访问控制策略的分类方法研究
2011-08-15鲁剑锋刘华文王多强
鲁剑锋,刘华文,王多强
(1.浙江师范大学数理与信息工程学院,浙江 金华 321004;2.华中科技大学计算机科学与技术学院,湖北 武汉 430074)
访问控制是保证网络安全的核心技术之一,它允许被授权的主体对某些客体进行访问,同时拒绝向非授权的主体提供服务[1]。根据应用背景的不同,访问控制可以有不同的实现策略,如自主访问控制、强制访问控制和基于角色的访问控制策略等。随着网络和信息技术的发展,网络安全问题日益凸显,访问控制策略的思想和方法迅速扩散到各个信息系统领域,新的访问控制策略不断涌现出来,传统的分类方法已经不能体现出最新的研究成果。笔者首先从访问控制策略研究的发展进程出发,回顾几种传统的分类方法,指出其不足之处,并引出一种新的分类方法。随后,按照该分类方法,介绍几种具有代表性的访问控制策略,分析各自的优缺点和适应环境。
1 访问控制策略的分类方法
由于访问控制类型与访问控制目的和应用范围密切相关,合理的分类将有助于访问控制策略的研究。研究人员在早期通常采用ISO标准制定访问控制分类方法,将访问控制策略分为:①自主访问控制(DAC)。主体可以自主地将拥有的对客体的访问权限授予其他主体。②强制访问控制(MAC)。依据主体和客体的安全等级来决定主体是否拥有对客体的访问权限。主体和客体都具有固定的安全等级,这些安全等级只能由策略管理员或系统设定。
随着访问控制系统规模的扩大以及复杂程度的提高,传统的将权限直接指派给主体的方法效率低下,越来越多的策略通过中间实体间接实现主体与权限之间的指派关系。因而,可以依据主体与权限之间的指派关系,将访问控制策略分为:①直接访问控制。通过主体与权限的直接关联实现访问控制;②间接访问控制。主体与客体并不直接关联,而是通过中间实体来间接实现主体与客体之间的关联。直接访问控制策略适用于主体和客体规模较小的应用环境,DAC和MAC都属于直接访问控制策略。间接访问控制策略则具有一定的弹性,能够适应主体和客体规模较大的应用环境,如基于角色的访问控制(RBAC)。
随着分布式应用技术的广泛使用,分布式系统的规模呈几何级数增长。在分布式环境中,访问控制是保证分布式系统之间进行安全互操作的关键问题之一。早期的访问控制策略无法满足互操作需求,这时涌现出一批适应于分布式环境下的访问控制策略。依据访问控制策略对分布式管理的支持程度,可将访问控制策略分为:①集中式访问控制。该策略的授权与权限管理都集中在一个控制中心上完成,不支持分布式授权;②分布式访问控制。它主要指能够支持分布式授权以及权限管理的访问控制策略,如基于角色映射的多域互操作策略。
访问控制技术经过近40年的蓬勃发展,不断涌现出新的访问控制策略,传统的分类方法早已不能体现出其研究现状和最新研究成果。在传统的访问控制系统中,主体的权限往往一经授权便可无限次使用,难以适应网络环境的动态变化。而网络环境的一个显著特点就是动态性和不确定性,因而在访问控制系统中能够根据上下文环境的动态变化进行动态授权就显得格外重要。依据访问控制过程中,主体权限是否能够发生动态更新,可将访问控制策略分为:①被动访问控制。主体权限在访问控制过程中不能发生动态更新;②主动访问控制。考虑到操作的上下文,根据访问控制上下文环境的动态变化采用动态授权。如UCON(Usage Control)策略,在整个访问控制过程中,主体的权限根据主体、客体,以及系统属性的更新而发生动态变化。
2 被动访问控制策略
2.1 自主访问控制策略
DAC是根据自主访问控制思想建立的一种策略,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户或用户组的访问,某些用户甚至还可以自主地把自己所拥有的对某客体的操作权限授予其他用户。DAC最早出现在20世纪70年代初期的分时系统中,由LAMPSON针对当时多用户计算机系统的数据保护而提出[2],是多用户环境中的一种访问控制方式。1972年,GRAHAM和DENNING建立了大量的规则使得自主控制中对象所有者可以对其他主体进行授权[3]。
DAC策略对用户提供了灵活的数据访问方式,使得DAC广泛应用在商业和工业环境中。Linux、Unix和WindowsNT等操作系统都提供了自主访问控制的功能。然而DAC根据主体的身份和授权来决定访问模式,信息在移动过程中主体可能会将访问权限传递给其他主体,使访问权限关系发生改变。由于权限可以任意传递,一旦访问权限被传递出去将难以控制,无法阻挡特洛伊木马的攻击,给系统带来严重的安全问题。另外,如果主、客体数量过于庞大,采用DAC策略将带来极大的系统开销,因此其很少被应用到当今大型访问控制系统中。
2.2 强制访问控制策略
MAC是一种基于格的访问控制(LBAC)或多级安全策略[4]。MAC的本质是通过无法回避的存取限制来阻止直接或间接的非法入侵。它的两个关键规则是:不向上读和不向下写,即信息流只能从低安全级流向高安全级,任何违反非循环信息流的行为都是被禁止的。MAC系统中的主、客体都被分配了一个固定的安全属性。安全属性由策略管理员强制分配,主体不能改变自身或其他主、客体的安全属性。在实施访问控制时,系统通过对访问主体和受控对象的安全属性的级别进行比较,从而决定访问主体能否访问该受控对象。MAC保障了信息的机密性,却对完整性有所忽视。然而网络环境对信息完整性需求较高,使得MAC难以被较好地应用到当今网络中。此外,MAC对系统的授权管理比较僵硬,缺乏灵活性,应用领域较狭窄,通常只应用于对安全性需求非常高的领域,如军方信息系统。
2.3 基于角色的访问控制策略
基于角色的访问控制这一概念最早由FERRAIOLO等于1992年提出[5]。1996年,SANDHU等按照策略的复杂程度,将RBAC策略分为4类,即基于角色的访问控制策略(RBAC0)、具有角色层次的访问控制策略(RBAC1)、具有约束的RBAC策略(RBAC2)和统一角色层次和约束的访问控制策略(RBAC3),统称为RBAC的参考策略[6]。2001年FERRAIOLO等对RBAC策略的各种描述方法进行了总结,并结合RBAC的管理策略,提出了NIST RBAC的标准草案[7]。该标准综合了该领域众多研究者的研究成果,描述了RBAC系统最基本的特征,旨在提供一个权威可用的RBAC参考规范,为RBAC的进一步研究指明了方向。2004年,ANSI提出的RBAC标准对RBAC策略及其管理策略中的函数等进行了规范说明[8]。
RBAC策略的基本思想是通过引入角色这一中介,将权限直接指派给角色而不是用户,用户通过角色指派获取对客体的操作权限,实现用户与权限的逻辑分离。推动RBAC发展的动力是在简化安全策略管理的同时,允许灵活地定义安全策略。这一点使得在过去的几年中,无论是对RBAC理论研究还是实际应用都有了很大的发展。目前,RBAC已被广泛应用到各个领域,包括操作系统、数据库管理系统、PKI(public key infrastructure)、工作流管理系统和Web服务等。
3 主动访问控制策略
3.1 基于任务的访问控制策略
为了解决随着任务的执行而进行动态授权的安全保护问题,THOMAS等在1993年首次提出了基于任务的访问控制(TBAC)思想[9],并于1994年给出了TBAC策略的概念基础[10],最后在1997年明确提出了TBAC策略[11]。TBAC策略是从应用和企业层角度来解决安全问题,以面向任务的观点,从任务(活动)的角度来建立安全策略和实现安全机制,在任务处理的过程中提供动态实时的安全管理。TBAC首先要考虑的是如何在工作流环境中对信息进行保护。在工作流环境中,数据的处理与上一执行步骤的处理紧密相关,相应的访问控制也应如此,因而TBAC是一种基于上下文的访问控制策略,同时也是一种基于实例的访问控制策略。COULOURIS等结合 RBAC和TBAC策略,提出了基于角色和任务的访问控制策略(T-RBAC)[12]。随后,OH 等对 T-RBAC策略逐步完善,并进行了深入研究[13]。陈伟鹤等在T-RBAC策略的基础上,提出了一种Web环境中基于角色和任务的双重访问控制策略,该策略能够满足大规模Web应用环境中的访问控制需求[14]。尹建伟等提出了一个能够支持安全约束的 TBAC 策略[15]。
3.2 基于时间的访问控制策略
BERTINO等于2000年提出基于时间的角色访问控制(TRBAC)[16]。该策略支持角色的周期使能和角色激活的时序依赖关系,策略中的冲突依靠定义行为的优先级得以解决。TRBAC策略是RBAC策略在时间上较为系统的扩展,具有形式化的语义等特点,但对于时间的支持上还存在着许多不足之处。因此,JOSHI等提出了通用的基于时间的角色访问控制(GTRBAC)策略[17]。较之TRBAC,GTRBAC策略支持更加广泛的时间约束,能够表达角色之间、用户-角色关系和角色-权限关系上周期性、持续性的关系。此外,GTRBAC具有表达角色层次和职责分离在时间上的细粒度约束。随后 JOSHI等[18]就GTRBAC策略中的时间角色层次、权限继承的语义和GTRBAC的表达能力进一步深入研究,分析了GTRBAC的应用背景以及设计理念。X-GTRBAC基于GTRBAC策略[19],并利用XML对其进行扩展,用一种独立于上下文的语法(X-Grammar)表达该策略,提出了实现GTRBAC策略中的临时约束的语法、语义结构,使该策略框架可以应用于分布式异构环境[20]。
3.3 基于空间的访问控制策略
基于空间的访问控制策略(LBAC)与其他访问控制策略的本质区别是:主体对客体的访问权取决于客体所处的空间位置以及主体能否通过某种路径进入到客体所处的空间位置,即为空间方法。基于空间的访问控制策略由两个关键部件组成:边界和访问图[21]。边界是基于空间的访问控制策略的最基本部件,它提供了一种将虚拟空间分割成互不相同区域的方式[22]。访问图提供了一个区域互联的概要视图,被用于推导处于一个区域中的用户是否可以访问处于另一区域中的对象。该策略的基本思想是:为了穿越边界,从一个区域进入到另一个区域,用户必须拥有适当的信任状,这些信任状将被提交给边界,用于决定是否可以穿越该边界。基于空间的访问控制策略为组访问提供支持,提供常见的集合、最大、最小和组结构等组访问。基于空间的访问控制策略存在的主要缺陷是难以提供细粒度的访问控制。通常的访问控制粒度过于粗糙,处在同一个区域中的用户具有的访问权限相同。并且当某个边界发生变化时,有可能对多个区域中的用户对其他多个区域中对象的访问造成影响,这种影响通常是难以评估的。
3.4 使用控制策略
使用控制(UCON)策略的概念[23]在2002年首次被提出。该策略引入了可变属性,实现了连续性控制,这是UCON区别于传统访问控制策略的典型特征。UCON定义了授权、义务和条件3个决定性因素,同时提出了存取控制的连续性和可变性两个重要属性。UCON策略不仅包含了RBAC等传统访问控制策略,而且还包含了数字版权管理、信任管理等,涵盖了现代商务和信息系统需求中的安全和隐私这两个重要的问题。UCON策略为研究下一代访问控制提供了一种新方法,因而被称作下一代访问控制策略。根据UCON策略的核心思想,SANDHU等提出UCONABC核心策略[24-25]。随后又以集合谓词论为主要的描述工具,通过谓词考察策略的内部结构和逻辑关系,进而对策略进行全面、准确地了解,为策略的进一步完善与实现奠定了良好的理论基础。然而UCONABC核心策略是一个高度抽象的策略,仅仅提出了一些核心概念,需要进一步完善。研究人员分别从授权语言[26-27]、时态性[28]、安全性分析[29]和互操作[30]等方面对 UCONABC核心策略进行了拓展研究。
4 结论
20世纪70年代以来,各种访问控制策略被依次提出,这些策略都为网络安全的实现提供了较好的解决途径。笔者提出了一种新的访问控制策略分类方法,并分别介绍了几种有代表性的访问控制策略。新的分类方法能够体现出访问控制策略的研究现状和最新研究成果。
[1]林莉,怀进鹏,李先贤.基于属性的访问控制策略合成代数[J].软件学报,2009,20(2):403-414.
[2]LAMPSON B W.Protection[J].ACM Operating Systems Reviews,1974,8(l):18-24.
[3]GRAHAM G S,DENNING P J.Protection-principles and practice[J].AFIPS Spring Joint Computer Conferenee,1972(40):417-429.
[4]吴新松,周洲仪,贺也平.基于静态分析的强制访问控制框架的正确性验证[J].计算机学报,2009,32(4):730-739.
[5]FERRAIOLO D,KUHN D R.Role-based access control[C]//15th National Computer Security Conf.Baltimore:[s.n.],1992:554-563.
[6]SANDHU R S,COYNE E J,FEINSTEIN H L,et al.Role-based access control models[J].IEEE Computer,1996,29(2):38-47.
[7]FERRAIOLO D F,SANDHU R S,GAVRILA S.Proposed NIST standard for role-based access control[J].ACM Transaction on Information and Systems Security,2001,4(3):224-274.
[8]ANSI.American national standard for information technology-role based access control[C]//ANSI INCITS 359-2004.[S.l.]:[s.n.],2004:3-11.
[9]THOMAS R K,SANDHU R S.Towards a task-based paradigm for flexible and adaptable access control in distributed applications[C]//Proceedings on the 1992-1993 Workshop on New SecurityParadigms.[S.l.]:[s.n.],1993:138-142.
[10]THOMAS R K,SANDHU R S.Conceptual foundations for a model of task-based authorizations[C]//7th IEEE ComputerSecurityFoundationsWorkshop.[S.l.]:[s.n.],1994:66-79.
[11]THOMAS R K,SANDHU R S.Task-based authentication controls(TBAC):a family of models for active and enterprise-oriented authentication management[C]//Proceedings of the IFIP WG11.3 Workshop on Database Security.[S.l.]:[s.n.],1997:166-181.
[12]COULOURIS G,DOLLIMORE J,ROBERTS M.Role and task-based access control in the perdis groupware platform[J].ACM Workshop on Role-based Access Control,1998(1):115-121.
[13]OH S,PARK S.Task-role based access control model[J].Journal of Information Systems,2003,28(6):533-562.
[14]陈伟鹤,殷新春,茅兵,等.基于任务和角色的双重Web访问控制模型[J].计算机研究与发展,2004,41(9):1466-1473.
[15]尹建伟,徐争前,冯志林,等.增强权限约束支持的基于任务访问控制模型[J].计算机辅助设计与图形学学报,2006,18(1):143-149.
[16]BERTINO E,BONATTI P A,FERRARI E.TRBAC:a temporal role-based access control model[J].ACM Transactions on Information and System Security,2000,3(3):191-233.
[17]JOSHI J B D.A generalized temporal role-based access control model[J].IEEE Transactions on Knowledge and Data Engineering,2005,17(1):4-23.
[18]JOSHI J B D,BERTINO E,GHAFOOR A.An analysis of expressiveness and design issues for the generalized temporal role-based access control model[J].IEEE Transactions on Dependable and Secure Computing,2005,2(2):157-175.
[19]BHATTI R,JOSHI J B D,BERTINO E,et al.XGTRBAC admin:a decentralized administration model for enterprise wide access control[C]//9th ACM Symposium on Access Control Models and Technologies.New York:[s.n.],2004:78-86.
[20]KERN A.Advanced features for enterprise-wide role-based access control[C]//18th Annual Computer Security Applications Conference.[S.l.]:[s.n.],2002:333-341.
[21]张宏,贺也平,石志国.一个支持空间上下文的访问控制形式模型[J].中国科学(E辑:信息科学):2007,32(2):254-271.
[22]郭渊博,王超,王良民.UC安全的空间网络双向认证与密钥协商协议[J].电子学报,2010,38(10):2358-2364.
[23]PARK J,SANDHU R.Towards usage control models:beyond traditional access control[C]//7th ACM Symposium on Access Control Models and Technologies.[S.l.]:[s.n.],2002:21-30.
[24]PARK J,SANDHU R.The UCONABC usage control model[J].ACM Transactions on Information and Systems Security,2004,7(1):128-174.
[25]ZHANG X,PARISI-PRESICCE F,SANDHU R,et al.Formal model and policy specification of usage control[J].ACM Transactions on Information and Systems Security,2005,8(4):325-354.
[26]TEIGAO R,MAZIERO C,SANTIN A.A grammar for specifying usage control policies[C]//ICC 2007 Proceedings.[S.l.]:[s.n.],2007:251-274.
[27]钟勇,秦小麟,郑吉平,等.一种灵活的使用控制授权语言框架研究[J].计算机学报,2006,29(8):1407-1418.
[28]ZHAO B X,SANDHU R,ZHANG X W,et al.Towards a times-based usage control model[C]//LNCS 4602.[S.l.]:[s.n.],2007:227-242.
[29]ZHANG X,SANDHU R.Safety analysis of usage control authorization models[C]//1st ACM Symposium on Information,Computer and Communication Security.Taipei:[s.n.],2006:21-24.
[30]初晓博,秦宇.一种基于可信计算的分布式使用控制系统[J].计算机学报,2010,33(3):93-102.
