擴展了信任與隱私的ABAC模型研究

摘要：基于屬性的訪問控制模型（ABAC）特別適用于大規模分布式網絡。然而，由于其訪問控制決策依賴于屬性的暴露，又沒有有效的敏感屬性保護機制，使得訪問主體的敏感屬性存在非法暴露的風險。本文提出了一種擴展了信任與隱私的ABAC模型，它包含了信任與隱私這兩個特殊屬性，并使訪問控制決策敏感于跨組織的協作上下文，以解決ABAC模型本身不合敏感屬性保護機制的問題。設計了一種促使管理者在危機管理系統中做出更優決策的圖形化原型工具，并驗證本文方法的有效性。本文網絡版地址：http：//www.eepw.eom.cn/article/269816.htm

關鍵詞：訪問控制；信任；隱私；上下文；協作；危機管理

DOI： 10.3969/j.issn.1005-5517.2015.2.009

本項目榮獲國家自然科學基金支持（基金號：61272083）

倪川（1985年-），男，碩士，研究方向：信息安全。王珊珊（1963年-），女，博士，副教授，研究方向：信息安全。黃傳林（1988年-），男，碩士，研究方向：嵌入式安全。

編者按：ABAC模型（基于屬性的訪問控制模型）是業界專為物聯網這類分布式環境定制的，用于解決動態分布式環境下的訪問控制問題，此模型基礎上進行擴展以提供對被訪問者的隱私保護機制，防止訪問過程中隱私的非法暴露。文中解決7物聯網的一個應用實例（協作危機管理）中可靠的訪問控制問題，將此方法推廣到物聯網層面上也是有效的。

引言

近年來，隨著大規模分布式網絡的廣泛使用，網絡上出現了大量安全性要求很高的關鍵服務，如協作危機管理，而這些服務都必須有足夠的安全手段來防止非授權的訪問。訪問控制AC是企業信息安全關注的重心。而諸如基于角色的訪問控制等傳統模型不適用于這類分布式環境中，其原因在于潛在用戶眾多并且大多數是事先不可知的，此外，其策略表達力、靈活性、可擴展性都不能滿足協作危機管理的需要。正因如此，文獻[3]提出了基于屬性的訪問控制模型ABAC（Attribute-Based AccessControl）。ABAC與XACML（eXtensibleAccess Control Makeup Language）標準密切相關，雖然這種基于屬性的方法有更好的靈活性、更細的訪問控制粒度和良好的跨域訪問控制機制，但其訪問決策過程依賴于主體、客體和環境屬性的暴露，而ABAC模型本身不具備有效的隱私保護機制，這可能導致在訪問控制策略決策階段訪問主體敏感信息的非法暴露。為了解決上述問題，本文在基本的ABAC模型中擴展信任與隱私兩個要素，以支持協作危機管理中安全的訪問控制。

1 擴展了信任與隱私的ABAC模型介紹

本文所用基本模型的策略決策是基于各訪問實體屬性的ABAC模型。由于屬性作為訪問控制粒度的細致性與通用性，幾乎所有現有的AC模型都可以在此模型基礎上約減得到。

對比于現存的ABAC機制，本文提出的擴展模型包含協作上下文以及對主體集與客體集的信任及敏感屬性保護。本文通過在協作環境下加入信任與隱私這兩個關鍵要素，來實現上述的觀點。其目的是將這樣一個通用模型作為協作危機管理AC授權框架。本文首次將信任、隱私與上下文三個概念結合到ABAC模型中并同時服務于AC的主客體。

圖1表述了本文提出的擴展模型的元素關系，該模型包含的基本元素有主體（用戶的集合）、客體（資源的集合）、上下文、屬性（主體屬性AttributeS與客體屬性Attribute0）、操作、許可、許可分配函數、信任（主體信任TrustS與客體信任Trust0）及隱私（主體隱私PrivacyS與客體隱私Privacy0）。

圖2是關于用戶請求的AC的一個實例。通過該實例說明，當主體試圖訪問客體屬性并做出某種操作時，本文模型在通用工作流中是怎樣運作的。在對該操作進行授權或拒絕之前，該用戶請求通過該模型被截獲，通過評價主客體之間的訪問目的的兼容性來保證客體隱私，在特定上下文中通過使用主體與客體的屬性來決定ABAC規則的評估結果。

2 擴展了信任與隱私的ABAC授權模型定義

本文的ABAC模型包含屬性、主體與主體屬性、客體與客體屬性、上下文、許可、許可分配函數、操作這幾個基本概念，以及信任、隱私這幾個擴展概念。

信任：表示某一訪問實體對另一訪問實體預期行為的主觀判斷，本文用TrustS與Trust0分別表示主體信任與客體信任。信任度為信任的量化，取值范圍為[0，1]。

隱私：表示被訪問實體不愿被不可信實體獲取的信息，本文用PrivateS與Private0分別表示主體隱私與客體隱私。防止訪問實體敏感信息被非法暴露的行為叫做隱私保護。

許可分配函數：表示將訪問控制策略與規則應用于訪問請求的函數，是許可與請求之間的一一映射。一個全局許可分配函數可表示為pa_i（），其中i表示函數標識符，括號內是評估所需各種參數，包括主客體屬性集、上下文集合與操作集，評估結果有三種，即前文所述之授權許可集。每條pa_i（）評估訪問控制策略的一條規則i，并分配訪問的某個特定許可，完整形式如公式1所示：

本文使用函數FACD（）來決定最終的訪問控制決策，FACD（）使用一個連接函數com（）對所有可用規則的評估結果進行聯合評估，并返回最終的per值。公式2為函數FACD（）的具體形式：

3 信任與隱私保護的引入方法

3.1 信任的引入方法

信任是在給定上下文中，主體表現的預期程度。本文模型將信任放入上下文與主客體屬性中綜合考慮。本文模型使用信任的概念，通過評估主體的先期行為，給出相關信任度，來預測其未來行為。主體s的信任度可表示為TD（s）且o≤TD（s）≤l。訪問主體的信任度將直接影響AC決策。信任度的計算可依托第三方可信平臺。公式3表示的是擴展了信任的AC決策。

函數req_trust（）返回授權訪問客體屬性的最低信任度，即信任度閾值，圖3為信任度閾值的基本計算過程。

如果函數req_trust（）不能評估發送訪問請求的主體的信任度，那么應將最低信任度設置為l，以最大程度保護客體隱私。

3.2 隱私保護的引入方法

隱私保護是協作環境下的危機管理需解決的另一個重要問題。本文關注于客體的隱私保護，用到了明確定義的目的的概念。本文目的的定義相似于文獻所述：如果訪問請求是以其他的打算而不是與之相關的打算為目的的，那么數據庫中的記錄就該被保護起來。

一個明確定義（Well-definedPurpose）的目的應包含如下性質：

（1）無重疊：兩個目的不應該存在交集。如公式4所示：

令M為目的的意義集合，T為系統的時間戳集合，mt為M在給定時間戳T與目的集P相關的一個函數，mt：P×T→M。再令me為一個與實體（主體與客體）及目的相關以確定M僮的函數me：P×E→M。接下來的性質表示：明確定義的目的必須是一致（時間相關）且無沖突（實體相關）的。

（2）一致（時間相關）：目的的意義不隨時間的變化而變化。如公式5所示：

（3）無沖突（實體相關）：某個實體的相關目的的意義應于其他實體的相同。如公式6所示，其中E代表AC實體集合：

該函數用于返回主體屬性目的集（s.P）或客體屬性目的集（o.P）。因此，最終的訪問控制決策FACD（）依賴于函數p_assign（）、信任度評估函數TD（）以及函數pa_i（）的評估值，如公式8所示：

4 協作危機管理系統原型工具設計與訪問控制權限驗證

本節給出案例分析。以地震中的危機管理為例，危機管理場景可由以下通用階段組成：

Phase o：發生自然災害（地震）；

Phase 1：-個已連接的且被識別過的政府官員將事件區域。加入系統；

Phase 2：政府官員初始化全局的事件嚴重度，通常是low，也可根據上級指示設置相應等級，此種設置可縮短進入高嚴重度的反應時間；

Phase 3：軍事指揮官接受上級命令登錄系統，并命令配屬及臨時配屬的救災單元f如上文定義的解放軍戰士、醫生及消防車等）登錄系統；

Phase 4：相關用戶作為guest連接到系統，一些用戶查詢公共數據（不需要注冊），而另一些則注冊并登錄系統；

Phase 5：基于事件區域的數量與各危機事件的嚴重度，全局嚴重度可由政府官員根據實際逐級或越級調高：

Phase 6：事件區域XXX的主要建筑物全部損毀，供水供電中斷，人員傷亡慘重，并出現泥石流、瘟疫等次生災害，此時全局嚴重度應被調整為Highest，并啟動相關減災維穩預案。Military指揮官Napoleon指揮各配屬單元進入XXX執行各自的任務。由于危機事件的動態性：

Phase 7：事件結束，政府官員刪除事件區域，下調總體嚴重度至low，保存相關歷史數據。

圖4描述了CMS的通用界面，圖中的例子反映的是高度受信的個體在Phase 3結束后可以看到的視圖。該界面包括以下關鍵組件：一個顯示區域、一些圖標切換按鈕、一個上下文輸入框、一個用戶信息區與一個對話區。顯示區域顯示的是全局地圖與一些信息圖標，包括資源、其他客體、位置信息、事件區域等。

危機事件的上下文信息（如危機事件類型、嚴重度、時間等）可由用戶修改。當前，尚無控制用戶修改上下文信息行為授權的AC規則。我們假定Military Commander或者其他受信用戶有更改權。在實際情況中，只有受信的政府官員才有權更改。

系統中的不同類型的用戶擁有訪問可用信息的不同訪問權限，如圖5所示，Military Commander（Napoleon）擁有最高的訪問權限，他可以看到所有連接到CMS的用戶的信息以及所有的可用資源與區域信息等。另一方面，如圖6所示，在嚴重度為low的上下文中，guest用戶擁有最低的訪問權限，他不能夠看到Military Commander等受信用戶的信息，而MilitaryCommander等受信用戶卻能看到guest用戶（圖5指示的黑色方塊）。

可以預見，一旦上下文信息改變，其他的訪問控制規則將被應用，用戶視圖也將發生相應變化。例如，把上下文信息改為Highest，所有用戶（包括非受信用戶）的用戶視圖將顯示更多信息。圖6與圖7顯示了上下文信息更改前后的地圖信息對比。

5 總結與展望

本文提出了擴展信任與隱私以支持協作危機管理的ABAC模型，模型將預先定義的主體及客體與各自的屬性集合結合起來。其最終AC決策應取決于如下條件的綜合：訪問相關的主客體屬性、訪問相關的ABAC策略集合的評估、訪問實體的信任度與訪問目的的兼容性與給定的上下文。該擴展模型繼承了ABAC模型細粒度、靈活性及易擴展等優點，并擁有信任與隱私保護等優點，因而特別適用于高度動態化的協作環境。作為概念的首次驗證，本文的模型執行于一個現實的案例中：危機管理系統原型工具CMS與危機事件場景。在協作上下文中，行為者可高效且可靠的指導危機事件的管理，其原型系統闡述了AC、上下文、信任與隱私保護的問題。

未來工作中，我們將深入調查該模型在真實的危機事件中的功能，評估其對軍隊非戰爭軍事行動的指導的可行性研究。在信任與隱私保護領域，我們計劃研究模型的時序問題，如信任與隱私保護函數的事件持續性問題。