关键词 授权管理;风险评估;一致性证明;模糊集合
近年来,随着网络和分布式对象技术的迅速发展,基于网络环境下的电子商务、电子政务以及数字权限管理等等应用模式成为一种应用主流。系统间的协同和资源共享的研究成为当前计算机技术的主要方向之一。
授权管理[1,2]是系统间的协同和资源共享的重要前提。1996年,M.Blaze[3,4]等人首先提出了信任的概念,将信任引入到授权管理中。文献[5]基于历史经验计算实体完成任务的概率,将此概率作为实体信任度的度量,将信任分为直接信任和推荐信任。但是,简单地使用概率模型对主观信任进行建模,并且简单采用取均值的方法表达多个推荐的综合,不能真实刻画信任关系的主观性和不确定性。
文献[6]引入模糊集合论中隶属度的概念对主观信任的模糊性进行建模,并定义了信任向量作为信任的度量机制。此外,还运用概念树描述和定义了信任类型以及信任的推导规则。但是,仅仅基于信任的授权管理是不充分的。文献[7]在基于角色的访问控制策略中引入信任和风险的概念,但是它不具备丰富的表达能力,模型相对简单。仅仅针对基于角色访问控制中的授权策略,不具有普遍性,不能直接应用于其它模型中。
本文首先定义了授权安全风险,用它来描述安全目标与实际出现的结果之间存在距离。在此基础上,运用模糊集合理论[8]对授权安全风险评估模型进行建模,并给出了实体间带风险评估的授权关系的推导规则。基于授权安全风险评估机制定义了授权管理模型,并分析了授权管理中的一致性证明问题[9]和职责分离问题[10]。
本文其他部分的结构如下:第1节简要介绍授权安全风险的基本概念,引入模糊集合论中隶属度的概念定义了授权安全风险评估模型,并给出了实体间带风险评估的授权关系的推导规则及约束规则;第2节定义了基于带风险评估的授权关系的授权管理模型,并分析了授权管理中的一致性证明和职责分离问题;第3节是全文的总结。
1 授权安全风险
1.1 基本概念
目前,授权管理的研究大多基于信任机制,主要分为基于策略的信任管理模型和基于信誉的信任管理模型两类。但是,它们都带有严重的不确定性。正是因为这种不确定性,导致了授权操作也具有极大的不确定性。授权操作的不确定性将影响系统的安全性能。换句话说,在某一特定环境下,实体期望达到的安全目标与实际出现的结果之间存在距离。这与风险的真正内涵不谋而合。风险是能够影响一个或多个目标的不确定性,是指在某一特定环境下,某种损失发生的可能性。
Definition 1授权安全风险:授权行为能够对系统安全性能产生正面影响或者负面影响的不确定性。
为了着重本文的研究内容,主要讨论授权安全风险负面影响的不确定性。风险评估是授权操作安全性评估的重要方面:
1) 风险都是针对具体的操作。例如,某个实体能被信任从事技术任务,但不能信任其能从事管理工作。
2) 风险是动态变化的。例如,初次进行互操作的陌生人之间的授权安全风险可能很高,但随着交互的增加,风险也可能会变得比较低。
3) 风险低,则可信度高。例如,授权安全风险越低,那么可信度越高。
4) 授权安全应该建立在授权的风险接受准则基础之上。只有当风险满足了预定的接受准则,授权的安全性才得到保证。
所以,只有充分考虑风险因素,才能保证授权操作是在没有影响系统安全性的前提下完成的。接下来的部分,我们具体给出了授权安全风险评估的定义及实例分析。
1.2 基于模糊集合的授权安全风险评估
通常,在实际环境中,实体与连续数值集合之间的关系不是简单的“属于”和“不属于”,并且各个集合并不是非此即彼的排他关系[7]。另外,当实体掌握的风险评估的信息不完整时,那么真实值和评估值之间存在差距。为此,我们引入模糊集合理论对授权安全风险进行定义。
L.A Zadeh于1965年首先提出模糊集合,它是传统集合论的扩展,用来表达模糊性概念的集合,又称模糊集、模糊子集。普通的集合是指具有某种属性的对象的全体。这种属性所表达的概念应该是清晰的,界限分明的。因此每个对象对于集合的隶属关系也是明确的,非此即彼。但在人们的思维中还有着许多模糊的概念,例如年轻、很大等,这些概念所描述的对象属性不能简单地用“是”或“否”来回答,模糊集合就是指具有某个模糊概念所描述的属性的对象的全体。由于概念本身不是清晰的、界限分明的,因而对象对集合的隶属关系也不是明确的、非此即彼的[4]。
为了进一步提高评估的正确性和一致性,我们基于模糊集合理论定义风险模糊集合。风险模糊集合使得授权请求评估值相近的实体被放置在相同集合中,使用实体关于每个模糊集合的隶属度来描述实体间的风险水平。在下面的定义中,风险问题域蕴涵指代实体域。
Definition 2风险模糊集合(Risk Fuzzy Set)。风险问题域U中的风险模糊集合RF用一个在区间[0,1]上的取值的隶属函数a来表示,即对于任意的基变量u∈U给定了如下映射:
a: U→[0,1]
其中, a(u) = 1,表示u完全属于RF;
a(u) = 0,表示u完全不属于RF;
0 <a(u) <1,表示u部分属于RF;
对某个具体的u而言,称a(u)为u对RF的隶属度。模糊集RF表示为: RF={(u, a(u))|u∈U}。
假设实体A可以管理权限p,实体B请求实体A授予权限p。表1表示A关于B请求授予权限p的各个等级的授权安全风险模糊集合的隶属度。
表1 实体B请求授予权限p的风险模糊集合隶属度
|
|
风险
很低 |
风险
低 |
风险
较低 |
风险
中等 |
风险
较高 |
风险
高 |
风险
很高 |
|
a |
0.3 |
0.6 |
0.04 |
0.04 |
0.02 |
0 |
0 |
与信任关系相似,授权安全风险也分为直接授权风险和推荐授权风险。直接授权风险是指一个实体将某个权限p授予给另一实体对系统安全性能产生正面影响或者负面影响的不确定性,两实体之间可能有推荐路径,也可能没有。推荐授权风险是指一个实体相信另一实体推荐别的实体的能力,推荐风险值越大,另一实体推荐的实体对系统的负面影响越大。那么在实体间的带风险评估的授权关系的推导需要处理:单关系链的连接和多关系链的合成。
Definition 3 推导规则。假定a1和a2是两个实体关于权限p的风险评估模糊集的隶属度。则a1和a2的两种推导运算的定义如下:
1) 连接: a0=a1Åa2。
2) 合成: a0=a1Äa2。
单关系链的连接。 设A,B,CÎU, pÎP,A对B关于p的授权安全风险评估模糊集的隶属度为aA®B,B对C关于p的授权安全风险评估模糊集的隶属度为aB®C,那么可以定义A对C关于p的授权安全风险评估模糊集的隶属度aA®C的连接规则:
aA®C =aA®B ÅaB®C。
单评估链的连接规则定义的是授权安全风险通过推荐沿关系链传递的机制。实体间除了直接授权安全风险之外,还存在着推荐的授权安全风险。通过连接规则,实体间建立了新的风险评估。
多关系链的合成。 设A,BÎU, pÎP,A对B关于p的m个授权安全风险评估模糊集的隶属度为a1,a2…am,那么可以定义m个隶属度的合成规则:
aA®B =a1Äa2 …Äam。
多关系链的合成规则定义的是多个风险评估的综合。当两个实体间存在着多重传递路径时,通过多关系链的合成规则可以综合评价实体间的授权风险,合理地合并这些关系。
假定μ表示授权安全风险评估模糊集的隶属度,风险的推导运算应该满足以下约束规则:
1) 单调性。单调性约束规定随着关系链长度的增长,实体间的风险值呈现增长趋势。设A,B,CÎU, pÎP,A对B关于p的授权安全风险评估模糊集的隶属度为aA®B,B对C关于p的授权安全风险评估模糊集的隶属度为aB®C,那么 。
2) 有界性。弱有界性约束规定所有的风险评估分布在区间[0,1]。而强有界性进一步要求所有的授权风险合成推导应该保持有界:①弱有界性, 0£m £1。②强有界性:除了满足弱有界性以外,要求设A,BÎU, pÎP,A对B关于p的m个风险评估模糊集的隶属度为a1, a2…am,那么 。
3) 权重归一性。假定推导运算中的权重集为{e1, e2…,en},则满足ei³0, 。
2 带风险评估的授权管理框架
2.1 授权规则
Definition 4 授权。一个授权可以定义为一个三元组au:<PrincipalA, PrincipalB, p>,表示实体A将权限p授予实体B。