Download presentation
Presentation is loading. Please wait.
1
鲁剑锋 2009 年 3 月 2 日 星期一 职责分离 SoD : Separation of duty 安全策略约束之
2
内容 1. SoD 简介 2. SoD 分类 3. SoD 执行方法 4. 研究展望
3
SoD 简介 The concept of SoD has long existed in the physical world, sometimes under the name “the two-man rule”, for example, in the banking industry and the military. 1975 : In the information security literature the notion of SoD first appeared in Saltzer and Schroeder under the name “separation-of privilege”. 1992 : In one of the earliest papers on RBAC, Ferraiolo and Kuhn used the terms static and dynamic SoD to refer to static and dynamic enforcement of SoD. 1995 : Ferraiolo et al. defined static SoD as: “A user is authorized as a member of a role only if that role is not mutually exclusive with any of the other roles for which the user already possesses membership.”
4
SoD 简介 ① ssod definition ② smer definition
5
SoD 简介 The dangers with equating SMER constraints with SoD policies is ① A danger with equating SMER constraints with SoD policies is that the SMER constraints may be specified without a clear specification of what objectives they are intended to meet; consequently, it is unclear whether the higher-level objectives are met by the constraints or not. ② Another danger with equating SMER constraints with SoD policies is that even though when SMER constraints are specified there exist a clear understanding of what SoD policies are desired, when the assignment of permissions to roles changes, the SMER constraints may no longer be adequate for enforcing the desired SSoD policies. ③ Low level of access control granularity. (permission vs role)
6
SoD 分类 ① Static separation of duty typically constrains the assignment of users and permissions to roles. ② Dynamic separation of duty typically constrains the activation of roles and invocation of permissions in the run-time environment. ③ Historical separation of duty typically constrains the invocation of permissions over the course of time
7
SoD 分类 ->ssod ssod 分类( in RBAC ) ① User-based separation of duty ② Role-based separation of duty ③ Permission-based separation of duty ④ Object-based separation of duty
8
SoD 分类 ->ssod->user-based 限定对象是 UA ,即限定角色与用户之间的指派关系。 最简单形式:,r1 不能同时指派给用户 u1 和 u2. 四种类型: ① 一个 user 一个 role : ② 一个 user 多个 role : ③ 多个 user 一个 role : ④ 多个 user 多个 role : 一般抽象形式: smeu-r (1≤k ≤m, 1 ≤n) 表示任意 {r1,…,rn} 中的角色不能指派给 {u1,…,um} 中超过 k 个用户。 严厉抽象形式: smeu (1≤k ≤m)
9
SoD 分类 ->ssod->role-based 限定对象也是 UA ,即限定角色与用户之间的指派关系。 最简单形式:,u1 不能同时被赋予角色 r1 和 r2. 四种类型: ① 一个 role 一个 user : ② 一个 role 多个 user : ③ 多个 role 一个 user : ④ 多个 role 多个 user : 一般抽象形式: smer-u (1≤k ≤m, 1 ≤n) 表示任意 {u1,…,un} 中的用户不能指派给 {r1,…,rm} 中超过 k 个角色。 严厉抽象形式: smer (1≤k ≤m)
10
探讨: smeu 与 smer 的关系 smeu-r (1≤k ≤m, 1 ≤n) smer-u (1≤k ≤m, 1 ≤n) 情形 1 : UA ( {u1},{r1} ) 1-1-1smeu-r 等价于 1-1-1smer-u 情形 2 : UA ( {u1},{r1,…,rx} ) x-1-ksmer-u 包含于 1-x-1smeu-r ( k=0 ) 情形 3 : UA ( {u1,…,ux},{r1} ) x-1-ksmeu-r 包含于 1-x-1smer-u ( k=0 ) 情形 4 : UA ( {u1,…,ux},{r1,…,ry} ) 非包含关系??? 结论: smeu-r 与 smer-u 是两种不同类型的约束,尽管它们的 约束对象均为 UA 。
11
SoD 分类 ->ssod->permission-based 限定对象是 PA ,即限定角色与权限之间的指派关系。 最简单形式:,p1 与 p2 不能同时指派 给角色 r1. 一般抽象形式: smep-r (1≤k ≤m, 1 ≤n) 表示任意 {u1,…,un} 中的用户不能指派给 {r1,…,rm} 中超过 k 个 角色。 严厉抽象形式: smep (1≤k ≤m)
12
SoD 分类 ->ssod->permission-based 如果限定对象是 User-Permission ,即限定用户与权限之 间的指派关系。 最简单形式:,p1 与 p2 不能同时指派给用 户 u1. 一般抽象形式: smep-u (1≤k ≤m, 1 ≤n) 表示任意 {u1,…,un} 中的用户不能指派给 {r1,…,rm} 中超过 k 个角色。 严厉抽象形式: smep (1≤k ≤m) 在 RBAC 模型中, user 通过 role 间接获取 permission ,故其限定对 象应为 PA 而非 UA ( UA 为最终目标)。
13
SoD 分类 ->ssod->object-based 保护对象为客体 object 。 类型 1 :限定 object-user smeo-u (1≤k ≤m, 1 ≤n) 任何来自 {u1,…,un} 中的用户不能访问超过 k 个来自 {o1,…,om} 的客 体。 类型 2 :限定 object-role smeo-r (1≤k ≤m, 1 ≤n) 该约束比 smeo-u 弱,例如可以将 o1 , o2 分别与 r1,r2 关联,但是 r1,r2 同 时指派给 u1 类型 3 :限定 object-permission 同理,该约束比 smeo-r 更弱
14
SoD 分类 : dsod dsod 抽象目标 dsod (1≤k ≤m) 与 ssod 分类相似: dmeu-r (1≤k ≤m, 1 ≤n) dmer-u (1≤k ≤m, 1 ≤n) dmep-r (1≤k ≤m, 1 ≤n) dmeo-u (1≤k ≤m, 1 ≤n) dmeo-r (1≤k ≤m, 1 ≤n) dmeo-p (1≤k ≤m, 1 ≤n) ssod 是访问前预判, dsod 是访问过程中判断。可以 将 ssod 作为 dsod 的先决条件 ssod => dsod
15
SoD 分类 : hsod 与具体的执行步骤有关:如 order (订货)的用户必须得 payment (结帐),但是不能 goods (提货)和 invoice (开发 票)。 Sandhu [1988, 1990] presented transaction control expressions, a history based mechanism for dynamically enforcing SoD policies. Nash and Poland
![SoD 分类 : hsod 与具体的执行步骤有关:如 order (订货)的用户必须得 payment (结帐),但是不能 goods (提货)和 invoice (开发 票)。 Sandhu [1988, 1990] presented transaction control expressions, a history based mechanism for dynamically enforcing SoD policies.](http://images.slideplayer.com/15/4857980/slides/slide_15.jpg "Nash and Poland.")
16
SoD 执行方法 直接在用户 - 权限级别判断 RBAC 系统状态是否执行 SSoD 是 NP 完全问题 执行 SMER 是 P 问题 ssod 执行方法: ① 设计先决条件,不满足先决条件的 UA , RR (包 括角色映射), PA 关联将被撤销。 ② 将 SSoD 从用户权限级别转换到用户角色级别 ssod->smer
17
研究展望 ① ssod (1≤k ≤m) 是否能够完全满足静态职责分 离要求? ② smeu-r,smer-u,smep-u,smep-r,smeo-u,smeo-p,smeo-r 均是 P 问题,是 否可借鉴 ssod->smer 。 ③ 域间角色转换的通用 ssod 研究 ④ 各 sod 策略的内部关联关系和整合策略
Similar presentations
