專(zhuān)利名稱(chēng):一種支持差異度量的角色動(dòng)態(tài)轉(zhuǎn)換方法
技術(shù)領(lǐng)域:
本發(fā)明涉及操作系統(tǒng)中角色的動(dòng)態(tài)轉(zhuǎn)換方法,尤其是有大量角色和復(fù)雜應(yīng)用的角 色動(dòng)態(tài)轉(zhuǎn)換方法。
背景技術(shù):
訪(fǎng)問(wèn)控制是信息安全領(lǐng)域中的一類(lèi)重要技術(shù),其作用是對(duì)需要訪(fǎng)問(wèn)的主體(用戶(hù) 或進(jìn)程)進(jìn)行身份驗(yàn)證,限制主體對(duì)訪(fǎng)問(wèn)客體(文件或系統(tǒng))的訪(fǎng)問(wèn)權(quán)限,使計(jì)算機(jī)系統(tǒng)在 合法的范圍內(nèi)使用。研究表明80%的攻擊和入侵都來(lái)自組織內(nèi)部,來(lái)源于合法用戶(hù)的非法 使用和越權(quán)訪(fǎng)問(wèn)。訪(fǎng)問(wèn)控制可以最大限度阻止這種來(lái)自?xún)?nèi)部的破壞。它通過(guò)授權(quán)系統(tǒng)的控 制,保證用戶(hù)只能獲得訪(fǎng)問(wèn)資源的最低權(quán)限,避免越權(quán)訪(fǎng)問(wèn)的發(fā)生。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展與 普及,訪(fǎng)問(wèn)控制的重要性越來(lái)越被人們所認(rèn)識(shí),它聯(lián)同其它一些信息安全技術(shù),比如密碼、 認(rèn)證與識(shí)別、審計(jì)、網(wǎng)間隔離與訪(fǎng)問(wèn)代理、反病毒等一起,致力于打造一種支持多種安全服 務(wù),具有強(qiáng)有力的安全機(jī)制的信息系統(tǒng)。針對(duì)不同的安全策略提出了許多訪(fǎng)問(wèn)控制模型,如自主式訪(fǎng)問(wèn)控制(DAC)、強(qiáng)制式 訪(fǎng)問(wèn)控制(MAC)和基于角色的訪(fǎng)問(wèn)控制(RBAC)。單一自主式和強(qiáng)制式訪(fǎng)問(wèn)控制策略的工作 量大,而且不便于管理,而基于角色的訪(fǎng)問(wèn)控制(RBAC)擁有諸如安全性高,靈活性強(qiáng),接近 現(xiàn)實(shí)世界等優(yōu)點(diǎn),一經(jīng)提出就得到了廣泛的關(guān)注,目前已在很多領(lǐng)域得到了大量的應(yīng)用,發(fā) 展較為成熟。基于最小權(quán)限的原則,在現(xiàn)有基于RBAC的操作系統(tǒng)中,對(duì)于系統(tǒng)中的大部分應(yīng) 用,無(wú)論經(jīng)過(guò)何種認(rèn)證,一開(kāi)始都為用戶(hù)綁定一個(gè)最小權(quán)限角色。角色的權(quán)限決定了用戶(hù)的 權(quán)限,當(dāng)用戶(hù)需要執(zhí)行某些受限操作時(shí),無(wú)論之前用戶(hù)是否進(jìn)行過(guò)認(rèn)證,都需要對(duì)用戶(hù)進(jìn)行 再次登陸。系統(tǒng)的重復(fù)登陸增加了用戶(hù)的工作量,降低了應(yīng)用的靈活性。角色的動(dòng)態(tài)轉(zhuǎn)換是解決上述問(wèn)題的一個(gè)很好的方法,但是角色的動(dòng)態(tài)轉(zhuǎn)換改變了 原有角色的轉(zhuǎn)換模式,帶來(lái)了一系列新的問(wèn)題。依據(jù)用戶(hù)對(duì)轉(zhuǎn)換是否感知,角色轉(zhuǎn)換可以分 為顯式轉(zhuǎn)換和隱式轉(zhuǎn)換,兩類(lèi)轉(zhuǎn)換都存在著各自的難點(diǎn)。顯式轉(zhuǎn)換中,需要為用戶(hù)提供角色 選擇界面,而遠(yuǎn)程訪(fǎng)問(wèn)用戶(hù)無(wú)法彈出角色選擇界面。隱式轉(zhuǎn)換中,如果采用創(chuàng)建新進(jìn)程的方 式,則原進(jìn)程的中斷難以恢復(fù)現(xiàn)場(chǎng),目前還沒(méi)有一種適合操作系統(tǒng)中本地角色動(dòng)態(tài)轉(zhuǎn)換的 方法。在當(dāng)前的安全操作系統(tǒng)中,隨著計(jì)算機(jī)速度的飚升,和網(wǎng)絡(luò)并行計(jì)算的普及,越 來(lái)越多舊的認(rèn)證機(jī)制變得非常脆弱;同時(shí),也出于用戶(hù)管理方便的需要,有時(shí)侯需要去改 變應(yīng)用程序的認(rèn)證過(guò)程。傳統(tǒng)的應(yīng)用程序的認(rèn)證機(jī)制就顯得很不方便。Unified Login With Pluggable Authentication Modules (PAM) (V. Samar, R. Schemers, http://www. opengroup. org/tech/rfc/mirror-rfc/rfc86. 0. txt), October 1995)公布的可插入式認(rèn) 證模塊即 PAM(PLUGGABLE AUTHENTICATION MODULES)解決了這個(gè)問(wèn)題。PAM 主要由 PAM 引 擎(在/lib中的PAM庫(kù)中,包括PAM API和PAM SPI),認(rèn)證模塊,配置文件三個(gè)部分組成。 如果某個(gè)應(yīng)用程序使用了 PAM,當(dāng)它需要進(jìn)行用戶(hù)認(rèn)證的時(shí)候,通過(guò)讀取以該應(yīng)用命名的配
5置文件加載配置文件指定的認(rèn)證模塊。/etc/pam. d目錄被用來(lái)存儲(chǔ)所有的PAM應(yīng)用程序的 配置文件,每個(gè)應(yīng)用程序(確切地說(shuō)是每個(gè)服務(wù))都有它自己的配置文件。配置文件由規(guī) 則組成,每條規(guī)則包含四個(gè)字段——模塊類(lèi)型(指定了 PAM模塊類(lèi)型?,F(xiàn)有4種模塊類(lèi)型, 分別為auth,account, session和password)、控制標(biāo)識(shí)(指定了對(duì)PAM模塊結(jié)果所應(yīng)采取 的行動(dòng)。4個(gè)有可能使用的值為required,requisite,optional和sufficient)、模塊路徑 (包含了 PAM模塊的絕對(duì)路徑名位置)、變量(模塊的標(biāo)識(shí)或選項(xiàng))。應(yīng)用程序只需要把認(rèn)證過(guò)程簡(jiǎn)單地交給PAM,然后,由PAM對(duì)用戶(hù)進(jìn)行認(rèn)證,PAM 再將認(rèn)證的結(jié)果返回給應(yīng)用程序,應(yīng)用程序并不知道PAM到底使用什么方法對(duì)用戶(hù)進(jìn)行認(rèn) 證。用戶(hù)成功通過(guò)系統(tǒng)的認(rèn)證機(jī)制便認(rèn)為該用戶(hù)為“可信”用戶(hù)。然而,黑客可以通過(guò) 多種途徑成功騙取用戶(hù)的認(rèn)證憑證,繞過(guò)認(rèn)證模塊登陸系統(tǒng),但黑客明顯不是“可信”用戶(hù)。 而且可信是非理性的,是一種經(jīng)驗(yàn)的體現(xiàn),不僅僅有具體的內(nèi)容,還應(yīng)有程度的劃分。針對(duì)如何體現(xiàn)用戶(hù)通過(guò)不同強(qiáng)度的認(rèn)證機(jī)制的問(wèn)題,國(guó)防科大提出了認(rèn)證可信度 推理模型,其中借鑒專(zhuān)家系統(tǒng)中不確定性推理的思想,利用可信度來(lái)對(duì)這些不確定性因素 進(jìn)行度量。定義1可信度表示一個(gè)事物或現(xiàn)象χ在系統(tǒng)中主觀可信的程度,用t(x)表示, t(x) ∈
。t(x)為0表示完全不可信,為1表示完全可信。定義2認(rèn)證可信度表示認(rèn)證系統(tǒng)對(duì)用戶(hù)u認(rèn)證后獲得的可信度,用tau(u)表示, tau(u) ∈[ 0,1],E為結(jié)論H的前提條件,即用戶(hù)通過(guò)認(rèn)證機(jī)制的認(rèn)證。tau (u) = p(H|E)前提條件相對(duì)于結(jié)論H(用戶(hù)可信)和(用戶(hù)不可信)相互獨(dú)立。定義3可信度因子增強(qiáng)因子表示用戶(hù)在滿(mǎn)足認(rèn)證機(jī)制前提條件下可信度獲得增 強(qiáng)的相對(duì)程度,用TEF(H,E)表示。其中,E指用戶(hù)滿(mǎn)足的認(rèn)證機(jī)制,H表示用戶(hù)可信結(jié)論。
權(quán)利要求
1. 一種支持差異度量的角色動(dòng)態(tài)轉(zhuǎn)換方法,其特征在于包括以下步驟 第一步,將用戶(hù)認(rèn)證可信度與角色的轉(zhuǎn)換相關(guān)聯(lián),在PAM認(rèn)證框架的基礎(chǔ)上,采用認(rèn)證 可信度推理的思想設(shè)計(jì)AT-PAM,方法是.1. 1修改PAM的配置文件,在配置文件末端添加行認(rèn)證機(jī)制名稱(chēng)五1,TEF (H, Ει), P(H)-’IISIS認(rèn)證機(jī)制名稱(chēng)叢,TEF(H, Es), P(H)-,其中TEF (H,Er)是可信度增強(qiáng)因子,表示用戶(hù)通過(guò)認(rèn)證機(jī)制E,認(rèn)證后可信度的增加程 度,H表示用戶(hù)可信結(jié)論,p(H)指沒(méi)有經(jīng)過(guò)任何認(rèn)證時(shí)用戶(hù)的可信度,l^r^s;.1. 2保持PAM主要結(jié)構(gòu)不變,在PAM引擎中增加認(rèn)證可信度推導(dǎo)模塊,由認(rèn)證可信度推 導(dǎo)模塊完成認(rèn)證可信度推導(dǎo);第二步,AT-PAM依據(jù)用戶(hù)的不同登陸方式推導(dǎo)得到用戶(hù)的認(rèn)證可信度在用戶(hù)登陸 過(guò)程中,AT-PAM讀取配置文件,對(duì)于單認(rèn)證機(jī)制,得到認(rèn)證機(jī)制名稱(chēng)E1、可信度增強(qiáng)因子 TEF (H,E1)和用戶(hù)初始可信度P(H),認(rèn)證可信度推導(dǎo)模塊將TEF (H,E1)和ρ (H)代入公 式ρ (H IE1) = TEF (H,E1)+ (I-TEF (H, E1)) ρ (H)進(jìn)行計(jì)算,得到通過(guò)認(rèn)證機(jī)制E1認(rèn)證后用 戶(hù)的認(rèn)證可信度P(HlE1);對(duì)于多認(rèn)證機(jī)制,讀取配置文件后得到認(rèn)證機(jī)制名E1E2... Es、 可信度增強(qiáng)因子TEF(H,E1), TEF(H,E2)......TEF(H,Es)和用戶(hù)初始可信度ρ (H),代X 八1 p(H\EE E) =_piHlE^.pjHlE^pi^Hr1_彳井 亍、+ 宣A ^! 2 …"ρ^ \ E1)...p(-nH \ Es)p(H)-1+P(HlE1)...p(H\Es)p(-nH)"-1 ^1jrr得到通過(guò)認(rèn)證機(jī)制認(rèn)證后用戶(hù)的認(rèn)證可信度POllE1E2... Es);將認(rèn)證可信度P(HlE1)或 P(H)E1E2. . . Es)寫(xiě)入用戶(hù)shell進(jìn)程中,在進(jìn)程taSk_Struct結(jié)構(gòu)中增加可信度標(biāo)志位,可 信度標(biāo)志位為浮點(diǎn)類(lèi)型,標(biāo)志位越大,表示用戶(hù)身份越可信;由此產(chǎn)生用戶(hù)的認(rèn)證可信度集 合(taul (U),tau2 (U),……,taui (U)},taui (U)表示通過(guò)認(rèn)證機(jī)制aUi認(rèn)證后用戶(hù)U的認(rèn)證可 信度;第三步,采用層次分析方法度量角色差異度,角色差異度指角色所擁有權(quán)能的差異,用 D(RijR2)表示,RpR2為用戶(hù)的兩個(gè)不同角色,對(duì)于含有k個(gè)角色,存在η種權(quán)能的操作系統(tǒng) 的度量步驟是.3. 1分析角色的內(nèi)在關(guān)系,構(gòu)造層次結(jié)構(gòu),將求角色間的差異問(wèn)題劃分成權(quán)能和角色兩 層;根據(jù)權(quán)能的不同功能,將權(quán)能劃分為m類(lèi)T1, T2,... Tj. . .,Τω,0 < π!彡η,并用CN/表示 角色R1中類(lèi)型Tj的權(quán)能個(gè)數(shù);0 < 1彡k,0 < j彡m ;.3. 2針對(duì)權(quán)能層的各類(lèi)權(quán)能,依據(jù)其在操作系統(tǒng)中功能的重要程度,構(gòu)造各類(lèi)權(quán)能的成 對(duì)比較矩陣V,V的行和列分別表示m類(lèi)權(quán)能,其中元素為兩類(lèi)權(quán)能Ti和L重要程度的 比較,由The Analytic Hierarchy Processzl公布的標(biāo)度表得到,1表示Ti和Tj具有相同 重要性;3表示Ti比Tj稍重要;5表示Ti比Tj明顯重要;7表示Ti比Tj強(qiáng)烈重要;9表示Ti 比Tj極端重要;2,4,6,8表示上述相鄰重要程度判斷的中間值,O < i< j ^m5.3. 3依據(jù)隨機(jī)一致性比率CR = CI/民來(lái)判斷成對(duì)比較矩陣是否一致當(dāng)CR < 0. 1時(shí), 認(rèn)為成對(duì)比較矩陣具有滿(mǎn)意的一致性;當(dāng)CR > 0. 1時(shí),調(diào)整各類(lèi)型比較權(quán)重使各類(lèi)型權(quán)能成對(duì)比較矩陣達(dá)到滿(mǎn)意的一致性;其中
2.如權(quán)利要求1所述的一種支持差異度量的角色動(dòng)態(tài)轉(zhuǎn)換方法,其特征在于對(duì)一致性不滿(mǎn)意的各類(lèi)型權(quán)能成對(duì)比較矩陣采用基于層次分析法的判斷矩陣一致性調(diào)整方法進(jìn)行 一致性修正,步驟為·2. 1將mXm矩陣中的元素a"除以?xún)桑? < i≤m,i≤j≤m,
全文摘要
本發(fā)明公開(kāi)了一種支持差異度量的角色動(dòng)態(tài)轉(zhuǎn)換方法,目的是提供一種支持差異度量的角色動(dòng)態(tài)轉(zhuǎn)換方法,在不增加用戶(hù)負(fù)擔(dān)、不降低應(yīng)用的靈活性的前提下,降低角色轉(zhuǎn)換的風(fēng)險(xiǎn)。技術(shù)方案是先采用認(rèn)證可信度推理的思想設(shè)計(jì)AT-PAM;AT-PAM依據(jù)用戶(hù)的不同登錄方式推導(dǎo)得到用戶(hù)可信度;采用層次分析方法AHP度量角色差異度;將角色間差異度與當(dāng)前用戶(hù)可信度下角色的轉(zhuǎn)換閾值相比較,判斷是否可以發(fā)生角色轉(zhuǎn)換。采用本發(fā)明可在增加應(yīng)用的靈活性的同時(shí)保持對(duì)應(yīng)用的相應(yīng)控制,解決了認(rèn)證和訪(fǎng)問(wèn)控制相獨(dú)立所存在的問(wèn)題,在保持系統(tǒng)靈活性的同時(shí),保證了系統(tǒng)的安全性。
文檔編號(hào)G06F21/00GK102081712SQ20111000840
公開(kāi)日2011年6月1日 申請(qǐng)日期2011年1月14日 優(yōu)先權(quán)日2011年1月14日
發(fā)明者何連躍, 吳慶波, 廖湘科, 彭紹亮, 李?yuàn)檴? 李文博, 王蕾, 陳松政, 魏立峰 申請(qǐng)人:中國(guó)人民解放軍國(guó)防科學(xué)技術(shù)大學(xué)