第32卷第3期 2013年3月 实验室研究与探索 RESEARCH AND EXPLORAT10N IN LABORATORY Vo1.32 NO 3 Mar.2Ol3
基于信任的任务访问控制模型
张文梅
(广东农工商职业技术学院机电系,广东广州510507)
摘 要:本文对现有访问控制模型进行分析,根据现有访问控制模型缺乏灵活性,难以适应动态变化的 需求,在任务访问控制模型(TBAC)的基础上提出了基于信任的任务访问控制模型TrustTBAC。该模型
在传统的TBAC模型基础上增加了信任机制,通过直接信任和推荐信任加权计算用户的信任度,实现了 任务访问控制中的动态授权。实验表明,模型具有较好的动态适应性,可以更加灵活、细粒度的动态授 权访问,这种灵活的授权机制更能满足任务访问控制的实际需求。
关键词:直接信任;推荐信;任务访问控制;动态授权 中图分类号:TP 393.07 文献标志码:A 文章编号:1006—7167(2013)03—0258—05
Task—based Access Control ModeI Based on Trust
ZHANG Wen—mei (Guangdong AIB Polytechnic College,Guangzhou 5 10507,China)
Abstract:The existing access control models,which are inflexible,are dificult to adapt to the changes in the environment.By extending the TBAC(task—based access contro1)model,this paper proposes a task—based access control model,TrustTBAC,based on trust.This model adds trust mechanism to the traditional TBAC,and the trustworthiness of users is calculated based on direct trust and recommendation trust with different weights,thus realizing dynamic
authorization.Experiments show that this model has better dynamic adaptability,can provide more flexible and fine— grained dynamic access control mechanism,and can better meet actual needs.
Key words:direct trust;recommendation trust;TBAC(task—based access contro1);dynamic authorization
0 引 言
访问控制是根据网络用户的身份或属性对该用户
执行某些操作或访问某些网络资源进行控制的过程。 访问控制是实现信息安全的一种重要手段,对访问控
制技术的研究也一直是国内外信息安全界的一个热 点。在30多年的发展过程中,先后出现了多种重要 的访问控制技术,如自主访问控制(Discretionary
Access Control,DAC)、强制访问控制(Mandatory Access Control,MAC) 、基于角色的访问控制(Role— Based Access Control,RBAC) 。 ,它们的基本目标都 是防止非法用户进入系统和合法用户对系统资源的非
收稿日期:2012—02—20 作者简介:张文梅(1978一),女,湖北武汉人,硕士,讲师,主要从事 计算机应用与软件的研究开发。 法使用。当前对访问控制的研究已成为计算机科学的
研究热点之一 。。
以上这些访问控制模型的共同点在于它们都是从 系统的角度出发保护信息资源,其访问控制的原理可 以简单地表示为当主体对客体有访问请求,并且该主
体拥有对该客体的访问权限,提供访问操作。但它没 有把操作主体执行操作时所处的环境考虑在内,不能
对主体所拥有的权限根据所处的环境进行动态管理。 此外不能记录主体对客体权限的使用,且权限没有限
制,只要主体拥有对客体的访问权限,主体就可以无数 次地使用该权限。因此Thomas和Sandhu于1997年
提出了基于任务的访问控制(Task.Based Access Control,TBAC) 。
TBAC从应用和企业级的角度来考虑和解决安全 访问控制问题,而非以往从系统的角度。它面向任务,
从任务和任务执行来建立安全模型并实现访问控制,
在任务处理的过程中提供动态的权限管理。在TBAC 第3期 张文梅:基于信任的任务访问控制模型 259
中,主体所拥有的访问权限并不是静态的,而是随着所 执行任务的上下文环境发生变化,邓集波等对TBAC 模型进行了形式化描述。。 。TBAC是一种上下文相
关的访问控制模型,又是一种基于实例的访问控制模
型,由于任务的实效性,用户对于授予他的权限的使用 也是有实效性的。TBAC基本概念包括授权步、授权 结构体、任务和依赖,TBAC可依据任务和任务状态的
不同,对权限进行动态管理。 TBAC中授权步由受托人集和多个许可集组成,
受托人集是可被授予执行授权步的用户集合,许可集 则是受托集的成员被授予授权步时拥有的访问许可, 当授权步初始化以后,一个来自受托人集中的成员将
被授予授权步。这样就会存在许多不足之处:首先, TBAC模型在成员将被授予授权步时,只验证用户的 身份真实性,而没有考虑用户行为的可信性。其次,
TBAC模型采用预先分配的方式进行授权,而在用户 实际使用权限过程中并不进行监管与控制,当发现用
户进行恶意操作时,系统很可能已经受到伤害。 因此,人们提出将人类社会的信任机制引入到访 问控制模型中,1996年美国AT&T实验室的Blaze等
人提出信任管理(Trust Management,TM)概念 并开 发出相应工具后,引起人们的广泛关注,成为目前分布 式访问控制研究中的热点 。。 。Chakraborty等人在
RBAC模型的基础上,提出了TrustBAC模型 ,它根
据用户的信任度来获得相应的权限,能够动态地进行 角色分配,但该模型没有考虑权限对用户信任值的要
求,会给恶意用户提供绕过访问控制的机会,刘武等人 提出了基于信任的访问控制模型TRBAC” ,它根据 用户的信任值动态地决定授权,同时克服了通过先积
累信任值而获得较高等级的角色权限的可能性。但上 面模型没有解决TBAC模型中成员被授予授权步时,
根据成员的信任值动态地分配权限。
1 基于信任的任务访问控制模型TrustTBAC
针对上述不足,本文对TBAC模型 进行了扩 展,提出一种基于信任的任务访问控制模型
TrustTBAC。该模型从权限对受托人集中成员的具体
要求出发,考虑用户的历史行为信息和上下文信息,准 确衡量用户的信任值,实现细粒度、灵活的授权机制, 从而更为安全合理的为用户分配权限。 1.1概念
(1)授权过程(authorization step)。表示在一个 工作流程中对处理对象的一次处理过程,它是
TrustTBAC所能控制的最小单元。授权步由受托人集 (Trustee—Set)和多个许可集(Permissions Set)组成,如
图1所示。其中用户集及该用户对应的信任值合称为 受托人集,受托人集的成员被授予授权步时拥有的访 问许可及该许可被执行时的条件称为许可集。当授权
步初始化后,一个来自受托人集中的成员被授予授权 步,称这个受托人为授权步的执行委托者,该受托人执
行授权步过程中所需许可的集合称为操作许可集。在 TrustTBAC中,一个授权步的处理可以决定后续授权
步对处理对象的操作许可,将这些许可称为激活许可 集。执行者许可集和激活许可集一起称为授权步的保 护态
网1授权过程
(2)任务(task)。任务是工作流程中的一个逻辑
单元,它是一个可区分的动作,可能与多个用户相关,
也可能包括几个子任务。
(3)授权任务(authorization task)。授权任务是 由一个或多个授权步组成的结构体,它们在逻辑上是
联系在一起的。授权任务分为一般授权任务和原子授
权任务,一般授权任务内的授权步依次执行,原子授权
步内部的每个授权步紧密联系,其中任何一个授权步 失败都会导致整个授权任务的失败。授权任务是任务 在计算机中进行控制的一个实例,任务中的子任务对 应于授权任务中的授权步。
(4)依赖(dependency)。依赖是指授权步或授权 任务之间的相互关系,包括顺序依赖、失败依赖、失败 代理依赖、失败撤销依赖、分权依赖、分级分权代理依
赖。依赖反映了基于信任的任务访问控制模型的原 则。顺序依赖:授权步A 完成之后,A,才能被激活。
失败依赖:授权步A 失败之后,A 才能被激活。失败
代理依赖:授权步A 失败之后,对它的授权由A,代 260 实 验 室 研 究 与 探 索 第32卷
理。失败撤销依赖:授权步A 失败之后,A 的授权被
收回。分权依赖:授权步A,和A:必须由不同的用户 完成。分级分权依赖代理:授权步A 和A,必须由不 同级别的用户来完成。 (5)条件(conditions)。用户执行授权步的条件。
在本模型中,条件指用户要处理(操作或激活)授权
步,其信任值应该达到的信任阀值,其值域为[0,1]。 (6)信任值(Trustvalue)。根据信任计算算法得 到的用户信任值。 1.2 TrustTBAC模型的形式化表示
(1)四部分组成。TrustTBAC由授权任务ATask、 受托人集 、许可集P、授权步As四部分组成。 (2)每个授权任务ATask由一个或多个授权步As
组成。即ATask={As ,As ,…, },A 之间的关系
为As×As 2 ,D= 顷序依赖,失败依赖,失败代理依 赖,失败撤销依赖,分权依赖,分级分权代理依赖}。 (3)A 与 是1:n关系。As—R是从授权步到一
个用户的映射,随时间变化而变化。 一R是一个从
={R,,R 一,R }选择一个执行委托者的函数。 (4)As与P是1:n关系。init(A ,尺)—+P,P= :P ,P ,……P}为许可集,init为用户执行许可集的激
活函数;destroy( s,R,P1) P2,Pl 2 ,P2=P—P1, destroy为权限回收函数。
(5)许可集。P={P ,P ,…,P },在本模型中将 许可定义为P ={op,S,condition},其中 是访问控制 系统的真正客体,操作op是作用在客体上的一种访问
方式,condition∈conditions是用户被允许操作时信任 值应该达到的阀值条件。 (6)TTA T×TRUSTVALUE。用户信任值分配,
表示授权人集 到信任值集合TRUSTVALUE的多对 多映射关系,即一个用户可以拥有不同的信任值,从而
表示用户不同的信任特征。 (7)TPA TRUSTVALUE×P。许可激活,是指根 据用户信任值以及许可操作的条件判断用户能否执行
许可操作的过程。 TrustTBAC中,授权用五元组(R,0,P,L,As)来表 示,其中尺表示受托人,0表示客体,P表示许可,,J表
示授权步As的生命周期,4s表示授权步。在授权步被 激活之前,它的保护态是无效的,包含的许可不可使 用。当授权步 s被触发时,根据TPA判断,它的委托
执行者尺开始拥有许可集中的权限,同时它的生命期 开始倒记时。在授权步存活期间,五元组(R,0,P,L,
4s)有效。当生命期终止,即授权步4s无效时,五元组 (R,0,P,L,As)无效,S所拥有的权限被收回。
在TrustTBAC控制模型中,访问控制策略包括As, A ,As一只,As—P,R—TRUSTVALUE关系中,而As一 ,As—P, R—TRuSTVALUE组合决定了一个授权步的执行过程。 它们的关系由系统管理员根据需要保护的具体业务流 程和系统访问控制策略进行直接管理。而用户的信任 值采用信任计算算法动态得到。
1.3计算用户信任值 本文的信任度计算是考虑用户的历史行为信息和 上下文信息。主要依赖两方面信息 :①授权步的 许可操作与用户的直接交互经验,称为直接信任。② 用户与其它授权步交互时对用户的主观评价,称为推
荐信任。 步骤1计算直接信任值DT(r,op,As,t)。
DT(r,0p,As,t)表示在时间段t内,授权步As中的 操作op对用户r的直接信任值;时间段t内,若用户r
行为合法,则交互成功,若用户r行为不合法,则交互 失败。假设用户r对授权步As中的操作op的执行次 数为count,其中成功完成交互的次数为scount,则直
接信任值通过式(1)计算得到。
DT( p,As, ): (1) SC0Un【 直接信任值越大,表示用户的可信度越高,反之越 低。 步骤2计算推荐信任值Er,(r,op,As,t)。
E (r,op,As,t)表示在时问段t内,授权步As中的 操作op对用户r的推荐信任值,通过式(2)计算得到。
ET(r,op,As,t): ETi f( )/n (2)
E 为第i个对被评估用户做出的推荐信任值,_厂
(t)=e … 为时问衰减函数,A为时间衰减因子,
time表示当前处于交互时的时间。
步骤3计算综合信任度。 用TRUSTVALUE描述在时间段t内,授权步4s中 的操作op对用户r的信任度,包括直接信任值DT(r,
op,As,t)和推荐信任值ET(r, ,As,t),通过式(3)计 算得到。
TRUSTVALUE=DT(r,op,As,t)× ,, +E (r,op,As,t)× (3) 其中, , 反映直接信任与推荐信任的权重,可以通 过信任策略定义, + =1,。信任值越大,则表示用 户能够进行操作的可能性越大。
2实验与结果分析
下面以公文流转为例,说明基于信任的任务访『HJ 控制模型在实际中的应用。整个公文流系统由一台
Web服务器、用户服务器、信任服务器和多个客户端 计算机组成,如图2所示。
授权分为以下过程: (1)客户端用户通过用户服务器进行身份认证,