互操作性与自治性平衡的跨域访问控制策略映射

doi:10.11959/j.issn.1000-436x.2020157

通信学报 ›› 2020, Vol. 41 ›› Issue (9): 29-48.doi: 10.11959/j.issn.1000-436x.2020157

互操作性与自治性平衡的跨域访问控制策略映射

诸天逸^1,²,李凤华^1,²,金伟^1,²,郭云川^1,²,房梁¹(),成林³

¹ 中国科学院信息工程研究所，北京 100093
² 中国科学院大学网络空间安全学院，北京 100049
³ 中国信息安全测评中心，北京 100085

修回日期:2020-06-29 出版日期:2020-09-25 发布日期:2020-10-12
作者简介:诸天逸（1995- ），男，江苏无锡人，中国科学院信息工程研究所博士生，主要研究方向为跨域访问控制|李凤华（1966- ），男，湖北浠水人，博士，中国科学院信息工程研究所研究员、博士生导师，主要研究方向为网络与系统安全、大数据安全与隐私保护、密码工程|金伟（1994- ），女，北京人，中国科学院信息工程研究所博士生，主要研究方向为大数据访问控制与密钥管理|郭云川（1977- ），男，四川营山人，中国科学院信息工程研究所正研级高工、博士生导师，主要研究方向为访问控制、形式化方法|房梁（1989- ），男，山西太原人，博士，中国科学院信息工程研究所助理研究员，主要研究方向为信息安全、访问控制|成林（1983- ），男，河北邢台人，博士，中国信息安全测评中心助理研究员，主要研究方向为云计算安全、大数据安全
基金资助:
国家重点研发计划基金资助项目(2016QY06X1203);国家自然科学基金资助项目(U1836203);中国科学院战略性先导科技专项基金资助项目(XDC02040400);山东省重点研发计划基金资助项目(2019JZZY020127)

Cross-domain access control policy mapping mechanism for balancing interoperability and autonomy

Tianyi ZHU^1,²,Fenghua LI^1,²,Wei JIN^1,²,Yunchuan GUO^1,²,Liang FANG¹(),Lin CHENG³

¹ Institute of Information Engineering,Chinese Academy of Sciences,Beijing 100093,China
² School of Cyber Security,University of Chinese Academy of Sciences,Beijing 100049,China
³ China Information Technology Security Evaluation Center,Beijing 100085,China

Revised:2020-06-29 Online:2020-09-25 Published:2020-10-12
Supported by:
The National Key Research and Development Program of China(2016QY06X1203);The National Natural Science Foundation of China(U1836203);The Strategic Priority Research Program of the Chinese Academy of Sciences(XDC02040400);The Key Research and Development Program of Shandong(2019JZZY020127)

摘要/Abstract

摘要：

跨域访问控制虽然能提升互操作性，但也可降低域内自治性，因此如何平衡域间互操作性和域内自治性是一个重要的问题。针对该问题，提出一种基于多目标整数规划优化的跨域访问控制策略映射机制。在该机制中，将最大化域间互操作性和最小化域内自治性作为目标函数，将7类典型的跨域冲突作为约束函数，设计了一种带约束的 NSGA-III 优化算法。实验结果表明，在模拟现实机构特征的大中规模数据集上，该算法拥有较快收敛速度，且解集具有较高的准确性。

关键词: 跨域访问控制, 策略映射, 互操作性, 自治性损失, 多目标优化

Abstract:

Cross-domain access control can improves interoperability but reduces intra-domain autonomy.To balance inter-domain interoperability and intra-domain autonomy,a cross-domain access control policy mapping to the problem of multi-objective integer optimization programming was formulated.Both the maximization of inter-domain interoperability and the minimization of intra-domain autonomy were taken as the objectives.Further,seven constraints were designed to prevent typical cross-domain conflicts.To solve the optimization problem,a constrained NSGA-III algorithm was proposed.The experimental results show that the proposed algorithm can quickly converge and accurately find the policy mapping even in the large-scale datasets.

Key words: cross-domain access control, policy mapping, interoperability, autonomy loss, multi-objective optimization

中图分类号:

TN929

诸天逸,李凤华,金伟,郭云川,房梁,成林. 互操作性与自治性平衡的跨域访问控制策略映射[J]. 通信学报, 2020, 41(9): 29-48.

Tianyi ZHU,Fenghua LI,Wei JIN,Yunchuan GUO,Liang FANG,Lin CHENG. Cross-domain access control policy mapping mechanism for balancing interoperability and autonomy[J]. Journal on Communications, 2020, 41(9): 29-48.

图/表 15

图1

表1

表2

图2

图3

图4

图5

图6

图7

图8

图9

图10

图11

图12

图13

参考文献 14

[1]	JOSHI J B D , BERTINO E , GHAFOOR A . Temporal hierarchies and inheritance semantics for GTRBAC[C]// Proceedings of the seventh ACM symposium on Access control models and technologies. New York:ACM Press, 2002: 74-83.
[2]	DU S , JOSHI J B D . Supporting authorization query and inter-domain role mapping in presence of hybrid role hierarchy[C]// Proceedings of the eleventh ACM symposium on Access control models and technologies. New York:ACM Press, 2006: 228-236.
[3]	ZHANG Y , JOSHI J B D . A request-driven secure interoperation framework in loosely-coupled multi-domain environments employing RBAC policies[C]// 2007 International Conference on Collaborative Computing:Networking,Applications and Worksharing. Piscataway:IEEE Press, 2007: 25-32.
[4]	SHAHRAKI A S , RUDOLPH C , GROBLER M . A dynamic access control policy model for sharing of healthcare data in multiple domains[C]// 2019 18th IEEE International Conference On Trust,Security And Privacy In Computing And Communications/13th IEEE International Conference On Big Data Science And Engineering. Piscataway:IEEE Press, 2019: 618-625.
[5]	UNAL D , ?AGLAYAN M U . A formal role-based access control model for security policies in multi-domain mobile networks[J]. Computer Networks, 2013,57(1): 330-350.
[6]	KAPADIA A , MUHTADI J A , CAMPBELL R H ,et al. IRBAC2000:secure interoperability using dynamic role translation[C]// Proceedings of the International Conference on Internet Computing. Saarland:DBLP, 2000: 231-238.
[7]	AL-MUHTADI J , KAPADIA A , CAMPBELL R ,et al. The A-IRBAC 2000 model:administrative interoperable role-based access control[R]. Urbana-Champaign:University of Illinois,(2001-01)[2020-05-08].
[8]	SHEHAB M , BERTINO E , GHAFOOR A . SERAT:secure role mapping technique for decentralized secure interoperability[C]// Proceedings of the tenth ACM symposium on Access control models and technologies. New York:ACM Press, 2005: 159-167.
[9]	SHAFIQ B , JOSHI J B D , BERTINO E ,et al. Secure interoperation in a multidomain environment employing RBAC policies[J]. IEEE Transactions on Knowledge and Data Engineering, 2005,17(11): 1557-1577.
[10]	FAN K , BAI Y , XU H ,et al. A secure cross-domain access control scheme in social networks[C]// IEEE International Conference on Communications. Piscataway:IEEE Press, 2019: 1-6.
[11]	DIAO L , WANG H , ALSARRA S ,et al. A smart role mapping recommendation system[C]// 2019 IEEE 43rd Annual Computer Software and Applications Conference. Piscataway:IEEE Press, 2019,(2): 135-140.
[12]	DIAZ-LOPEZ D , DOLERA-TORMO G , GOMEZ-MARMOL F ,et al. Managing XACML systems in distributed environments through meta-policies[J]. Computers ＆ Security, 2015(48): 92-115.
[13]	ZHANG Q F , LI H . MOEA/D:a multiobjective evolutionary algorithm based on decomposition[J]. IEEE Transactions on evolutionary computation, 2007,11(6): 712-731.
[14]	DAS I , DENNIS J E . Normal-boundary intersection:a new method for generating the pareto surface in nonlinear multicriteria optimization problems[J]. SIAM journal on optimization, 1998,8(3): 631-657.

函数/谓词	描述
domain(r_i)	返回r_i所在域
role_sod(r_i,r _j)	若domain(r_i)=domain(r _j)，且r_i 与r _j 存在角色SoD约束，则返回True，否在返回False
user_sod(u_i,u _j)	若domain(u_i)=domain(u _j)，且u_i与u _j存在用户SoD约束，则返回True，否在返回False
cd_link(r_i,r _j)	若domain(r_i)≠domain(r _j)，且r_i与r _j存在跨域角色映射关系，则返回True，否在返回False
i_senior(r_i,r _j)	若domain(r_i)=domain(r _j)，且r _j 在 I-层次关系中是r_i的上级，则返回True，否在返回False
i_junior(r_i,r _j)	若domain(r_i)=domain(r _j)，且r _j 在 I-层次关系中是r_i的下级，则返回True，否在返回False
a_senior(r_i,r _j)	若domain(r_i)=domain(r _j)，且r _j在A-层次关系中是r_i的上级，则返回True，否在返回False
a_junior(r_i,r _j)	若domain(r_i)=domain(r _j)，且r _j在A-层次关系中是r_i的下级，则返回True，否在返回False
senior(r_i)	返回r_i及其所有上级（I–层次关系和A-层次关系）角色节点
junior(r_i)	返回r_i及其所有下级（I–层次关系和A-层次关系）角色节点
rbac_set(G_D)	输入域D的本地角色映射关系图，返回域内所有合法的“用户-角色”访问控制映射
eval(str)	若输入的是字符串，将返回字符串中的有效表达式。同python中的eval()函数
L.add(e)	若L是不包含重复元素的set集合，用add将元素e加入到列表L
count(E)	返回集合E内的元素个数
remove(E,S)	删除集合E内的S元素
r.Label	定义“.”运算，表示对角色r 的Label标签的引用

规模类型	所属域	角色节点	用户节点	跨域连接	角色SoD
	域A	5	3	3	0
小规模	域B	3	4	3	1
	总和	8	7	3	1
	域A	62	203	15	7
中规模	域B	75	300	15	10
	总和	137	503	15	17
	域A	125	407	25	14
大规模	域B	151	601	25	20
	总和	276	1 008	25	34

[1]	朱思峰, 蔡江昊, 柴争义, 孙恩林. 车联网云边协同计算场景下的多目标优化卸载决策[J]. 通信学报, 2022, 43(6): 223-234.
[2]	张沛,刘帅军,马治国,王晓晖,宋俊德. 基于深度增强学习和多目标优化改进的卫星资源分配算法[J]. 通信学报, 2020, 41(6): 51-60.
[3]	苏命峰,王国军,李仁发. 基于利益相关视角的多维QoS云资源调度方法[J]. 通信学报, 2019, 40(6): 102-115.
[4]	鲍楠,左加阔,胡晗,鲍煦. 基于SDN的网络资源选择多目标优化算法[J]. 通信学报, 2019, 40(2): 51-59.
[5]	田俊峰, 王子龙, 何欣枫, 李珍. 基于Shamir的虚拟机放置策略[J]. 通信学报, 2019, 40(10): 90-100.
[6]	郝晓辰,王立元,刘金硕,解力霞,张文焕. WSN中基于双群体差分进化的资源分配优化算法[J]. 通信学报, 2018, 39(4): 68-75.
[7]	俸皓,罗蕾,王勇,叶苗. 无线传感网中基于时变多旅行商和遗传算法的多目标数据采集策略[J]. 通信学报, 2017, 38(3): 112-123.
[8]	马学彬,李爱丽,张晓娟. 基于多目标优化的固定中继节点唤醒策略[J]. 通信学报, 2017, 38(10): 47-59.
[9]	王琪,孙毅,李军,张珺,笪斌,李志诚. 无线ad hoc网络多性能指标基本性能边界[J]. 通信学报, 2015, 36(6): 1-140.
[10]	陈乃金,江建慧. 融合面积估算和多目标优化的硬件任务划分算法[J]. 通信学报, 2013, 34(2): 40-55.
[11]	王堃,王琳琳,刘艳,张玉华,吴蒙. 基于信息熵的改进PESA算法[J]. 通信学报, 2013, 34(11): 33-41.
[12]	王堃1，王琳琳1，刘艳2，张玉华1，吴蒙1. 基于信息熵的改进PESA算法[J]. 通信学报, 2013, 34(11): 5-47.
[13]	许力,曾智斌,姚川. 云计算环境中虚拟资源分配优化策略研究[J]. 通信学报, 2012, 33(Z1): 8-16.
[14]	程绪超,陈新宇,郭平. 基于改进Elman网络模型的软件可靠性预测[J]. 通信学报, 2011, 32(4): 86-93.
[15]	刘林峰,刘业. 基于满Steiner树问题的水下无线传感器网络拓扑愈合算法研究[J]. 通信学报, 2010, 31(9): 31-38.

互操作性与自治性平衡的跨域访问控制策略映射

Cross-domain access control policy mapping mechanism for balancing interoperability and autonomy

在线阅读

PDF下载

可视化

摘要/Abstract

引用本文

使用本文

图/表 15

参考文献 14

相关文章 15

Metrics

推荐阅读 0