超级会员免费看
撤销方案的公设研究
1. 引言
在基于所有权的访问控制框架中,常见的情况是允许主体(用户或进程)向系统中的其他主体授予权限和管理权利。而且,通常还希望授予某个主体进一步向其他主体授予权限和管理权利的能力,这就可能形成从资源所有者(权威源)开始,将某些权限传递给其他主体的委托链。
此外,这类框架一般允许主体撤销其授予其他主体的权限。根据撤销的原因,对委托链的处理方式也有所不同。例如,若因员工调岗而撤销其权限,保留他之前授予他人的权限是合理的;但如果是因为用户滥用权利而撤销其权限,删除他之前授予的权限则更为合适。任何确定在撤销权限时哪些权限应保留、哪些应删除的算法,都被称为撤销方案,通常以图论的方式进行定义。
Hagstr¨om 等人提出了一个框架,可从三个不同维度对撤销方案进行分类:对其他被授权者的撤销范围(传播性)、对同一被授权者其他授权的影响(主导性)以及权利否定的持久性(弹性)。不过,该框架存在一些问题,部分问题还会带来安全风险。为避免改进后的框架出现类似的不良特性,我们建议运用源于社会选择理论的公理化方法,对各种撤销方案定义的优缺点进行正式研究。
2. 相关工作
2.1 Hagstr¨om 等人的框架
Hagstr¨om 等人引入了三个维度来对撤销方案进行分类:
- 主导性 :当主体在撤销权限时,若该主体仍拥有其他授权者授予的权限,若这些其他授权者的撤销权依赖于撤销者,撤销者可主导并撤销这些授权者授予的权限,这是强撤销;撤销者也可选择弱撤销,即保留其他授权者授予该主体的权限。
- 传播性 :主体 i 撤销之前授予
订阅专栏 解锁全文
扫一扫
7833
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
