基于角色的權限代理審計模型

摘要：提出了一種基于角色的權限代理審計模型——RBDAM，討論了RBDAM的基本思想、體系結構、構成要素以及相應的審計功能，并提供了一種有很大參考價值的實現權限代理審計模型的設計思路，這在網絡安全、分布式計算、協同系統中都有著廣泛應用。

關鍵詞：角色； 權限代理； 審計； 模型

中圖分類號：TP309文獻標志碼：A

文章編號：1001-3695(2007)11-0139-04

0引言

在基于角色的訪問控制RBAC系統中，授權管理集中統一由系統管理用戶實施，一般用戶不具有授權管理的權限[1]。這在本質上是類似于強制性訪問控制策略。然而在基于角色的權限代理模型中，再引入權限代理的思想后[2]，允許一般用戶將自己所擁有的權限再分配給其他用戶，使系統授權管理的權限分散實施。這在某種程度上類似于自主訪問控制的授權模式。與集中式授權指派、權限分配相比，在權限代理模型中，這種具有自主特性的授權模式（允許一般用戶把權限賦予其他用戶）給系統帶來了很大的靈活性，但同時也帶來了嚴重的安全隱患。

系統審計是指為了信息系統的安全、可靠與有效，由獨立于審計對象的審計主體，以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價，向有關人員提出問題與建議的一連串活動[3]。從信息系統的安全訪問控制角度來看，系統審計的主要目就是檢測和阻止非法用戶對計算機系統的入侵，并顯示合法用戶的誤操作。系統審計是構成安全系統模型的必不可少的一個組成部分，安全系統要求用審計方法監視與安全相關的活動[3，4]。

與目前的安全操作系統、安全數據庫系統以及一些安全的應用系統相比，在現有的基于角色的權限代理模型中幾乎都沒有考慮和設計對授權分配、權限代理以及權限撤銷等活動的審計。因此，為確保系統的安全、可靠和有效，充分考慮系統審計的目的和意義，本文提出了一種新的基于角色的權限代理審計模型（role－based delegation audit model，RBDAM）。

1相關工作

現有的基于角色的代理模型主要有RBDM0、RDM2000和PBDM[5~7]。其中RBDM0[5]是較早提出的一個建立在RBAC96扁平模型之上的權限代理模型，它首次將角色引入權限代理中，但它不支持角色層次關系，也不支持代理約束；RDM2000[6]是RBDM0的擴展模型，在RBDM0的基礎上支持角色層次關系和多步代理。 但與RBDM0相似， RDM2000的代理粒度也是角色，不支持基于部分角色（權限）的代理，這一點不符合授權管理的最小特權原則。為了克服這方面的不足， Zhang Xin－wen等人[7]提出了基于權限的代理模型PBDM。PBDM建立在RBAC96模型之上，支持部分角色授權代理，滿足最小特權原則，為權限的管理提供了更大的靈活性；但PBDM非常復雜，存在著角色名空間爆炸等問題。

為了提高效率，避免相同權限的重復設置，RBAC引入了角色層次（roles hierarchical，RH）。角色層次是RBAC模型中一個非常重要的概念[1]。在一般的單位或組織中，特權或職權通常是具有線性關系的，角色層次把角色組織起來，能夠很自然地反映單位或組織內部人員之間的職權、責任關系。因此基于角色的權限代理模型中引進一定的層次結構用于反映這一實際是自然的。特別是在多級安全控制系統內，存取類的保密級別是線性排列的。例如：

公開 ＜ 秘密 ＜ 機密 ＜ 絕密

其中的安全策略的一個要求就是，要想合法地獲得信息，提出存取請求的人員的存取類別要大于信息的存取類別級。為了實現上述需求，本文提出RBDAM支持角色層次結構。

另一方面，權限代理的最小粒度是角色，即要么不代理角色，要么代理角色就要把角色的全部權限代理給代理用戶。這種全部角色權限代理的方式破壞了最小特權的安全原則[2，7]。所以在RBDAM中，支持部分角色（權限）的授權代理。

此外大多數審計系統都要考慮效率和功能的折中問題。如果審計粒度非常細，審計事件量非常龐大，那么系統開銷就比較大；如果要保證對系統效率影響比較低，系統效率比較高，那么審計記錄就要有選擇，可能不夠詳細[4，8]。

本文擬構造權限代理審計模型——RBDAM，使其支持角色層次結構，具有部分角色代理的權限代理特性，同時兼顧效率和功能，設計必要的審計功能，保證系統安全、可靠。

2RBDAM

2．1模型體系結構

權限代理審計模型RBDAM體系結構如圖1所示。RBDAM中包含了四大基本要素，即用戶集（U）、角色集（R）、權限集（P）和審計集合（audit）。其中用戶集和權限集的含義同RBAC模型[1]。為實現部分角色代理的特性，在RBDAM中引入臨時代理角色DTR[7]。相應角色集合R分為常規角色RR和臨時代理角色DTR。審計要素audit中包括審計集合Agu、Asys和Adtr。RBDAM支持角色層次結構，所以對角色層次關系中權限的繼承也設置了相應的審計功能。

在RBDAM中，用戶—角色的授權指派有兩種形式，即由系統管理用戶發起的和在權限代理過程中由一般用戶發起的。一個系統中定義并存在多個用戶，除了系統管理用戶以外，一般用戶根據用戶—角色授權指派的兩種形式可分為兩類，即初始用戶OU（original users）和代理用戶DU（delegated users）。初始用戶是由系統管理用戶發起角色指派的用戶；代理用戶是在一般用戶發起的權限代理過程中接受被代理角色的用戶[5]。初始用戶—角色的指派關系和代理用戶—角色的指派關系都是多對多關系，只是初始用戶—角色的多對多關系是由系統管理用戶執行的角色授權關系；代理用戶—角色的多對多關系是在由一般用戶發起的權限代理的過程中，由一般用戶執行的角色授權關系。角色—權限的分配關系也是多對多的關系，角色—權限的分配和撤銷是由系統管理用戶執行操作的。

2．2模型形式化定義

RBDAM的代理要素包括委托用戶、被代理角色和被代理用戶。發起代理的用戶稱為委托用戶（delegator），由委托用戶代理出去的角色稱為被代理角色（delegated role），接受被代理角色的用戶稱為被代理用戶（delegatee）[9]。

定義1RBDAM中的集合有用戶集U、常規角色集RR、臨時代理角色集DTR、權限集P、審計集合Agu、審計集合Asys和審計集合Adtr。

常規角色集合RR（regular roles）：常規角色集合中的角色與RBAC模型中的角色定義類似，代表著相應權限的集合。

臨時代理角色集合DTR（temporary delegation roles）：在權限代理的過程中，由委托用戶授權生成的包含被代理權限的臨時角色。

審計集合Agu：是指對一般用戶的活動進行審計的集合，既包括委托用戶的權限代理活動，也包括被代理用戶對被代理權限使用的活動等。

審計集合Asys：是指對系統管理用戶的活動進行審計的集合，其中也包括對角色層次關系的相應審計。

審計集合Adtr：是指對被代理權限的跟蹤審計，以免被代理權限被隨意授權代理出去和任意的被濫用，以及有利于及時收回被代理權限。

2．3模型的審計功能

在RBDAM中，審計要素audit是獨立自主的[3]。從用戶主體的角度看，將RBDAM中的審計活動分為三大類：a)對系統管理用戶（特權用戶）的活動進行的審計，記為Asys，主要包括初始用戶—角色的授權指派或撤銷、角色—權限的分配或撤銷、角色層次關系中角色繼承等；b)對一般用戶中發起權限代理的委托用戶的活動進行的審計；c)對權限代理過程中被代理用戶激活臨時代理角色使用被代理權限的活動進行的審計。后兩類審計活動均與一般用戶相關，仍記為Agu，其主要包括委托用戶發起的授權指派或撤銷、臨時代理角色—被代理權限的分配或撤銷，特別是對一般用戶實施權限代理是否滿足判定關系can－delegate的審計，以及一般用戶實施的權限代理是否成功信息的審計等。

從訪問的客體對象角度來看，系統要能記錄關于某一客體的存取活動，在RBDAM模型中特別是要記錄被代理出去的權限的使用和回收情況，所以引入元素Adtr用于被代理權限的追蹤審計。

RBDAM審計設計的特點是每個用戶都有自己的待審計事件集，稱為用戶事件標準集，一旦其行為落入用戶事件集，系統就會將事件信息記錄下來。從訪問的客體對象角度來看，系統要能記錄關于某一客體的存取活動，在RBDAM中體現在通過記錄用戶激活角色中權限來審計訪問的相應客體對象。

審計模型RBDAM實現之前，先要確立審計標準，即需要審計哪些事件。RBDAM中的權限代理可以分為兩種形式：a)由系統管理用戶實施的集中式權限代理，它包括用戶—角色授權指派或撤銷、角色—權限授權分配或撤銷等；b)由一般用戶實施的一般用戶之間的直接權限代理，不需要系統管理用戶的參與。對于前者由系統管理用戶參與的權限代理可以假定在為了盡可能減少系統開銷、提高系統性能的審計模型系統中是安全的，不需要進行審計跟蹤。但是對于后者，沒有系統管理用戶參與的一般用戶的權限代理很有可能發生委托用戶非法的代理權限和代理用戶濫用代理權限等不安全的代理活動，因此在選擇實現RBDAM審計模型時，一般用戶的權限代理活動是必須要進行審計的。關于怎樣確定審計標準，可根據實際情況，由系統管理用戶設置審計事件標準。

3審計系統的設計與實現

為實現代理審計模型中的審計功能，在RBDAM中引入事件的概念[4，8，10]。比如，用戶登錄或退出、用戶—角色的授權指派或撤銷、權限—角色的分配或撤銷、角色激活等活動都可看做一個事件。

定義7審計事件[4]是系統將所有要求審計或可審計的用戶動作均歸納成一個個可區分、可識別、可標志用戶行為和可記錄的審計單位。審計事件是系統審計用戶操作的最基本單位。

在代理審計模型RBDAM中的所有事件可分為審計事件和非審計事件。審計事件是指與系統安全有關的事件[10]。RBDAM系統中的部分審計事件如表1所示。

審計事件是系統審計用戶動作的最基本單位。系統管理員可以有選擇地設置對哪些事件進行審計，將事件的類型、用戶的身份、操作的時間、參數和狀態等構成一個審計記錄記入審計日志[4]。

定義8審計日志是存放審計結果的二進制碼結構文件。每次審計進程開啟后，均會按照已設定好的路徑和命名規則產生一個新的日志文件。

審計日志是安全系統中的一個重要內容，是提供攻擊產生的惟一真實證據。

審計系統設計的最基本目的就是要解決系統應該如何實現[3]。RBDAM系統設計實現的流程如圖2所示。

整個系統設計實現劃分為三個階段，即系統設計的前提階段、系統設計階段和系統分析階段。在前提階段，最主要的任務是明確審計目標，以確立審計事件標準和設置相應的審計級別；在設計階段，根據審計目標要求、不同的審計級別要求，以確定審計對象、設置審計點，對來自不同審計控制點的信息進行過濾和收集等操作；在系統分析階段，對采集到的審計信息進行記錄和分析，將審計事件的記錄信息寫入審計日志，存放到數據庫。對審計事件的分析一方面生成分析報告并保存，另一方面將分析結果反饋到系統設計的各個階段。

為完成RBDAM中的審計功能，即對用戶行為進行有效的監視和控制，審計系統應至少具備三個功能模塊[4，10]，即審計信息采集模塊、審計信息記錄模塊和審計信息分析模塊。

審計信息采集模塊：用于審計事件的收集和過濾。由于用戶操作非常頻繁，并非所有的操作都危及系統安全，要對事件進行過濾，將與系統安全可能相關的事件收集起來。

審計信息記錄模塊：審計事件的記錄程序要把收集和過濾后的審計內容記錄到審計日志中，同時也為了日后追查的需要，必須長期保存，并隨時提供查詢。

審計信息的分析模塊：它負責對收集和過濾后的審計事件進行分析，與相應的規則條件進行比較，判斷是否報警，以便對用戶的行為進行干預。

另外，還應該考慮到，系統審計是安全系統的重要組成部分，它監督著系統中各安全特性的實施。如果審計系統自身的安全被突破，審計數據的可靠性就無從保障，就不能進行準確的事后分析和追蹤，也就無法估計安全突破對系統造成的影響[4，8]。

4結束語

系統審計是信息系統安全的一個重要方面，安全系統要求用審計方法監視與安全相關的活動。與目前的安全操作系統、安全數據庫系統以及一些安全的應用系統相比，在基于角色的訪問控制系統中，尤其在基于角色的權限代理系統中，對系統審計的研究還幾乎是空白。

本文在基于角色的訪問控制系統中對系統審計進行了探索性的初步研究，提出了一種新的基于角色的權限代理審計模型——RBDAM，討論了RBDAM提出的思想、體系結構、構成要素以及模型中的審計功能，并提供了一種通用的有很大參考價值的實現權限代理審計模型的設計思路。這在網絡安全、分布式計算、大規模協同系統、工作流系統和數據庫應用系統等領域都有著廣泛的應用前景。

參考文獻：

[1]SANDHU R， COYNE E， FEINSTEIN H， et al. Role－based access control models[J]. IEEE Computer， 1996，29(2):38-47.

[2]BARKA E， SANDHU R. Framework for role－based delegation models[C]//Proc of the 16th Annual Computer Security Application Confe￣rence (ACSAC 2000).2000:101-114.

[3]胡克瑾. IT審計[M].北京:電子工業出版社， 2002.

[4]卿斯漢， 劉文清，溫紅子. 操作系統安全[M]. 北京:清華大學出版社，2004:46-64.

[5]BARKA E， SANDHU R. A role－based delegation model and some extensions[C]//Proc of the 23rd National Information Systems Security Conference (NISSC 2000). 2000.

[6]ZHANG Long－hua， AHN G J， CHU B T. A rule－based framework for role－based delegation[C]//Proc of the 6th ACM Symposium on Access Control Models and Technologies (SACMAT 2002). 2002.

[7]ZHANG Xin－wen， OH S， SANDHU R. PBDM:a flexible delegation model in RBAC[C]//Proc of SACMAT’03.2003.

[8]劉海峰， 卿斯漢， 劉文清. 安全操作系統審計的設計與實現[J]. 計算機研究與發展，2001，38(10):1262-1268.

[9]李黎， 王小明， 張黎明. 基于角色代理的統一模型[J]. 計算機工程與應用， 2004，40(23):54-58.

[10]歐愛輝， 須文波. 加強Linux安全性的審計子系統的設計[J]. 江南大學學報：自然科學版，2003，1(2):16-19.

[11]王小明， 趙宗濤， 馮德民. 一種動態角色委托代理授權模型[J]. 計算機科學， 2002，29(2): 66-68.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”