CN103281259A - 一种基于动态自调节的域间访问控制方法 - Google Patents

Abstract

本发明涉及一种基于动态自调节的域间访问控制方法，解决了目前互操作场景中权限控制粒度过粗、映射关系不易改变以及缺乏演化语义等问题。针对目前大多数域间互操作策略集成方案中存在的权限控制粒度过粗、映射关系不易改变以及缺乏演化语义等问题，创建有向角色图DRG对RBAC进行建模，利用属性约束空间构建了节点间的演化语义，通过约束满足性系数和安全评定系数等相关的阈值评估实现映射规则调节机制，并给出完整的演化实施方案。本发明方案对“管理方式获取的初始域角色标识”和“映射方式获取的协作域角色标识”进行了明确区分，从而突破了传统上属性层次违反对映射规则的安全约束。

Description

一种基于动态自调节的域间访问控制方法

技术领域

本发明属于信息安全的跨域授权访问控制领域，具体涉及一种基于动态自调节域间访问控制方法。

背景技术

随着云计算、网联网新一代网络技术的发展及信息安全的要求，各部门、各行业、各地区，分别建立的自身域内的访问控制体系，处于不同域中的企业、机构之间出现了越来越多的业务往来，跨域安全访问已成为大规模分布式环境，特别是新一代网络技术多域环境的必然需求。在跨域认证解决了身份认证问题后，随之要解决的是用户在异域中访问权限的分配问题，即跨域授权问题，也可称为跨域互操作策略集成问题。

现有跨域互操作策略集成方案在动态性和灵活性方面的能力有限，对分布式系统的实时性和临时性业务合作需求不能提供充分的安全支持。传统方案中之所以有最大安全互操作这种概念，缘于当时协作联盟的规模要小的多，相互之间的熟悉程度和接口封闭性也远比现在的协作模式要高，因此映射关系一旦由管理员制定后基本保持静态稳定。相反在分布式协作应用场景下，访问者和服务者所处的环境及安全需求高度动态，客观上说，不需要也很难实现最大互操作所期望的全局安全视图，尤其是开放式访问对系统和网络带来的安全威胁，需要访问控制系统实时对环境安全态势进行评估，映射规则自身的建立模式和映射语义都需要做出调整。

一些企业组织、科研单位和个人在这方面已开始做出探索，如唐卓(唐卓，赵林，李肯立，李瑞轩.一种基于风险的多域互操作动态访问控制模型，计算机研究与发展,43(6),2009:948-955.)等提出一种基于风险的多域动态访问控制模型，该方案实时评估具体跨域权限的风险量值，对超过系统风险阈值的权限动态回收，风险值由域间信任度、访问客体安全等级和访问事件安全系数参与计算获得，而域间信任度量则由跨域访问历史记录决定。李斓(李斓，范磊，回红.行为驱动的基于角色的信任管理.软件学报，2009,8(8):2298-2306)等在分布式信任管理框架RT的基础上考虑用户累计行为对信任关系的影响，通过制定行为驱动的角色转换规则实现根据系统状态改变自动调整信任策略。但总体来说依然存在以下不足：

1）缺乏演化语义。虽然基于规则的映射过程比基于管理行为的映射过程在互操作合理性上有了很大提高，但现有映射规则调整过程缺乏演化和自调节的支撑机制，没有和授权模型层次结构充分融合。

2）权限控制粒度过粗。在大多数基于RBAC（Role-Based Access Control，基于角色的访问控制，其基本思想就是：将访问权限分配给一定的角色，用户通过扮演不同的角色来获得角色所拥有的访问权限。）实现的互操作方案中，获取跨域角色隐含获取该角色下的所有权限，这种权限控制粒度过粗，无法提升系统对应用环境变化及用户信息响应的敏感性，尤其是需要根据大量辅助信息做访问决策的场景。

3）安全性分析方面没有突破环路违反的传统检测模式。当用户第一次获取某域的特定角色后，不能再以该角色的上层角色在域内进行访问操作。这种局限是由于没有明确区分以下两种角色获取方式的差异：用户在初始域通过管理指派获得的角色标识、在其他协作域通过映射规则获得的角色标识。

4）映射关系不易改变。由于1）和3）的局限性，导致用户一旦通过映射为外域某角色后，基本不可能获得该角色以外的权限，很难实现“由请求驱动的动态自调节”的先进互操作理念，同时还会引发管理成本急剧增加、非法授权安全漏洞等诸多隐患。

发明内容

本发明的目的是在有向角色图的基础上提出一种具有动态自调节能力的域间访问控制方法，利用属性约束空间构建了节点间的演化语义，通过约束满足性系数和安全评定系数等相关的阈值评估实现映射规则调节机制，并给出完整的实施方案。解决了目前互操作场景中权限控制粒度过粗、映射关系不易改变以及缺乏演化语义等问题。

本发明针对目前大多数域间互操作策略集成方案中存在的权限控制粒度过粗、映射关系不易改变以及缺乏演化语义等问题，创建有向角色图DRG对RBAC（RoleBased Access Control）进行建模，利用属性约束空间构建了节点间的演化语义，通过约束满足性系数和安全评定系数等相关的阈值评估实现映射规则调节机制，给出一套请求驱动的动态自调节域间映射规则演化模型完整实施方案。

为了更好的理解本发明的技术方案，先对以下几个概念进行简单说明：

角色映射：用户现所扮演有角色被映射到另一个角色。

角色集：RBAC的基本要素之一，代表用户可扮演角色的集合。

初始角色：用户在通过管理指派获得的初始域角色。

职责互斥：若有两个角色，它们各自的权限互相制约。对于这类角色一个用户在某一次活动中只能被分配其中的一个角色，不能同时获得两个角色的使用权。

有向角色图（Directed Role Graph,DRG）:不同域中的所有用户角色都可以抽象成有向角色图，有向角色图是一系列节点的集合组成，RBAC中的每个角色r_i、权限per都可以分别对应一个节点，记为

节点之间通过有向边连接，若有向边由

指向

则表示角色r₁继承自角色r₂，若由Node_per指向

则表示对r_i赋予权限per。

本发明的技术方案包括域间访问映射方法、域间访问方法以及域间访问控制方法，具体步骤如下：

一种基于动态自调节的域间访问映射方法，其步骤为：

1）将角色访问控制RBAC中的权限、角色分别映射到有向角色图DRG中的节点，并通过有向边建立权限与角色的分配关系得到权限节点和角色节点的分配关系，以及角色与角色之间的继承关系得到上层角色节点和下层角色节点的继承关系，形成RBAC到DRG的映射关系；

2）当外域用户首次进入本域请求访问权限，本域系统根据所述有向边在所述有向角色图的节点上随机选取与该权限节点连接的上层角色节点，并对所述上层角色节点进行约束满足系数CSC阈值判断；

3）对所述步骤2）中大于CSC阈值的节点进行属性约束空间ACS评估，通过评估后所述外域用户获得本域中的角色映射。

一种基于动态自调节的域间访问方法，其步骤为：

1）将角色访问控制RBAC中的权限、角色分别映射到有向角色图DRG中的节点，并通过有向边建立权限与角色的分配关系得到权限节点和角色节点的分配关系，以及角色与角色之间的继承关系得到上层角色节点和下层角色节点的继承关系，形成RBAC到DRG的映射关系；

2）当外域用户首次进入本域请求访问权限，本域系统根据所述有向边在所述有向角色图的节点上随机选取与该权限节点连接的上层角色节点，并对所述上层角色节点进行约束满足系数CSC阈值判断；

3）对所述步骤2）中大于CSC阈值的节点进行属性约束空间ACS评估，通过评估后所述外域用户获得本域中的映射角色，获得访问控制权限；

4）当外域用户再次请求本域系统中的访问权限时，所述本域系统首先检测访问历史记录中已存在的映射角色，并对所述映射角色中具有权限的映射角色再次进行CSC阈值判断；

5）若所述历史记录中不存在映射角色，则对该映射角色的上层角色节点的下层节点进行遍历，检测出权限节点进行约束满足系数CSC阈值判断，获得访问控制权限。

一种基于动态自调节的域间访问控制方法，其步骤为：

1）将角色访问控制RBAC中的权限、角色分别映射到有向角色图DRG中的节点，并通过有向边建立权限与角色的分配关系得到权限节点和角色节点的分配关系，以及角色与角色之间的继承关系得到上层角色节点和下层角色节点的继承关系，形成RBAC到DRG的映射关系；

2）当外域用户首次进入本域请求访问权限，本域系统根据所述有向边在所述有向角色图的节点上随机选取与该权限节点连接的上层角色节点，并对所述上层角色节点进行约束满足系数CSC阈值判断；

3）对所述步骤2）中大于CSC阈值的节点进行属性约束空间ACS评估，通过评估后所述外域用户获得本域中的映射角色，获得用户初始上层角色节点；

4）当外域用户再次请求本域系统中的访问权限时，所述本域系统首先检测访问历史记录中已存在的映射角色，并对所述映射角色中具有权限的映射角色再次进行CSC阈值判断；

5）若所述历史记录中不存在映射角色，则对该映射角色的上层角色节点的下层节点进行遍历，检测出权限节点进行约束满足系数CSC阈值判断，获得访问控制权限；

6）若步骤5）中没有检测出权限节点则对所述有向角色图进行遍历检索，获取得到有权限节点的具体位置，对有权限节点进行CSC阈值判断，拒绝大于阈值的请求；

7）对所述步骤6）中于小于阈值的有权限节点，定位得到该有权限节点的直接上层角色节点，采用启发式搜索有向角色图的中所述用户初始上层角色节点和所述直接上层角色节点的实现路径，同时计算CSC和安全评定系数SAC；

8）获取有效路径后进行职责互斥检测，满足检测的角色为用户新映射中的角色。

更进一步，所述上层角色节点和下层角色节点的继承关系满足属性约束空间ACS的加强约束关系为 $\left\{{\mathrm{ACS}}_{{\mathrm{Node}}_{r_j}}\stackrel{\mathrm{AC}}{\⇒}{\mathrm{ACS}}_{{\mathrm{Node}}_{r_i}}\right|\∀{\mathrm{Node}}_{r_j}\∈{\mathrm{NodeSet}}_{\≤r_i}^n\},$ 其中

为所有角色节点

组成的集合，r_j为r_i的上层角色。

更进一步，所述权限节点和角色节点的分配关系为：

$(\∀\mathrm{per})|(\mathrm{per},r_i)\∈\mathrm{PA},$

其中PA为RBAC中的权限

角色分配关系集，per为权限，r_i为角色。

更进一步，所述约束满足系数

为取值范围在[0,1]之间的实数，其中Node_n为角色节点，user_i为用户。

更进一步，所述每个节点Node_i的CSC阈值为当Node_i为角色节点时，

大于

用户才可获取相应角色；当Node_i为权限节点时，只有

评估值大于

用户获取相应权限。

更进一步，当外域用户访问本域资源多次且对应不同的映射角色，若符合每次域中的CSC阈值，则为有效映射。

更进一步，所述

其中ε、φ、

、γ分别表示各参数的决策权重，CV_△t为凭证验证成功率、RP_△t为请求允许比例、RT_△t为风险与威胁RT、BE_△t为对历史收益的评估，且参考相同时间基准段△t。

更进一步，采用启发式搜索有向角色图的中所述用户初始上层角色节点和所述直接上层角色节点的实现路径时，若路径与有向边的方向相同则CSC评估和SAC计算，若路径与有向边的方向相反则不计算CSC和SAC。

有益效果：

本发明方案对“管理方式获取的初始域角色标识”和“映射方式获取的协作域角色标识”进行了明确区分，从而突破了传统上属性层次违反对映射规则的安全约束，根据大量的上下文辅助信息对演化场景建模，细化权限控制粒度，提升了域间策略集成场景下的感知反馈能力和动态自调节能力。

附图说明

图1本发明中DRG示意图；

图2是本发明的实施例中属性语义层次树示意图；

图3本发明一种基于动态自调节的域间访问控制方法一实施例中具体实施步骤流程图。

具体实施方式

为了本发明的目的、优点及技术方案更加清楚明白，以下通过具体实施，并结合附图，对本发明进一步详细说明。

本方案主要包括以下两个方面：第一，利用属性约束空间构建节点间的演化语义；第二，通过约束满足性系数和安全评定系数等相关的阈值评估实现映射规则调节。下面将分别予以介绍，并在最后给出安全性分析。其基本实施步骤为：

1）外域用户首次进入本域，需要请求权限；本域系统会根据有向边在有向角色图的节点上随机选取与带权限节点连接的上层角色节点，并对该节点进行约束满足系数CSC阈值判断；选取大于阈值的节点；

2）对上述的节点进行属性约束空间ACS评估，通过评估后外域用户获得角色映射，具有访问权限；

上述为一次新的外域访问本域的权限建立，以下为更新（自动调节）

3）当外域用户再次请求权限时，系统会首先检测历史记录中已存在的映射角色是否有权限，对拥有权限的映射角色再次进行约束满足系数阈值判断；若历史记录中不存在映射角色，需要对该映射角色的上层角色节点的下层节点进行遍历，检测是否存在有权限节点；

4）对有向角色图进行遍历检索，获取得到有权限节点的具体位置，对节点进行约束满足系数阈值判断，拒绝大于阈值的请求；

5）对于小于阈值的有权限节点，定位得到对应的上层角色节点，采用启发式搜索有向角色图的中用户初始上层角色节点和再次请求权限的上层角色节点的实现路径计算CSC和SAC；

6）获取有效路径后进行职责互斥检测，满足检测的角色为用户新映射中的角色。

1.为了实现动态自调节的映射规则演化模型，必须首先建立基于有向角色图（Directed Role Graph,DRG）的支撑体系。将RBAC中的权限、角色分别映射到DRG中的节点，并通过有向边表示权限与角色之间的分配关系、角色与角色之间的继承关系，建立RBAC到DRG的映射关系，从而实现使用DRG对应RBAC的操作，从而形成了DRG的支撑体系，如图1所示。

通过定义DRG各节点属性约束空间（Attribute Constraints Space,ACS）之间的关系，为演化过程提供合理的动态自调节语义。

1)对于RBAC中的角色，其可以对应着DRG中的一个节点（角色节点），除此之外，RBAC中的权限也可以对应DRG中的节点（权限节点），所以DRG中有两种节点（角色节点和权限节点），其分别对应着RBAC中的角色和权限。对RBAC角色集ROLES中的成员r_i，对其分配权限per，即

(PA为RBAC中的权限角色分配关系集)。r_i对应的DRG节点

的属性约束空间

中的任意约束分量c_m和per对应的DRG节点Node_per的属性约束空间中的任意约束分量c_n不存在任何交集，形式化表示为：

这意味着对

的满足性评估建立在

评估的基础之上，可避免重复的评估过程并且符合权限细粒度控制的逻辑语义，例如

和 ${\mathrm{ACS}}_{{\mathrm{Node}}_{\mathrm{per}}}[c_1<\mathrm{timein}[10.\mathrm{am}~5.\mathrm{pm}]>,c_2<\mathrm{organization}:\mathrm{iscas}>].$

2)加强约束（Advanced Constraints,AC）

一个属性原语(ap_i)是对某种属性取值范围的显性约束,一组属性约束原语合取(conjunction)而生成上文中约束分量c_i，即c_i<ap₁∧ap₂∧...∧ap_n>。在图1所示的属性语义层次树中，下层属性节点是上层节点的加强语义约束,设属性原语ap_ω和ap_π，若在属性语义层次树中ap_π属性取值是ap_ω属性取值的下层分支，即

则称ap_π是ap_ω的加强约束，表示为

设属性约束分量c_m和c_n，若对任意属性原语

总会找到

使得

则称c_n是c_m的加强约束，表示为

设

和

若对任意约束分量

总会找到使得

则称

是

的加强约束，表示为 ${\mathrm{ACS}}_{{\mathrm{Node}}_a}\stackrel{\mathrm{AC}}{\&DoubleRightArrow;}{\mathrm{ACS}}_{{\mathrm{Node}}_b}.$

3)r_j为ROLES中的成员,若r_i可由r_j继承而来，则称r_j为r_i的上层角色，记为

由所有

组成的集合表示为

（以

为终点的有向边有n条，即

则

是所有

的加强约束，形式化表示为： $\left\{{\mathrm{ACS}}_{{\mathrm{Node}}_{r_j}}\stackrel{\mathrm{AC}}{\&DoubleRightArrow;}{\mathrm{ACS}}_{{\mathrm{Node}}_{r_i}}\right|\&ForAll;{\mathrm{Node}}_{r_j}\&Element;{\mathrm{NodeSet}}_{\&le;r_i}^n\}.$

该规则保证了在

中出现的任何属性原语肯定可以在

的属性原语中找到其加强约束，其蕴含的映射演化语义为：要获得更高层次的角色必须满足更加严格苛刻的属性约束空间限定。

2.阈值评估机制

映射演化行为的实施除了满足ACS的相关语义外，还需要分别对约束满足性系数(Constraints Satisfaction Coefficient,CSC)和安全评定系数(SecurityAssessment Coefficient,SAC)进行量化评估。

1）CSC是一个取值范围在[0,1]之间的实数，用来表示用户访问过程中相关属性信息针对属性约束空间的符合程度，节点Node针对请求用户user_i的约束满足系数表示为

1-1）CSC的计算

在具体计算

时，可根据用户自身的属性集合选择ACS中的任一分量c_j,设user_i的属性集合为

且ap_ji∈c_j，若attr_i和ap_ji都属于相同的属性语义树(如图2所示)，Depth表示属性语义层次树的深度，Path(attr_i,ap_ji)表示树中

到所经历的节点数目(必定通过根节点)，则attr_i和ap_ji满足度计算表达式为 ${\csc }_{({\mathrm{user}}_i,{\mathrm{Node}}_n)}\&DownArrow;({\mathrm{attr}}_i,{\mathrm{ap}}_{\mathrm{ji}})=1-\frac{\mathrm{Path}({\mathrm{attr}}_i,{\mathrm{ap}}_{\mathrm{ji}})}{2\mathrm{Depth}}.$

分量c_j是合取表达式，意味着对c_j的约束满足程度必须参考其中每个属性原语的匹配满足情况，为了简化系统复杂性和计算方便，规定

中最多只一种属性类型

和

处于同一属性语义层次树下，则

在上式的基础上，规定

相对c_j的约束满足系数表达式为 ${\csc }_{({\mathrm{user}}_i,{\mathrm{Node}}_n)}\&DownArrow;({\mathrm{AttrSet}}_{{\mathrm{user}}_i},c_j)=\underset{{\mathrm{ap}}_{j_1},...,{\mathrm{ap}}_{j_m}\&Element;c_j}{\sqrt[m]{{\csc }_{({\mathrm{user}}_i,{\mathrm{Node}}_n)}\&DownArrow;({\mathrm{AttrSet}}_{{\mathrm{user}}_i},{\mathrm{ap}}_{j_1})\&times;...\&times;{\csc }_{({\mathrm{user}}_i,{\mathrm{Node}}_n)}\&DownArrow;({\mathrm{AttrSet}}_{{\mathrm{user}}_i},{\mathrm{ap}}_{j_m})}}.$ 这里将attr_i针对每个ap_j1,...,ap_jm∈c_j的约束满足度分别计算，然后将所有计算所得相乘，根据c_j中的属性原语数量(假设的属性原语数量为m)对该结果开m次方。通过这种方式，每个属性原语的评估结果将直接影响用户对该分量的满足性评估。

由于每个节点的ACS是多维的，即约束满足系数的参考分量是多选的，因此理论上可以选择满足度最高的分量计算值作为系统评价该用户的最终满足约束系数，表示为 ${\csc }_{({\mathrm{user}}_i,{\mathrm{Node}}_n)}=\underset{{\mathrm{attr}}_i\&Element;{\mathrm{AttrSet}}_{{\mathrm{user}}_i},c_j\&Element;{\mathrm{ACS}}_{{\mathrm{Node}}_n}}{\max }({\csc }_{({\mathrm{user}}_i,{\mathrm{Node}}_n)}\&DownArrow;({\mathrm{attr}}_i,c_j))$

1-2）CSC在本方案中的应用

DRG中除超级角色节点外，每个节点都附带一个约束满足性系数阈值（建立系统时，根据历史经验值，进行初始化设定），节点Node_i的约束满足性系数阈值表示为

当Node_i为角色节点时，只有

大于

用户才可获取相应角色；Node_i为权限节点时，只有评估值大于

用户才可获取相应权限。

2)安全评定系数(SAC)是一个取值范围在[0,10]之间的实数，其用来表示域间协作过程中，某域对来自外域访问请求所处安全状态的综合评估结果。计算安全评定系数的决策参数包括：凭证验证成功率(credential verification,CV)、请求允许比例(request permit,RP)、风险与威胁(rick threat,RT)、对历史收益的评估(benefitevaluation,BE)。这些参数的参考时间基准段是相同的，设为△t，评估对象是某个具体的协作域，以下分别对每种参数的计算过程进行说明。

2-1)CV的计算

对外域用户进行约束满足系数评估时，需要对用户拥有属性的可信性进行验证，防止用户或其他第三方的恶意欺骗行为，通过凭证验证成功率对相关态势进行量化评估。来自域domain_p的用户访问域domain_q的资源，若针对用户的属性attr_i验证通过，则表示为attr_i∈trust,若验证不通过则表示为attr_i∈untrust。在时间段△t内，系统对不同属性的可信重视程度是不同的，因此为每个验证属性设置可信影响因子

2-2)RP的计算

安全评定系数需要参考以往的用户请求记录，用户之前访问请求被允许与否直接影响系统对外域访问安全状态的评估。若请求req_i被domain_q允许，则表示为req_i∈permit，若被拒绝则表示为req_i∈deny。同上，每个req_i对安全评估的影响力度不同，设影响因子β∈(0,1)，则

${\underset{\mathrm{\&Delta;t}}{\mathrm{RP}}}_{p\&RightArrow;q}=\left\{\begin{array}{cc}\frac{e^{({\mathrm{req}}_m\&Element;\mathrm{permit})\mathrm{\&Sigma;}{\mathrm{\&beta;}}_m}-e^{({\mathrm{req}}_n\&Element;\mathrm{deny})\mathrm{\&Sigma;}{\mathrm{\&beta;}}_n}}{e^{({\mathrm{req}}_m\&Element;\mathrm{permit})\mathrm{\&Sigma;}{\mathrm{\&beta;}}_m}+e^{({\mathrm{req}}_n\&Element;\mathrm{deny})\mathrm{\&Sigma;}{\mathrm{\&beta;}}_n}},& {\mathrm{RP}}_{p\&RightArrow;q}>0\\ 0,& {\mathrm{RP}}_{p\&RightArrow;q}\&le;0\end{array}\right..$

2-3)RT的计算

参数RT代表协作过程中发生的风险与威胁事件对安全系数评估的影响，这些事件主要包括大规模网络阻塞、病毒传播、木马入侵、用户行为异常等。本文不涉及对这些风险威胁事件的具体评估过程，假设有若干上下文感知器对上述事件进行感知、处理、评价，最后给出RT∈(0,1)，其值越大表示风险越大，其计算公式可抽象形式化表示为RT_△t=Function(sensor₁(event),...,sensor_n(event))∈(0,1)。

2-4)BE的计算

多自治域协作的本质目的是利益，因此被访问资源域在一定时间段后需要对协作行为的本地收益进行评估，评估的基本单位是每条外域访问操作记录behavior(oper,obj)，记为behavior∈history。设每条访问行为的收益基点为1，表示为base_behavior=1，相对收益率表示为η_behavior∈(-1,1)，若behavior被允许则η_behavior>0，反之则η_behavior<0。在时间段△t内， ${\mathrm{BE}}_{\mathrm{\&Delta;t}}=\left\{\begin{array}{cc}\frac{\underset{{\mathrm{behavior}}_i\&Element;\mathrm{history}}{\mathrm{\&Sigma;}}{\mathrm{base}}_{{\mathrm{behavior}}_i}\&CenterDot;{\mathrm{\&eta;}}_{{\mathrm{behavior}}_i}}{\underset{{\mathrm{behavior}}_i\&Element;\mathrm{history}}{\mathrm{\&Sigma;}}{\mathrm{base}}_{{\mathrm{behavior}}_i}},& {\mathrm{BE}}_{\mathrm{\&Delta;t}}>0\\ 0,& {\mathrm{BE}}_{\mathrm{\&Delta;t}}\&le;0\end{array}\right..$

2-5)SAC的计算

通过以上各决策参数的定义，最终给出安全评定系数SAC的计算公式，表示为

其中ε、φ、

γ分别表示各参数的决策权重。在下一个时间段对SAC重新评估时，除了进行上述计算外，还应参考前一相邻时间段的评估值，表示为：

δ、λ分别表示历史评估和当前评估的决策权重。

2-6)SAC在本方案中的应用

针对DRG中连接角色节点之间的有向边，每条有向边都附带一个安全评定系数阈值，有向边

的安全评定系数阈值表示为当用户已满足

并有向代表的角色演化时，只有当时的安全评定系数大于

系统才能对用户在

的CSC进行评估；否则，禁止该映射演化方向，重新选择演化路径。

3.安全性分析

在该映射规则演化模型中，主要通过约束满足性系数、安全评定系数和DRG特有结构保证互操作的安全性。约束满足性系数和安全评定系数规定了域间角色映射规则发生变化时需要满足的评估条件。CSC计算依据的主要原理是：要想获得额外的权限必须提供更加充分和限制性更强的可信属性信息。SAC计算依据的主要原理是：跨域授权模型应具有强大的环境感知能力和对整体安全态势的评估能力，从而提供比静态映射规则更安全的互操作模式。

针对层次环路导致策略违反的经典安全问题，本方案采取如下措施进行消解：

(a)若外域用户访问本域资源多次且对应不同的映射角色，只要符合每次的约束满足性系数阈值，则都认为是有效映射；

(b)在相同访问域中，允许用户的后继映射角色比之前映射角色的层次高，在根本上解除了映射顺序对映射层次的约束性限制，继而也就不需要所谓的环路检测；

(c)若访问会话发起自域Pdomain_p，设用户在该域拥有初始角色则请求会话在经过若干域后可能又回到发起域，此时按照严格的回路禁止约束，用户通过映射规则在domain_p获取的任意后继角色

在DRG中所处层次不得高于初始角色

即必须满足

针对RBAC中的职责互斥问题，在获取到具体的映射规则演化路径之后，需要进行目标域内的职责互斥关系检测，这保证了演化后映射的新角色和之前在该域映射的角色不存在互斥关系。

图3描述了外域用户进行跨域访问时，建立互操作的完整过程以及系统在后继的处理中所实施的动态自调节的映射规则演化机制。以下按照步骤的方式予以说明：

step1 domain_p的用户user(拥有角色

)首次进入domain_q并请求权限per，domain_q系统随机选取任意连接到节点Node_per的上层角色节点

对该节点的属性约束空间计算约束满足系数

若不小于该节点的满足系数阈值，则将角色

映射

若小于阈值，则继续选取其他上层角色节点，直到存在一节点通过属性空间满足性评估；若所有上层节点都未通过评估，则domain_q直接拒绝用户的本次请求。

step2user获取到

后并不能立即拥有其权限，需要对Node_per的ACS进行进一步的满足性评估，计算

若通过评估，则真正具有该权限并进行相关操作；若未通过评估，则仍然不能进行相关操作。

step3当user请求per时，已存在其访问domain_q的历史记录且在同一会话内，假设domain_q已为其映射角色

则系统首先检测

是否拥有权限per。若拥有则评估其后步骤同step2；若

不直接具有per，则转入step4。

step4对的下层节点进行遍历，检测是否存在Node_per。若存在，直接计算权限

其后步骤step2；若不存在，则转入step5。

step5对DRG进行遍历检索，检测Node_per的具体位置。计算

若满足该节点阈值转入step6，若不满足则拒绝用户请求。

step6定位Node_per的直接上层角色节点

启发式搜索即在状态空间中搜索时对每一个搜索的位置进行评估，得到最好的位置，再从这个位置进行搜索直到目标。在DRG中

到

的实现路径。该路径的组成部分可能与通过的有向边方向一致(即从低层节点向高层节点迁移)，此时需要评估通过节点的CSC和边的SAC并比较阈值，也可能与有向边的方向相反(从高层节点向低层节点迁移)，此时则无需计算CSC和SAC。另外，无需对通过超级角色节点的边计算SAC。

step7当最终获得一条从

到

的具体路径后，意味用户通过该路径的所有评估计算，此时需要检测

是否和用户之前在domain_q中获取的角色存在职责互斥关系，若不存在职责互斥，则角色

即为user新映射的临时角色。

Claims (10)

1.一种基于动态自调节的域间访问映射方法，其步骤为：

1）将角色访问控制RBAC中的权限、角色分别映射到有向角色图DRG中的节点，并通过有向边建立权限与角色的分配关系得到权限节点和角色节点的分配关系，以及角色与角色之间的继承关系得到上层角色节点和下层角色节点的继承关系，形成RBAC到DRG的映射关系；

2）当外域用户首次进入本域请求访问权限，本域系统根据所述有向边在所述有向角色图的节点上随机选取与该权限节点连接的上层角色节点，并对所述上层角色节点进行约束满足系数CSC阈值判断；

3）对所述步骤2）中大于CSC阈值的节点进行属性约束空间ACS评估，通过评估后所述外域用户获得本域中的角色映射。

2.一种基于动态自调节的域间访问方法，其步骤为：

1）将角色访问控制RBAC中的权限、角色分别映射到有向角色图DRG中的节点，并通过有向边建立权限与角色的分配关系得到权限节点和角色节点的分配关系，以及角色与角色之间的继承关系得到上层角色节点和下层角色节点的继承关系，形成RBAC到DRG的映射关系；

2）当外域用户首次进入本域请求访问权限，本域系统根据所述有向边在所述有向角色图的节点上随机选取与该权限节点连接的上层角色节点，并对所述上层角色节点进行约束满足系数CSC阈值判断；

3）对所述步骤2）中大于CSC阈值的节点进行属性约束空间ACS评估，通过评估后所述外域用户获得本域中的映射角色，获得访问控制权限；

4）当外域用户再次请求本域系统中的访问权限时，所述本域系统首先检测访问历史记录中已存在的映射角色，并对所述映射角色中具有权限的映射角色再次进行CSC阈值判断；

5）若所述历史记录中不存在映射角色，则对该映射角色的上层角色节点的下层节点进行遍历，检测出权限节点进行约束满足系数CSC阈值判断，获得访问控制权限。

3.一种基于动态自调节的域间访问控制方法，其步骤为：

1）将角色访问控制RBAC中的权限、角色分别映射到有向角色图DRG中的节点，并通过有向边建立权限与角色的分配关系得到权限节点和角色节点的分配关系，以及角色与角色之间的继承关系得到上层角色节点和下层角色节点的继承关系，形成RBAC到DRG的映射关系；

2）当外域用户首次进入本域请求访问权限，本域系统根据所述有向边在所述有向角色图的节点上随机选取与该权限节点连接的上层角色节点，并对所述上层角色节点进行约束满足系数CSC阈值判断；

3）对所述步骤2）中大于CSC阈值的节点进行属性约束空间ACS评估，通过评估后所述外域用户获得本域中的映射角色，获得用户初始上层角色节点；

4）当外域用户再次请求本域系统中的访问权限时，所述本域系统首先检测访问历史记录中已存在的映射角色，并对所述映射角色中具有权限的映射角色再次进行CSC阈值判断；

5）若所述历史记录中不存在映射角色，则对该映射角色的上层角色节点的下层节点进行遍历，检测出权限节点进行约束满足系数CSC阈值判断，获得访问控制权限；

6）若步骤5）中没有检测出权限节点则对所述有向角色图进行遍历检索，获取得到有权限节点的具体位置，对有权限节点进行CSC阈值判断，拒绝大于阈值的请求；

7）对所述步骤6）中于小于阈值的有权限节点，定位得到该有权限节点的直接上层角色节点，采用启发式搜索有向角色图的中所述用户初始上层角色节点和所述直接上层角色节点的实现路径，同时计算CSC和安全评定系数SAC；

8）获取有效路径后进行职责互斥检测，满足检测的角色为用户新映射中的角色。

4.如权利要求1-3任意一项所述方法，其特征在于，所述上层角色节点和下层角色节点的继承关系满足属性约束空间ACS的加强约束关系为 $\left\{{\mathrm{ACS}}_{{\mathrm{Node}}_{r_j}}\stackrel{\mathrm{AC}}{\&DoubleRightArrow;}{\mathrm{ACS}}_{{\mathrm{Node}}_{r_i}}\right|{\&ForAll;\mathrm{Node}}_{r_j}\&Element;{\mathrm{NodeSet}}_{\&le;r_i}^n\},$ 其中

为所有角色节点

组成的集合，r_j为r_i的上层角色。

5.如权利要求1-3任意一项所述的方法，其特征在于，所述权限节点和角色节点的分配关系为：

其中PA为RBAC中的权限

角色分配关系集，per为权限，r_i为角色。

6.如权利要求1-3任意一项所述的方法，其特征在于，所述约束满足系数

为取值范围在[0,1]之间的实数，其中Node_n为角色节点，user_i为用户。

7.如权利要求1-3任意一项所述的方法，其特征在于，所述每个节点Node_i的CSC阈值为

当Node_i为角色节点时，大于

用户获取相应角色；当Node_i为权限节点时，只有

评估值大于

用户获取相应权限。

8.如权利要求1-3任意一项所述的方法，其特征在于，当外域用户访问本域资源多次且对应不同的映射角色，若符合每次域中的CSC阈值，则为有效映射。

9.如权利要求3所述的基于动态自调节的域间访问控制方法，其特征在于，所述安全评定系数为其中ε、φ、

γ分别表示各参数的决策权重，CV_△t为凭证验证成功率、RP_△t为请求允许比例、RT_△t为风险与威胁RT、BE_△t为对历史收益的评估，且参考相同时间基准段△t。

10.如权利要求3所述的基于动态自调节的域间访问控制方法，其特征在于，采用启发式搜索有向角色图的中所述用户初始上层角色节点和所述直接上层角色节点的实现路径时，若路径与有向边的方向相同则CSC评估和SAC计算，若路径与有向边的方向相反则不计算CSC和SAC。

Images