基于角色管理的安全模型

摘要：根據應用區域邊界的安全體系結構中的實際應用問題——角色管理安全插件的實現，從保障信息安全的角度，給出了一個基于角色管理的安全模型。分析表明，新模型中定義的規則是合理的、安全的，這對信息安全體系結構模型的構建將起到積極作用。

關鍵詞：信息安全體系結構；BLP 模型；Biba 模型；基于角色的訪問控制模型；角色管理

中圖分類號：TP309文獻標志碼：A

文章編號：1001－3695(2007)05－0119－03

0引言

隨著網絡的廣泛應用和不斷發展，信息安全問題越來越受到重視。然而對信息安全的解決方案常常采用被動的方式，發現什么地方可能有風險，有安全問題， 則采取對應的安全技術來解決。這種安全技術方案缺乏對信息系統的整體考慮，故目前國內、國外的信息安全專家提出了信息安全保障、信息安全體系結構等概念， 用于提供信息系統的整體安全解決方案。

國際標準化組織提出的開放系統互連參考模型（OSI/RM）起到了一個里程碑的作用。開放系統互連參考模型第二部分安全體系結構GB/T 9387.2－1995[1]從體系結構的觀點描述了OSI參考模型的安全通信必須提供的安全服務及安全機制，確立了開放互連系統的安全體系結構框架。網際互連協議（IP）安全結構（RFC 2401）[2] ，定義了 IPSec 系統的基本結構，該結構的目的是為 IP 層傳輸提供多種安全服務；美國國家安全局在 2000 年 9 月推出了《信息保障技術框架（ IATF ）》 3.0 版[3]，為美國政府和工業界的信息與信息基礎設施提供了技術指南；文獻[4] 給出了“三橫三縱兩個中心”的信息安全保障技術框架，明確地闡述了應用環境、應用區域邊界及網絡傳輸平臺等概念；前不久，陳興蜀在 IATF 和 “三橫三縱兩個中心” 的體系結構思想指導下，提出了應用區域邊界的安全體系結構[5] 。角色管理是這個體系結構的安全插件層中一個非常重要的插件層。

針對應用區域邊界的安全體系結構中的角色管理插件層這個具體的應用，進行描述和驗證，給出其安全模型，從而逐步完成對整個應用區域邊界的安全體系結構的安全描述。

1基本概念和模型

1．1基本概念

計算機中存在大量涉及安全的操作。凡實施操作的稱為主體，其集合用S表示；被操作的對象稱為客體，其集合用 O 表示。主體S、客體O密級（機密性等級）分別用 T(s)、T(o) 表示；主體S， 客體O的完整性等級分別用I(s)、I(o) 表示，并都將它們具體量化，如表 1所示。

1．2一些已知模型的基本性質

1．2．1BLP 模型[7]和 Biba 模型[8]

根據 BLP 模型最基本性質，系統處于安全狀態，需滿足：如果 T(s) ≥ T(o)，主體可以讀客體；如果 T(s) ≤T(o)，主體可以寫客體。根據 Biba 模型最基本性質：如果I(s)≤I(o)，則主體可以讀客體；如果I(s)≥I(o)，則主體可以寫客體。

1．2．2RBAC 模型[9]

RBAC 模型的基本思想是職責劃分，這很類似一個組織機構。在 RBAC 模型中，用戶被授予角色，角色被授予權限，權限關聯操作，用戶通過被授予的角色得到該角色的相應權限，來完成某些操作。本文以最基本 RBAC 模型的概念為準。

1．2．3應用區域邊界的安全體系結構[5]

應用區域邊界的安全體系結構是針對應用環境的，它構建在端系統和區域網關的應用層 (傳輸控制協議/IP 協議棧的應用層)。在該體系結構中，根據處理的信息和功能劃分為四個層次，以及貫穿于體系結構的各個層次的管理控制機制。管理控制機制由兩個方面構成，即安全規則及訪問控制。其結構如圖 1 所示。

2基于角色管理的安全模型

2．1基本概念

（1）安全服務：針對主體S、客體O，體系結構提供的安全服務(如加密)，其集合分別記為s_sa、o_sa，它是體系結構的安全插件集合（記為P）的子集。

（2）控制粒度：當信息到達應用區域邊界的安全體系結構各層時，需要進行粗粒度或細粒度控制。客體O的粗粒度、細粒度集合分別記為o_rg(roughly granular control)，o_fg(finely granular control)；整個體系結構對應的粗粒度集、細粒度集合分別記為P_rg、P_ fg。

類似地，本文對主體定義相應的粒度控制集合，用于描述當主體作為會話的發起者或接收者時的基本性質：客體S的粗粒度、細粒度集合分別記為s_rg(roughly granular control)，s_ fg(finely granular control)。

當不需進行粒度控制時，相應的粒度控制集合取為空集。

下面以最基本RBAC模型的性質為依據，給出一些相關記號。

2．2角色管理模塊模塊介紹

在角色管理插件層中，本文設置了用戶管理、角色管理和其他維護三大模塊。其中用戶管理，包括用戶增加、用戶刪除、用戶修改、用戶查詢等；角色管理包括增加角色、刪除角色、角色賦予和角色回收等；其他維護功能。

2．3角色管理安全模型的規則

2．3．1創建角色

2．4規則的安全性分析

從2.3節中各個規則的定義可知：規則定義嚴格使用了RBAC的基本性質，遵循了應用區域邊界的安全體系結構關于粒度控制的性質，特別是每一個規則中均引用了經典的信息安全模型BLP模型和Biba模型的安全性質。據此，筆者認為，本文所描述的基于角色管理的狀態轉移規則是安全的。根據有限自動機原理[11]，當問題的初始條件安全時，基于這些狀態轉移規則得到的模型是安全、合理的。

3結束語

本文利用BLP模型、Biba模型和RBAC模型的基本性質，通過對文獻[5]提出的應用區域邊界的安全體系結構進行分析，給出了該體系結構中安全插件層——角色管理插件層的描述規則。經過對這些規則的分析，認為它們是合理、安全的， 從而基于這些狀態轉移規則得到的模型是安全、合理的。

模型化方法為信息安全體系結構的安全描述和證明提供了一種有效的手段，通過對應用區域邊界的安全體系結構的形式化描述和驗證，將有助于推動信息安全體系結構的理論研究。

參考文獻：

［1］中華人民共和國：GB/T 9287.2－1995信息處理系統——開放互連基本參考模型[S].[S.l.]:[s.n.]，1995.

[2]KENT S.Internet 協議：RFC 2401Security architecture for the internet protocol[S].[S.l.]:[s.n.]，1998.

[3]美國國家安全局.Information assurance technical framework 3.0[S].[S.l.]:[s.n.]，2000.

[4]沈昌祥.構造積極防御的安全保障框架[J]. 計算機安全，2003（10）:1－2.

[5]陳興蜀.應用區域邊界的安全體系結構及實用模型研究[D].成都:四川大學，2004.

[6] 中華人民共和國:GB 17859－1999計算機信息系統安全保護等級劃分準則[S].[S.l.]:[s.n.]， 1999－09.

[7] BELL D E，LAPADULA L J.Secure compter system mathematical foundation，MTR－2527[R].Bedford:Mitrecorp，1973.

[8]BIBA K. Integrity considerations for secure Computing Systems， mitre report MTR－3153[R]. Bedford:Mitre Corporation，1975.

[9]SANDHU R S， SAMARATI P. Access control: principles and practice[J].IEEE Communications，1994，32(9): 40－48.

[10]劉益和.B/S模式信息安全系統的一種形式化描述[J].計算機科學，2004，31(9A):217－219.

[11]李軍，孫玉方.計算機安全和安全模型[J].計算機研究與發展，1996，33(2):312－320.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”