一種使用ＲＢＡＣ模擬實施ＢＬＰ的方法

摘要：給出了使用RBAC96模型模擬實施BLP模型的方法，包含實施BLP模型的安全標記、簡單安全屬性、自由*屬性和嚴格*屬性以及針對可信主體定義的可信范圍的方法。

關鍵詞：基于角色的訪問控制; BLP模型; 強制訪問控制; 基于格的訪問控制; 角色

中圖分類號：TP309．2文獻標志碼：A

文章編號：1001－3695(2008)03－0891－04

基于角色的訪問控制近幾年來在信息安全研究領域受到越來越多的重視。RBAC是一種與應用無關的通用訪問控制框架，可以應用到各種環境中，包括商業領域、組織機構和分布式環境，因此研究RBAC不僅具有理論意義，也具有很大的應用價值。目前使用和研究的RBAC主要是Sandhu等人提出的RBAC96模型[1，2]。雖然NIST對于RBAC有一個統一的標準[3]，但是該標準模型與RBAC96模型相差不大，本文就以RBAC96作為研究對象。

RBAC本身是一種策略中立的訪問控制框架，其并不實現具體的安全策略，而是提供實現策略的工具和方法。系統安全管理員可以通過對RBAC各個組件進行精確配置來實施不同的策略。

強制訪問控制策略是各種可信計算系統訪問控制策略的基礎，特別是經典的Bell LaPadula(BLP)模型，則是定義MAC的基礎，也是目前計算機公認的安全定理。如何在RBAC

與MAC之間建立聯系則是一個研究熱點。如果RBAC能夠配置實施MAC，不僅能夠說明MAC僅僅是RBAC的一個特例，而且也會大大拓展RBAC的應用領域，因此這個問題具有重大的理論意義和應用價值。

1RBAC模型以及前人的相關工作

1．1RBAC96模型

Sandhu等人提出的RBAC96模型是包含角色管理、角色層次和約束的通用RBAC模型[1，2]。以下給出RBAC96的形式化定義。

定義1RBAC96元素。RBAC96模型包含以下元素：

U：用戶集合；R和AR：角色集和管理員角色集，兩者互不相交；P和AP：不相交的權限集和管理員權限集；S：會話集。

PAP×R：一個多對多的權限與角色之間的映射關系；APAAP×AR：一個多對多的管理員權限與管理員角色之間的映射關系。

UAU×R：一個多對多的用戶與角色之間的分配關系；AUAU×AR：一個多對多的用戶與管理員角色之間的分配關系。

RHR×R：一個具有偏序關系的角色層次；ARHAR×AR：一個具有偏序關系的管理員角色層次。

user：S→U：將每個會話si映射為單個用戶user(si)的函數。

roles：S→2RUAR，將每個會話si映射為角色和管理員角色之集，roles(si){r|（r′≥r）[(user(si)， r′)∈UA∪AUA]}。

會話si具有的權限為∪r∈roles(si){p|(r″≤r) [(p， r″)∈PA∪APA]}。

存在一個約束集，其中的每個約束可用于決定上述各個元素的可接收性。

1．2前人使用RBAC模擬LBAC的工作

Osborn等人對使用RBAC96模擬實施MAC進行了研究[4，5]，他們是采用LBAC這個理論化的MAC模型，并使用RBAC96的角色層次來模擬LBAC安全標記集中的安全格并使用RBAC的約束來保證實施的正確性。以下簡要介紹他們的工作。

LBAC模型關心的主要是在安全標記格上實施和控制信息的單向流動。LBAC的核心是安全標記格，以下是安全標記格的定義。

定義2安全標記格。具有偏序關系≥和一個最小上界算子的安全標記集SC上的一個有限格。

一個簡單的安全標記格結構如圖1所示。H和L代表高和低級別安全標記，M1和M2是位于H與L之間的兩個相互不可比較的標記。在這個安全標記格中，信息流可以從低往高流，但相反方向不行。

對于給定的安全標記集SC=｛L1，L2，…，Ln｝和一個偏序關系≥LBAC，針對自由*屬性和嚴格*屬性的RBAC96系統模型構造（圖2、3）定義如下：

構造1自由*屬性。

R={L1R，L2R，…，LnR，L1W，L2W，…，LnW}。

RH由兩個不相交的角色層次構成：一個是讀角色{L1R，L2R，…，LnR}和≥LBAC構成；另外一個是寫角色和≥LBAC之逆構成。

P={(o， r)，(o， w)| o∈O}。其中：r表示讀；w表示寫；O為系統中的客體集。

UA約束：為每個用戶精確分配xR和LW兩個角色，x為分配給用戶的安全標記；LW為相對于≥LBAC的最低安全層次的寫角色。

會話約束：每個會話精確地具備yR和yW兩個角色。

PA約束：

(o，r)被分配給xR當且僅當（o，w）被分配給xW；

(o，r)僅被精確分配給一個角色xR，x為o的安全標記。

構造2嚴格*屬性：除了RH中寫角色之間沒有任何支配關系外與構造1一致。

梁彬等人指出了構造兩種可能存在的問題[6]，并給出了構造2的改進方式。

構造3修改后的嚴格*屬性。除了以下不同外與構造2一致：

R={L1R，L2R，…，LnR，L1W，L2W，…，LnW，X}；

寫角色由{L1W，L2W，…，LnW，X}構成。其中：L1W，L2W，…，LnW之間無任何關系，它們都受角色X支配。

UA約束：為每個用戶精確分配xR和X兩個角色，x為分配給用戶的安全標記。

PA約束：角色X未被分配任何權限。

前人工作實施對象主要都是針對LBAC模型。LBAC是一個極其簡化的理論模型，其基于給定的安全標記格，而模型中并沒有給出任何構建該格的信息和方法，這使得LBAC只是一個面向研究的模型，并沒有使用價值。BLP模型中將安全標記具體劃分為安全密級和安全范疇兩個分量，并給出了構建安全格的方法，使其不僅在理論研究，而且在實際系統中都有很重要的意義。因此本文嘗試使用RBAC實施BLP模型的方法。

2BLP模型簡介

BLP模型是D．Elliott Bell等人提出的一種適用于軍事安全策略的計算機操作系統安全模型[7，8]。它是目前公認的基本安全公理，是當前最重要的多級安全模型之一，在大多數可信操作系統中都得到實施。

在BLP模型中將主體定義為能夠發起行為的實體，如進程；客體定義為被動的主體行為承擔者，如數據、文件。BLP模型是一個狀態機模型，它形式化地定義了系統、系統狀態以及系統狀態間的轉換規則，定義了安全概念，制定了一組安全特性，以此對系統狀態和狀態轉換規則進行限制和約束，使得一個系統始終處于安全狀態。

BLP模型中系統的每個主體s和每個客體o都被分配一個安全標記 (Ln， d)。其中：Ln為主體或客體的密級，Ln∈L；L為系統的密級集合，設Li∈L(i=0，…，k-1；k=|L|），則Li

定義3安全標記λ1=(L1， d1)支配λ2=(L2， d2)當且僅當L1≥L2且d1d2，記為λ1 dom λ2。

BLP模型中強制訪問規則定義如下：

設λs(s)為主體s的安全標記，是系統分配給用戶的最大安全標記。λc(s)為主體當前的安全標記，λs(s)dom λc(s)，λo(o)為客體的安全標記。

定義4簡單安全屬性。主體s能讀客體o當且僅當λs(s) dom λo(o)。

定義5自由*屬性。主體s能寫客體o當且僅當λo (o) dom λc(s)。

*屬性對應于“上寫”。某些情況下“上寫”可能會造成高機密數據的破壞，所以BLP同時還定義了嚴格*屬性。

定義6嚴格*屬性。主體s能寫客體o當且僅當λo (o)=λc(s)。

對于可信主體，BLP模型的變種Bell模型[9]允許其在一定范圍內違反*屬性規則。為此，Bell模型為可信主體定義了可信范圍。

定義7可信范圍。對于可信主體為其分配兩個安全標記，即讀安全標記λr(s)和寫安全標記λw(s)，λr(s) dom λw(s)。該主體在讀客體時（簡單安全屬性）使用讀安全標記，寫客體時（*屬性）使用寫安全標記。

下面將使用RBAC96模型中的元素構造BLP模型。在構造前，還有一點需要說明的是，BLP模型中的主體與RBAC96中的會話相對應，它們都代表系統中的主動實體，并反映某個特定用戶的安全屬性。每個會話將一個用戶與多個角色聯系起來，用戶在建立會話的過程中激活自己擁有的角色集的一個子集，該會話具有的權限為該子集角色所有權限之并。

3用RBAC構造實施BLP

構造4BLP模型—自由*屬性。

角色：R={CLR1，CLR2，…，CLRn，CLW1，CLW2，…， CLWn，CARd1，…， CARdn，CAWd1，…， CAWdn}。

RH由四個不相交的角色層次構成。其中分別是：

a)密級讀角色CLR：由{CLR1，CLR2，…， CLRn}和≥BLP構成。

b)密級寫角色CLW：由{CLW1，CLW2，…， CLWn}和≥BLP之逆構成。

c)范疇讀角色CAR：{CARd1，…， CARdn}。其中：di∈PD（i=1…n），D為系統范疇集合。角色CARdi直接支配CARdj（i≠j）當且僅當djdi且|di|-|dj|=1。

d)范疇寫角色CAW：{CAWd1，…， CAWdn}，CAR角色關系之逆。

其中：范疇讀和范疇寫角色個數基于范疇中的分類個數。范疇D={A1，A2，A3，…， An}，則CAR角色和CAW角色分別包含|PD|個角色，每個角色代表一個范疇子集B∈PD。

設密級L={L1，L2，L3，L4}，范疇包含三個部門， D={A，B，C}，則可構建如圖4所示的角色關系。

圖4用RBAC實施BLP的角色層次（自由*屬性）

權限P={(o， r)，(o， w)，(o， rcl)，(o， wcl)，(o， rca)，(o， wca)| o∈O}。

其中：r表示讀文件權限；w表示寫文件權限；rcl表示密級讀；wcl表示密級寫；rca表示范疇讀；wca表示范疇寫；O為系統中的客體集。

設P′為用戶所獲得的權限集合，則有(o， r)∈P′當且僅當(o， rcl) ∈P′且(o， rca) ∈P′；同樣(o， w)∈P′當且僅當(o， wcl) ∈P′且(o ，wca) ∈P′。也就是說，只有用戶同時獲得對一個客體的密級讀和范疇讀權限，才能對該客體進行讀操作；同樣，只有同時獲得該客體的密級寫和范疇寫權限，才能對客體進行寫操作。

UA約束：為用戶精確分配CLRx、CLWy、CARdx、CAWdy。其中：x∈C，d∈D，C和D分別為系統的密級集合和范疇集合；（x， dx）為用戶的安全標記；CLWy為相應于≥BLP的最低安全層次的密級寫角色；CAWdy為CAW中最高的范疇寫角色。

會話約束：每個會話精確具備CLRy、CLWy、CARdy、CAWdy四個角色。

PA約束：

(o， rcl)被分配給CLRx當且僅當(o， wcl)被分配給CLWx；

(o， rca)被分配給CARdx當且僅當(o， wca)被分配給CAWdx；

(o， rcl)僅被分配一個角色CLRx；(o， rca)也僅被分配一個角色CARdx。其中：(x， dx) 為o的安全標記。

定理1構造4定義的RBAC系統滿足簡單安全屬性和自由*屬性。

證明o∈O，λ(o)=(x，dx)s∈S，λ(s)=(y，dy)。

對于一次會話，令s具有角色CLRz、CLWz、CARdz、CAWdz，由UA約束和會話約束可得z≤y，dzdy。設對于該次會話，s具有的讀權限集為PRs，寫權限集為PWs，密級讀權限集PCLRs，范疇讀權限集PCARs，密級寫權限集PCLWs，范疇寫權限集PCAW。那么有。

UA約束：為每個用戶精確分配CLRx、CLWy、CARdx、CAWdy四個角色，使得λ1=（x， dx） dom λ2=（y， dy）。

會話約束：每個用戶精確具備CLRx、CLWy、CARdx、CAWdy四個角色，使得λ1=（x， dx） dom λ2=（y， dy）。

4結束語

RBAC是一種策略中立的訪問控制框架，Sandhu等人使用RBAC模擬實施LBAC這個抽象的理論MAC模型。但是LBAC是一個極其簡化的理論模型，它基于給定的安全標記格，而模型中并沒有給出任何構建該格的信息和方法，這使得LBAC只是一個面向研究的模型，并沒有使用價值。BLP模型中將安全標記具體劃分為安全密級和安全范疇兩個分量，并給出了構建安全格的方法，使其不僅在理論研究，而且在實際系統中都有很重要的意義。本文給出了使用RBAC96模型模擬實施BLP模型的方法，包含實施BLP模型的安全標記、簡單安全屬性、自由*屬性和嚴格*屬性以及針對可信主體定義的可信范圍的方法，給出了具體的RBAC角色層次和約束的構造方法。

參考文獻：

[1]SANDHU R， COYNE E J， FEINSTEIN H L， et al. Rolebased access control model [J]. IEEE Computer， 1996，29(2):38－47.

[2]SANDHU R S. Rolebased access control[J]. Advances in Computers， 1998， 46:237－286.

[3]SANDHU R， FERRAIOLO D， KUHN R. The NIST model for rolebased access control: towards a unified standard[C]//Proc of the 5th ACM Workshop on Rolebased Access Control. Berlin: ACM， 2000: 47 63.

[4]SANDHU R S. Role hierarchies and constraints for latticebased access controls[C]//Proc of the 4th European Symposium on Research in Computer Security. Rome:[s.n.]， 1996.

[5]OSBORN S. Mandatory access control and rolebased access control revisited[C]//Proc of the 2nd ACM Workshop on Rolebased Access Control. New York: ACM Press，1997.

[6]梁斌， 孫玉芳， 石文昌，等. 一種改進的基于角色的訪問控制實施BLP模型及其變種的方法[J]. 計算機學報， 2004，27(5):636－644.

[7]BELL D， LaPADULA L. Secure computer systems： mathematical foundations and model，M74－244[R]. Bedford:MITRECorporation，1974.

[8]BELL D， LaPADULA L. Secure computer systems: unified exposition and multics interpretation， ESDTR 75－306[R]. [S.l.]:U.S. Air Force Electronic Systems Division， 1976.

[9]BELL D. Secure computer systems: a network interpretation[C]//Proc of the 3rd Annual Computer Security Application Conference. Orlando， Florida:[s.n.]， 1987.

[10]OSBORN S， SANDHU R， MUNAWER Q．Configuring rolebased access control to enforce mandatory and discretionary access control policies [J]. ACM Trans on Information and System Security， 2005，3(2): 85106.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”