一种基于信任机制的dRBAC模型的改进方法

摘要

本发明涉及一种基于信任机制的dRBAC模型的改进方法，属于信息安全技术领域。核心思想为将信任机制引入到原始的dRBAC模型中，即对原始的dRBAC模型添信任度元素，建立信任度表格，利用信任度来作为发布委托授权的标准。本发明改进后的dRBAC模型可以方便地应用于委托的深度控制和授权的级联撤销，可以高效判定委托是否违背RBAC模型的最小权限原则。

主权项

一种基于信任机制的dRBAC模型的改进方法，其特征在于：将信任机制引入到原始的dRBAC模型中，即对原始的dRBAC模型添加信任度这一元素；信任度是指一个实体对另一个实体或者角色的信任程度，用一个实数表示，取值范围为0～100；改进方法包括以下步骤：(1)为原始的dRBAC模型中每个实体建立一个信任度表格，表格中记录该实体对其他全部实体的信任度评价；(2)模型中每个实体为自己名字空间中的角色设置信任度阈值Trustline，该阈值保存于该实体的访问控制列表中，只有当其他实体达到了信任度阈值才能对该其他实体进行委托授权；(3)根据管理员定义的初始规则初始化模型中每个实体的信任度表格；(4)每个实体接收到访问请求后，根据访问资源请求一方实体的信任度和所请求资源的信任度阈值决定是否发布委托，如果请求访问方的信任度大于所请求资源的信任度阈值，则发布委托；否则拒绝发布委托；改进后的模型中的对象委托、指派委托和第三方委托这三种委托方式分别更新为(1)对象委托，其语法形式为[Subject‑＞A.a]A在委托之前，A必须查找自己的信任度表格，获得A对于Subject的信任度，并和自己名字空间中的角色a的信任度阈值比较，如果不小于阈值，则进行委托，否则不进行委托；(2)指派委托，其语法形式为[Subject‑＞A.a’]B如果B和A是相同的实体，那么操作与对象委托系统同；如果B和A是不同的实体，A对Subject的信任度必须不小于a的信任度阈值才可以进行委托，否则不进行委托；此时如果A对Subject没有信任度资料，则通过B计算A对Subject的间接信任度，间接信任度的计算方法由系统管理员定义；(3)第三方委托，其语法形式为[Subject‑＞A.a]BA对Subject的信任度必须不小于a的信任度阈值才可以进行委托，否则不进行委托；此时如果A对Subject没有信任度资料，则通过B计算A对Subject的间接信任度，间接信任度的计算方法由系统管理员定义。