岗位职责之基于互斥角色约束的静态职责分离策略

基于互斥角色约束的静态职责分离策略

收稿日期:2010-12-24;修回日期:2011-02-18。基金项目:国家863计划项目（2006aa01z457；2009aa01z438）。 文章编号:1001-9081（2011）07-1884-03doi:10.3724/sp.j.1087.2011.01884

（信息工程大学电子技术学院，郑州 450004） （wt82325@yahoo.com.cn）

摘 要:静态职责分离（ssod）是保证计算机安全的重要策略。在基于角色的权限控制（rbac）中直接基于互斥角色约束（2-2 smer）实现最简单的ssod策略（2-n ssod）是困难的。通过对互斥角色的权限分配进行约束，研究并证明了基于2-2 smer实现2-n ssod策略的充分条件，此充分条件和现有研究相比具有更弱的约束力，支持更灵活的权限分配。进一步给出了实现2-n ssod策略的授权管理操作规则，以确保权限的动态管理始终满足此充分条件，维持系统对2-n ssod策略的满足状态。最后，通过应用实例说明了实现2-n ssod策略方法的有效性和可行性。

关键词:静态职责分离；互斥角色；授权管理；访问控制 中图分类号:tp393.08文献标志码:a

static eparation of duty policy base on mutually exclusive role constraints

wang ting, chen xing-yuan, zhang bin, ren zhi-yu, wang lu （institute of electronic technology,information

engineering university, zhengzhou henan 450004, china） abstract: static separation of duty （ssod） is an

important principle of information system security. in role-based access control （rbac）, it is difficult to enforce 2-n

ssod policy directly based on 2-2 static mutually exclusive role （smer） constraints. in this paper, the necessary and

sufficient conditions of realizing 2-n ssod policy based on 2-2 smer constraints were proposed and proved. the sufficient condition proposed was less restrictive than the existing research and allowed more flexible privilege assignment. by the operation rules of authorization management, the sufficient condition was kept and the satisfaction of 2-n ssod policy during the dynamic change of application environment could

be maintained. the application example shows that the method is correct and effective.

key words: static separation of duty （ssod）; mutual exclusive role; authorization management; access control 0 引言

职责分离（separation of duty，sod）是计算机安全的重要原则之一，它要求至少两个以上的用户共同合作才能完成某项或某些相关的任务［1］。sod有两种实施方式：静态职责分离（static sod，ssod）和动态职责分离（dynamic sod,dsod）。ssod策略的基本形式为ssod〈（{p1,p2,…,pn},k）〉,其中pi代表权限，k、n均为整数，并满足1≤k≤n,该策略可记为k-n ssod，即要求至少k个用户才能具备完成某项任务所需的n个权限。在rbac中通过静态互斥角色（static mutually exclusive role,smer）约束来实现

ssod，基本形式为smer〈{r1,r2,…,rm},t〉,其中ri代表角色，m、t均为整数，并满足1

现有研究表明在基于角色的权限控制（role-based access

control,rbac）中实现和验证ssod策略是困难的。首先，验证rbac状态是否满足ssod策略是conp难解问题；如果通过smer约束来实现ssod，容易验证rbac状态是否满足smer约束，但进一步验证smer约束是否满足ssod策略却是conp难解问题［3-4］。其原因在于，ssod策略主要是防止过少的用户拥有了过多的权限，而smer约束只限制了每个用户能够拥有的角色，没有限制角色能够拥有的权限，使得用户拥有的权限仍然没有得到有效限制。

因此，实现ssod策略，不仅需要smer约束，还需要进一步约束角色能够拥有的权限。文献［5-8］研究了rbac中为角色分配权限的约束（pa constraints），通过互斥权限约束对权限的分配进行限制，然而这些约束不针对具体的ssod策略，存在约束力过强的问题，并且现有文献没有证明这些约束与smer结合能够实现ssod策略。文献［9］根据ssod策略，结合当前状态下的权限分配关系生成smer约束，当角色分配关系满足smer约束并且权限分配关系保持不变时，能够保证生成的smer约束可以实现ssod策略。然而当权限分配关系发生变化时，该方法不能维持满足ssod策略。由于应用需求的动态变化，角色、权限及其分配关系都可能发生变化，会引起职责分离需求的变化，影响系统对ssod策略的满足性。如何确保权限的动态管理能够满足并实现ssod策略，是需要解决的问题。