文档介绍：一种多级跨域访问控制管理模型
张红旗，刘江，代向东，王义功
（，河南郑州 450001；2. 河南省信息安全重点实验室，河南郑州 450001）
访问控制管理为维护访问控制策略的安全、一致提供了重要保障。针对现有级保护、可信计算、安全管理；刘江（1988-），男，陕西，博士研究生，主要研究方向：安全策略管理；代向东（1977-），男，四川，讲师，硕士，主要研究方向：访问控制、安全管理；王义功（1987-），男，河南，讲师，硕士，主要研究方向：访问控制、安全管理。
1

等级的定级系统组成的安全域之间，通过安全互操作进行信息交互和资源共享的分布式网络环境。
所谓安全域[3]，是指将具有相同安全需求且遵循共同访问控制策略的定级系统按照物理或逻辑关系划分的等级保护区域。针对各等级化信息系统安全域的不同安全需求，通过制定合理的安全策略，科学实施分级保护，能够有效避免因过度保护而造成系统运行效能降低和投资浪费的问题。安全域之间具有层次关系，每个安全域只有一个上级安全域，但可以包含多个下级安全域。
度、操作明确等优点，代表RBAC 管理模型的最新研究成果。在国内研究中，中科院的夏鲁宁[9]提出基于层次命名空间的RBAC 管理模型N-RBAC，使用命名空间组织角色和资源，各命名空间之间的资源互不可见，简化了角色继承结构的复杂性，对局部自治的RBAC 管理提供了有力支持。
通过对上述访问控制管理模型的分析可见，现有的访问控制管理模型存在多步指派、冗余指派、越级管理和不能有效支撑跨域访问互操作管理等问题，且随着系统规模的不断扩大，管理难度也不断增加。同时，等级保护的前期建设中存在多种不同类型的访问控制模型，以ARBAC97为基础的一系列RBAC 管理模型兼容性较差，无法对除RBAC 系统以外的访问控制策略实施有效管理，虽然中科院的李晓峰[10]通过引入管理空间的概念，设计了分布式访问控制管理结构，提出通用的访问控制管理模型解决了这一问题，但是其描述粒度比较粗糙，也没有涉及多域问题。
本文针对上述问题，在深入分析多级跨域等级化信息系统多安全级、跨安全域的系统特性后，结合跨域互操作的管理需求，构建了多级跨域访问控制管理模型ML-DIACAM （Multi-Level & Inter-Domain Access Control Administrative Model），以期能够解决上述问题。
访问控制管理
目前，访问控制管理的研究大都基于RBAC （Role Based Access Control）模型展开，以ARBAC97为基础的一系列RBAC 管理模型虽然在一定程度上解决了访问控制管理问题，但仍具有其局限性。
美国乔治梅森大学的Sandhu 教授[4]提出ARBAC97模型，包括用户角色指派管理模型URA97、权限角色指派管理模型PRA97和角色层次结构模型RRA97。其中，URA97和PRA97通过引入先决条件，增强了系统的安全性，但引起了多步指派和冗余指派的问题；RRA97中角色层次关系的改变对角色与权限间的映射关系会产生重大影响，角色插入和边插入也是非常复杂的操作。Sejoing教授[5]提出一个改良的角色管理模型ARBAC02，采用组织用户池和组织权限池取代ARBAC97中的先决条件，解决了多步指派和冗余指派问题，但角色层次管理的复杂性问题仍然存在。Crampto等人
[6]
2 多级跨域访问控制管理模型ML-IDACAM
访问控制策略抽象
多级跨域环境下，不同安全域使用访问控制模型的不同，导致访问控制策略的描述形式和策略语义也各不相同。为实现对不同安全域访问控制策略的统一管理，本文利用基于属性的访问控制模型（Attribute-based Access Control，ABAC）所具备的强大表达能力[11]，使用实体属性概念对策略元素、元素关系及约束条件进行统一描述，将传统访问控制模型中的身份、角色以及主、客体安全级等信息抽象为实体属性，有效实现传统访问控制模型（BLP/Biba/RBAC等）的功能[12]，解决多级跨域等级化信息系统中多种访问控制模型并存，难以统一管理的问题。同时，以XACML 语言为基础，抽取策略主体、客体、操作及环境上下文四类策略条件属性元素对访问控制策略进行抽象描述。其中，主体属性集合为ATT (S 、客体属性集合为
提出SARBAC(Scope Administrative
RBAC 模型，使用管理区间（Administrative Scope ）替代角色区间（Role Range ），部分解决了角色层次管理的复杂性问题，但没有完善对“管理角色”的管理，也没有区分管理角色和常规角色，存在越级管理问题。Jalal[7]提出AIRBA