專利名稱：一種基于角色的訪問控制模型的安全約束驗(yàn)證方法
技術(shù)領(lǐng)域：
本發(fā)明屬于計(jì)算機(jī)安全領(lǐng)域，具體是一種基于角色的訪問控制模型的安全約束驗(yàn)證方法。
背景技術(shù)：
計(jì)算機(jī)安全的根本目標(biāo)是保障計(jì)算機(jī)中信息的機(jī)密性、完整性和可用性。訪問控制則是實(shí)現(xiàn)這一目標(biāo)的一個(gè)重要技術(shù)。訪問控制技術(shù)起源于20世紀(jì)70年代，當(dāng)時(shí)是為了滿足大型主機(jī)系統(tǒng)上共享數(shù)據(jù)授權(quán)訪問的需要，但隨著計(jì)算機(jī)技術(shù)和應(yīng)用的發(fā)展，特別是網(wǎng)絡(luò)應(yīng)用的發(fā)展，這一技術(shù)的思想和方法迅速應(yīng)用于信息系統(tǒng)的各個(gè)領(lǐng)域。在30多年的發(fā)展過程中，先后出現(xiàn)了多種重要的訪問控制技術(shù)，如自主訪問控制(discretionary access control, DAC)、強(qiáng)制訪問控制(mandatory access control, MAC)和基于角色的訪問控制 (role-based access control, RBAC)，它們的基本目標(biāo)都是防止非法用戶進(jìn)入系統(tǒng)和合法用戶對(duì)系統(tǒng)資源的非法使用。其中，RBAC發(fā)展的最為成熟，在許多大型系統(tǒng)中得以實(shí)現(xiàn)。在RBAC模型中，授權(quán)約束也簡(jiǎn)稱為約束，它是RBAC模型的一個(gè)重要部分，它規(guī)定了訪問許可被賦予角色時(shí)，或角色被賦予用戶時(shí)，以及當(dāng)用戶在某一時(shí)刻激活一個(gè)角色時(shí)所應(yīng)遵循的強(qiáng)制性規(guī)則。然而在大型軟件系統(tǒng)內(nèi)部定義的安全約束，可能導(dǎo)致安全約束之間存在矛盾或者系統(tǒng)授權(quán)不能有效地反映安全和業(yè)務(wù)需求，從而影響組織目標(biāo)的實(shí)施。如果在軟件設(shè)計(jì)初期的時(shí)候通過分析和驗(yàn)證模型約束的有效性，那么就能盡早地發(fā)現(xiàn)系統(tǒng)模型存在的安全漏洞，從而降低系統(tǒng)開發(fā)的風(fēng)險(xiǎn)，因此在軟件設(shè)計(jì)階段軟件開發(fā)者需要一種有效方法方便理解，驗(yàn)證和實(shí)施訪問控制模型及其約束。模型檢測(cè)是一種采用形式化方法的自動(dòng)分析和驗(yàn)證的技術(shù)，通過建立系統(tǒng)的有限模型，對(duì)這個(gè)模型的狀態(tài)空間進(jìn)行搜索，以確定系統(tǒng)是否滿足某個(gè)期望的性質(zhì)。對(duì)模型檢測(cè)工具的使用者而言，需要做的只是把需要驗(yàn)證的系統(tǒng)轉(zhuǎn)換成模型檢測(cè)工具的輸入語言描述的模型，啟動(dòng)檢測(cè)工具對(duì)某些性質(zhì)進(jìn)行驗(yàn)證。若檢測(cè)出系統(tǒng)不能滿足用戶所要求的性質(zhì)，則報(bào)告錯(cuò)誤，并給出反例，幫助用戶對(duì)系統(tǒng)進(jìn)行分析和改進(jìn)。盡管模型檢測(cè)在軟件工程及其相關(guān)的計(jì)算機(jī)領(lǐng)域已取得了成功，但其實(shí)用性不強(qiáng)，這是由于模型檢測(cè)需要使用形式化語言來描述待驗(yàn)證的系統(tǒng)模型，而形式化語言一般都難于理解，對(duì)使用人員的要求較高。在軟件設(shè)計(jì)開發(fā)領(lǐng)域，統(tǒng)一建模語言(Unified Modeling Language, UML)已成為設(shè)計(jì)與分析面向?qū)ο筌浖到y(tǒng)的規(guī)范建模語言，它能夠?yàn)橛脩籼峁┛梢暬慕－h(huán)境和工具，它對(duì)系統(tǒng)不同層次的靜態(tài)、動(dòng)態(tài)以及結(jié)構(gòu)屬性提供了豐富的描述方法。但由于UML語言不是形式化的規(guī)范語言，其圖形化的符號(hào)雖然直觀，但缺乏精確的語義，不能精確描述系統(tǒng)模型，在建模過程中，僅僅依靠UML往往難以表達(dá)清楚，而作為UML標(biāo)準(zhǔn)的一部分，對(duì)象約束語言(Object Constraint Language,0CL)可以用來精確地描述模型的屬性及其約束條件。本發(fā)明結(jié)合面向?qū)ο蠼＜夹g(shù)和模型檢測(cè)，提出了一種基于角色的訪問控制模型的安全約束驗(yàn)證方法，通過利用該方法在軟件設(shè)計(jì)階段分析和驗(yàn)證模型約束的安全性，能有效地發(fā)現(xiàn)系統(tǒng)模型存在的安全漏洞，從而降低系統(tǒng)開發(fā)的風(fēng)險(xiǎn)。

發(fā)明內(nèi)容
本發(fā)明提出了一種基于角色的訪問控制模型的安全約束驗(yàn)證方法，具體包括下述步驟(A)利用UML描述RBAC模型；步驟(A)進(jìn)一步具體包括以下幾個(gè)步驟(Al)使用UML中的類圖表示RBAC模型中的基本元素；(A2)利用類圖間的關(guān)聯(lián)表示RBAC模型中的基本元素間的關(guān)系，其中關(guān)聯(lián)上的數(shù)值表示模型元素之間的對(duì)應(yīng)關(guān)系；(B)利用OCL描述RBAC模型中的約束；(C)利用模型轉(zhuǎn)換器將步驟(A)中描述RBAC模型的UML類圖和步驟(B)中表示模型約束的OCL語句轉(zhuǎn)換生成模型檢測(cè)器的輸入模型；(D)選取不滿足模型約束的授權(quán)屬性，用模型檢測(cè)接受的形式化語言描述授權(quán)屬性，然后進(jìn)入步驟(F)；(E)選取滿足模型約束的授權(quán)屬性，用模型檢測(cè)接受的形式化語言描述授權(quán)屬性， 然后進(jìn)入步驟(G)；(F)將步驟(C)中生成的模型和步驟(D)中形式化語言描述的授權(quán)屬性作為模型檢測(cè)器的輸入，驗(yàn)證模型是否具有滿足該授權(quán)屬性的授權(quán)狀態(tài)，如果有，則說明模型存在弱約束安全漏洞，然后進(jìn)入步驟(E)；(G)將步驟(C)中生成的模型和步驟(E)中形式化語言描述的授權(quán)屬性作為模型檢測(cè)器的輸入，驗(yàn)證模型是否具有滿足該授權(quán)屬性的授權(quán)狀態(tài)，如果有，則說明模型存在弱約束安全漏洞，否則說明模型不僅存在弱約束安全漏洞。


圖1為RBAC模型的示意圖；圖2為本發(fā)明提供的基于角色的訪問控制模型的安全約束驗(yàn)證方法框架示意圖；圖3為本發(fā)明提供的表示RBAC模型的UML類圖的示意圖；圖4為本發(fā)明提供的驗(yàn)證弱約束的示意圖；圖5為本發(fā)明提供的驗(yàn)證強(qiáng)約束的示意具體實(shí)施例方式下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式
作具體的說明。圖1為基于角色的訪問控制(RBAC)模型，核心RBAC模型有五個(gè)基本元素組成 用戶(USERS)、角色(ROLES)、會(huì)話(SESSIONS)、對(duì)象(OBJECTS)和操作(OPS)。角色分配 (user assignment, UA)和權(quán)限分配(permission assignment, PA)都是多對(duì)多的關(guān)系,一個(gè)用戶可以被賦予多個(gè)角色，相同的角色可以被多個(gè)用戶所具有。同樣，一個(gè)角色可以有多個(gè)權(quán)限，相同的權(quán)限可以分配給多個(gè)角色。圖2為本發(fā)明提供的基于角色的訪問控制模型的安全約束驗(yàn)證方法框架示意圖。 圖2中模型檢測(cè)器，本發(fā)明選取使用的是Alloy分析器，Alloy分析器是用于模型檢驗(yàn)的模
4型分析工具，Alloy分析器可以驗(yàn)證Alloy語言描述的模型是否滿足斷言，如果不滿足可以生成圖形化的反例。圖2中模型轉(zhuǎn)換器，本發(fā)明選取使用的是模型轉(zhuǎn)換工具UML2ALL0Y，該工具能夠?qū)ML類圖和OCL語句表示的模型轉(zhuǎn)換成Alloy分析器的輸入模型。本發(fā)明方法具體包括下述步驟步驟1利用UML描述RBAC模型。步驟1進(jìn)一步具體包括以下幾個(gè)步驟步驟1. 1使用UML中的類圖表示RBAC模型中的基本元素。利用UML類圖表示RBAC模型中的基本元素用戶(USERS)、角色(ROLES)、會(huì)話 (SESSIONS)、對(duì)象(OBJECTS)和操作(0PS)。步驟1.2利用類圖間的關(guān)聯(lián)表示RBAC模型中的基本元素間的關(guān)系，其中關(guān)聯(lián)上的數(shù)值表示模型元素之間的對(duì)應(yīng)關(guān)系。為了實(shí)現(xiàn)描述RBAC模型的UML類圖的重用，使用帶參數(shù)的UML類圖模板來描述 RBAC模型，這樣針對(duì)具體系統(tǒng)的訪問控制模型，可以通過對(duì)UML類圖模板參數(shù)選取和賦值來實(shí)現(xiàn)類圖模板的重用。圖3描述了具有角色繼承和職責(zé)分離約束的RBAC模型類圖，其中符號(hào)“I”表示參數(shù)。圖3中類圖模板由類模板和關(guān)聯(lián)模板組成。類模板包含屬性參數(shù) (如Role類中的Name:String)和操作參數(shù)(如Role類中的|GrantPermission())。其中her類表示用戶，Role類表示角色，Permission類表示權(quán)限，Object類表示操作對(duì)象， Operation類表示操作，Session類表示會(huì)話。關(guān)聯(lián)模板由關(guān)聯(lián)參數(shù)和關(guān)聯(lián)基數(shù)組成，其中關(guān)聯(lián)SSD、DSD、RoleHierarchy分別表示角色間的靜態(tài)職責(zé)分離、動(dòng)態(tài)職責(zé)分離和繼承關(guān)系。步驟2利用OCL描述RBAC模型中的約束。RBAC模型約束主要有靜態(tài)職責(zé)分離約束、動(dòng)態(tài)職責(zé)分離約束、權(quán)限分配、角色繼承關(guān)系、前提約束和數(shù)值約束，可以根據(jù)實(shí)際系統(tǒng)模型存在的約束進(jìn)行選擇描述。利用OCL語言來表示RBAC模型中的幾個(gè)重要約束(1)職責(zé)分離(separation of duties, SoD)SoD 分為靜態(tài) SoD (static separation of duties, SSD)禾口動(dòng)態(tài) SoD (dynamic separation of duties, DSD)。SSD是用于限制同一個(gè)用戶不被授予相互沖突的角色。由于角色間具有繼承關(guān)系， 因此合理、完整的SSD應(yīng)該考慮到角色間的繼承關(guān)系，應(yīng)該包括所有的沖突角色對(duì)。例如 如果角色rl和角色r2相互沖突，則角色rl和角色r2不能授權(quán)給同一個(gè)用戶。用OCL語
言表示如下
權(quán)利要求
1.一種基于角色的訪問控制模型的安全約束驗(yàn)證方法，包括(1)用統(tǒng)一建模語言(UML)和對(duì)象約束語言(OCL)表示RBAC模型及其約束；(2)利用模型轉(zhuǎn)換器將UML模型及其OCL約束轉(zhuǎn)換成模型檢測(cè)器的輸入模型；(3)用模型檢測(cè)器驗(yàn)證模型約束的安全性。
2.根據(jù)權(quán)利要求1的方法，其中步驟(1)進(jìn)一步包括 (1. 1)用UML描述RBAC模型；(1. 2)用OCL描述RBAC模型約束。
3.根據(jù)權(quán)利要求1的方法，其中步驟C3)進(jìn)一步包括 (3. 1)對(duì)待驗(yàn)證授權(quán)屬性進(jìn)行形式化規(guī)范；(3. 2)結(jié)合待驗(yàn)證的授權(quán)屬性，驗(yàn)證模型是否存在弱約束； (3. 3)結(jié)合待驗(yàn)證的授權(quán)屬性，驗(yàn)證模型是否存在強(qiáng)約束。
全文摘要
本發(fā)明屬于計(jì)算機(jī)安全領(lǐng)域，提出了一種基于角色的訪問控制模型(role-based access control，RBAC)的安全約束驗(yàn)證方法，具體包括以下步驟步驟1，用統(tǒng)一建模語言((Unified Modeling Language，UML))和對(duì)象約束語言(Object Constraint Language，OCL)表示RBAC模型及其約束；步驟2，利用模型轉(zhuǎn)換器將UML類圖及其OCL約束轉(zhuǎn)換成模型檢測(cè)器的輸入模型；步驟3，結(jié)合待驗(yàn)證的授權(quán)屬性，用模型檢測(cè)器驗(yàn)證模型約束的安全性。
文檔編號(hào)G06F21/00GK102201045SQ20111012132
公開日2011年9月28日 申請(qǐng)日期2011年5月12日 優(yōu)先權(quán)日2011年5月12日
發(fā)明者孫建華, 張昊, 陳浩 申請(qǐng)人:湖南大學(xué)