Skip to main content
QUICK REVIEW

[论文解读] Path Conditions and Principal Matching: A New Approach to Access Control

Jason Crampton, James Sellwood|arXiv (Cornell University)|Jun 19, 2014
Access Control and Trust参考文献 12被引用 50
一句话总结

本文提出了一种基于图的新型访问控制模型,通过路径条件和主体匹配实现基于实体间关系而非仅用户身份的细粒度、可扩展授权。该模型将路径条件形式化为类似正则表达式的构造,以表达复杂的访问规则,并引入两阶段评估过程,结合基于关系的策略匹配与类似角色的主体抽象,实现表达力与高效请求评估的平衡。

ABSTRACT

Traditional authorization policies are user-centric, in the sense that authorization is defined, ultimately, in terms of user identities. We believe that this user-centric approach is inappropriate for many applications, and that what should determine authorization is the relationships that exist between entities in the system. While recent research has considered the possibility of specifying authorization policies based on the relationships that exist between peers in social networks, we are not aware of the application of these ideas to general computing systems. We develop a formal access control model that makes use of ideas from relationship-based access control and a two-stage method for evaluating policies. Our policies are defined using path conditions, which are similar to regular expressions. We define semantics for path conditions, which we use to develop a rigorous method for evaluating policies. We describe the algorithm required to evaluate policies and establish its complexity. Finally, we illustrate the advantages of our model using an example and describe a preliminary implementation of our algorithm.

研究动机与目标

  • 解决传统以用户为中心和基于角色的访问控制模型的局限性,这些模型缺乏细粒度的表达能力,且未能利用实体之间的上下文关系。
  • 开发一种形式化、通用的访问控制模型,适用于社交网络之外的多种系统,支持任意实体和关系。
  • 通过引入主体匹配,结合RBAC和Unix模型的可扩展性与基于关系的访问控制的精确性。
  • 为路径条件提供严谨的语义,并为复杂动态系统中的策略评估提供高效算法。
  • 支持企业系统、工作流和可变深度数据结构中访问控制的表达性策略定义。

提出的方法

  • 该模型将系统表示为有向图,其中节点代表主体、对象或逻辑实体,边代表关系。
  • 访问控制策略通过路径条件定义——即类似正则表达式的模式,用于描述实体之间的关系序列。
  • 路径条件通过形式化语义进行评估,支持连接、闭包($\pi^+$)和选择($\pi_1 \mid \pi_2$),从而支持复杂访问规则。
  • 该模型引入两阶段评估:第一阶段为路径匹配,用于识别有效的实体路径;第二阶段为主契匹配,用于将匹配的路径映射到授权主体。
  • 评估算法采用类似有限自动机的方法,高效匹配路径,其时间复杂度在系统图大小上为多项式时间。
  • 通过在路径条件中编码合取与否定,该模型支持可扩展性,并可未来支持子图匹配和状态化对象。

实验结果

研究问题

  • RQ1如何基于实体之间的关系而非用户身份来表达访问控制策略?
  • RQ2能否开发一种形式化模型,结合RBAC的可扩展性与基于关系的访问控制的表达力?
  • RQ3在动态系统中,评估基于路径的访问控制策略的高效且形式上正确的算法是什么?
  • RQ4如何设计路径条件以支持任意深度的关系,如目录树或工作流图中的关系?
  • RQ5哪些机制能够实现在以关系为中心的模型中集成基于角色和Unix风格的访问控制原则?

主要发现

  • 所提出的模型通过路径条件表达策略,捕捉实体间的复杂关系,实现上下文感知的授权决策,支持细粒度访问控制。
  • 通过两阶段处理(路径匹配后接主体匹配)实现高效的请求评估,时间复杂度在系统图大小上为多项式时间。
  • 路径条件通过规则分解支持$\pi^+$闭包和选择,实现对任意长路径的建模而无需枚举。
  • 该模型不仅适用于社交网络,还可通过支持逻辑实体和任意关系,推广至企业系统、IT基础设施和业务流程。
  • 该方法可通过在路径条件中使用合取与否定,表达复杂访问约束(如职责分离和中国墙模型)。
  • 初步实现验证了其可行性,且该模型可扩展以支持分布式访问控制、状态化对象和子图匹配。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。