多域環(huán)境中的授權(quán)管理和授權(quán)起源研究.pdf

1、多自治域之間的互操作（例如，虛擬企業(yè)和網(wǎng)格系統(tǒng)）帶來(lái)了更加便捷的資共享模式，同時(shí)也對(duì)自治域的安全構(gòu)成了新的挑戰(zhàn)和威脅。一方面，各自治域的安全策略通常在互操作需求出現(xiàn)之前已制定妥當(dāng)；如何能夠既保證自治域的安全，又支持有效的互操作是一個(gè)現(xiàn)實(shí)的問(wèn)題。另一方面，互操作的出現(xiàn)，使得自治域的授權(quán)不再由資管理方獨(dú)自決定，是依靠多個(gè)自治域多個(gè)智能體共同決定。于是，自治域的安全將處于一個(gè)更加危險(xiǎn)的境地。與此同時(shí)，互操作環(huán)境的動(dòng)態(tài)性和不確定性也使得問(wèn)題更加

2、嚴(yán)重。為此，提出了一個(gè)靈活的安全互操作框架RAR?？紤]到基于角色的訪問(wèn)控制模型（Role-based Access Control，RBAC）其重要的理論價(jià)值和廣泛的實(shí)際應(yīng)用，RAR處理了基于RBAC的互操作問(wèn)題。RAR延續(xù)了現(xiàn)有的安全互操作解決方案：域間角色映射（Inter-Domain Role Mapping，IDRM）機(jī)制。RAR的特點(diǎn)在于其靈活可擴(kuò)展的互操作關(guān)系建立機(jī)制，高效的域間角色映射解決方案，以及新穎的風(fēng)險(xiǎn)評(píng)估過(guò)程。

3、r>　　 互操作環(huán)境中，各自治域可隨時(shí)自由地加入和離開(kāi)。當(dāng)有新的自治域加入和新的互操作需求出現(xiàn)時(shí)，應(yīng)能夠迅速建立域間互操作關(guān)系。另一方面，當(dāng)自治域離開(kāi)或者終止互操作關(guān)系時(shí)，各自治域應(yīng)能夠恢復(fù)其安全策略，使其與互操作之前一致。為此，RAR框架中兩兩自治域之間以對(duì)等的方式建立互操作關(guān)系；這種方式的優(yōu)勢(shì)在于不再依賴第三方實(shí)體。這正是RAR框架靈活性和可擴(kuò)展性的關(guān)鍵。不難想像，域間角色映射設(shè)置上或者執(zhí)行上的紕漏，將是對(duì)自治域的安全巨大的威脅，

4、可導(dǎo)致來(lái)自于自治域內(nèi)外的非法授權(quán)和信息泄漏。RAR中生成的域間角色映射充分考慮了自治域的安全性。首先研究了職責(zé)分離策略作用下的IDRM問(wèn)題的復(fù)雜度；證明了其簡(jiǎn)單子例是不可解問(wèn)題。RAR將IDRM相關(guān)問(wèn)題轉(zhuǎn)換為經(jīng)典問(wèn)題處理，例如可滿足性（SAT）等問(wèn)題。過(guò)去30余年有大量工作對(duì)后者進(jìn)行了深入的研究，提出了各種實(shí)用的求解器，RAR調(diào)用其求解器以解答IDRM問(wèn)題。
　　 考慮到互操作需求的多樣性，無(wú)法保證總是存在合適的角色以用做映射。

5、此時(shí)，自治域管理員可能調(diào)整RBAC策略以期支持互操作。盡管RBAC已大大減輕了授權(quán)管理的負(fù)擔(dān)，要實(shí)現(xiàn)預(yù)期的調(diào)整依舊十分困難。同時(shí)，RBAC系統(tǒng)中的任務(wù)分配和策略配置糾錯(cuò)等問(wèn)題最終也可歸結(jié)為RBAC策略更新問(wèn)題。然，由于更新后的狀態(tài)須滿足一定的約束，RBAC策略更新過(guò)程一般較為復(fù)雜。提出了一個(gè)自動(dòng)化的工具，以協(xié)助自治域管理員完成更新任務(wù)。使用該工具能夠自動(dòng)檢測(cè)管理員制定的更新目標(biāo)是否可滿足；且如果可滿足，工具將生成參考模型，據(jù)此模型，自治

6、域管理員可完成對(duì)RBAC策略的修改以達(dá)到更新的目的。提出了一套完整的RBAC策略更新方法，研究了其性質(zhì)、開(kāi)發(fā)了一個(gè)基于模型檢測(cè)技術(shù)的原型系統(tǒng)。大量實(shí)驗(yàn)證明了該工具的有效性。
　　 為適應(yīng)互操作環(huán)境的動(dòng)態(tài)性和不確定性，RAR使用了風(fēng)險(xiǎn)的概念，以監(jiān)控和管理自治域安全。然，有效的風(fēng)險(xiǎn)評(píng)估不單單依賴于良好的評(píng)估算法，評(píng)估數(shù)據(jù)的質(zhì)量直接影響了評(píng)估結(jié)果的優(yōu)劣。就授權(quán)言，評(píng)估數(shù)據(jù)是各自治域維護(hù)的授權(quán)日志。不幸的是，在互操作環(huán)境下，僅僅記錄授權(quán)

7、決策難以滿足需要。觀察到授權(quán)起的建模是授權(quán)日志質(zhì)量的關(guān)鍵。將此問(wèn)題推廣到分布式授權(quán)領(lǐng)域以及基于邏輯的安全策略庫(kù)。簡(jiǎn)言之，資管理者之外，其他智能體的判斷對(duì)于授權(quán)決策過(guò)程起著重要作用。當(dāng)然，現(xiàn)有的授權(quán)邏輯均忽略了這一重要方面。提出了一套表達(dá)起的邏輯，DBT授權(quán)起信息的表達(dá)和推理可以幫助管理員（1）理解和分析當(dāng)前策略庫(kù)的狀態(tài)；（2）防御授權(quán)起相關(guān)的一類攻擊；（3）以起信息為導(dǎo)向的快速審計(jì)。具體言，給出了邏輯DBT的公理系統(tǒng)及其正確性和完備性。