基于可信級度量的智能終端安全模型研究

郭德彪，陳衛兵，王金燕，周 穎，彭志香

（湖南工業大學 計算機與通信學院，湖南 株洲 412007）

1 背景知識

開放環境下，智能終端系統用戶變動頻繁、無法事先獲得用戶的身份，給用戶身份安全管理及隱私保護帶來巨大挑戰。在系統資源緊張的智能終端中（例如分布嵌入式系統），復雜的安全策略及可信度量方法限制了這些系統的應用范圍。針對這些問題，國內外諸多學者使用不同方法擴展了基于角色的訪問控制（role-based access control，RBAC）模型[1-6]，以增強開放式環境下基于傳統RBAC模型[7-8]的平臺安全性。

一些學者提出使用基于證書的訪問控制模型增強平臺的安全管理[9-12]，但基于證書的機制不保證在證書發布期間載體行為和功用的一致性，也無法保障證書本身的獲得途徑合法；同時，基于訪問控制的證書機制不記錄用戶行為，它根據證書呈遞的一個特殊會話給予相應權限，具有二值性的缺陷。因此，有學者提出基于可信的訪問控制模型，此模型通過信任度量動態升降用戶權限克服了基于證書的訪問控制模型的上述缺點，信任度量值的計算根據終端對自身度量及第三方聲譽[13]。

J.W.Woo 等人[14]提出了一個擴展的RBAC模型，通過判斷用戶可信值是否大于預先設定的閾值來決定是否授予權限。H.Takabi等人[15]定義了用戶可信度及角色需求可信度，并定義只有當用戶可信度大于或等于角色需求可信度時才能分配角色。Qureshi Basit等人[16]給出了一種可信度量機制，該機制避免了因網絡中節點間的第三方信譽造假而模型容易被攻陷的現象。SudipChakraborty等人[17]將可信關系集成在RBAC中，并提出了TrustBAC模型，該模型先給用戶分配可信級，然后根據可信級與角色映射并分配權限，用戶只有通過提升可信值才能提升角色集權限。TrustBAC模型能夠動態地對角色進行分配，克服了RBAC模型的動態性及監管性不足的缺陷。LiLei等人[18]提出用一種模糊回歸可信度量方法預測用戶的可信性關系，該方法可以避免基于可信分級的環境適應性帶來的誤導問題。CarlesMartinez-García等人[19]基于一種類似角色扮演的訪問控制機制提出了FRBAC模型，模型內部角色是可進化的，因而增強了模型的安全性。A.ElHusseini等人[23]結合EC-SAKA協議提出一種適用于智能環境下低資源系統使用的可信度量機制，具有信任度量簡單的優點。

上述模型及所用度量機制，或用戶角色不可進化，動態性差[13-15,23]，或未考慮用戶信任需求[17,19]，或度量機制復雜[16,18,20-22]，均不適合在資源緊張的智能終端上使用。因此，為解決上述問題，本文提出一種基于輕量級可信度量機制的智能終端安全模型stTLM，該模型通過對任務安全分級及集成獎懲機制，可提供細粒度的安全訪問授權性能，具有優異的環境適應性及動態性能。

2 stTLM安全模型

2.1 形式化說明

stTLM安全模型如圖1所示。

圖1 stTLM模型Fig.1Model of stTLM

stTLM模型定義了元素集及元素集之間的關系。元素包括下列類型：用戶、可信級、角色、會話、操作、客體、權限及約束。

定義1stTLM模型元素的形式化定義如下：

1）用戶 USERS ={user1, user2, …, usern}，用戶的概念是指具有自主能力的實體，包括其它系統、有自主能力的程序及自然人。

用戶集U指正獲取系統服務的用戶集合。集成在模型中的管理員Admin是一個特殊的用戶，擁有所有權限。

2）可信級 TRUST_LEVELS={TL|TL[0,1]}，是[0,1]之間的一個動態可變的實數。一個用戶在特定時刻根據會話擁有一個可信級。

3）角色 ROLES = {role1, role2, …, rolen}，系統根據用戶的可信級賦予角色集，角色R是指相同語義職責關聯的工作職能。

4）會話 SESSIONS = {session1, session2, …,sessionn}，會話S對應于一個用戶和一組可信級，表示用戶獲取可信級的過程。

一個用戶可進行多次會話，在每次會話中獲得不同可信級。擁有不同的可信級意味著擁有不同的訪問權限。

5）客體 O = {object1, object2, …, objectn}，客體是一個可操作的數據集合，是系統可支配資源的一部分。

6）操作 A = {read, write, execute, …}，是程序操作的一個鏡像。

7）約束 C定義為施用于模型元素之間的斷言，返回一個接受與否的量。可將其視為施用元素關系或元素分配的條件。

8）權限 P=2(O×A)，在系統中執行特定任務的授權。權限總是和角色聯系在一塊，即權限賦予角色特定的權利。權限類型取決于應用系統，模型本身并不作任何假設。

定義2stTLM模型元素之間的關系定義如下。

1）sua 定義了根據一個用戶u屬性P分配會話s的關系，sua(u, P, s)=sP。在一次訪問過程中，用戶u可能會發起多次會話s。

6）RD=ROLES×ROLES為角色的支配關系，表示為≤。對任何(r1,r2)RD，僅當Assigned_Permissions(r1)Assigned_Permissions(r2)時，稱為 r2≤ r1。

7）PD=PERMISSION×PERMISSION，為權限的支配關系，表示為≤。對于任何(p1,p2) PD，Assigned_TrustLevels(p1)Assigned_TrustLevels (p2)時，稱為p2≤p1。

8）Assigned_Roles函數 TRUST_LEVELS→2ROLES指定可信級與角色之間的映射關系。形式表示為Assigned_Roles(TL)={rROLES｜(r, TL)RTA}。

9）Assigned_Permission函數 ROLES→ 2PERMISSIONS指定角色與權限之間的映射關系。形式表示為Assigned_Permission(r) ={pPERMISSIONS｜(p, r)PA}。

約束constraints除了對分配函數進行限制外，也對訪問控制策略及可信度量策略進行限制，系統可以根據具體需求對模型約束進行適當擴展及細化。本文提出的輕量級可信度量機制中，可以對任務安全因子及獎懲因子進行約束。這樣做的目的是，既保證了任務安全的細粒度，同時增強了度量機制的動態性。

2.2 訪問控制管理

stTLM模型綜合授權函數、訪問控制策略以及可信度量策略，決策一個訪問用戶是否被允許訪問相關客體。

當訪問發生時，模型會根據被嚴密保護的訪問歷史記錄和推薦，計算出訪問用戶的可信值。用戶的可信值將傳遞給訪問控制管理，以作為決策的依據。訪問控制管理根據訪問控制策略及約束服務，使用授權函數為用戶分配角色和權限。用戶在系統中的行為會被記錄，非法行為會使用戶的可信級降低。根據訪問控制策略，當更新后的用戶可信級很低而無法獲得訪問權限時，將導致用戶正在進行的或后續的訪問請求被拒絕。因此，模型的安全性均及動態性可以得到保障。模型訪問控制管理框架如圖2所示。

訪問控制機制的本質是通過限制用戶動作以保護系統資源，即只允許用戶在限定的訪問控制策略下實施特定任務。使用stTLM安全模型用作訪問控制時，用戶每次訪問被允許前會先進行授權，授權依據是用戶可信級值是否大于規定值。可信級值只有大于規定值，訪問才被允許。同樣，在會話過程中訪問控制策略會動態驗證授權及存取函數是否滿足條件。若不滿足這些條件，訪問將被立刻禁止。用戶被允許訪問后，系統將為一個用戶立即激活一個會話。在會話期間，用戶擁有一個動態可信級，能夠使用與之關聯的角色。一個角色可以被多個用戶使用，這些用戶的權限相同。因此，用戶可以通過可信級度量獲得一個角色，執行該角色限定權限內的操作。

圖2 模型訪問控制管理過程Fig.2Management process of access control in stTLM

從用戶角度分析，stTLM模型工作流圖的基本過程如圖3所示。

圖3 stTLM模型工作流圖Fig.3Workflow diagram of stTLM model

用戶（user）第一次接入系統（system）時，系統注冊用戶并生成會話實例（session）。系統根據用戶提供的公開屬性P，使用sua函數啟用會話sP并激活對用戶u可信關系度量。系統根據計算的可信級值T(system→user)=tl，使用函數Assigned_Roles確定用戶user可以使用的角色role。role可以有多個，對任意一個角色rolei，user都有一個對應的權限集pj，即j,( pj, ri)PA。因此，在會話session中，用戶user擁有權限集∪iAssigned_Permissions(rolei)=∪1≤i≤n｛pij｜( pi, rolei)PA｝。用戶user被限定只能在權限滿足條件下才能對客體O執行操作A，即(o,a)O×A，(o,a)pij。用戶user對被允許的客體上動作會被記錄在會話session中。對可信級重新評估時，動作歷史會作為評估信息來源，更新的可信級值tl′會重新保存在session中。模型集成一個超級管理員system_admin，它能根據預定義的訪問控制策略及可信度量策略對模型進行管理，可禁止類似拒絕服務攻擊（DoS）的訪問請求。

3 可信級度量

由圖2可知，在stTLM模型中，可信級的度量是一個核心機制。為適應在資源緊缺的智能終端中使用模型，提出了一個具有細粒度安全特性的輕量級度量機制——sTrust。該機制度量組件構成如表1所示，可信級TL的度量包括直接可信DT及間接可信IT兩部分。與其它度量機制[20-23]不同的是，直接知識和間接知識組件允許擴展。直接知識是節點根據歷史對自身的直接推測，不僅包括信譽組件RE還包括直接不確定性組件DU。同理，間接知識是節點對歷史和推薦的間接推測，包括趨勢組件TR和間接不確定性組件IU。

表1 可信度量機制組件sTrustTable1Component of sTrust scheme

使用sTrust評估實體間的可信關系過程中始終遵循準則1和定義3，可信（不可信）的概念與SudipChakraborty等[17]給出的定義相同。

準則1 與可信關系度量時刻間隔越小，對可信關系度量值的權重影響越大。

定義3 可信（不可信）定義為在特定上下文中實體安全可靠動作的（不）勝任能力。

在特定的上下文c中，實體A對B的信任度量用T(A→B)=DT(A→B), IT(A→B)表示，其中，DT(A→B)為直接可信度量值，IT(A→B)為間接可信度量值。可信度量值可用式（1）表示

T(A→B)[0,1]∪{⊥}，0表示完全不可信，1表示完全可信，⊥表示無定義。無定義意味著在度量時間間隔內，系統沒有可度量的事件發生。

權值向量W元素分別為直接可信和間接可信權重。可信度量的基礎是對事件性質的判定, 事件性質由定義4確定。令表示在第i個時間間隔內第k個事件，若LT,則=0；若HT，則=1。表示在第i個時間間隔內的所有的事件和值，令ni，lai，hai分別表示在第i個時間間隔內度量事件總數（一般可信事件不參與度量）、低可信事件個數及高可信時間個數，顯然ni=lai+hai。特別地，當ni=0時，T{⊥}。

定義4T(A→B)(0, 0.5) 表示低可信級LT(A→B)；T(A→B)=0.5表示一般可信級MT(A→B)；T(A→B)(0.5,1)表示高可信級 HT(A→B)。

為表述方便，除特殊說明外，下文中對度量關系的表述均指實體A對實體B的度量關系，例如T(A→B)將簡化描述為T。直接可信是實體根據經驗E和直接知識DK對自己的度量。在本文中，直接知識主要指信譽RE。

權值wE, wDK滿足關系wE+wDK=1。經驗的度量值由式（3）確定：

直接知識包括信譽及直接不確定兩部分

信譽是對客體以往訪問的一個記錄評價，當對任務的安全需求較高時對信譽評估更加嚴格。信譽值的評估定義為式（4）：

sl為對任務分配的安全因子，這樣做是為了滿足不同任務的細粒度安全需求。當sl=1時，不考慮安全特性。此處限制sl[1,100]且滿足slZ+。顯然，sl越大，任務對安全的需求越高。DU難以進行量化，應根據實際應用擴展。

間接可信部分包括推薦（RC）和間接知識（IK）兩部分，推薦來自直接關聯實體（推薦者）。間接可信值的度量方法用式（5）表示：

設直接關聯的節點個數m，每個關聯節點都作為一個推薦者給出一個推薦值DTi（相關推薦者的可信級值），則度量推薦值RC是所有這m個推薦者的推薦值的平均值，用式（6）式表示：

間接知識包括獎懲及間接不確定兩部分

獎懲機制基于近期歷史事件性質判定是否獎懲，并對后續事件進行直觀預測。用式（7）表示：

對趨勢的度量僅在策略間隔時間到時更新，采用類似式（3）的計算方法。IU難以進行量化，應根據實際應用擴展。對歷史可信級，采用式（8）的計算方法[23]。顯然，它們均遵循規則1。

4 模型評估及分析

在編寫的模擬器上驗證stTLM模型的有效性，模擬器遵循sTrust機制的度量規則。為方便驗證，仿真要素設置如表2所示。為user1、user2及user3分配的可信級初始值為0.20, 0.50及0.80；令D={D1, D2, D3,D4}為實驗數據集，實驗數據的0代表違規事件，1代表合法事件，空格代表一個時間間隔；假設與終端直接關聯的終端有3個，它們的推薦值集為R={R1, R2,R3, R4}；規則部分為用戶可信級與用戶權限之間的映射關系，仿真時參考，此處不對權限P作具體定義。

仿真結果如圖4所示，分別為stTLM模型在不同仿真數據下可信級的度量結果。由圖4可知，違規事件拉低了關聯用戶的可信級，合法事件提升了相關用戶的可信級值。對于擁有不同初始可信級的用戶，相同的事件將使用戶可信級趨于一致。

表2 仿真設置Tabel2 Simulation settings

由圖4a可知，在第1個和第7個時間間隔，少數合法事件減慢了用戶的可信級的下降趨勢。但大量的違規事件最終致使TLuser<0.2，根據規則用戶將不能獲得系統任何權限；由圖4d可知，在第1個和第7個時間間隔，違法事件立即拉低了可信級。但通過大量合法事件積累，最終TLuser>0.8，根據規則用戶將獲得系統所有必要權限；由圖4b，4c的度量結果可知，在各個時間間隔用戶可信級可快速動態地反應事件性質。綜上所述，stTLM模型有效，且具有優異的動態性及細粒度安全特性。

圖4 stTLM模型有效性仿真結果Fig.4The simulation result for the effectiveness of stTLM model

5 結語

本文提出了一種基于可信級度量的智能終端安全模型stTLM。模型集成了一種輕量級可信度量機制，通過任務安全分級策略和獎懲機制提供更細粒度的訪問授權。模型有效性分析結果表明，本文所給出的模型具有優異的環境適應性及動態性能，且容易實施。

[1]Chen Liang，Jason Crampton.Risk-Aware Role-Based Access Control[C]//7th International Workshop on Security and Trust Management.Berlin：Springer，2012：140-156.

[2]Subhendu Aich，Shamik Sural，Majumdar A K.STARBAC:Spatiotemporal Role Based Access Control[C]//International Conference on OTM Part II.Berlin：Springer ，2007：1567-1582.

[3]Tang Zhuo，Wei Juan，Salam Ahmed，et al.A New RBAC Based Access Control Model for Cloud Computing[C]//7th International Conference on Advances in Grid and Pervasive Computing.Berlin：Springer，2012：279-288.

[4]Huang Yong.Reputation and Role Based Access Control Model for Multi-Domain Environments[C]//International Symposium on Intelligence Information Processing and Trust Computing.Huanggang：[s.n.]，2010：597-600.

[5]Covington M J，Moyer M J，Ahamad M.Generalized Role-Based Access Control for Securing Future Applications[C/OL].[2012-04-12].http://hdl.handle.net/1853/6580.

[6]Aljnidi Mohamad ，Leneutre Jean.ASRBAC: A Security Administration Model for Mobile Autonomic Networks(MAutoNets)[C]//4th International Workshop on Data Privacy Management and Autonomous Spontaneous Security.Berlin：Springer，2010：163-177.

[7]Sandhu R S，Coyne E J，Feinstein H L，et al.Role-Based Access Control Models[J].IEEE Computer，1996，29(2)：38-47.

[8]Ferraiolo D F，Sandhu R S，Gavrila S I，et al.Proposed NIST Standard for Role-Based Access Control[J].ACM Transactions on Information Systems Security，2001，4(3)：224-274.

[9]Chadwick D，Otenko A，Ball E.Role-Based Access Control with X.509 Attribute Certificates[J].IEEE Internet Computing，2003，7(2)：62-69.

[10]Blaze M，Feigenbaum J，Lacy J.RFC 2704：The KeyNote Trust Management System Version 2[S].Internet Society：Network Working Group，1999：1-37.

[11]Liang Jianmao，Shun Zhenyao，Kai Zhang，et al.Design and Implementation of Document Access Control Model Based on Role and Security Policy[C]//Second International Conference on Trusted Systems.Berlin：Springer，2011：26-36.

[12]Li N H，Winsborough W H，Mitchell J C.Beyond Proofof-Compliance: Safety and Availability Analysis in Trust Management[C]// IEEE Symposium on Security and Privacy.Oakland：IEEE Computer Society Press，2003：123-139.

[13]Bonatti P，Duma C，Olmedilla D，et al.An Integration of Reputation-Based and Policy-Based Trust Management[C/OL].[2012-04-15]//http://rewerse.net/publications/download/REWERSE-RP-2005-116.pdf.

[14]Woo J W，Hwang M J，Lee M J，et al.Dynamic Role-Based Access Control with Trust-Satisfaction and Reputation for Multi-Agent System[C]//24th International Conference on Advanced Information Networking and Applications Workshops.Perth：Conference Publishing Services，2010：1121-1126.

[15]Takabi H，Amini M，Jalili R.Trusted-Based User-Role Assignment in Role-Based Access Control[C]//International Conference on Computer Systems and Applications.Amman：[s.n.]，2007：807-814.

[16]Qureshi Basit，Min Geyong，Kouvatsos Demetres.Countering the Collusion Attack with a Multidimensional Decentralized Trust and Reputation Model in Disconnected MANETS[J].Multimed Tools Application.2011，doi：10.1007/sl 1042-011-0780-7.

[17]Sudip Chakraborty，Indrajit Ray.TrustBAC-Intergrating Trust Relationships into the RBAC Model for Access Control in Open Systems[C]//International Symposium on Access Control Models and Technologoes.NewYork：Association for Coputeing Machinery，2006：49-59.

[18]Li Lei，Wang Yan，Varadharajan Vijay.Fuzzy Regression Based Trust Prediction in Service-Oriented Applications[C]//6th International Conference on Autonomic and Trusted Computing.Berlin：Springer，2009：221-235.

[19]Carles Martinez-García，Guillermo Navarro-Arribas，Joan Borrell.Intra-Role Progression in RBAC: An RPC-Like Access Control Scheme[C]//6th International Workshop on Data Privacy Management and Autonomous Spontaneus Security.Berlin：Springer，2012：221-234.

[20]Li Lei，Wang Yan.The Study of Trust Vector Based Trust Rating Aggregation in Service-Oriented Environments[J].World Wide Web，2012，15(5/6)：547-549.

[21]Ray Indrajit，Chakraborty Sudip.A Vector Model of Trust for Developing Trustworthy Systems[C]//9th European Symposium on Research in Computer Security.Berlin：Springer，2004：260-275.

[22]Zhou R，Hwang K.Vectortrust: The Trust Vector Aggregation Scheme for Trust Management in Peer-to-Peer Networks and Networks[C]//18th International Conference on Computer Communications and Networks.San Francisco：CA USA，2009：1-6.

[23]Husseini A El，Abdallah M'Hamed，Bachar EL Hassan，et al.A Noval Trust-Based Authentication Scheme for Low-Resource Devices in Smart Environments[J].Procedia Computer Science, 2011，5：362-369.