摘 要 授权管理是系统间的协同和资源共享的重要前提和基础。考虑了授权操作的不确定性,分析了仅仅基于信任的授权管理的不足,引入风险评估机制,运用模糊集合理论对授权的风险评估模型进行建模,提出了实体间风险关系的推导规则及约束规则。基于风险评估机制定义了授权管理模型,并分析了授权管理中的一致性证明问题和职责分离问题。
关键词 授权管理;风险评估;一致性证明;模糊集合
0 引言
近年来,随着网络和分布式对象技术的迅速发展,基于网络环境下的电子商务、电子政务以及数字权限管理等等应用模式成为一种应用主流。系统间的协同和资源共享的研究成为当前计算机技术的主要方向之一。
授权管理[1,2]是系统间的协同和资源共享的重要前提。1996年,M.Blaze[3,4]等人首先提出了信任的概念,将信任引入到授权管理中。文献基于历史经验计算实体完成任务的概率,将此概率作为实体信任度的度量,将信任分为直接信任和推荐信任。但是,简单地使用概率模型对主观信任进行建模,并且简单采用取均值的方法表达多个推荐的综合,不能真实刻画信任关系的主观性和不确定性。
文献引入模糊集合论中隶属度的概念对主观信任的模糊性进行建模,并定义了信任向量作为信任的度量机制。此外,还运用概念树描述和定义了信任类型以及信任的推导规则。但是,仅仅基于信任的授权管理是不充分的。文献在基于角色的访问控制策略中引入信任和风险的概念,但是它不具备丰富的表达能力,模型相对简单。仅仅针对基于角色访问控制中的授权策略,不具有普遍性,不能直接应用于其它模型中。
本文首先定义了授权安全风险,用它来描述安全目标与实际出现的结果之间存在距离。在此基础上,运用模糊集合理论对授权安全风险评估模型进行建模,并给出了实体间带风险评估的授权关系的推导规则。基于授权安全风险评估机制定义了授权管理模型,并分析了授权管理中的一致性证明问题和职责分离问题[10]。
本文其他部分的结构如下:第1节简要介绍授权安全风险的基本概念,引入模糊集合论中隶属度的概念定义了授权安全风险评估模型,并给出了实体间带风险评估的授权关系的推导规则及约束规则;第2节定义了基于带风险评估的授权关系的授权管理模型,并分析了授权管理中的一致性证明和职责分离问题;第3节是全文的总结。
1 授权安全风险
1.1 基本概念
目前,授权管理的研究大多基于信任机制,主要分为基于策略的信任管理模型和基于信誉的信任管理模型两类。但是,它们都带有严重的不确定性。正是因为这种不确定性,导致了授权操作也具有极大的不确定性。授权操作的不确定性将影响系统的安全性能。换句话说,在某一特定环境下,实体期望达到的安全目标与实际出现的结果之间存在距离。这与风险的真正内涵不谋而合。风险是能够影响一个或多个目标的不确定性,是指在某一特定环境下,某种损失发生的可能性。
Definition 1授权安全风险:授权行为能够对系统安全性能产生正面影响或者负面影响的不确定性。
为了着重本文的研究内容,主要讨论授权安全风险负面影响的不确定性。风险评估是授权操作安全性评估的重要方面:
1) 风险都是针对具体的操作。例如,某个实体能被信任从事技术任务,但不能信任其能从事管理工作。
2) 风险是动态变化的。例如,初次进行互操作的陌生人之间的授权安全风险可能很高,但随着交互的增加,风险也可能会变得比较低。
3) 风险低,则可信度高。例如,授权安全风险越低,那么可信度越高。
4) 授权安全应该建立在授权的风险接受准则基础之上。只有当风险满足了预定的接受准则,授权的安全性才得到保证。
所以,只有充分考虑风险因素,才能保证授权操作是在没有影响系统安全性的前提下完成的。接下来的部分,我们具体给出了授权安全风险评估的定义及实例分析。
1.2 基于模糊集合的授权安全风险评估
通常,在实际环境中,实体与连续数值集合之间的关系不是简单的“属于”和“不属于”,并且各个集合并不是非此即彼的排他关系。另外,当实体掌握的风险评估的信息不完整时,那么真实值和评估值之间存在差距。为此,我们引入模糊集合理论对授权安全风险进行定义。
L.A Zadeh于1965年首先提出模糊集合,它是传统集合论的扩展,用来表达模糊性概念的集合,又称模糊集、模糊子集。普通的集合是指具有某种属性的对象的全体。这种属性所表达的概念应该是清晰的,界限分明的。因此每个对象对于集合的隶属关系也是明确的,非此即彼。但在人们的思维中还有着许多模糊的概念,例如年轻、很大等,这些概念所描述的对象属性不能简单地用“是”或“否”来回答,模糊集合就是指具有某个模糊概念所描述的属性的对象的全体。由于概念本身不是清晰的、界限分明的,因而对象对集合的隶属关系也不是明确的、非此即彼的。
为了进一步提高评估的正确性和一致性,我们基于模糊集合理论定义风险模糊集合。风险模糊集合使得授权请求评估值相近的实体被放置在相同集合中,使用实体关于每个模糊集合的隶属度来描述实体间的风险水平。在下面的定义中,风险问题域蕴涵指代实体域。
Definition 2风险模糊集合(Risk Fuzzy Set)。风险问题域U中的风险模糊集合RF用一个在区间[0,1]上的取值的隶属函数a来表示,即对于任意的基变量u∈U给定了如下映射:
a: U→[0,1]
其中, a(u) = 1,表示u完全属于RF;
a(u) = 0,表示u完全不属于RF;
0 a(u) 1,表示u部分属于RF;
对某个具体的u而言,称a(u)为u对RF的隶属度。模糊集RF表示为: RF={(u, a(u))|u∈U}。
假设实体A可以管理权限p,实体B请求实体A授予权限p。表1表示A关于B请求授予权限p的各个等级的授权安全风险模糊集合的隶属度。
表1 实体B请求授予权限p的风险模糊集合隶属度
风险
很低
风险
低
风险
较低
风险
中等
风险
较高
风险
高
风险
很高
a
0.3
0.6
0.04
0.04
0.02
0
0
1.3 带风险评估的授权关系的推导
与信任关系相似,授权安全风险也分为直接授权风险和推荐授权风险。直接授权风险是指一个实体将某个权限p授予给另一实体对系统安全性能产生正面影响或者负面影响的不确定性,两实体之间可能有推荐路径,也可能没有。推荐授权风险是指一个实体相信另一实体推荐别的实体的能力,推荐风险值越大,另一实体推荐的实体对系统的负面影响越大。那么在实体间的带风险评估的授权关系的推导需要处理:单关系链的连接和多关系链的合成。
Definition 3 推导规则。假定a1和a2是两个实体关于权限p的风险评估模糊集的隶属度。则a1和a2的两种推导运算的定义如下:
1) 连接: a0=a1Åa2。
2) 合成: a0=a1Äa2。
单关系链的连接。 设A,B,CÎU, pÎP,A对B关于p的授权安全风险评估模糊集的隶属度为aA®B,B对C关于p的授权安全风险评估模糊集的隶属度为aB®C,那么可以定义A对C关于p的授权安全风险评估模糊集的隶属度aA®C的连接规则:
aA®C =aA®B ÅaB®C。
单评估链的连接规则定义的是授权安全风险通过推荐沿关系链传递的机制。实体间除了直接授权安全风险之外,还存在着推荐的授权安全风险。通过连接规则,实体间建立了新的风险评估。
多关系链的合成。 设A,BÎU, pÎP,A对B关于p的m个授权安全风险评估模糊集的隶属度为a1,a2…am,那么可以定义m个隶属度的合成规则:
aA®B =a1Äa2 …Äam。
多关系链的合成规则定义的是多个风险评估的综合。当两个实体间存在着多重传递路径时,通过多关系链的合成规则可以综合评价实体间的授权风险,合理地合并这些关系。
假定μ表示授权安全风险评估模糊集的隶属度,风险的推导运算应该满足以下约束规则:
1) 单调性。单调性约束规定随着关系链长度的增长,实体间的风险值呈现增长趋势。设A,B,CÎU, pÎP,A对B关于p的授权安全风险评估模糊集的隶属度为aA®B,B对C关于p的授权安全风险评估模糊集的隶属度为aB®C,那么 。
2) 有界性。弱有界性约束规定所有的风险评估分布在区间[0,1]。而强有界性进一步要求所有的授权风险合成推导应该保持有界:①弱有界性, 0£m £1。②强有界性:除了满足弱有界性以外,要求设A,BÎU, pÎP,A对B关于p的m个风险评估模糊集的隶属度为a1, a2…am,那么 。
3) 权重归一性。假定推导运算中的权重集为{e1, e2…,en},则满足ei³0, 。
2 带风险评估的授权管理框架
2.1 授权规则
Definition 4 授权。一个授权可以定义为一个三元组au:PrincipalA, PrincipalB, p,表示实体A将权限p授予实体B。
将风险评估引入到在授权决策中,那么风险是如何影响授权决策的?首先要考虑授权安全风险接受准则。例如,当且仅当实体B关于权限p的模糊集{风险较低}的隶属度a大于或等于某个预定值apre时, 实体A才将权限p授予实体B。并且称该授权安全风险的接受准则被满足。它用以下形式被描述:
A, BÎU, A can assign p, a ³apreÞ p®B。
Definition 5 基于风险评估的授权。一个基于风险评估的授权可以定义为一个六元组RT-au: PrincipalA, PrincipalB, p, a, Environment, Constraints,表示在特定环境下, a满足授权安全风险接受准则,相关约束条件也被满足,实体A将权限p授予实体B。 它用以下形式被描述:
A, BÎU, A can assign p, Environment and
Constraints are satisfied,
a satisfies the accepting criteria Þ p®B。
Environment表示特定环境变量,例如:时间变量。Constraints表示一些约束条件,例如:职责分离(Separation of Duty, SoD)。另外,某个授权可能涉及到多个授权安全风险接受准则,即需要验证多个类似于{风险较低}的模糊集合的隶属度m,那么多个授权六元组的组合就可以表达这种复杂的接受准则。
Definition 6 授权规则。假定实体A对实体B关于权限p的授权安全风险评估模糊集的隶属度为a。一个授权可以按如下方式生成:
1) 授予规则。假定实体B向实体A请求授予权限p,如果约束条件和环境变量都被满足,并且m满足授权安全风险接受准则,则实体A将权限p授予实体B。
2) 回收规则。D表示委托深度的约束,d表示本次委托的深度。假定约束条件不被满足,或者环境变量不被满足,或者a不满足授权安全风险接受准则,或者d不满足深度约束D,那么实体A将权限p从实体B回收。回收规则用以下形式描述:
A, BÎU, A can revoke p, ((Environment or
Constraints are not satisfied) È(d ³ D) È (a satisfies the
accepting criteria )) Þ p will be revoked from B。
3) 委托规则。假定实体A不是权限p的拥有者,但允许其继续将权限p委托授予其它实体。实体B向实体A请求授予权限p,如果约束条件和环境变量都被满足,d满足深度约束D,并且a满足授权安全风险接受准则,则实体A将权限p授予实体B。委托规则用以下形式描述:
A, BÎU, A can delegate p, Environment
and Constraints are satisfied,
d £ D, a satisfies the accepting criteria Þ p®B。
2.2 一致性证明和职责分离
授权规则描述了这样一个问题:参数集合证明了请求r与本地授权规则是一致的吗?授权规则的集合就组成了授权策略。每个收到请求的实体必须有自己的授权策略,这些策略充当权限授予根据。授权策略可以直接授予其它实体某一权限,但是更一般地,它将这一职责委托给其他实体,它相信这些实体有满足管理权限的要求,并且和潜在的请求者有某种关系。授权管理引擎是独立的子系统,回答“参数集合是否证明了请求r与本地授权规则一致”的问题,输出一个关于“如果没有,应该如何处理”的额外信息。
图1显示了授权管理系统的结构框架。其中,参数集合包括了环境变量、约束条件、委托深度以及指定风险模糊集合的隶属度m。一致性证明引擎将这些输入信息进行匹配,利用一致证明算法判断参数集合是否能够证明请求r与安全授权策略一致。若一致,则输出肯定信息,若不一致,则除了否定信息以外,可能还会输出一些需要进一步处理的额外信息。
另外,任意的授权操作不应该导致职责分离冲突。假定P为权限集合,函数members(p)表示拥有权限p的所有实体的集合。U为实体集,SoD表示职责分离的权限集合,集合中的元素是二元组(p1,p2)的形式,表示权限p1、p2为一对冲突权限,一个实体不能同时拥有这两个权限。假定p1,p2 …pn为一组冲突权限,这些权限的冲突可以通过多个二元组描述:(p1,p2),(p1,p3)…(pn-1,pn)。职责分离可以用以下规则表示:
("p1,p2ÎP) Ù( A,BÎU, A can assign p1, a satisfies
the accepting criteria Þ p1®B) Ù
((p1, p2)Î SoD) Þ members(p1)Ç members(p2) = F。
3 结束语
本文首先定义了授权安全风险,用它描述了安全目标与实际出现的结果之间存在距离。在此基础上,引入模糊集合论中隶属度的概念定义授权安全风险评估模型,并给出了实体间授权安全风险的推导规则。基于授权安全风险评估机制定义了授权管理模型,并分析了授权管理中的一致性证明问题和职责分离问题。本文所提出的授权管理模型可以作为一种有效的权限管理工具,为实体间的授权提供了分析、评估和推导的方法,对系统间的协同和资源共享提供了有效支持。
参考文献
[1] N.H.Li. Delegation Logic: A Logic-based Approach to Distributed Authorization. ACM Transactions on Information and System Security, Vol. 6, No.1, February 2003, Pages 128–171。
P.G. Argyroudis, D. O’Mahony。 ÆTHER: An Authorization Management Architecture for Ubiquitous Computing. In Proc。 2004 European PKI Workshop, LNCS 3093, Springer-Verlag, 2004, 246-259
Blaze M, Feigenbaum J, Lacy J. Decentralized trust management. In: Dale J, Dinolt G, eds.Proceedings of the 17th Symposium on Security and Privacy. Okaland: IEEE Computer Society Press, 1996, 164~173
Blaze M, Feigenbaum J, Keromytis AD. KeyNote: Trust management for public-key infrastructure. In: Christianson B, Crispo B, Willian S, et al。,eds。 Cambridge 1998 Security Prococols International Workshop. Berlin: Springer-Verglag, 1999, 59~63
Beth T, Borcherding M, Klein B. Valuation of trust in open networks. In: Gollmann D, ed. Proceedings of the European Symposium on Research in Security (ESORICS). Brighton:Springer-Verlag, 1994, 3~18
唐文, 陈钟. 基于模糊集合理论的主观信任管理模型研究. 软件学报, 2003, 14(8):1401~1408
Nathan Dimmock, Andras Belokosztolszki, David Eyers。 Using Trust and Risk in Role-Based Access Control Policies. Proceedings of the ninth ACM Symposium on Access Control Models and Technologies(SACMAT), 2004, 156~162
Zadeh L.A., The Concept of A Linguistic Variable and Its Application to Approximate Reasoning. American Elsevier Publishing Company, New York, 1973
Li Ninghui, Winsborough WH, and Mitchell JC. Beyond Proof-of-compliance: Safety and Availability Analysis in Trust Management. In Proceedings of IEEE Symposium on Security and Privacy, 2003, 123~139
[10] N.H. Li, Z. Bizri, M.V. Tripunitara. On Mutually Exclusive Roles and Separation of Duty. Proceedings of 2004 ACM Conference on Computer and Communications Security (CCS’04), October 2004
[11] Department of Defense。 Trusted Computer System Evaluation Criteria, DOD 5200.28-STD. Department of Defense Computer Security Center, Fort Meade, MD. 1985。
相关文章
学术参考网 · 手机版
https://m.lw881.com/