论文研究-基于RBAC的数字权限委托授权 .pdf

所需积分/C币:5 2019-08-16 09:52:22 628KB .PDF

基于RBAC的数字权限委托授权,蒋雯,杜晔,在数字权限管理(DRM)系统中,用户常常需要将自己获得的授权委托他人或者授权给其他计算设备使用。为方便管理者和使用者对数字内
山国武技记文在 内容发布中心 版权发布中 证书授权中心 内容提供者 加密内容 版权对象 网络存储 DRM代理 其他DRM代理 移存储 加密内容 加密内空 用户 图210 MA DRM系统结构 DRM代理( DRM Agent,DA):用户终端设备的受信任实体。其主要责任是强制执行与DRM 内容相关的许可和约束,实现对DRM内容的可控访问。 一-内容发布中心( Content issuer,CI):负责DRM数字内容分发的实体。为了保证传输的 安全性,数字内容按照标准定义的封裝格式进行打包,并传送给目标DA。打包过程可以由 内容中心自己完成,也可由其他实体代替完成。 版权发布中心( Right issue,RI):负责指定DRM内容的访间权限的逻辑功能实体,并 且产生一个授权对象( Rights ob jects,RO)。授权对象规定∫用户对DRM内容的访问权限。 用户必须获得DRM内容对应的授权对象才能对其解密。 一-用户(User):使用DRM内容的用户,用户通过DA对DRM内容进行访问。 外部存储设备( Off device storage,0s):因为DM内容具有固有的安全属性,因此 可能被存储在用户终端之外的设备上,如网终存储、移动存储设备等。 的特性和功能需求 从数字内容拥有者的角度看,DRM系统应该能休护数字内容的安全性和所有者的利益 满足不同用户不同细粒度权限的要求,甚至可以提供审计和跟踪分析功能。从用户的角度看, DRM系统应该保护用户的隐私,保障数字内容的可靠性,以及获得数字內容后对其正当的操 作杈限,如委托、正常使用等,同吋也要具有方便使用,人性化等特性。因此个具有DRM 系统应该满足以下功能需求 (1)本地域许可:RT可以授权本地域的许可给本地域管理者或用户; (2)数字内容本地共享:在满足一定条件下,设备或者用户间可以在本地相互共享数 字内容 (3)授权对象转移:属于设备1的授权对象可以被转移给设备2,而授权对象转移之 后,设备1将不能在使用该授权对象 (4)受限共亨:可以指定某些设备或用户可以共亨数字内容 (5)临时共亨:设备问或用户间可以临时共亨数字内容; (6)权限撤销:RI可以撤销之前赋予本地域管理者的杖限。 (⑦)离线共享:本地域管理者或用户获得许可后,即使没有连接互联网,也可以进行 山国武技记文在 离线权限分发。 基于角色的委托授权 在互联网或局域网的DRM系统中,往往采用集中管理授权的方式,而在分布式的网络环 境下,不仅会增加系统的负担,也加大了管理的难度和复杂性。委托( Delegation)策眳正 是将权限授权给合法用户,让用户具有相应的权限去执行操作或仼务。这样不仅可以减轻系 统管理者的负担,同时也满足“最小授权原则”,让管理变得更加灵活,从而使管理效率大 大提升,同吋也更进·步能保证数字内容拥有者和用广双方的利益,提爪用户体验,也提局 了数字内容的安全性和可靠性。委托策咯允许把集中式管理的工作分散实施,是·种提扃分 布式系统中权限管理系统工作效率的重要技术。 委托的中心思想是用户将自己所拥有的权限、角色或任务转让给其他用户,使得接受这 些权限、角色或任务的用户能够合法的对数字内容进行操作。通常在委托模型中发起委托的 用户称为委托者( delegator)、接受委托的用户则称为受托者( delegatee),基于角色的 委托模型还有委托角色( delegate role) 基于角色的委托模型一般只有以下特征 (1)单步或多步委托。前者指不允许受托者对数字内容进行再次委托给其他用户; 后者则允许在不同用户问进行多次委托授权。 (2)委托管理。委托授杖可以由委托者自身完成,也可由第三方代埋完成委托活动。 3)整体/部分委托。前者指用户可以将其角色的全部权限委托给受托者。反之,部分 委托指用户可以将其角色的部分权限进行委托。 (4)时限委托。包括水久委托和临时委托。 5)撤销委托。撤销委托出去的杈限或角色。包括级联撤销、授杈依賴撤销和非授 杈依赖撒销。级联撤销是指在撤销委托角色的同时将与其相关的其他角色都撤销ε授权 依赖撤销则只有委托者才能撤销委托角色。非授权委托是指委托角色的原始用户都可以 撤销受托者拥有的该角色。 基于角色的委托授权 的形式化描述 模型将角色分为常规角色(, )、固定委托角色(, )、临吋委托角色( ),其中常规角色不允许进 行委托操作,固定委托角色可以长期使用对应的数字内容,临吋委托角色则是只能使用有限 次,若还需要继续使用,则需要再次申请。 模型中包括了用户、常规角色、固定委 托角色、临时委托角色、许可权、约束规则、会话,还包括用户角色指派、角色许可指派 角色委托指派、角色指派等。如图所示 山国武技记文在 委托指派 y常规角色 投权许可中心 用户集 用户角色委托 固定角色 临时角色 会话 约束集 角色的束)(要托约束)(时间约束)、会约 图 委托模型 定义用户集为UA,角色集R,常规角色集RR,固定委托角色集FDR,临时委托角色集TDR 临时委托角色的状态集TDRS,许可集P,约束集C,角色委托约束集RDC,会话集S,时间 约束集合T 定义1(常规角色)RR={r1r2,…,rm,p,p,…,pn|r∈R,p∈P}。 定义2(固定委托角色)FDR-{r,r,…,rn,p,p,…,p1r∈R,p∈P}。 定义3(临时委托角色)TDR={r1,r2,…,rn,p,p,…,pnr∈R,p∈P 定义4(角色互斥)RR∩FDR∩TD=, RRU FDRU TDR=R。 定义5(临时委托角色状态)TDRS={init, active, sleep, expire],init为初始化状 态, active为活跃状态, sleep为休眠状态, expire为过期状态 定义6(委托时间)委托中的时间限制T,T={TtT<t,(i,∈Z且ij)}。 定义7(状态转移)设T为系统时间,ts表示委托开始时间,t。表示委托结束时间 i-0,1,2,3…,n,vi,T¢[ts,t。∧(T<t)→TDRS-init;彐i,T∈[ts,t∧(T<t)→ IDRS= active;vi,T∈[ta,ta∧(Tt0)∧(ta)→TDRS= sleep;Vi,T[ts;,t]∧(>t TDRS=expire 定义8(许可集)P-{p,p2,…,pn}。 定义9(委托步数)委托步数n=0时,不能再进行委托操作;n=1时,为单步级联委托 1时,为多步级联委托,其中n为自然数。 的委托约束规则和性质 为了便于管理和研究,首先假定用户之间同属于一个DRM系统,即属于同一个上层机构 规则1常规角色集合中的角色不能进行委托操作。 yr;(r∈RR)→(r¢DR∧rTDR) 这就实现了“最小特权原则”,进一步的增强对数字内容使用的可控性和安全性 规则2FDR和TDR的委托步数由许可p中的n决定 Vr;,p(r∈FDR,p∈P),n<n<m r,p(r:∈TDR,p∈P),nn<n。其中ji 因此,规则2的多步委托关系具有自反性、反对成性以及传递性。当原始用户需要进行 强制撤销委托时,或者委托时限到期时,就可以相应的委托指派进行级联撤销。且只有原始 委托者可以进行强制撤销操作 山国武技记文在 规则3临时委托的除了有次数限制外,还有时间限制 Vri,p;(r;∈HDR,pi∈P),tt:<1L 规则3有了时间段的限制,进一步丰富模型的语义,符合“最小特权原则” 系统实现 体系架构 D-DRM体系架构在 OMA DRM的基础上引入了委托授权证书DC,委托撤诮列表( Delegated revoked list,DRL),并且支持用户多步委托。每个DC都有唯一标识,当DC失效时,公 被记录DRL,同时与其相关的级联委托DC也会被撤销。DDRM具有分布式的特征,这样更利 于委托授权的管理用户以有冋时拥有加密文件和委托授权证书才能对文件解密成功。D-DRMI 架构中还增加了委托审计札制,在用户进行委托授权或撤销时进行跟踪和分析,进一步增加 委托的安全性和合法性。如图5-1所示: 委托策略 用户信息 LDAE 内容发布中心 委托授权中4 内容提供者 授权文 加密内容 授权文件 DIC ID 移动存储 密内容移动存信 加密内容 移动存储 用户 图 系统架构 由于授权文件和加密内容是分开的,所以也本系统支持离线委托。 委托授权流程 (1)内容发布中心收到用户申请后,判断是否是合法用户,如果合法,则加密的数字内容 发给用户,同时把用户信息和数字内容ID发给委托授权中心 (2)委托授权中心收到请求和信息后,赋予用户角色,并把角色信息、数宁内容ID、委托 权限、委托次数、委托时限、解密密钥等信息写在委托证书DC里,同时生成一个证书身份 标识DC_ID,并把证书通过数字签名后发送给用户,同时将DC的副本发给LDAP备份: (3)当用户需要进行进一步委托时,向委托中心发出请求,委托中心判断是香可以进行委 托授权,如果符合条件,则史新授权文件信息后同时吏新LDAP备份文件,然后将新的授权 文件发送给新用户。同时原始用户将加密文件发送给新用户; (4)委托撤销可以由委托者主动撤销,委托者向委托中心发出请求,委托中心判断请求合 法后,在DRL中添加撤销的证书DCID;也可以根据时限自动撤销 5)多步委托和级联撤销由委托审计系统跟踪。 山国武技记文在 (6)委托授权过程结束。 结语 本文结合委托和DM的特性给出了一个新的委托模型D-DRM,支持在分布式环境下的委 托授权。该模型在DM系统中的应用,解决了集中式授权管理复杂的问题,同时又能很好的 保护数字内容的使用权限。提高了DRM系统的安全性。在具体的角色分配方面,以及离线应 用方面,需要做进一步的研究。 参考文献 陈晓江罗养霞房鼎萓等基于数字权限管理旳汸问控制模型硏究陝西师范大学学报自然科 学版 张志勇普杰信委托授杈在体系架杓中的研究与应用计算机工程第卷第期

...展开详情
试读 7P 论文研究-基于RBAC的数字权限委托授权 .pdf
img

关注 私信 TA的资源

上传资源赚积分,得勋章
    最新推荐
    论文研究-基于RBAC的数字权限委托授权 .pdf 5积分/C币 立即下载
    1/7
    论文研究-基于RBAC的数字权限委托授权 .pdf第1页
    论文研究-基于RBAC的数字权限委托授权 .pdf第2页
    论文研究-基于RBAC的数字权限委托授权 .pdf第3页

    试读已结束,剩余4页未读...

    5积分/C币 立即下载 >