotionsofcompositeattributeexpressionandcompositepermission,definesdifferentmultiplerolegroupsandmakesafinitesetofrulestoassignusertoroles.Acasestudyisgivenandthemodeliscomparedwithothermodels.【Keywords】multipleusersservice;user-roleassignment;attribute;rule;accesspolicy
计算机工程ComputerEngineering第34卷第13期
Vol.34No.132008年7月
July2008
·软件技术与数据库·文章编号:
1000—3428(200813—0029—02
文献标识码:
A
中图分类号:
TP311.13
1概述
面向服务体系因其特有的优点而得到了广泛的应用。
在很多提供服务的企业中,随着企业的发展壮大,用户数目成倍地增长,由此形成了多用户服务模式。
大量增长的用户数目使用户角色的管理分配任务繁重。
同时,访问资源的策略经常由多种不同类型的策略组成,更为复杂多样化。
这些都对访问控制模型提出了新的应用安全需求。
在传统访问控制模型中,RBAC模型[1-2]通过引入角色这一中介,分配用户角色,从而授予用户角色的权限,实现用户与权限的逻辑分离。
在RBAC模型中,角色是静态实体,当大型企业发生组织和功能变化时,需要重新分配大量的角色,同时,随着用户数目的膨胀,模型的角色分配和管理方式使得角色权限管理工作变得庞大且笨重。
文献[3-4]提出RB-RBAC(Rule-basedRBAC模型用以解决上述问题。
RB-RBAC模型综合考虑了用户属性,制定规则,自动分配用户角色,实现自动化管理用户和权限,满足管理庞大用户数目的安全需求,在一定程度上降低了管理工作的复杂度。
但随着系统考虑的用户属性数目的增长,其制定分配用户角色规则的数目呈指数级增长[5],且只给出了某种访问策略多样化的解决方法。
作为RB-RBAC模型的一种补充,文献[6]将提供用户信息的功能从模型中分离出来,形成Rule-basedProvisioningofRBAC模型。
这种模型可提供服务应用的审计信息,满足银行等业务的审计需求,但没有解决规则剧增的问题,也没有考虑多种访问策略的问题。
针对上述问题,本文提出一种基于属性和规则的访问控制(AttributeAndRule-basedAccessControl,ARBAC模型。
2ARBAC模型
ARBAC模型根据系统的多种访问控制策略,综合分析同一资源属性对应的不同用户属性,提出复合属性表达式和
复合权限的概念,制定一系列角色分配规则,定义多组角色分配给用户,使用户得到资源的复合权限。
2.1应用条件
在给出模型定义和分析前,作如下假设[3]:
(1在模型分配用户角色前,用户已通过系统身份认证。
(2针对不同资源属性,系统采用多种访问策略。
本文只考虑多个用户属性访问同一资源属性的多个策略服务应用。
(3用户属性信息可以由用户的身份认证登记信息或从用户信息数据库中获得。
(4角色-权限分配关系比较稳定。
(5用户数目比角色数目大得多,如对于上百万的用户,角色只有几十或几百个。
2.2基本术语
定义1用户属性表达式uae[7]
uae:
:
=uaroptuav
其中,ua为用户属性名;ropt为关系表达式运算符;uav为用户属性值。
如,在某一用户属性表达式{age>30}中,用户属性名为age,“>”是关系表达式运算符,属性值为30。
定义2资源属性表达式rae
rae:
:
=raroptrav
其中,ra为资源属性名;ropt为关系表达式运算符;rav为资源属性值。
定义3用户的复合属性表达式cae
cae:
:
=uaeANDuae{ANDuae}
对于系统制定的多种不同类型访问策略,当几种策略基于同一种资源属性时,制定分配用户角色规则需要综合考虑多种用户属性表达式,并形成cae,如{age>30ANDcountry=‘China’}。
不同用户属性表达式间的分析比较可参考文
基金项目:
国家自然科学基金资助项目(60402019
作者简介:
朱一群(1977-,女,博士研究生,主研方向:
分布式计算,信息安全;李建华,教授、博士生导师;张全海,讲师收稿日期:
2007-08-20E-mail:
yqyby06@
献[3-4]。
当用户属性和资源属性是多对一的关系时,可通过cae制定生成角色的规则,实现某种类型资源的访问策略。
2.3模型理论
ARBAC模型如图1所示。
图1ARBAC模型
模型元素、关系定义如下:
(1U,UAE,UA,UAV分别为用户、用户属性表达式、用户属性、用户属性值的集合。
对某系统定义多种不同用户属性,每种属性有其对应的属性名和属性值。
(2Res,RAE,RA,RAV分别为资源、资源属性表达式、资源属性、资源属性值的集合。
资源有多种不同属性,每种属性有其对应的属性名和属性值。
(3CAE是cae集合,CAE⊆UAE。
当资源属性与用户属性是一对多的对应关系时,系统基于cae制定分配用户角色的规则。
假定caei是rai的对应复合属性表达式,对于N个一对多的资源属性,则rai∈RA,caei∈CAE,CAE={caei|i=1,2,…,N}。
(4RC是基于CAE分配的角色集合。
对于N个一对多关系的资源属性rai(i=1,2,…,N,有N个对应的cae。
系统根据N个cae和对应的访问策略,分别定义了N组角色(RC1,RC2,…,RCN。
假定与rai(i=1,2,…,N相关的用户属性数目为Ki(i=1,2,…,N,则∀caei(i=1,2,…,N,∃RCi∈RC且RCi={rcij|i=1,2,…,N;j=1,2,…,M}。
其中,M表示第i个资源属性对应的Ki个用户属性可能值的最大归类数目且M=max{Range(uai1,Range(uai2,…,Range(uaiKi}。
(5PC是RC对应的权限。
如,PC1是cae1对应的RC1的权限。
对于N个资源属性,有N组角色(RC1,RC2,…,RCN和它们各自对应的权限(PC1,PC2,…,PCN。
(6PCRA⊆PCi×RCi,是权限PCi与角色RCi的分配关系。
pcij是角色rcij(∈RCi的对应权限。
∃PCi(∈PC,PCi={pcij|i=1,2,…,N;j=1,2,…,M},其中,M是上述叙述的值。
(7URCAi⊆U×RCi,是用户与角色RCi的分配关系。
根据第i个资源属性的Ki个用户属性值和caei对应的规则,系统分配用户RCi中的一个角色(如rci1。
对于N个资源属性,用户被分配N个角色,这些角色分别属于RCi(i=1,2,…,N。
(8RCH⊆RC×RC,是角色RC间的层次关系。
RC有2种类型的关系:
1不同RCi间的关系;2同一RCi中不同角色rcij间的关系[3-4]。
(9RCi∩RCj=∅,{i≠j;i,j=1,2,…,N}。
(10CP指复合权限(CompositePermission,由不同cae分配的角色权限复合而成,是用户访问资源的最终权限:
CP=PC1∧PC2∧…∧PCN。
3应用实例
给出一个ARBAC模型的应用实例。
在网上在线娱乐服务商店[3-5]中,采用如下策略:
(1基于用户年龄和电影内容的访问策略
不同年龄用户有不同的访问权限。
年龄{age<13}的用户能访问L3级内容电影;年龄{age<21andage≥13}的用户能访问L2级内容电影;年龄{age≥21}的用户能访问L1级内容电影。
L2和L3级不含{sex}内容。
(2基于用户国家和电影内容的访问策略
某些国家由于具体国情文化等原因,对观看电影内容有所限制。
对于所属国家为{China,India,SaudiArabia,Egypt,Singapore}的用户,规定不能观看含{sex}内容的电影[3]。
(3基于用户会员资格和电影类型的访问策略
根据电影发布日期,电影类型可分为2类:
NewRelease和OldRelease。
基于用户每月付费数目,用户的资格可分为2类:
Premium和Regular。
{Regular}资格的用户只能访问{oldrelease}的电影,{Premium}资格的用户才能访问{newrelease}的电影。
(4基于用户出生月和电影类型的访问策略
在用户会员出生当月,能免费观看{newrelease}的电影。
3.1用户属性
对于电影属性{content},系统基于用户属性age和country定义了策略(1、策略(2。
对于电影属性{release_date},系统基于用户属性membership和birth_month定义了策略(3、策略(4。
3.1.1age和country
综合考虑策略(1、策略(2,根据用户属性age和country值,系统构建cae,制定一系列规则,分配用户访问电影内容权限的角色。
制定规则如下:
Rule1:
:
(age<13AND(countryIN{A,B,…,Z}→Child
Rule2:
:
(age≥13andage<21AND(countryIN{A,B,…,Z}→Juvenile
Rule3:
:
(age≥21AND(countryIN{{A,B,…,Z}-{China,India,SaudiArabia,Egypt,Singapore}}→Adult
如,某用户年龄为10岁,所属国家为China。
系统构建cae为{age=10ANDcountry=‘China’},基于Rule1,分配用户角色{child},用户则有角色{child}的访问电影内容权限为{能访问L3级内容电影}。
3.1.2membership和birth_month
根据缴费金额,可确定用户资格(membership对应的角色为Premium还是Regular。
结合策略(4,应用ARBAC模型,综合考虑用户属性{membership和birth_month}值,系统制定一系列根据电影发布日期访问电影资源的角色分配给用户。
制定规则如下:
Rule4:
:
(fee=100AND(month=birth_month→Premium
Rule5:
:
(fee=100→Regular
Rule6:
:
(fee=300→Premium
3.2访问权限
在多个策略中,当同一资源属性对应多个用户属性时,由ARBAC模型可知,用户访问资源的最终权限CP由用户不同类型角色所对应的权限综合形成,即
Rule7:
PC{∧PC}→CP
如,某用户每月会费为100,6月出生,是10岁的中国人。
由Rule1,分配用户角色child,则
PC1→(content=’L3’
当6月访问资源时,由Rule4,分配角色Premium:
PC2→(release_date=‘New,Old’
则用户的终权限为(下转第33页
—30—
—33—
从图1中可知,DH和标准Deltoid的召回率基本相同,说明用DTSUHT设定阈值基本不影响Deltoid算法的精度。
由于实验中的标准Deltoid算法使用精确方法计算L1-Difference,因此其阈值比通过估计得到的阈值更有效,但精确计算L1-Difference在实际应用中的代价太大,一般采用近似方法。
(3正确发现的元素数量比较
图2是DH和标准Deltoid算法正确发现的主机数目。
主机数目
0.00500.00200.00100.0006
ε
图22种算法正确发现的主机数目
从中可知随工作空间增加(ε变小,各算法正确发现的主机数目逐渐增加。
其原因是工作空间的增加使得可用检测阈值降低。
其次,对于Std1.5,Std2和Std3,正确发现主机的数目依次减少,原因是随着阈值的增加,满足条件的主机逐渐减少。
另外,当工作空间较小时,DH正确发现主机数目比标准Deltoid少;但随工作空间变大,DH正确发现主机数目逐渐大于标准Deltoid。
原因是工作空间较小时,Deltoid算法保存的信息难以在保证较高精度的同时增加发现元素数目。
因为DTSUHT方法以精度作为首要优化目标,倾向于使用较大阈值,所以发现的主机数目较少;工作空间较大时情况则相反,DH发现主机数目较多。
这在一定程度上验证了本文方法的有效性,说明其能较好地利用数据分布改善Deltoid算法性能。
5结束语
本文认为在阈值设定中,用户关心的并不是如何准确计算数据流的L1-Difference,而是如何找到一个合适的阈值,使Deltoid算法能以较高精度找到所有流量变化大于该阈值的元素,因此,针对目前Deltoid算法阈值设定方法的不足,提出基于假设流量的阈值设定算法DTSUHT。
与已有方法相比,在Deltoid算法性能几乎相同的前提下,DTSUHT的优点是:
(1无需额外工作空间;(2无需在线操作,只需要离线操作;(3许多情况下以现有方法得到的阈值相对保守,而DTSUHT能根据实际数据找到合适的阈值。
参考文献
[1]CormodeG,MuthukrishnanS.What’sNew:
FindingSignificant
DifferencesinNetworkDataStreams[J].IEEE/ACMTransactionsonNetworking,2005,13(6:
1219-1232.
[2]FeigenbaumJ,KannanS,StraussM,eta1.AnApproximate
L1-differenceAlgorithmforMassiveDataStreams[C]//Proc.ofthe40thAnnualSymposiumonFoundationsofComputerScience.NewYork,USA:
[s.n.],1999.
[3]IndykP.StableDistributions,PseudorandomGenerators,Em-
beddingsandDataStreamComputation[J].JACM,2006,53(3:
307-323.
[4]KrishnamurthyB,SubhabrataS,ZhangYin,etal.Sketch-based
ChangeDetection:
Methods,EvaluationandApplications[C]//Proc.ofthe3rdACMSIGCOMMConferenceonInternetMeasurement.Miami,Florida,USA:
[s.n.],2003.
[5]SamplepointF.MAWIWorkingGroupTrafficArchive[Z].[2007-
01-09].http:
//tracer.csl.sony.co.jp/mawi/.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
(上接第30页
CP=PC1∧PC2→((content=’L3’∧(release_date=‘New,Old’
即用户能访问L3级别内容的新旧发布日期电影;当不是出生月访问资源时,由Rule5,分配角色Regular:
PC2→(release_date=‘Old’
用户对资源的终权限为
CP=PC1∧PC2→((content=’L3’∧(release_date=‘Old’
即用户能访问L3级别内容的旧发布日期电影。
4复杂度分析
假定服务应用策略有N个资源属性,与用户属性为一对多关系,对应K个用户属性。
定义Range(表示可能值的归类数目,Num(R表示角色数目,Num(P表示权限数目。
对于rai(i=1,2,…,N的安全策略,同时考虑了Ki(≥2个用户属性:
(1RBAC:
1
(=(KkNumRRangeUA∏;
1
(
=(N
mNumPRangeRA∏。
(2ARBAC:
∀rai(i=1,2,…,N,∃RCi和PCi(i=1,2,…,N,且Num(R=1
(N
iRangeRC∑,Num(P=1
(N
iRangeRC∑。
(3RB-RBAC:
Num(R为一组角色的数目(如Child|Juvenile|Adult;Num(P=1
(NnRangeRA∏。
(4随着用户和资源属性数目的增长,RB-RBAC制定的规则数目呈指数级增长[5];而ARBAC的则呈线性增长。
5结束语
ARBAC模型综合考虑了用户属性和资源属性,制定一系列有限规则,自动分配用户角色。
其简化了用户角色分配
管理工作,降低了角色权限复杂度,能适应服务环境中用户大量增长和安全策略多样化的应用需求,在面向服务领域中有着广阔的应用前景。
参考文献
[1]SandhuRS,CoyneEJ,FeinsteinHL,etal.Role-basedAccess
ControlModels[J].IEEEComputer,1996,29(2:
38-47.
[2]FerraioloDF,SandhuR,GavrilaS,etal.ProposedNISTStandard
forRole-basedAccessControl[J].ACMTransactionsonInformationandSystemSecurity,2001,4(3:
224-274.
[3]MohammadA,KahtaniA,SandhuR.AModelforAttribute-based
User-roleAssignment[C]//Proc.ofthe18thAnnualComputerSecurityApplicationsConference.LasVegas,USA:
[s.n.],2002.[4]MohammadA,KahtaniA,SandhuR.InducedRoleHierarchieswith
Attribute-basedRBAC[C]//Proc.ofthe8thACMSymposiumonAccessControlModelsandTechnologies.Como,Italy:
[s.n.],2003.[5]YuanEric,TongJin.Attributed-basedAccessControl(ABACfor
WebServices[C]//ProceedingsofICWS’05.Orlando,FL,USA:
IEEEPress,2005.
[6]KernA,WalhornC.RuleSupportforRole-basedAccess
Control[C]//Proc.ofSACMAT’05.Stockholm,Sweden:
[s.n.],2005.
[7]YeChunxiao,WuZhongfu.AnAttribute-basedDelegationModel
an
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 属性 规则 访问 控制 模型 概要