多域环境中的联盟安全管理框架

理论计算机科学电子笔记179（2007）75-86www.elsevier.com/locate/entcs支持联盟形成的Petros Belsis，1Stefanos Gritzalis2 和索克拉提斯湾Katsikas3信息和通信系统工程爱琴海Karlovasi Samos，希腊摘要从安全角度来看，建立动态联盟是一项具有挑战性的任务。 由于存在冲突的需求和规范，策略协商和策略合并过程需要使用有效的技术来解决歧义。 另一方面，约束和约束编程是表示各种访问控制状态和访问控制问题的有用手段。在本文中，我们利用约束表示在多域环境中的访问控制策略。在对比单片（脆）的约束满足技术，我们扩展了访问控制的约束的适用性，通过检查软约束和部分约束满足。我们还介绍了一个安全框架的基础上，模糊约束，允许参与域的偏好的确定。关键词：联盟，模糊约束，策略，基于角色的访问控制（RBAC）1引言网络化基础设施的出现和迅速发展给信息系统的集成自治系统之间的联盟电子政务基础设施中的部委，电子医疗环境中的互连医院），以便能够访问共享资源[11]。这些情况下的安全性是一个主要问题，因为每个域都存在异质性，不同的策略规范和各种限制。同样显而易见的是，在这种情况下，预计会出现冲突。如果我们更多地依赖人工干预，而不是使用灵活性，那么这种联盟的形成及其安全管理是耗时且容易出错的1电子邮件：pbelsis@aegean.gr2 电子邮件地址：sgritz@aegean.gr3电子邮件：ska@aegean.gr1571-0661 © 2007 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi：10.1016/j.entcs.2006.08.03276P. Belsis等人/理论计算机科学电子笔记179（2007）75方法和自动化工具[8]。相反，我们提出了一个框架，促进安全管理使用约束。约束是基于角色的访问控制模型的一个重要方面，是当前安全领域的研究热点。可以使用基于约束的表示来制定各种访问控制限制和安全相关参数。特别是在多域环境中，安全管理更难实现，因为本地策略引入了额外的约束，导致几种类型的冲突;也已经证明，多个策略之间的互操作问题可以被认为是满意度问题的一个实例[3，10]，这是NP完全的。因此，在多个约束可能导致死胡同的情况下，部分约束满足技术可以提供替代方法来找到可接受的解决方案。我们的工作的贡献是：我们显示了部分约束满足方法作为冲突解决的支持工具的适用性我们还介绍了一个灵活的安全框架，基于模糊约束的组合，通过这个框架域在多策略环境中可以定义他们的偏好共享资源。因此，系统的管理开销可以显着最小化，而不会违反关键约束。本文的其余部分组织如下：第2节讨论了部分约束满足技术，并简要讨论了访问控制的约束的使用第3节介绍了我们的模糊约束框架，并提供了一个详细的例子，这个框架的效用，以解决政策冲突。第4节讨论了与我们的方法相比较的相关工作。第5节总结了本文，并为未来的工作提供了方向。2基于角色的访问控制（RBAC）规范的约束约束满足问题（CSP）由一组问题变量、一组域值（可以潜在地分配给这些变量）和一组约束（指定哪些值的组合是可接受的）组成。非正式地，我们可以将约束视为一组问题变量的可接受值的组合。约束是RBAC的一个重要方面。RBAC根据用户需要在系统限制内执行的任务来管理用户对信息和系统资源的访问。一个完整的RBAC模型包括以下变量和函数：• 集合U（用户）、R（角色）、P（权限）和S（会话）• 用户到角色分配UAU×R：U→2R• 角色分配权限PAP×R：R→2P• 会话到单个用户分配的映射US：S→U• 从会话到与每个会话相关联的角色集的映射S→2R• 一个偏序RH<$R×R，用符号：≥表示，它定义了P. Belsis等人/理论计算机科学电子笔记179（2007）7577角色层次 R1≥R2意味着R1从R2继承权限。因此，我们可以考虑U=U1，U2，.，U n表示用户的集合，其映射到集合R=R1，R2，.. R m的角色，我们也可以考虑一个集合O=O1，O2，..，共享资源的权限。另外，访问属性可以被认为是全序集合A= Ww，x，r，wx，..，wrx_n（值w、r、x的组合，如UNIX操作系统中定义的）。我们在计算中发现了一个特殊的概念，它是的三元组。在多域环境中，我们感兴趣的是将权限分配给希望访问另一个域的用户这增加了复杂性，因为独立地为每个用户对他（她）和其他域的权限进行分类可能会显著增加访问矩阵中的条目数量（取决于参与域和共享资源的数量相反，我们采用策略映射的解决方案[2]，允许确定从一个域到另一个域的相应角色其他.特别地，我们引入映射过程F（Ri，Ok，Ai）→（Rj，Og，Al））将一个域中的角色Ri映射到另一个域中的角色Rj。为了确保授权的访问，从合并本地策略中产生的全局策略必须符合源自参与域的限制。我们将尝试提供一个框架来解决这些冲突，同时减少管理开销（不违反任何关键约束）。2.1问题公式化-共享资源访问示例在接下来的段落中，我们将使用多域环境中访问控制问题的（非关键）冲突示例为了描述问题及其解决方案，我们将使用约束的定性描述。在第4节中，我们将通过在同一个例子中引入模糊约束来扩展我们的框架。由于篇幅限制，不同类型的冲突以及对其他可能类型的冲突（职责分离等）的更正式的描述没有包括在内;但是，可以以类似的方式处理它们。我们将考虑两个互连域试图通过IPSec建立加密通信的情况[12]。根据联盟管理员预先定义的策略映射，域B的远程角色被分配给域A作为（上级）角色R（图1）。根据RBAC原则，R可以从R1或R2继承权限.现在考虑到域B中远程用户的这种分类，我们希望建立一种（半）自动分配访问权限的方法，以便他/她能够访问共享资源。由于IPSec本地策略（如本地防火墙规则）的限制，这样的任务可能会受到其他限制。 例如，在IPSec中，本地防火墙可以拒绝建立 如果试图通过加密通道进行远程访问，如果发生这种情况，则本地策略限制不允许两个域之间的互操作。我们假设在域A中维护两个数据库：DB1和DB2，其中DB1保存的数据比DB2更敏感。可以允许角色R1访问（读取）数据库DB2和DB1（不应允许远程查看或更改第二个数据库在这78P. Belsis等人/理论计算机科学电子笔记179（2007）75D=3映射角色层次d=0R1R（上级角色）d=0时映射R2D=3d=1RDB1wXd=0时DB2d=1xRDB1Wd=1XRDB2WD=3XFig. 1. 两个互连医疗领域之间的策略映射示例。由于IPSec的限制，本地防火墙规则会拒绝对两者的case访问。此外，角色R2不能远程访问DB2，也不应该（严格限制）访问DB1. 所有类型的远程访问限制也适用于角色B。2.2过度训练问题为了找到可接受的形式R，O，P的组合，第一个选择是使用经典算法，如回溯，并执行搜索检查所有可能的值组合（为了将访问权限与域B的远程角色的共享对象相关联）。有人很容易验证所有组合都失败，因为我们指的是远程加密访问尝试。（图1中许可上的虚线表示所有组合的失败我们可以使用一种替代回溯方法的方法：分支定界技术，而不是穷尽搜索不[6]寻找一个满足不小于预定界限N的解（N在搜索过程中可以动态变化）。在分支定界搜索算法中，由N测量的距离参数可以根据先验知识（或根据域在搜索解的过程中，搜索路径由一组在感兴趣的域变量上的赋值指向最近为变量选择的值的在算法1中，检查远程域B的层次结构中的每个角色是否存在域A上的对应角色;因此，对于预定义的可用映射，执行对象和对象的分配，始终存储到目前为止找到的解决方案，该解决方案违反尽可能少的约束。 N、S和Best-solution是算法中的全局变量，包含了算法迭代过程中的必要和充分边界（域我们的方法为两个协作域的所有角色对计算值，从而为域上的每个角色计算从其他域访问资源的可能性（基于最大约束的理由d=1RWP. Belsis等人/理论计算机科学电子笔记179（2007）7579算法1步骤1：对于每个角色ri（ri是属于远程域的角色）步骤2：对于每个角色rj（rj是属于目标域的角色）步骤3：如果角色之间存在映射（ ri→rj），则调用Classify PA BB S（role-hierarchy-path，Distance，DomainA-roles，Objects，Values）[PA BB S：基于部分分支和边界搜索和回溯进行分类] [回溯搜索：部分搜索，以尝试搜索路径上的值组合并将访问权限（权限/特权）与对象关联]第四步：返回步骤5：子例程分类PA BB S（搜索路径、距离、变量、值）（[变量：感兴趣的域变量] [值：分配给变量的值] [搜索路径：域变量上的一组分配值] [维度：值的特定组合违反的约束的数量][S界限：在每次迭代界限中动态计算]）第6步：如果Variables=nil，则[Values已分配给Search-path中的所有变量]步骤6：最佳解决方案←搜索路径，N ←距离第7步：如果N≤S Bound，则返回第8步：否则返回步骤9：否则，如果距离=N，则返回扩展到为不违反更多约束的剩余变量赋值步骤10：否则[尝试扩展搜索路径]当前值←（值中的第一个值）新距离←距离第11步：从第一个到最后一个尝试搜索路径中的选择，只要新距离J J J JP R（u1，..， uk）意味着（u1，.， uk）优于（u1，.， uk）。 P R（u1，..，u（k）= 0表示元组（u1，..， uk）完全违反约束，而PR（u1，.， u k）= 1意味着约束完全满足。3.1模糊关系模糊约束是一种描述模糊约束的替代形式，从而提高了表达优先约束的能力。他们提供了模拟优先级的可能性-类似于偏好-由量表[0，1]中的水平表示系数ac表示每个约束C的优先级，并表示必须满足C的程度。c= 1意味着约束必须完全满足，而c= 0意味着它可以完全忽略。 因此，一个模糊关系S在U1×.. ×U k可以将对（C，a c）建模为模糊关系μ S（u1，...，u k）=1，如果P. Belsis等人/理论计算机科学电子笔记179（2007）7581Σ（u1，..，u k）满足约束C或μ S（u1，..，u k）= 1 −a cif（u1，.，对于由模糊关系R建模的软约束C，对（C，a c）由模糊关系μ S（u1，..，u k）= max（1 −a c，μ R（u1，..，英国））[5]。同时处理多个约束的能力也很有价值。在这种情况下，可以定义两种操作：组合和投影。 给定两个子集W ={w1，.，wk}，并且Y ={y1，.，y i}的变量集合（X1，.. x k），其中W ≠ Y和限制Y的可能值的模糊关系T，则T在W上的投影是一个模糊关系R = T↓W，定义为μ R（w 1，.，wk）=s up{（uy1，，u（ yh））/（uy1 ， uy2）↓W=（uw1 ，，uwk ）}μT（uw1， ，uwk）wherere（uw1，. uwk）注意到（u y1，.. u yi）在W.非正式地，模糊关系μR表示什么扩展部分实例化（Uw1，...，u wk）可以扩展为满足T的Y的完全实例化。如果我们首先实例化了感兴趣的约束，并且我们想要扩展最不重要的约束，以便最高程度地满足（部分地）给定问题，这是非常重要的两个模糊限制R和S的组合T=RS限制了可能两组变量X和Y在W=X<$Y的可能值上的值。其定义为μ T（u w1，...，u wk）=min{（μ R（u w1，.，u wk）↓X），（μ R（u w1，..，u wk）↓Y）}。通常情况下，μ（R1 <$R2 <$R3 <$）的结果.. Rm）（u1，..，un），估计组合（u1，.，u n）的值共同满足约束。因此使我们能够将对约束的偏好水平转换为对可能解决方案的偏好程度。此外，我们可以把单个约束的集合看作模糊全局关系ρ = R1 <$R2<$R3<$的分解。..x n）。即使在约束集合{R1，R2，.，R m}，ρ意味着一个变量的可接受值之间的限制，无论其他变量被赋予什么值。在大多数情况下，可以分配的值存在隐含的变化为了得到这个值，可以用：ρ↓{xi，xj}ρ↓{xi}ρ↓{xj}。3.2走向模糊解在大多数情况下，模糊约束问题的解都是部分解的扩展，它依次实例化给定变量中的值，使得给定的实例满足所有定义的约束。部分满意度的概念在模糊约束问题中是最重要的。约束满足的选择标准可以是首先实例化最关键的值，或者首先实例化最受约束的值。对于变量xi，值v∈Di的适当性ai（v）在的约束的最佳可能的联合满足的程度的基础上，涉及xi.它被定义为a i（v）=max{C（（c i1，.，c（i h）、（v）|v∈D i1×，×D ik−1× {v}×D ik+1.. ×Dih}。 我们还可以根据变量的定义来衡量变量的难度。公式di=v∈Diαi（v）[4]. 该度量可用作对最82P. Belsis等人/理论计算机科学电子笔记179（2007）75关键参数，应该首先实例化。在寻找最佳解决方案时，我们首先用有限的一组合适的值实例化变量，以便应用分支定界技术（跟踪迄今为止已知的最佳解决方案）。通过计算现有部分解决方案的满意度，我们继续探索实现更高满意度的进一步解决方案。所有满意度不超过迄今为止找到的最佳解决方案的部分实例都被排除在进一步考虑之外。3.3模糊约束在访问控制R哦，目标R1R2d=1.3P排放d=2.5DB1DB2d= 0.8rw xd=1.0图二. a（左）。表示对约束b的偏好（右）。计算值以达到最佳解决方案。现在我们重新考虑第2节中的角色权限分配问题。我们将问题建模为FCSP，变量R（角色），O（对象）P（权限）分别具有值域{R1，R2}，{DB1，DB2}和{w，r，x}。我们根据变量的不同组合定义了匹配偏好，如图所示。2a）（一些完全不可接受的组合是不代表）。如前所述，这个问题是过约束的，没有精确解;我们只能考虑部分解。我们将利用第4.2段中描述的变量的适当性和困难性作为衡量标准，以计算最大程度满足给定约束的最佳解决方案。因此，我们从角色变量R开始计算域变量：a R（R1）= 1，a R（R2）= 0。2，d R= 1。2.对于变量P（权限），我们有：p（r）=1，p（w）= 0。8，a p（x）= 0。7 d p= 2。5，而对于变量O（要访问的对象）：ao（DB1）= 0。5和a o（DB2）=0.8，给出d O= 1。3. 因此，最关键的变量R，达到较低的难度度量值，首先被实例化，得到值R1，这是最能满足约束的值。约束Satisfa -R（角色）P（许可）O（对象）C10.8R1W1R1R0.7R1X0.1R2W0.2R2RC20.5R1DB10.8R1DB20.1R2DB10.2R2DB2C30.4WDB10.8WDB20.5RDB10.8RDB20.5XDB10.7XDB2P. Belsis等人/理论计算机科学电子笔记179（2007）7583接下来，在剩下的两个变量中，需要实例化最关键的变量。由于存在R的选择，因此剩余值的搜索空间已经减小，以便包括包含R选择的R1选择的组合（图2a）。 因此，对于剩下的两个变量，我们有：P（w）= 0。8，a P（r）= 1，a P（x）= 0。7，难度d P= 2。O（DB1）= 0。O（DB2）= 0. 8，难度d O（O）= 1。3.从最后一个计算中可以明显看出，下一个要实例化的变量是Object（O）（因为该变量的难度较低），而分配给已经选择的R1值（对于角色变量）的最合适的值（Object）是DB2。到目前为止，我们已经实现了将R1自动分类为最有可能访问DB2，这在两个选择中更好地满足了约束;下一步是检查可能的权限组合是否不一致我们可以看到，最可接受的解决方案是r，它实现了更高的满意度。因此，我们得出结论，最令人满意的组合是三重态R，O，P图2b.给出了所获得解的总满意度n通过乘积组合原理C（（c，..，c），v）=c（v）. 此度量产品1ni=1我我估计给定的一组值在多大程度上满足总约束集在我们的情况下，实现的总满意度为0.8。3.4原型评估图三.访问控制体系结构。来自远程域或本地域的请求之后的消息序列按执行顺序在本节中，我们简要描述我们的原型实现架构。我们的基本授权模块建立在XACML [14]操作原则之上。它由以下实体组成（图3）：授予角色访问权限的策略执行点（PEP），在评估请求者的凭证和根据可用策略的请求之后对特定访问请求进行推理的策略决策点，以及我们已经实现了一个特殊用途的注册表，用于存储策略映射84P. Belsis等人/理论计算机科学电子笔记179（2007）75以及将域的偏好编码为矩阵中的数字条目。此注册表按照[11]，[9]中的建议进行分发，以避免引入单点故障。简而言之，该多域授权框架的总体操作如下所述：策略管理员编辑策略并通过策略决策点（PDP）使其对域可用。当出现对资源的请求时（图3），必须在执行之前使用本地安全策略验证其一致性。在来自远程域的请求的情况下，检索可用的映射和域首选项。如第3.3节所述，执行模糊参数的计算。接下来，每个请求（来自同一域或来自远程域）都被定向到策略执行点（PEP）。该请求在适当的XML消息中构造，并定向到策略决策点（PDP）。在验证请求之前，上下文管理器向PDP发送附加的主题、资源、操作和环境属性。相应地，PDP验证请求，并将响应消息发送到策略执行点（PEP），PEP处理有关向请求者提供授权的细节。模糊决策模块计算约束的关键性，向管理员呈现达到高满意度的约束（因此不构成关键约束）。因此，它可以通过立即拒绝所有严重的违规行为，并通过要求进一步处理接近于满足大多数当地施加的限制的远程请求，来促进联盟的管理。4相关工作约束的重要性，RBAC表示最近已记录在相关的安全文献。Barker和Stuckey [1]应用约束逻辑编程来表示策略，并提出了一种易于实现的技术来表示多个访问控制策略。在他们的工作中，他们不提供对多个访问控制限制的支持，例如对某些位置处的访问对象的限制（并入我们的方法中）。他们也没有讨论在存在不同领域限制的情况下部分约束满足的问题;此外，他们也没有讨论确定约束偏好的可能性。Khurana等人[8]定义了一个基于RCL 2000语言的联盟动态管理模型。联盟的形成是作为一个循环的网络，其中域提出关于共享联盟资产资源的管理建议制定了一个联盟访问控制矩阵，它记录了允许的访问;在协商过程中，该矩阵正在修改，并形成中间系统状态。不讨论冲突解决技术。我们的工作主要集中在以最少人为干预的安全方式解决非关键冲突。在[13]中，Shafiq等人定义了一种策略合并算法，该算法允许基于单个访问控制的合并过程来确定全局策略P. Belsis等人/理论计算机科学电子笔记179（2007）7585施政纲要而对于冲突解决，他们定义了一种基于可编程（IP）的方法。在他们的工作中，全局策略被形成为构成域的所有角色和角色层次的总和;这使得很难接收策略更新，因为策略合并算法需要多项式时间。在我们的工作中，策略更新很容易集成到注册表中，同时支持通过模糊关系定义Bonatti等人[4]提出了一种代数，用于从更简单的策略中创建访问控制策略。在他们的模型中，他们的语言的表达性是相对于一阶逻辑分析的。他们表明，他们的语言的形式语义等价于一阶逻辑公式。相反，我们的工作，建立了一个模型，允许通过模糊表达式的域偏好的确定。在[15]中，提出了一个灵活的框架，以分层的方式组合子策略。该框架允许确定安全发布路径，并通过定义多个策略操作符来支持冲突解决。相反，我们的工作，而不是建立在约束的逻辑程序，同时通过使用模糊约束引入在[11]中，提出了一种支持联盟动态形成的可扩展解决方案，利用分布式服务注册中心，类似于我们方法中引入的联盟注册中心。我们的方法通过将域偏好编入矩阵（存储在注册表中）并根据该矩阵的值动态计算约束的满足程度来扩展这种方法的功能。5结论多领域政策的制定过程是一项复杂的任务，受到多重和不同特点的限制。为了支持联盟的形成和解决冲突，一个模型的基础上部分约束满足已被引入。这个框架已被扩展使用模糊约束，它允许确定域的偏好和优先级的约束。我们还说明了我们的框架的有效性和适用性，将其应用到RBAC驱动的例子。一个原型架构，建立在标准化的语言，并利用我们的框架的原则，也已在本文中描述我们目前正在努力扩大我们的模型的能力，以涵盖更广泛的约束。我们还计划在存在多个约束条件的情况下，通过使用大量的访问请求查询从不同的域作为输入来测量的分辨率过程的性能。引用[1] 巴克，S。和p.Stuckey，Flexible Access Control Policy Specification with Constraint LogicProgramming，ACM Transactions on Information Systems Security（TISSEC）6（2001），pp.501-54686P. Belsis等人/理论计算机科学电子笔记179（2007）75[2] Belsis ， P. ， S. Gritzalis 和 S. Katsikas ， A scalable security architecture enabling coalition formationbetween autonomous domains ， in ： 5th IEEE International Symposium on Signal Processing andInformation Technology（ISSPIT 05），2005，pp. 560-566[3] Bharadwaj，V.和J. Baras，Towards automated negotiation of access control policies，in：4th IEEEInternational Workshop on Policies（IEEE Policy），2003，pp. 77-86.[4] Bonatti，P.，S. D. C. DiVimercati和P. Samarati，组成访问控制策略的模块化方法，第七届ACM计算机和通信安全会议（CCS164-173.[5] Dubois，D.，H. Fargier和H. Prade，模糊限制演算作为可伸缩约束满足的基础，在：IEEE国际模糊系统会议，1993年，pp. 1131-1136。[6] Freuder，E.和R. J. Wallace，Partial constraint satisfaction，Arti ficial Intelligence8（1992），pp. 21-70.[7] 卡布尔拉索斯河谷G. 和v.Petridis，学习和决策框架中的模糊格，在：L. Jain和J.Kacprzyk，编者，《软计算中的新学习范式》，Physica-Verlag GmbH，《软计算和软计算研究》系列，海德堡，德国，2002年，第100页。55-96.[8] Khurana，H.，V. Gligor和J. Linn，Reasoning about joint administration of coalition resources，in：分布式计算系统国际会议，2002年，pp。429-439[9] Malatras，A.，G. Pavlou，P. Belsis，S. 格里察利斯角 斯古拉斯和我。 Chalaris，Deploying pervasivesecure knowledge management infrastructures ， International Journal of Pervasive Computing andCommunications1（2005），pp. 265-276。[10] McDaniel，P.和A. Prakash，安全策略协调的方法和限制，在：IEEE安全和隐私研讨会，2002年，pp. 七十三比八十七[11]Mukkamala 河 ， V.J. Warner ， A distributed service registry for resource sharing among ad-hocdynamic coalition，in：IFIP 11.1 11.5 Joint Working Conference on Security Management，2005，pp. 319-336[12] Rfc 2401：互联网协议的安全架构，http://rfc.net/rfc2401.html。[13] Sha fiq ， B. ， J. Joshi ， E. Bertino 和 A. Ghafoor ， Interoperation in a multidomain environmentemploying rbac policies ， IEEE Transactions on Knowledge and Data Engineering17 （ 2005 ） ， pp.1557-1577年。[14] Xacml可扩展访问控制标记语言规范2.0，http://www.oasis-open.org。[15] Yao，C.，中国地质大学，W. Winsborough和S. Jajodia，一个分层的发布控制框架，在：IFIP 11.1&11.5安全管理问题联合工作会议，2005年，第115页。121-140