理论计算机科学电子笔记179(2007)97-109www.elsevier.com/locate/entcs虚拟多机构团队环境中的安全信息共享1Nabil Adam,2AhmetKozanoglu,3Aabhas Paliwal4和Basit Shafiq5罗格斯大学管理科学美国新泽西摘要本文提出了一种两层的RBAC方法,用于虚拟多机构响应团队(VMART)之间的安全和选择性的信息共享,并允许扩展的VMART通过接纳新的合作者(政府机构或非政府组织)的需要出现。每个成员机构的协调Web服务是协调器Web服务负责认证、信息分发、信息获取、角色创建和执行预定义的访问控制策略。通过根据为相应的XML模式定义的RBAC策略对XML文档进行加密,实现了安全、有选择性和细粒度的信息共享保留字:XML,RBAC,虚拟团队,访问控制,信息共享,SOA,Web服务1介绍在国土安全方面,关键挑战之一是在联邦、州和地方各级政府机构之间实现鉴于信息的敏感性,信息共享必须以相关性和安全性为基础。大多数机构正在使用Web作为共享相关信息的手段,这些信息以不同的形式存在,并且越来越多地使用XML来表示这些信息。在发生危机时,需要以临时方式组建虚拟反应小组。这个虚拟响应团队的成员来自不同的政府机构和私人组织。取决于几个因素,1这项工作得到了美国国家科学基金会IIS-0306838的部分支持。2电子邮件:adam@cimic.rutgers.edu3电子邮件:ahmetk@cimic.rutgers.edu4 电子邮件地址:aabhas@cimic.rutgers.edu5电子邮件:basit@cimic.rutgers.edu1571-0661 © 2007 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi:10.1016/j.entcs.2006.08.03498N. Adam等人/理论计算机科学电子笔记179(2007)97包括危机发生的地点和性质,这个虚拟的多机构应急小组的组成此外,在给定危机的过程中,该虚拟多机构响应团队(VMART)的成员可以动态地改变以适应各种需求(例如,公共健康与火灾),并符合某些限制,如管辖权,例如,危机开始从纽约蔓延到新泽西。VMART的成员既是信息提供者,也是消费者。作为信息提供者,机构将发送信息,例如,情况报告,一旦创建,就向团队的其他成员报告。 由于这些信息被在机构间一级,每个机构都是虚拟资源管理和监测系统的成员,发挥一定的作用,并因此获得履行其职责所必需的某些信息,并在总体工作中履行其职责。例如,公共卫生机构只需要访问与公共卫生有关的信息,而联邦调查局可能需要访问与公共卫生机构所需信息不同的其他相关信息。由于环境的动态性质,可能出现需要接纳一个机构作为虚拟货币市场研究和市场研究组成员的情况,而该机构不属于预定的机构总体组合例如,随着某种危机的发展,国土安全部在这种情况下,国土安全部应该能够为国务院分配适当的角色以及匹配的权限,使国务院能够在整体电子商务中履行其职能。显然,在这种情况下,国土安全部不能向国务院授予他们自己不拥有的许可。在机构内一级,组成虚拟医疗器械和医疗资源管理系统的每个机构都有自己复杂的安全政策。此外,在这些机构中的每一个机构内,都有个人履行某种角色(例如,主管、第一响应者)拥有不同的证书,并拥有与其职责和在机构中的角色相遵守和执行这些分布式策略,这些策略确定谁可以访问哪些信息以及以什么粒度级别访问?(e.g.、整个情况报告,或仅报告中与公共卫生有关的部分)对于确保有效的机构间和政府间反应至关重要。我们的问题可以陈述如下。给定上述环境,需要为VMART的每个成员提供自动化能力,以仅向VMART的其他成员分发所生成的信息中被认为相关的那些部分在本文中,我们将把重点限制在用一个底层模式表示为XML文档的信息上。第3节介绍了我们的方法。在第4节中,我们详细介绍了系统架构。第5节讨论相关工作。第六部分是结论和未来的工作。N. Adam等人/理论计算机科学电子笔记179(2007)9799表1机构、责任和情况报告2激励的例子作为一个激励性的例子,考虑一个场景,在纽约的不同地区发生了几次爆炸,并假设以下机构构成了最初的VMART。(1)JIC(联合信息中心)、(2)FBI(联邦调查局)、(3)HHS(卫生与公众服务部)、(4)NYPD(纽约警察局)、(5)NYFD(纽约消防局)、(6)NYDOT(纽约运输部)、(7)FEMA(联邦紧急事务管理局)和(8)PANYNJ(纽约和新泽西港务局根据其职责,一个特定的机构可能会产生一套情况报告。表1列出了不同机构之间共享的不同类型的情况报告。一旦某个机构生成了情况报告,报告的某些部分需要与团队的各个成员共享。根据其职责,一个特定的机构可能会产生一套情况报告。 表1显示了此类情况报告的示例。生成情况报告后,报告的某些部分将与团队成员共享。3该方法我们的方法建立在SOA的基础上,SOA促进了有效的同化和信息共享,这对国土安全至关重要,其中机构在分散的环境中进行通信非常重要。在识别出能够完成任务的适当任务和机构之后,利用100N. Adam等人/理论计算机科学电子笔记179(2007)97Fig. 1. VMART环境SOA。手动将信息和任务放在一起会危及对危机的及时响应。SOA提供了一种自动化的方法来识别和组合任务,并传播相关信息,以便由不同的团队成员执行。我们的方法提出了在VMART环境中使用推或拉机制共享信息和数据。在下面的部分中,我们将解释所提出的使用推送机制来安全分发信息内容的我们在3.1节中开始详细讨论我们的方法。为了信息的安全和选择性传播,我们假设信息可以表示为XML文档,可以指定细粒度的访问控制。XML文档的授权使用基于角色的访问控制(RBAC)模型来指定。由于合作机构的自治性质及其多样化的组织结构,我们考虑两个层次的信息共享:1)在机构间一级-通过所有机构的网站协调员网络服务,向虚拟监测、分析和报告技术的成员提供; 2)在机构内一级-通过接收机构的网站协调员网络服务,向特定机构内的授权用户提供。站点协调器Web服务在3.2节中描述。这种信息共享根据已经存在的预定义政策进行机构间或机构内的每个角色对组织为XML文档的信息内容具有不同的授权每个角色都被分配了一个单独的密钥,用于解密该角色具有有效授权的XML文档部分。角色权限分配和XML文档加密的细节分别在3.5和3.6N. Adam等人/理论计算机科学电子笔记179(2007)971013.1SOA我们的方法采用Web服务来实现复杂的任务,以自动化必要的信息服务(任务)的详细说明,并根据国家,地区或当地机构的协议(政策),在危机情况下为特定事件组合这些服务具体来说,每个机构都有自己的一套本地化Web服务。该等本地化服务提供机构特定功能。每个机构站点协调器Web服务根据响应危机中特定事件所需的功能选择并组成一组服务。这些服务提供机构特定的产出,作为应对措施的一部分。服务集的输出然后作为构成情况报告的信息总结在XML文档中。然后,代理站点协调器Web 服务根据VMART的所有成员的角色有选择地将该信息传播给他们,例如,NYDOT调用其交通状况Web服务来收集受影响区域的交通报告。这个Web服务的输出是NYDOT报告的情况报告。然后,NYDOT Web服务将此情况报告分发给VMART的其他成员。图1显示了基于SOA的建议框架,并详细说明了选择相关Web服务和创建情况报告所涉及的步骤。在此框架中,参与VMART活动的不同机构和组织指定了他们所提供的服务、管理其使用的政策声明以及他们需要从VMART成员处获得的信息/数据,以执行指定的任务。此规范存储在本地化到各个VMART成员的服务目录中。该框架利用服务本体对服务提供者提供的服务进行语义分类。根据危机情况和当前的上下文条件,例如服务提供商与受影响区域的接近程度、服务交付时间、服务提供商站点的基础设施可用性,协调器服务从可用的服务提供商池中选择潜在的服务。在候选服务提供商的短名单后,所有的合作机构和候选服务提供商的策略进行分析,以满足授权和策略约束。3.2网站协调员Web服务图2中所建议的框架的一个关键组件是站点协调器Web服务。在下文中,我们将讨论站点协调器Web服务在VMART扩展在每个VMART成员站点上都安装了一个站点协调器Web服务,如图2所示。协调器Web服务执行三个主要任务:1)发现和选择服务提供者,2)安全共享信息的所有协作机构,和3)角色创建的动态形成的VMART。这些任务是使用一组认证服务,信息传播服务,信息获取服务和角色创建服务来实现的服务规范和协作要求由需要访问其他机构的服务以执行指定任务的VMART机构指定。该网站CO-102N. Adam等人/理论计算机科学电子笔记179(2007)97图二.协调员的职责协调人Web服务可以访问服务目录(Service Directory,简称VMRT),该目录存储了由愿意参与VMART活动的各种协作服务提供商和组织所提供的服务的规范和使用策略基于当前上下文条件、服务策略和协作需求,站点协调器Web服务利用协调服务选择合适的服务提供者并控制它们之间的信息流。网站协调员Web服务的第二个主要职责是及时安全地向有关机构共享信息内容。信息共享有两种不同的形式:信息发布和信息获取.在机构间一级,信息分发是推动信息相关部分的过程。信息推送在两个层面上进行:1)在机构间层面-通过所有者机构的网站协调员网络服务,向虚拟监测、分析和报告系统的成员推送信息;2)在机构内层面- 由接收机构的站点协调器Web服务提供给给定机构内的授权用户。此信息推送根据已经存在的预定义策略进行信息获取是从其他机构“拉取”所需信息的过程最初,一个机构一旦身份验证过程成功,就建立了一个安全会话,请求者(代理)在其中发送其请求的详细信息所有者代理的协调Web服务决定请求者代理是否与信息传播相反,信息获取只在机构间一级进行。当一个机构通过一个现有机构加入VMART时,就有必要创建角色。例如,在NYFD需要NJFD的帮助并且想要将其附加到当前VMART的情况下,NYFD可以创建新角色新泽西消防局(NJFD)。这个新角色是根据3.5节中详细讨论的角色创建策略创建的。N. Adam等人/理论计算机科学电子笔记179(2007)97103图3.第三章。机构、责任和情况报告表2XML文档的节点和可以访问这些节点的机构3.3XML文档为了支持在协作环境中对信息的细粒度访问,我们假设共享信息可以表示为XML文档,可以在元素级别指定访问控制策略(例如[6,9])。作为一个例子,图3描述了第一响应情况报告的一个片段(由NYPD- 参见表1)作为XML树。建议的框架的另一个重要方面是,由于信息对机构角色的敏感性和相关性,XML文档的不同部分可由不同的机构访问表2显示了第一反应情况报告的XML文档的节点以及可以访问这些节点的相应例 如 , HHS 可 以 访 问 XML 文 档 的 Injury 部 分 , 而 FBI 可 以 访 问ExplosionProfile部分为了实现让不同的机构访问XML文档的不同部分,我们将在3.6节讨论文档加密和密钥生成方案。3.4两层RBAC基于角色的访问控制模型(RBAC)[4]似乎非常适合我们的环境。在RBAC中,权限与角色相关联,用户根据各自的功能和职责分配给角色。RBAC简化了权限管理,是策略中立的,并直接支持重要的安全原则,例如,职责分离、最小权限和数据抽象。我们提出了两层RBAC:机构间层(VMART成员)和机构内层。在机构间一级,虚拟监测、分析和报告机制的每一个成员都发挥特定的作用,例如,NYPD(纽约市警察局)、NYFD(纽约消防局104N. Adam等人/理论计算机科学电子笔记179(2007)97另一方面,在机构内部层面,我们假设不同职能存在不同的角色,而特定机构内的用户根据其资格和责任被分配到为了支持各机构之间的动态协作,并允许VMART的扩展,通过在需要时接纳新的协作者(政府机构或非政府组织)这种改进的RBAC模型类似于自进化的RBXAC模型[6]。在机构间级别,机构协调器Web服务为其他协作机构执行角色另一方面,在机构内级别,机构协调器Web服务只对机构内的角色强制执行角色权限分配。对于角色权限分配,读取是角色访问对象的访问模式。对于角色创建,Create是代理协调器Web服务可以创建其他角色的访问模式。下面是关于角色创建和权限分配特权的详细讨论。3.5角色创建和权限分配的RBAC规范在我们的模型中,有两种类型的特权,可以行使的协调员Web服务的每个机构。这些权限是角色权限分配和角色创建。角色权限分配规范是一个元组(角色,权限集)(rpac),其中role是该权限集被分配给的角色,权限集是角色可以读取的对象集,rpac是角色权限分配约束。对象可以是一个节点、一组节点或整个XML架构。角色权限分配约束如下:• 如果将节点添加到角色的权限集中,并且访问该节点需要访问该节点的祖先,则也应将此祖先节点添加到权限集中。• 如果从某个角色的权限集中删除某个节点,则也应从该角色的权限集中删除此节点的所有子节点。比如说,(NYPD,Read(FirstResponse(Location)允许纽约警察局读取“第一反应”报告的“位置”节点。角色创建策略是一个元组((role,accessmode)(rcc)),其中role是由协调器Web服务创建的角色,访问模式是Create,rcc是角色创建约束。角色创建约束如下:• 创建的角色不能具有比创建角色更高的权限。• 如果一个对象由一个机构而不是创建该角色的机构所拥有,那么对所创建角色的角色权限分配应该由该对象所属机构的协调器Web服务N. Adam等人/理论计算机科学电子笔记179(2007)97105见图4。XML模式节点图五.三种角色3.6细粒度信息的安全选择性共享根据预定义的政策,在机构间和机构内级别上有选择地共享XML文档的部分(推送或拉取),这些政策的定义基于相应的XML模式。在[2]中,提出了一种解决方案,其中相同策略(在我们的情况下是角色)应用的文档部分使用相同的密钥加密。只有当没有重叠时,该解决方案才应该导致为给定文档生成有限数量的密钥,即, 多个角色可以访问XML文档的给定元素。 为了详细说明,考虑图4中描述的XML模式的一个片段,其中,角色R1可以具有对节点1和节点2的访问权限。同时,另一个角色R2可以具有对节点2和节点3的访问权限。如果Node1和Node2用密钥K1加密,Node2和Node3用另一密钥K2加密,则Node2将用两个不同的密钥加密如果只有一个密钥被传递给R1和R2,则两者都不能访问节点2。另一方面,如果K1和K2被传送,则R1将获得对N节点3的访问,并且R2将获得对N节点1的访问,这违反了适当的访问策略。为了缓解这个问题,重叠节点:在这种情况下,N 〇 de2可以用第三密钥K3加密。然后,K3,K1可以分配给R1,K3,K2可以分配给R2.虽然这种解决方案看起来是合理的,但最坏情况下的性能将导致生成和分发的键的数量为Minimum(2R -1,N),其中R是角色的数量,N是XML文档的节点的数量。图5说明了当角色数量等于3时,可能的重叠和加密所需的密钥数量。为了克服重叠问题,我们用不同的密钥加密XML文档的每个节点。相同角色具有访问权限的节点的键 都装在信封里每个信封都是加密的106N. Adam等人/理论计算机科学电子笔记179(2007)97见图6。系统架构键对应的角色。最后,将加密后的XML文档连同相应的角色信封和信封密钥同时分发给所有角色。这种替代方法需要分发与角色数量一样多的信封密钥。算法1示出了相应算法的详细步骤。算法1步骤1:Require:角色权限分配策略,P=(P1P 2,... Py)其中,每个Py=(角色y,权限集y)其中,每个许可集y=(许可节点(对象)1,. 其中,[读取]模式=[读取]第2步:要求:XML模式第3步:对于每个节点= 1,2.M第四步:km←生成密钥步骤5:em←用km加密节点m第六步:keytable1←(nodem,km)第七步:End For第8步:对于每个角色= 1,2...y步骤9:对于PermissionSety中的每个节点m第10步:信封y←km11.结束第12步:ky←生成密钥步骤13:ey←用ky加密信封y步骤14:keytable2←(envelopey,ky)步骤15:分发(加密的XML文档,信封y,ky)步骤16:结束4系统架构如图6所示,用于安全和选择性地共享XML文档的系统框架由以下主要模块组成:XML解析器、加密模块、密钥生成模块和分发模块。最初,XML文档被解析成节点。随后,在加密模块中用来自密钥生成模块的不同密钥对每个节点进行加密。这些生成的密钥根据N. Adam等人/理论计算机科学电子笔记179(2007)97107来自策略库的策略,然后在加密模块中通过来自密钥生成模块的密钥对这些策略进行加密。最后,将加密后的XML文档、信封和相应的密钥分发给相应的角色。5相关工作在[3]中,Damiani等人提出了一种XML文档的访问控制模型。此外,他们还提出了一种用于指定访问限制的语言,并描述了用于访问控制实施的系统架构。然而,他们的访问控制模型是通用的。在[5]中,Gabillon等人定义了一个用于管理对XML文档的访问的安全模型。在他们的模型中,与特定XML文档相关的授权规则首先在一个单独的授权表中定义。然后将此授权表转换为电子表格。如果用户请求访问XML文档,则XML处理器使用XML表单向用户提供与其权限兼容的XML文档视图。同样,他们的访问控制模型是通用的。在[2]中,Bertino等人提出了一种用于XML文档的基于证书的访问控制模型,其中提出了一种解决方案,其中使用相同的密钥对应用相同策略的文档部分进行加密。然而,他们的方法没有考虑到存在重叠的情况,即,多于一个的凭证可以访问XML文档的给定元素在[6]中,He et al.提出的算法,使访问控制策略可以指定在元素级别。此外,他们提出了自我进化的RBXAC模型,我们利用我们的方法中的角色创建过程,这是必要的动态组成的VMART。在[7]中,Kudo et al.提出了一种基于临时授权的XML访问控制语言(XACL),该语言告诉用户,如果他在授权他的请求之前采取某些安全措施(例如签署声明然而,这种方法并不适合我们的环境,其中共享信息的主动权在于信息所有者。在[9]中,Zhang等人提出RBAC策略应该在映射到感兴趣的XML文档之前在XML文档中定义。6今后的工作本文提出了一种基于角色的两层访问控制方法,用于虚拟环境中安全的、有选择的信息共享。2)机构内部。在这样的环境中,我们假设每个机构的协调Web服务负责身份验证、信息传播、信息获取、角色创建和预定义访问控制策略的执行作为这项工作的一部分,我们开发了信息共享框架,该框架基于根据为XML模式定义的RBAC策略对XML文档进行加密在[8]中,B. Shafiq等人提出了一个策略集成框架,用于将多个域的异构RBAC策略合并为一个全局访问108N. Adam等人/理论计算机科学电子笔记179(2007)97控制策略。在他们的政策组成的一个关键挑战是解决冲突,可能会出现在各个域的RBAC策略。作为我们未来工作的一部分,我们打算通过将合作机构的访问控制政策合并为一个全球访问控制政策来扩展他们的方法。这种方法将使我们能够利用这种合并的全局访问控制策略直接将XML文档分发给机构内的角色。我们的扩展工作还将放松协调器Web服务的传播责任。鉴于政策的具体化和相关变化的动态性质,这些政策的演变是一个具有挑战性的问题,也是我们未来工作的一部分另一个相关的问题涉及从权利、义务、特许和禁止的角度来描述政策。我们打算开发一个语义接口,用于以语义语言描述策略,以增强相关的互操作性和可扩展性。语义描述有助于对策略的解释和推理、冲突解决,并通过策略实施来帮助安全和隐私保护。在组织之间共享资源的一个主要障碍语义差异的发生是由于机构的组织结构和生成的文件的差异是另一个要解决的主要问题。作为我们未来工作的一部分,我们正在研究本体映射和链接技术,我们打算探索应用,以减轻这些语义上的差异。我们未来的工作还包括敏感多媒体信息的选择性分发,然而,应急管理信息越来越多地包括多媒体信息,例如,音频、视频、卫星图像、城市地形图和流媒体。在[1]中,W. J.Adams提出了一种基于信任的分布式访问控制系统,该系统通过建立基于信任的权限管理基础结构(PMI)来实现动态协作环境下的访问控制。他的PMI系统使用过去的行为作为未来性能的指示,不需要先验的用户或资源配置。我们计划探索应用这项工作来克服PKI基础设施的一些限制。引用[1] Adams,W.J.,“动态协作环境中基于信任的分布式访问控制”,博士。论文,弗吉尼亚理工学院和州立大学,2006年。[2] Bertino,E.,和E. Ferrari,Secure and Selective Dissemination of XML Documents,ACM Transactionson Information and System Security,5(2002),pp. 290-331。[3] Damiani , E. , S. De Capitani di Vimercati , S. Paraboschi 和 P. Samarati , A Fine-grained AccessControl for XML Documents,ACM Transactions Information and System Security,5(2002),pp.169-202.[4] Ferraiolo,D.F.,R.S. Sandhu,S. Gavrila,D.R. Kuhn和R. Chandramouli,基于角色的访问控制的NIST建议标准,ACM信息和系统安全交易,4(2001),pp. 224-274.[5] Gabillon,A.,和E. Bruno,Regulating Access to XML Documents,第 15 届IFIP WG11.3数据库安全,2001年.[6] 他,H.,和R.K.王,基于角色的XML存储库访问控制模型,第一届Web信息系统工程国际会议论文集,1(2000),138。N. Adam等人/理论计算机科学电子笔记179(2007)97109[7] Kudo,M.,和S. 基于临时授权的XML文档安全,见:ACM计算机和通信安全会议,2000年。[8] Sha fiq,B.,J. Joshi,E.Bertino和A.Ghafoor,采用RBAC策略的多域环境中的安全互操作,IEEETKDE,17(2005),1557-1577。[9] 张,X.,J.Park和R. 基于模式的XML安全:RBAC方法,第17届IFIP 11.3数据和应用程序安全工作会议,2003年.
我的内容管理
展开
