一种基于无等级角色间映射的访问控制方法.pdf

一种基于无等级角色间映射的访问控制方法
    【技术领域】

    本发明涉及一种基于无等级角色间映射的访问控制方法，属于计算机网络或电信网络的安全访问控制技术领域。

    背景技术

    随着网络技术的发展和网上应用的迅速增加，越来越多的业务和交易通过计算机网络进行，随之而来的泄密、黑客等信息安全问题日益凸现，当前信息系统的安全已经成为业界和用户关注的热点。访问控制技术是一个安全信息系统不可或缺的安全措施，对保护主机硬件系统和应用软件系统的安全都有重要意义。

    访问控制技术起源于70年代，当时主要用于管理大型主机系统上共享数据的授权访问。随着计算机技术和应用的发展，特别是网络应用的发展，该技术的思想和方法迅速应用于信息系统地各个领域。在30年的发展过程中，先后出现了多种重要的访问控制技术，其基本目标都是防止非法用户进入系统和合法用户对系统资源的非法使用。为了达到这个目标，访问控制通常以用户身份认证为前提，并在此基础上实施各种访问控制策略来控制和规范合法用户在系统中的行为。目前，被广泛接受的主流访问控制技术主要有自主访问控制、强制访问控制和基于角色的访问控制三种，下面分别介绍之。

    自主访问控制(DAC，Discretionary Access Control)是随分时系统的出现而产生的，基本思想是：系统中的主体(用户或用户进程)可以自主地将其拥有的对客体(系统资源)的访问权限全部或部分地授予其它主体。其实现方法一般是建立系统访问控制矩阵，该矩阵的行对应系统的主体，列对应系统的客体，元素表示主体对客体的访问权限。为了提高系统性能，在实际应用中常常建立基于行(主体)或列(客体)的访问控制方法。

    基于行的方法是在每个主体上都附加一个该主体可以访问的客体的明细表，根据表中信息的不同可分为权能表(Capabilities List)、前缀表(Profiles)和口令(Password)三种形式。其中权能表决定用户是否可以对客体进行访问以及进行何种形式的访问(读、写、改、执行等)。一个拥有某种权力的主体可以按一定方式访问客体，并且在进程运行期间，访问权限可以添加或删除。前缀表包括受保护的客体名以及主体对它的访问权。当主体欲访问某客体时，自主访问控制系统将检查主体的前缀是否具有它所请求的访问权。口令机制中的每个客体(甚至客体的每种访问模式)都需要一个口令，主体访问客体时首先向操作系统提供该客体的口令。

    基于列的自主访问控制是对每个客体附加一个可访问它的主体明细表。它有两种形式：保护位(Protection bits)和访问控制表(ACL：Access Control List)。其中保护位是对所有主体指明一个访问模式集合，由于它不能完备地表达访问控制矩阵，因而很少使用。访问控制表可以决定某个主体是否能够访问该客体，它是在客体上附加一主体明细表来表示访问控制矩阵。表中的每一项包括主体的身份和对客体的访问权。访问控制表是实现自主访问控制的最好方法。

    尽管DAC已经在许多系统中得以实现(例如UNIX)，然而DAC的一个致命弱点是：授予的访问权可以传递。一旦访问权被传递出去将难以控制，访问权的管理相当困难，会带来严重的安全问题；另一方面，DAC对受保护的客体产生的副本不予保护，即一个用户不能访问某一客体，但能够访问它的拷贝，这更增加了管理的难度；而且，在大型系统中，主、客体的数量巨大，无论使用哪一种形式的DAC，所带来的系统开销都相当昂贵、难以支付，但是效率相当低劣，很难满足大型应用、特别是网络应用的需要。因此，传统的自主访问控制安全保护能力有限。

    强制访问控制(MAC，Mandatory Access Control)源于对信息机密性的要求和防止特洛伊木马之类的攻击，MAC通过无法回避的存取限制来阻止直接或间接的非法入侵。系统中的主/客体都由安全管理员(SO，Security Officer)被强制分配一个固定的安全属性，该安全属性决定一个主体是否能够访问某个客体，用户或用户进程不能改变自身或其它主/客体的安全属性。强制访问控制系统中的每个主体都被授予一个安全证书，每个客体则被指定为一定的敏感级别。访问控制的两个关键规则是：不向上读和不向下写，即信息流只能从低安全级向高安全级流动，任何违反非循环信息流的行为都被禁止。

    MAC起初主要用于军方应用中，并且常与DAC结合使用，主体只有通过了DAC与MAC的检查后，才能访问某个客体。由于MAC对客体施加了更严格的访问控制，因而可以防止特洛伊木马之类的程序偷窃受保护的信息，同时MAC对用户意外泄漏机密信息的可能性也有预防能力。但是，如果用户恶意泄漏信息，仍然可能无能为力；而且，由于MAC增加了不能回避的访问限制，可能影响系统的灵活性。另一方面，虽然MAC作为一种多级访问控制系统，增强了信息机密性，但不能实施完整性控制。由于网上信息更需要完整性，影响了MAC的网上应用。另外，MAC的本质是基于格的非循环单向信息流政策，而在MAC系统中实现单向信息流的前提是系统中不存在逆向潜信道。逆向潜信道的存在会导致信息违反规则的流动。然而，现代计算机系统中这种潜信道是很难去除的，如大量的共享存储器以及为提升硬件性能而采用的各种Cache等。这些都给系统增加了安全性漏洞。

    网络的迅速发展，特别是Intranet的广泛应用，使网上信息的完整性要求超过了机密性，并对访问控制服务的质量提出更高要求，而传统的DAC、MAC两种访问控制技术很难满足这些要求。因此，90年代后NIST(National Instituteof Standards and Technology)提出了基于角色的访问控制(RBAC，Role-BasedAccess Control)概念，并被广为接受。RBAC技术的突出优点是简化了各种环境下的授权管理。由于在DAC/MAC系统中访问权限直接授予用户，系统中的用户数量众多，而且经常变动，增加了授权管理的复杂性。RBAC的思想是将访问权限分配给角色，系统中的每个用户担任特定角色，所谓角色实质上是与特定工作岗位相关联的一个权限集。因此，与用户相比，角色相对稳定。当用户改变时，只需进行角色的撤消和重新分配即可，使得用户的授权管理大为简化。目前，虽然RBAC已经在某些系统中开始应用，但是，RBAC仍然处于发展阶段，尚未出现成熟的产品，如何应用仍然是一个相当复杂的问题。

    下面简要介绍RBAC的一些基本概念：主体(subject)：发出访问或存取操作要求的主动方，通常是用户或代理用户行为的进程。客体(object)：接受其它实体操作的被动方。通常是可操作的系统资源，如文件、程序或数据对象。一个实体在某一时刻是主体，而在另一时刻可能成为客体，取决于该实体是动作的执行者还是承受者。用户(user)：企图使用系统的人员。每个用户都有一个唯一的用户标识，当用户进入系统时，必须提供其用户标识，以供系统进行身份认证。角色(role)：系统中一组职责和权限的集合。角色的划分涉及组织内部的岗位职责和安全策略的综合考虑。访问权限(permission)：在受系统保护的客体上执行某一操作的许可。用户到角色映射(user-to-role mapping)：为用户分配特定角色后，该用户和角色之间的对应关系。角色到权限映射(permission-to-role mapping)：为角色分配一组访问权限后，该角色与访问权限之间的对应关系。这样通过角色将用户与访问权限联系起来。用户具有其所属诸角色的访问权限的总和。

    现在，一种典型的基于角色的访问控制技术是RBAC96模型，它有四种模型：

    RBAC0是基本模型，描述任何支持RBAC的系统的最小要求。RBAC0包含四个基本要素：用户、角色、会话和访问权限。用户在一次会话中激活所属角色的一个子集，获得一组访问权限，即可对相关客体执行规定的操作，任何非显式授予的权限都是被禁止的。

    RBAC1是对RBAC0的扩充，增加了角色等级概念。实际组织中，职权重叠现象的客观存在是角色等级的依据。通过角色等级，上级角色能够继承下级角色的访问权限，再加上被授予的自身特有的权限，构成该角色的全部权限，这样极大地方便了权限管理。

    RBAC2也是RBAC0的扩充，增加了约束的概念。它的约束规则主要有：

    最小权限：分配给用户的权限不能超过完成其职责所需的最少权限，否则会导致权力的滥用。

    互斥角色，组织中的某些角色是互斥的，一个用户最多只能属于一组互斥角色中的某一个，否则会破坏职责分离。权限分配也有互斥约束，同一权限只能授予互斥角色中的某一个。

    基数约束与角色容量：分配给一个用户的角色数目以及一个角色拥有的权限数目都可以作为安全策略加以限制，称作基数约束。一个角色对应的用户数也有限制，如总经理角色只能由一人担当，这是角色容量。

    先决条件：一个用户要获得某一角色必须具备的某些条件，如总会计必须是会计。同理，一个角色必须先拥有某一权限才能获得另一权限，如在文件系统中必须先有读目录的权限，然后才能有写文件的权限。

    RBAC3是RBAC1和RBAC2的结合。它将角色等级与约束结合起来，产生等级结构上的约束。例如：等级间的基数约束是给定角色的父角色(直接上级)或子角色(直接下级)的数量限制。等级间的互斥角色能够决定两个给定角色是否可以有共同的上级角色或下级角色，特别是两个互斥角色是否可以有共同的上级角色。例如在一个项目组中，程序员和测试员是两个互斥角色，这两个互斥角色是否能够有共同的上级角色--项目主管角色，就是由等级间的互斥角色来决定。

    随着网络的发展，资源的拥有者会把自己的资源对外开放，同时为了保证资源的安全，需要对资源的访问进行控制。因此，当若干个资源采用的访问控制策略相同或者相似时，就可以认为这些资源集合构成了一个安全域；也就是说，同一个安全域里的各个资源间的相互访问都是保证安全的。现在，各个安全域间之的访问交互越来越频繁，一个安全域在使用其它安全域提供的资源的同时，它也开放一些资源供其它安全域使用。为了保证各个安全域的信息安全，必须对开放出来的资源进行安全访问控制。

    由于每个安全域都有可能同时担任访问域和被访域的双重角色，即安全域内的资源不但会访问其它安全域，也有可能被其它安全域所访问，如果直接采用目前的基于角色的访问控制技术，那么每个安全域既要定义和管理用户到本域角色的映射关系(当用户使用本域的权限时)，也要定义和管理用户到其它安全域角色的映射关系(当用户使用其它安全域的权限时)，还要定义和管理角色到权限的映射关系；而且，如果角色之间具有等级关系，又要定义和管理这些不同等级角色之间的映射关系。如此一来，每个安全域都需要维护大量的映射关系，使得每个安全域中维护管理映射关系的复杂度大大增加。另外，由于用户和角色之间的映射关系相对稳定，角色之间的等级关系也相对稳定，无法根据每次请求的上下文进行动态实时的访问控制，这些缺陷严重影响了各个安全域之间的交互访问的灵活性。

    【发明内容】

    有鉴于此，本发明的目的是提供一种基于无等级角色间映射的访问控制方法，该方法在交互的两个安全域之间创建一种对外角色间的无等级映射关系而进行访问控制，当用户使用其它安全域的资源时，都只需建立用户与本域对外角色的映射关系，大大降低了安全域管理映射关系的复杂度，并且能够进行实时、有效的访问控制，灵活性强，确保访问的安全性。

    为了达到上述目的，本发明提供了一种基于无等级角色间映射的访问控制方法，其技术方案是：在每个安全域内创建一个或多个用于访问控制、并与本域内开放的资源访问权限有虚映射的对外角色，以便在交互的安全域之间建立无等级的对外角色映射关系，并创建角色映射证书来标识该无等级的对外角色映射关系；同时根据访问资源的请求上下文信息，在每个安全域内动态创建与用户的实际访问权限相映射的中间角色，再在该中间角色和一个或多个对外角色之间建立无等级映射，使得用户使用其它安全域的资源时，只需建立用户与本域对外角色的映射关系，从而降低安全域对映射关系的管理复杂度，并能实时、有效地进行域间的权限访问控制，确保访问的安全性。

    该方法包括下列操作步骤：

    (1)在每个安全域中创建一个或多个对外角色，并把该一个或多个对外角色与该安全域内开放的各个资源的访问权限进行虚映射；

    (2)安全域管理者双方根据自身利益和/或访问控制策略进行协商，在两个安全域之间建立对外角色之间的无等级映射，并创建角色映射证书来标识该映射关系；

    (3)当一个安全域需要使用另一个安全域内的资源时，被访安全域接收到访问安全域发送来的角色映射证书后，根据角色映射证书对访问安全域进行安全认证，判断是否接受访问；如果通过认证，接受访问，执行后续操作；否则，执行步骤(7)的操作；

    (4)被访安全域根据角色映射证书解析出与访问安全域对外角色相对应的本域一个或多个对外角色，以及与本域一个或多个对外角色虚映射的资源访问权限，实现初步授权；

    (5)被访安全域的访问控制决策模块根据一个或多个对外角色及其虚映射的资源访问权限，尤其是本次访问的请求上下文信息，决定本次请求真正拥有的访问权限，再动态创建中间角色，并将该中间角色与其真正拥有的访问权限和该中间角色与本域对外角色之间分别建立实映射；

    (6)访问安全域内的主体通过其域内的对外角色与被访安全域的对外角色之间的映射、被访安全域内的对外角色与中间角色之间的映射、以及该中间角色与资源访问权限之间的映射来实现对被访安全域内的资源访问控制；

    (7)被访安全域拒绝访问，并给访问安全域发回拒绝访问请求的响应。

    所述对外角色是安全域拥有者根据自身的访问控制策略决定开放哪些资源和对谁开放资源后，创建的一种对外开放并执行访问控制的角色，用于与其它安全域的对外角色之间建立无等级的映射关系；该对外角色与安全域内所有开放的资源的访问权限之间存在虚映射对应关系。

    所述虚映射是一种对外角色和资源访问权限之间的对应关系，该对应关系表示：与该对外角色映射的其它对外角色或用户可能拥有这些资源的访问权限，必须根据实际发起访问的请求上下文信息，访问控制决策模块才能动态决定用户/角色是否真正拥有该资源的访问权限。

    所述中间角色是根据访问请求上下文信息、对外角色和虚映射的权限，系统动态创建的角色；该中间角色与用户真正拥有的访问权限相映射，也与同一安全域内的对外角色相映射，且该两个相互映射的角色之间不存在等级关系。

    所述对外角色和中间角色的映射与中间角色和访问权限的映射都是短生命周期的映射关系，只存在于一次访问请求中，或一个会话的多次请求过程中。

    所述角色映射证书是用于标识两个互访安全域的对外角色映射关系的凭证，分别保存在每个安全域内，访问安全域根据该角色映射证书才能获悉通过被访安全域中的哪个对外角色来访问被访安全域中的资源。

    所述角色映射证书的格式和实现方式均由安全域双方协商决定，其内容包括但不限于下述信息：角色之间的映射关系，与角色虚映射的权限信息和安全域的认证信息。

    所述访问请求上下文是记录主体需要访问的资源、以及与本次请求相关的时间、地理位置、用户标识和其它请求信息，被访安全域根据该请求上下文信息来动态确定主体真正拥有的资源访问权限。

    所述两个安全域之间协商建立对外角色间映射关系的基础是付费、或基于双方相互信任的免费、或根据各自需要进行权限交换。

    本发明是一种基于无等级角色间的映射访问控制方法，其优点如下：

    在安全域之间建立了无等级的对外角色映射关系，安全域内的主体只需与本域对外角色建立映射关系，无需考虑与访问域内其它实体或资源的关系，使得目前每个安全域都要维护和管理的大量映射关系的复杂性明显简化；而且，对外角色之间是没有等级限制的无等级映射关系，对外角色和中间角色之间也是没有等级限制的映射关系，使得角色间的关系简单化，便于管理和控制。另外，对外角色与资源访问权限之间是虚映射，其它安全域内的主体不能直接通过对外角色获得访问权限，从而使得动态决定主体真正拥有的权限成为可能，解决了现有技术中用户和角色间的映射关系和角色间的等级关系都相对稳定、缺乏灵活性的缺陷。再者，该方法利用访问控制决策模块根据访问请求上下文信息动态创建中间角色，建立无等级的对外角色和中间角色映射、中间角色和权限映射，以实现动态实时授权。该中间角色生命周期很短，只存在于一次访问请求中，或者一个会话的多次请求过程中，维护管理简单、容易。

    【附图说明】

    图1是本发明基于无等级角色间映射的访问控制方法的工作原理示意图。

    图2是本发明基于无等级角色间映射的访问控制方法操作流程方框图。

    【具体实施方式】

    为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。

    参见图1，介绍本发明一种基于无等级角色间映射的访问控制方法，其是在每个安全域1、2内分别创建一个或多个用于访问控制的对外角色role，该对外角色role除了分别与该安全域内的用户主体subject之间有映射关系①、与本域内开放的资源访问权限permission有虚映射关系④以外，它与根据访问资源的请求上下文信息context在每个安全域内动态创建的中间角色middle role之间也有无等级映射关系②，而且，该中间角色middle role与用户主体subject的实际访问权限有实映射③。这样，用户使用其它安全域的资源时，只需先建立该用户主体subject与本域对外角色间的映射关系①，再在交互的两个安全域1、2之间建立无等级的对外角色映射关系⑤，将访问请求发送给被访安全域，由被访安全域的访问控制决策模块根据角色映射证书RMC和请求上下文context来动态创建中间角色middle role，就能够授予来访者真正实际拥有的访问权限。该方法降低了安全域对映射关系的管理复杂度，并能实时、有效地进行域间的权限访问控制，确保访问安全。

    参见图2，具体说明本发明基于无等级角色间映射的访问控制方法的操作步骤：

    (1)在每个安全域中创建一个或多个对外角色，并把该一个或多个对外角色与该安全域内开放的各个资源的访问权限进行虚映射；

    安全域管理者根据自身的访问控制策略决定开放哪些资源和对谁开放资源后，创建一个或多个对外角色，并把该一个或多个对外角色分别与开放的资源的访问权限进行虚映射。这里的对外角色是本发明的创造，它是一种对外开放并执行访问控制的角色，用于与其它安全域的对外角色之间建立无等级的映射关系；该对外角色是安全域内所有开放资源的访问权限的集合，但是它与权限之间的对应关系是虚映射。这种虚映射只表示与该对外角色映射的其它对外角色或用户可能拥有这些资源的访问权限，外界不能直接通过对外角色来使用权限访问资源，必须等到发起实际的访问请求时，才能动态决定外界是否能够真正拥有该资源的访问权限。

    (2)安全域管理者双方根据自身利益和/或访问控制策略进行协商，在两个安全域之间建立对外角色之间的无等级映射，并创建角色映射证书来标识该映射关系；

    安全域之间对外角色的相互映射，属于域间的角色映射，且这两个对外角色之间不存在等级关系。安全域内的主体欲使用其它安全域的资源时，该主体先与本域内的对外角色相映射，再由本域内的对外角色与资源所在域的对外角色相映射。两个安全域之间建立角色映射之前，需要进行协商交易，而协商交易的基础可以是根据各自需要进行权限交换，或者通过付费，或者基于双方之间的相互信任的免费等多种方式。协商达成一致后，建立用于标识两个互访安全域的对外角色映射关系的凭证——角色映射证书(RMC，Role MappingCertificate)，该角色映射证书分别保存在每个安全域内，其格式和实现方式由安全域双方协商决定，只要双方能够认可即可。其内容至少包括：描述角色之间的映射关系，与角色虚映射的权限信息和安全域的认证信息等，它既是一种认证授权证书；也是访问安全域获悉通过被访安全域中的哪个对外角色来访问其中资源的依据。例如当一个安全域1要访问另一个安全域2时，安全域1的对外角色就是根据两者之间的角色映射证书获知它应该通过安全域2中的哪个对外角色来访问安全域2中的资源。

    (3)当一个安全域需要使用另一个安全域内的资源之前，访问安全域先要向被访安全域提交角色映射证书，被访安全域接收到访问安全域发送来的角色映射证书后，根据角色映射证书对访问安全域进行安全认证，判断是否接受访问；如果通过认证，接受访问，执行后续操作；否则，执行步骤(7)的操作；

    (4)被访安全域根据角色映射证书解析出与访问安全域对外角色相对应的本域一个或多个对外角色，以及与本域一个或多个对外角色虚映射的资源访问权限，由于对外角色与权限之间有虚映射，因此在建立对外角色的映射关系后，实现初步授权；

    (5)被访安全域的访问控制决策模块根据本次访问的请求上下文信息，决定本次请求真正拥有的访问权限，再动态创建中间角色，并将该中间角色与其真正拥有的访问权限和该中间角色与本域对外角色之间分别建立实映射；

    请求上下文context是记录主体需要访问的资源、以及与本次请求相关的时间、地理位置、用户标识和其它请求信息，其格式和传送方式都没有规定，被访安全域根据请求上下文信息来动态确定主体真正拥有的资源访问权限。中间角色middle role是系统根据访问请求上下文信息动态创建的角色，该中间角色与用户真正拥有的访问权限相互映射，同时与同一安全域内的对外角色相映射，但是这两个相互映射的角色之间不存在等级关系。该步骤建立的中间角色和对外角色映射以及中间角色和权限映射的两种映射关系的生命周期都很短，只存在于一次访问请求中或一个会话的多次请求过程中。

    (6)访问安全域内的主体通过其域内的对外角色与被访安全域的对外角色之间的映射、被访安全域内的对外角色与中间角色之间的映射、以及该中间角色与资源访问权限之间的映射来实现对被访安全域内的资源访问控制；

    (7)被访安全域拒绝访问，并给访问安全域发回拒绝访问请求的响应。

    总之，本发明是在不同安全域的对外角色之间建立无等级关系的映射，安全域内的主体只要和本域的对外角色建立映射，无需同被访安全域的对外角色之间建立映射，简化了安全域对于映射关系的管理操作。另外，虽然对外角色不直接与权限相映射，但是通过由访问控制决策模块动态创建的中间角色，该中间角色分别与对外角色和权限的映射，达到了实际授权的目的。而且，中间角色及其与对外角色和权限的映射的生命周期都很短，只存在于一次访问请求中或者一个会话的多次请求过程中，简化了映射关系的管理和操作的复杂度。