《基于风险评估的授权管理框架(1)》由会员分享,可在线阅读,更多相关《基于风险评估的授权管理框架(1)(11页珍藏版)》请在金锄头文库上搜索。
1、从本学科出发,应着重选对国民经济具有一定实用价值和理论意义的课题。课题具有先进性,便于研究生提出新见解,特别是博士生必须有创新性的成果基于风险评估的授权管理框架(1)摘 要 授权管理是系统间的协同和资源共享的重要前提和基础。考虑了授权操作的不确定性,分析了仅仅基于信任的授权管理的不足,引入风险评估机制,运用模糊集合理论对授权的风险评估模型进行建模,提出了实体间风险关系的推导规则及约束规则。基于风险评估机制定义了授权管理模型,并分析了授权管理中的一致性证明问题和职责分离问题。 关键词 授权管理;风险评估;一致性证明;模糊集合0 引言 近年来,随着网络和分布式对象技术的迅速发展,基于网络环境下的电
2、子商务、电子政务以及数字权限管理等等应用模式成为一种应用主流。系统间的协同和资源共享的研究成为当前计算机技术的主要方向之一。 授权管理1,2是系统间的协同和资源共享的重要前提。1996年,3,4等人首先提出了信任的概念,将信任引入到授权管理中。文献5基于历史经验计算实体完成任务的概率,将此概率作为实体信任度的度量,将信任分为直接信任和推荐信任。但是,简单地使用概率模型对主观信任进行建模,并且简单采用取均值的方法表达多个推荐的综合,不能真实刻画信任关系的主观性和不确定性。 文献6引入模糊集合论中隶属度的概念对主观信任的模糊性进行建模,并定义了信任向量作为信任的度量机制。此外,还运用概念树描述和定
3、义了信任类型以及信任的推导规则。但是,仅仅基于信任的授权管理是不充分的。文献7在基于角色的访问控制策略中引入信任和风险的概念,但是它不具备丰富的表达能力,模型相对简单。仅仅针对基于角色访问控制中的授权策略,不具有普遍性,不能直接应用于其它模型中。 本文首先定义了授权安全风险,用它来描述安全目标与实际出现的结果之间存在距离。在此基础上,运用模糊集合理论8对授权安全风险评估模型进行建模,并给出了实体间带风险评估的授权关系的推导规则。基于授权安全风险评估机制定义了授权管理模型,并分析了授权管理中的一致性证明问题9和职责分离问题10。 本文其他部分的结构如下:第1节简要介绍授权安全风险的基本概念,引入
4、模糊集合论中隶属度的概念定义了授权安全风险评估模型,并给出了实体间带风险评估的授权关系的推导规则及约束规则;第2节定义了基于带风险评估的授权关系的授权管理模型,并分析了授权管理中的一致性证明和职责分离问题;第3节是全文的总结。1 授权安全风险 基本概念 目前,授权管理的研究大多基于信任机制,主要分为基于策略的信任管理模型和基于信誉的信任管理模型两类。但是,它们都带有严重的不确定性。正是因为这种不确定性,导致了授权操作也具有极大的不确定性。授权操作的不确定性将影响系统的安全性能。换句话说,在某一特定环境下,实体期望达到的安全目标与实际出现的结果之间存在距离。这与风险的真正内涵不谋而合。风险是能够
5、影响一个或多个目标的不确定性,是指在某一特定环境下,某种损失发生的可能性。 Definition 1授权安全风险:授权行为能够对系统安全性能产生正面影响或者负面影响的不确定性。 为了着重本文的研究内容,主要讨论授权安全风险负面影响的不确定性。风险评估是授权操作安全性评估的重要方面: 1) 风险都是针对具体的操作。例如,某个实体能被信任从事技术任务,但不能信任其能从事管理工作。 2) 风险是动态变化的。例如,初次进行互操作的陌生人之间的授权安全风险可能很高,但随着交互的增加,风险也可能会变得比较低。 3) 风险低,则可信度高。例如,授权安全风险越低,那么可信度越高。 4) 授权安全应该建立在授权
6、的风险接受准则基础之上。只有当风险满足了预定的接受准则,授权的安全性才得到保证。 所以,只有充分考虑风险因素,才能保证授权操作是在没有影响系统安全性的前提下完成的。接下来的部分,我们具体给出了授权安全风险评估的定义及实例分析。 基于模糊集合的授权安全风险评估 通常,在实际环境中,实体与连续数值集合之间的关系不是简单的“属于”和“不属于”,并且各个集合并不是非此即彼的排他关系7。另外,当实体掌握的风险评估的信息不完整时,那么真实值和评估值之间存在差距。为此,我们引入模糊集合理论对授权安全风险进行定义。 Zadeh于1965年首先提出模糊集合,它是传统集合论的扩展,用来表达模糊性概念的集合,又称模
7、糊集、模糊子集。普通的集合是指具有某种属性的对象的全体。这种属性所表达的概念应该是清晰的,界限分明的。因此每个对象对于集合的隶属关系也是明确的,非此即彼。但在人们的思维中还有着许多模糊的概念,例如年轻、很大等,这些概念所描述的对象属性不能简单地用“是”或“否”来回答,模糊集合就是指具有某个模糊概念所描述的属性的对象的全体。由于概念本身不是清晰的、界限分明的,因而对象对集合的隶属关系也不是明确的、非此即彼的4。 为了进一步提高评估的正确性和一致性,我们基于模糊集合理论定义风险模糊集合。风险模糊集合使得授权请求评估值相近的实体被放置在相同集合中,使用实体关于每个模糊集合的隶属度来描述实体间的风险水
8、平。在下面的定义中,风险问题域蕴涵指代实体域。 Definition风险模糊集合(Risk Fuzzy Set)。风险问题域U中的风险模糊集合RF用一个在区间0,1上的取值的隶属函数a来表示,即对于任意的基变量uU给定了如下映射: a: U0,1 其中, a(u) = 1,表示u完全属于RF; a(u) = 0,表示u完全不属于RF; 0 a(u) u部分属于RF; 对某个具体的u而言,称a(u)为u对RF的隶属度。模糊集RF表示为: RF=(u, a(u)|uU。假设实体A可以管理权限p,实体B请求实体A授予权限p。表1表示A关于B请求授予权限p的各个等级的授权安全风险模糊集合的隶属度。表1
9、 实体B请求授予权限p的风险模糊集合隶属度风险很低风险低风险较低风险中等风险较高风险高风险很高a00 带风险评估的授权关系的推导 与信任关系相似,授权安全风险也分为直接授权风险和推荐授权风险。直接授权风险是指一个实体将某个权限p授予给另一实体对系统安全性能产生正面影响或者负面影响的不确定性,两实体之间可能有推荐路径,也可能没有。推荐授权风险是指一个实体相信另一实体推荐别的实体的能力,推荐风险值越大,另一实体推荐的实体对系统的负面影响越大。那么在实体间的带风险评估的授权关系的推导需要处理:单关系链的连接和多关系链的合成。 Definition 推导规则。假定a1和a2是两个实体关于权限p的风险评
10、估模糊集的隶属度。则a1和a2的两种推导运算的定义如下: 1) 连接: a0=a1a2。 2) 合成: a0=a1a2。 单关系链的连接。 设A,B,CU, pP,A对B关于p的授权安全风险评估模糊集的隶属度为aAB,B对C关于p的授权安全风险评估模糊集的隶属度为aBC,那么可以定义A对C关于p的授权安全风险评估模糊集的隶属度aAC的连接规则:aAC =aAB aBC。 单评估链的连接规则定义的是授权安全风险通过推荐沿关系链传递的机制。实体间除了直接授权安全风险之外,还存在着推荐的授权安全风险。通过连接规则,实体间建立了新的风险评估。多关系链的合成。 设A,BU, pP,A对B关于p的m个授权
11、安全风险评估模糊集的隶属度为a1,a2am,那么可以定义m个隶属度的合成规则:aAB =a1a2 am。 多关系链的合成规则定义的是多个风险评估的综合。当两个实体间存在着多重传递路径时,通过多关系链的合成规则可以综合评价实体间的授权风险,合理地合并这些关系。假定表示授权安全风险评估模糊集的隶属度,风险的推导运算应该满足以下约束规则: 1) 单调性。单调性约束规定随着关系链长度的增长,实体间的风险值呈现增长趋势。设A,B,CU, pP,A对B关于p的授权安全风险评估模糊集的隶属度为aAB,B对C关于p的授权安全风险评估模糊集的隶属度为aBC,那么 。 2) 有界性。弱有界性约束规定所有的风险评估
12、分布在区间0,1。而强有界性进一步要求所有的授权风险合成推导应该保持有界:弱有界性, 0m 1。强有界性:除了满足弱有界性以外,要求设A,BU, pP,A对B关于p的m个风险评估模糊集的隶属度为a1, a2am,那么 。 3) 权重归一性。假定推导运算中的权重集为e1, e2,en,则满足ei0, 。2 带风险评估的授权管理框架 授权规则 Definition 授权。一个授权可以定义为一个三元组au:PrincipalA, PrincipalB, p,表示实体A将权限p授予实体B。 将风险评估引入到在授权决策中,那么风险是如何影响授权决策的?首先要考虑授权安全风险接受准则。例如,当且仅当实体B
13、关于权限p的模糊集风险较低的隶属度a大于或等于某个预定值apre时, 实体A才将权限p授予实体B。并且称该授权安全风险的接受准则被满足。它用以下形式被描述:A, BU, A can assign p, a apre pB。 Definition 基于风险评估的授权。一个基于风险评估的授权可以定义为一个六元组RT-au: PrincipalA, PrincipalB, p, a, Environment, Constraints,表示在特定环境下, a满足授权安全风险接受准则,相关约束条件也被满足,实体A将权限p授予实体B。 它用以下形式被描述:A, BU, A can assign p, En
14、vironment andConstraints are satisfied,a satisfies the accepting criteria pB。 Environment表示特定环境变量,例如:时间变量。Constraints表示一些约束条件,例如:职责分离(Separation of Duty, SoD)7。另外,某个授权可能涉及到多个授权安全风险接受准则,即需要验证多个类似于风险较低的模糊集合的隶属度m,那么多个授权六元组的组合就可以表达这种复杂的接受准则。 Definition 授权规则。假定实体A对实体B关于权限p的授权安全风险评估模糊集的隶属度为a。一个授权可以按如下方式生成
15、: 1) 授予规则。假定实体B向实体A请求授予权限p,如果约束条件和环境变量都被满足,并且m满足授权安全风险接受准则,则实体A将权限p授予实体B。 2) 回收规则。D表示委托深度的约束,d表示本次委托的深度。假定约束条件不被满足,或者环境变量不被满足,或者a不满足授权安全风险接受准则,或者d不满足深度约束D,那么实体A将权限p从实体B回收。回收规则用以下形式描述:A, BU, A can revoke p, (Environment orConstraints are not satisfied) (d D) (a satisfies theaccepting criteria ) p will be revoked from B。 3) 委托规则。假定实体A不是权限p的拥有者,但允许其继续将权限p委托授予其它实体。实体B向实体A请求授予权限p,如果约束条件和环境变量都被满足,d满足深度约束D,并且a满足授权安全风险接受准则,则实体A将权限p授予实体B。委托规则用以下形式描述:A, BU, A can delegate p, Environmentand Constraints are satisfied,d D, a satisfies the accepting criteria
