多域间动态角色转换的职责分离

计算机研究与发展

./01234/5*/60891:9;931?9@94/692877

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!

多域间动态角色转换的职责分离

廖俊国$’洪帆$朱贤$肖海军$

$（华中科技大学计算机科学与技术学院

，

武汉A）(%%+A’（湖南科学技术大学计算机科学与工程学院湘潭A）$$’%$（4F3/020/#8/6I

!

$’，$，$，$JF3/.020/K/232M=0NF3232>NF3/K3F02HHLG

$（’（

，

）!

）,-1

693&%$/&

，RF3$*4#I71//;9>8=9!:TU*’%%%6/>94=F8/394;93138F/2/5>08F9;F;2/8>236F/63F21/498132;438F/2;IK/R9@917Q

，，919>R=FP=9:TU*6/>9432>925/1PQ7777Q8Q

，，;838F236FF2>983F43231/3

，8=9;99>32>371/89F8F/2;8/925/194F;71//;9>IQ/7

；；；:

摘

两个或多个管理域间的安全互操作是一个重要的研究课题IS33>F3等人提出的!:TU*’%%%7

模型通过动态角色转换灵活地实现了域间安全互操作I在!:TU*’%%%模型中每个管理域均采用

要

职责分离是:并可用一组静态互斥角色约束:TU*模型，TU*模型支持的最基本的(个安全原则之一，来表示对动态角色转换违背静态互斥角色约束的各种I而!:TU*’%%%模型没有考虑职责分离I因此，情形进行了详细分析，并抽象出各种情形的本质特征；对动态角色转换是否会违背静态互斥角色约束提供了一种判定方法并给出了相应的算法；提出了使用先决条件来加强!:TU*’%%%模型安全性的保护机制I

动态角色转换；互斥角色；先决条件关键词!:TU*’%%%模型；

中图法分类号

,-(%)

于’该模型%%%年提出的多域间的安全互操作模型，

;引

言

［］

是在采用:TU*模型’的管理域之间通过动态的

角色转换进行安全互操作“被单个管理I管理域是

多个管理域间的安全互操作是分布式计算环境中资源共享和安全的一个关键技术，目前出现了多

［］

种不同的解决方案I!:TU*’%%%$是S33>F3等人7

权威机构管理的一组主机、路由器和互联的网

［(］

络”I对!:TU*’%%%模型进行安全分析发现动态

角色转换可能违背职责分离原则I而职责分离是被

收稿日期：修回日期：DDDD’%%C%A’$；’%%C%E(%基金项目：国家自然科学基金项目（B）%A%(%’+

(’::

计算机研究与发展&（）’’:，.%:

!

［.］

所接受美国国家标准技术协会（*+,-）/目前对

均不能通过关联4被转换为16,))7&’23,*5$!(

7&’23,*/!’

职责分离的研究是在单个管理域环境下进行的，对跨多个管理域的职责分离没有进行讨论/比如，$012456讨论了怎样分类和加强!

［7］约束；89等人分析了如何用一组静态互斥角色约

［:］束来表示职责分离本文将对两个管理域/因此，

间的动态角色转换是否会违背职责分离原则进行了讨论/首先详细地分析了在+!

+!

定义了一组关联，从而形成一个合并的具有偏序关系的层次/用!’表示本域角色集合，用!(表示外域角色集合，

下面举例说明+!

标号为(的关联是从%&’&()*!(到+*,-)..,*!’

的传递关联，记做：%&’&()*!(

/比如，因为/012’2.3*&3,*!(!%&’&()*!(，因而，通过关联%&’&()*!(

高，但这两个角色;9

/(#==5>914956=?@4A@@6B9@010>B9@=/图(角色转换关联

(

!

则：最小权限、职责分离和数据抽象［&］

/由于+!

/::,;’3&’3!’是传递的，并且/012’2.3*&3,*!(!7&’23,*!(/因此，/012’2.3*&3,*!(也可以被转换为/::,;’3&’3!’/外域中拥有角色/012’2.3*&3,*!(

成;9914956=C95D1496

10149565EFG49@=/图&违背职责分离的关联

&!444

廖俊国等：多域间动态角色转换的职责分离

,!%D

员资格的用户将同时拥有!和)

#$等人证明了可用一组静态互斥角色约束表

［%］

示静态职责分离本文将通过讨论在

&’()*+!!!模型中动态角色转换是否会违背静态互斥角色约束来讨论&’()*+!!!模型的职责分离用*｛，+，…，｝表

在图-中，外域角色2通过标号为,和+的关联可以分别转换为本域角色1和/

外域角色2通过标号为,和+的关联可以分别转换为本域角色-和+

/-.｛1，/｝

/$0

4@86?

图-外域角色直接转换为本域的两个互斥角色

在图B中，由于标号为,和+的关联是传递的，并且3!2，3!0；因而，外域角色3能间接地转换为本域角色1和/

联把外域角色2转换为本域角色1的祖先，并且标号为+的关联把外域角色0转换为本域角色/的祖先，比如角色+；外域角色3同样能间接地转换为本域角色1和/

/$0

93;5?9?;66:4

@86?

外域角色直接转换为本域的两个互斥角色的祖先

/$0

4@86?

图B外域角色间接地转换为本域的两个互斥角色在图%中，标号为,的关联把外域角色2直接转换为本域角色1

而且2!%；因而，外域角色2可以间接地转换为本域角色/

如果标号为,的关联把外域角色2转/$0

*%

#)FE

计算机研究与发展!（）))F，GHF

换为本域角色!的祖先，比如角色

根据上述的推论，可以得到一个判断在$%&’(!)))模型中动态角色转换是否违背了静态互斥角色约束的算法外域角色集

时拥有本域静态互斥角色约束中所有互斥角色的成员资格，如果存在这样的外域角色，则动态角色转换将违背静态互斥角色约束

表示由&+#经过动态角色转换后得到的本域角色集合，用),表示$%&’(!)))模型的关联集合

用!!&表示

若-*/，则（&，!，-）表示把&转换为!的非传递关联

定义!

+#）

｝是本域的静态互斥角色约束，如果$&+#（$

成员资格的域用户将拥有$+)的成员资格

定理#可以推广到静态互斥角色约束包含多个互斥角色的情形

推论!

｝是本域的静态互斥角色约束

））为真，则动态角色转换违背了静态互斥角色约束’$

代码

2%

*(51#1*%#

,-./012（$+)，#+#，*）#)

,$3（&+#

)｝,-./012(#｛(#+)，(!+)，…，(0+)

｝｛,708

*,079/,-./012&#)

）$3&!(62/4｛,708*6.:/&./0;｝$3,708

*,079/62/4./93?>481-494

%/-70481

-494

2%

｛$32%

｝）62/491485*1#:48

｝｝

%/

,>8

图+判断动态角色转换是否违背静态互斥角色约束算

法伪代码

#

为了防止$%&’(!)))模型的动态角色转换违背静态互斥角色约束，提供一种保护机制是十分必

要的

的启发，本文使用先决条件来对添加关联加以限制，以便

添加的关联不会导致动态角色转换违背静态互斥角色约束

（&，+）是一个布尔函数，其中&是一个外域角色且+++)

或者+,(且!!-/)｛)

廖俊国等：多域间动态角色转换的职责分离

!&@?

（（!#$!$!%%）（

（!）为真，则)（%，的函数值为真##&’(*$）

（0#.$%#/$%%0）为真，则.’&且

定义!是角色集合，，

（$

定义#

｝（*，的含义是只有在满足9｝

$%&’()!

表)!

()*)+,*--0)0*--2,-03+4567-58793):*+9)./.1

｛，#，…，｝2#’

;337,+*)+79（%，0，8）（%，0，9）

+)+79=（%，（0））)*!$+（!$（0），（%））&’!,-

表!列出了添加关联时防止动态角色转换违背静态互斥角色约束的先决条件

用$表决条件的可靠性和完备性

（）可靠性!

（!））为假，即不存在外域角色!满足!%%##&’(并且

（（（0）（!））为假，即!

于关联（%，是非传递的，添加该关联只对外域0，9）角色%在动态角色转换中是否会违背静态角色约｛，#，…，｝产生影响，对其他外域角色的束2#’

动态角色转换不产生影响只考虑外域角色%

（!））为真，即!（（0）

（（0）（!））为假，与

!的用户成员不拥有角色

那么，一个用户如果是角色!的成2都满足0%2；

员，该用户将是$（0）中所有角色的成员

（0）（0）（0）（0）那$*!$$&并且$+!$$$；么在$中必存在角色

接着讨论添加的关联为非传递关联的情形

)(P(

计算机研究与发展’（）((F，OMF

V

0!-65=@-@:：T:=

，X，3U/：T8\:1+?/B8;=18?-

，]#-B/9-

，9=:/85;8??)LLL!’’L!’ML>TN

，Z，]8

（$，的定义可得，（$，（&））为假!

所以!（$，（&））为真添加

!结

论

多域间的安全互操作是一个重要的研究课题!

态互斥角色约束的各种情形，并抽象出各种情形的本质特征；对动态角色转换是否会违背静态互斥角色约束提供了一种判定方法并给出了相应的算法；为了防止动态角色转换违背静态互斥角色约束，使用先决条件对添加新的关联加以限制，并证明了先决条件的可靠性和完备性!本文的研究使

对于多个管理域之间的安全互操作，

参

)

，7

廖俊国，博士研究生，讲师，主)LP’年生，要研究方向为访问控制和网络安全!，*%($(7=;

，:-;8?8:+;/5=.81;5=;-46>*@*>-

洪帆，教授，博士生导师，主要)LO’年生，研究方向为安全模型、密码学和网络安全!，7,-’.#$(=;6朱贤，博士，主要研究方向为安)LP’年生，全模型!

考文献

，0，#，’%+,--./--1-1%123+45-./!&-67811(

’(((：98:+;8/+@.>，D：AA

，7.#$%*$#’(=;-，8?8:/-11/@@8@:1-??/C/:-5/=

-1=;/546?C=;/

.858:5/=

肖海军，博士研究生，副教授，主要的研究方向为)LFV年生，网络安全和数据挖掘!

’

，G，I，#-B/9!9-

MO

’@：Q!3-1R/

，#，9，E!K!K8;;-/=1=!9!9-

0121$34-5$463%’(7)

D48?8:+;8/5@>/*@8，H,--./-’(