论文研究-基于角色扩展的RBAC模型.pdf

所需积分/C币:5 2019-07-23 04:44:52 1.11MB .PDF

针对基于角色的访问控制(RBAC)模型在模拟复杂组织结构和权限继承关系方面的不足,提出了基于角色扩展的RBAC模型——MR-RBAC。该模型在角色集和权限集之间引入了最小角色集,并形式化定义了模型的基本集合和相关函数;同时还深入研究了扩展模型中的角色权限类型与角色关系,给出了最小角色的概念及其生成算法。分析表明,MR-RBAC模型改善了传统模型的角色层次结构和权限继承关系,具有授权粒度细、可伸缩性、可扩展性、安全等优点。最后模型性能测试表明原型系统在引入最小角色划分后对于系统时间性能的影响不大。
884 计算机应用研究 第33卷 系。设r1、r;rk为层次结构中的三个普通角色,并且rk∈ Roles,角色r对应划分生成。其中,最小角色内部的权限关系属于 72,k≥r,如果满足公式0(r2)2(0(x)∩a(7k)∪“≈”关系,最小角色外部相互间的权限关系则属于“∝”关系, a()∩a(r),那么称角色r对于角色r√满足muli- role- MR-RBAC模型中的上级最小角色可以自动拥有下级最小角色 关系 的所有权。最小角色的形式化定义如下 PP〈能够水远无条件被上层角色继承 a)y,l,o(MR:(r)Uo(MR211(r))∪…Ua(MR 厂 角 b)VD, p, er(mr (r)),isis(+n)PI"Ps 的(PRP 永远不能够被上层角色所继承 c)VMRAr) MRA(n). isl. s(i+)V , Ea(MR D)APEai MRg(r)) P, cc Pro 权 限 3.2模型的形式化定义 PSP 角色中的选择权限能够被 上层某些角色所继承 PSP 最小角色集MRS是通过对普通角色的权限集进行划分得 到的。MRS是一个动态变化着的集合,这是囚为一个普通角 PSP 角色中的选择权限不能被 上层某些角色所继承 色要通过多次划分才能最终生成对应的最小角色集。根据定 图2基于MR-RBAC模型的角色权限类型及特征 义5-7,本文提出·种以权限继承路径关系为依据的角色划 图3为Ⅶ R-RBAC模型中描述的两种角色关系示意图,定分策略。算法给出了角色牛成算法的过程描述。 义3和4分别对应于图3(a)和(b),它们模拟了现实中复杂系 算法1最小角色生成算法 统的角色关系:a)当(r;)、0(r)中的权限类型为PBP、FSP 输入:算法所需的相关参数和结束条件。 时,角色可以同时继承r、的全部权限;b)当a(,)、(x) 输出:最小角色集MRS 中的权限组成为PBP、PSP、PRP、PSP、时,角色r只能继承 a)最小角色集MRS初始状态为空; r;、r:的部分权限。 b)从角色集Role中取出一个元索r; c)计算r与MRS中的元素MR,(i=1,2,…,n)是否存在非 空共同权限子集; d)如果存在 MR;与r求交集运算,得到MR:的普通角色所拥有的 (r)2((r)Ua) avr 2(air)Ua(r') 当前最小角色 7k≥r,P"2=y ≥≥ MR与r求补集运算,得到r的普通角色所拥有的当 前最小角色; 如果不存在 将r作为一个新的当前最小角色 e)更新最小角色集MRs (a)多角色完全继承关系 (b)多角色部分继承关系 )判断 Roles中的元素是否遍历完毕 图3两种角色关系 是,算法执行结束。 MR-RBAC模型中新的角色关系改进了传统RBAC模型中 含,继续步骤b)~c)。 角色间的无条件完全继承关系,限制了上层角色对于下层角色 的权限继承。为进一步讨论角色关系的转换,提出权限继承路4 MR-RBAC模型分析 径概念。 4.1模型的比较分析 定义5权限继承路径。它是指满足如下式子的无环通 对比文献中的其他RBAC扩展模型,对MR-RRAC模型的 路:0(r1).p→(1-1).pP→…→0(r2+n).P→0r(1).p(n≥0),记 特点和优势进行分析,如表1所示。 为 PLath(p)。其中,(n1).p→(r1+1).P表示角色r1通过 表1 MR-RBAC模型的比较分析 →”角色关系继承角色r;中的p权限。 MR-RBAC 假设pah(p:)= plath(p)、path,(p2) e Plath(n2)分别献型 集,用Pa(P)PRe记录每条权限继承路径所经过的全部文3-5,7将青角色划分成多个小支持触 MR-RBAC模型的特点 MR-RBAC模型的 为权限p和P的一条权限继承路径。若Pst表示路径角色 角色 角色信息,则当pth,(p). PRset= path,(P;).PRet时,称两条 文献89最小角色之间具有完整的层角色层次更加合理能够有效 次结构 地模拟大型应用亲统中复杂 继承路径的路径角色集相等。 的角色组织结构 定义6继承路径关系。设p,m为角色r的两个权限,如文献(346l)m权色维其子角色中调了上级角色的权道 果P;的权限继承路径集合屮所有元素的路径集与P的权限继 重新定义了权限类以及角加强了绯承限制,提高了访问 承路径集合屮元素的路径角色集是一一对应的,那么称p;与 义献6」色继承关系 控制的安全性 P的继承路径相似,记为P=P;否则,称P;与P的继承路 最小角色集在安全晉理员的 径不相似,记为.P1∝F.P 义献12]投权下可以和原始的营追角模型只有可伸绪性和展性 定义7最小角色。它是指其具冇权限的继承路径都相 模型即退变成传统模型 似的一类角色,记为MR(r),1≤i≤n。MR1(r),1≤in表42模型的性能分析 示由一个或多个最小角色组成的集合,这些最小角色是由普通 SCIAC( sLreamm-based centralized informalion access conLrol 第3期 蔡婷,等:基于角色扩展的RBAC模型 885 原型系统是RBAC模型在VN环境中一个应用扩展模型,析、 MR-RBAC模型具有授权粒度细、角色层次结构完整、继承 文在 SCIAC基础上引入最小角色进行实验。在系统屮采用关系完善、可伸缩性等优点。实验结果表明,虽然增加最小角 以权限继承路径关系为依据来实施普通角色划分的角色生成策色划分操作会影响原型系统的时间性能但这和影响会随着系 略。系统的运行环境为Iinuκ Fedora12.0,内核版本为2.6.32,统屮连接通道数量的増加而降低,说明该模型具有较好的实际 以访问内部HTTP服务为例,通过性能测试软件Siegel来评应用能力。下一步将深入研究最小角色的委派关系和约束机 估引人最小角色划分对于原型系统通道建立平均时间的影响。制,进一步提升MR-RBAC模型的控制灵活性和可适应性。 其中,Sie连接主要考虑几个影响参数:TCP连接、SL握手、参考文献 HTP页面的加/解密、HTP页面的传输:实验页面大小为21 Fuchs I.,PrsA. BusirOle: a model for integrating business ro KB、加密采用RC4-MD5算法。性能测试如表2所示。 nto identity management CI//Proc of the 5th International Confer 表2 SCIAC原型通道建立平均时间 ence on Trust, Privacy and Security in Digital Business. 2008 128- 通道数1C原型通道 引人最小角色划分的 138 建立时间/s SIMC通道建立时间s 21 Fugkeaw s, Manpanpanich P, Juntrapremjitt S. Exploiting X 509 certificate and multi-agent system architecture for role-based access 10.93 control and authentication management [C]//Proc of the 7 th IEEE 11.22 11.52 Intermational Conference on Compuler and Information Technnlogy l1. 2007:733-738. [3 Sejong 0, Sandhu R. A model for role administration using organiza 11.8 tion structure[ C//Proc of the 7th ACM SyI mposium on Access Con- 上述实验结果表明,在 SCIAC系统中实施最小角色划分 Models and Technologies. New york. ACM Press 2002. 155-162 必将延长原型通道建立时间。为进一步评测模型对系统的性[41 Sandhu r, Coyne e j, einstein l,etal.olc- pased access con 能影响,需要对系统实施最小角色划分前后的通道建立时间进 trol models[J. IEEE Computer, 1996, 29(2): 38-47. 行比较。将通道建立时间比定义为 [5 Essmayr W, Probst S, Weippl e. Role-based access controls: status T dissemination, and prospects for generic security mechanisms [J] T′ Electronic Commerce Research, 2004. 4(1): 127-156 其中:T为在实施最小角色划分之前每建立一条進道数所花[6]钟华,冯玉,姜洪安,扩充角色层次关系模型及其应用J].敕件 费的时间,T为实施最小角色划分之后每建立一条通道数所 学报,2000,11(6):79-784 花费的时间。其中7=7+Ta,7为执行最小角色层次划分17Leel,lees,NohB. A new nole-based authorization model in a cor- 运算所花的时间。在图4中给出了最小角色生成操作对系统 porate workflow systems[ C]//Proc of International Conference on 性能影响的测试结果。 Computational Science and Its Applications. Berlin: Springer, 2004 701-710 L8 Zhang Shaoming, Wang Bacyi. Research on improved role hierarch 0.97 odel in extended organization PKI networks [C]//Proc of Interna 0.95 票094 tional Conference on Parallel and Distributed Computing, Applications 3092 and Technologies. 2005. 339-342 510152025 条 [9]邵桂伟,余本功,杨軎林.-种针对信息网格RBAC模犁私有权限 图4实施最小角色划分前后通道建立时间比与 问题的有效解决方案「J1.计算机应用研究,2007,24(4);133 系统中通道数量的关系 从图4中可以看出,每条通道建立时间随着通道连接数量[10]任志宇,陈胜元,张斌一种新型的角色层次化关系模型[门.信 的增加而愈加接近原模型系统的值,说明引入最小角色划分操 息工程大学学报,2010,11(1):8-93 作对于通道建立性能的影响在逐渐降低。这是因为随着通道「11李飞行,慕晓冬,张璐,等.RBAC模型中角色继承的改进「1.火 数的増加,SSL握于和加密、解密操作对通道建立时问的影响 力与指挥控制,2010,37(9):129-132 占了主要,增加的角色生成耗时对通道建立平均时问的影响则[12]郭军基于角色的访问控制分级授权管理的研究[D].西安:西安 越来越小,且T也只是与领域本体的规模和最小角色生成的 已子科技大学,2012 算法有关。如果系统屮通道数量较少那么T。相对较大,对通「131 Ferraiolo D, Sandhu r, Gayrila s,eta!. A proposed standard 道建立性能的影响也较大;反之,T。对通道建立性能的影响将 role based access control [J]. ACM Trans on Information and Sys- 较小 tem Security,2001,8(1):224-274 [14]蔡伟鸿.綦于 EUCON约访问控削技术研究[D].广州:华南理工 5结束语 大学,2012. [15SiegE-2.6eB/ol.(2013-08).http://joedog.org/siege 传统RAC模型尢法有效地应用在现阶段大型互联网系 [l6]欧阳凯而向Ⅴ門N的访问控制模型及相关技术研究[冂].武汉 统的复杂角色组织结构中,授权粒度过粗、角色层次单一以及 华中科技大学,2005 继承权限过大等问题突显。本文在A%6模型的基础上,提[17]李唯冠,赵逢禹.带属性策略的RBAC权限访问控制型[J.小 出一种角色扩展的RBAC模型— MR-RBAO。经过对比分 型微型计算机系统,2013,34(2):328-33

...展开详情
试读 4P 论文研究-基于角色扩展的RBAC模型.pdf
img

关注 私信 TA的资源

上传资源赚积分,得勋章
    最新推荐
    论文研究-基于角色扩展的RBAC模型.pdf 5积分/C币 立即下载
    1/4
    论文研究-基于角色扩展的RBAC模型.pdf第1页
    论文研究-基于角色扩展的RBAC模型.pdf第2页

    试读已结束,剩余2页未读...

    5积分/C币 立即下载 >