基于角色的安全訪問控制方法

山東省萊西市第一中學 劉豐毓

青島華新博源智能科技有限公司 丁惠一

基于角色的安全訪問控制方法

山東省萊西市第一中學 劉豐毓

青島華新博源智能科技有限公司 丁惠一

本文研究的基本思路是：根據信息系統安全風險評估的基本原理和基于任務訪問控制模型的相關理論，構建了一種基于風險評估的對等網絡訪問控制模型。節點之間進行交互時，主體節點先進行本次交互任務的風險評估，以實現主體節點對目標節點訪問權限的動態管理，從而達到網絡系統安全的目標。本文的分析場景為P2P 網絡資源共享應用。

角色；訪問控制；網絡安全；評估；P2P

1.風險評估

風險評估的目的就是對某一交互任務可能帶來的風險進行分析，評估安全威脅的發生可能性及其影響程度，為安全策略的確定提供依據。風險評估與分析是一個復雜的過程，其包括主體節點共享資源價值的評價、主體節點本身脆弱性識別和可能來自目標節點的威脅識別。

資源作為對等網絡中最有價值的基本元素，是REMAC的第一評估要素。首先對網絡系統中的所有資源進行合理分類，分析其安全需求。這里的安全需求主要包括共享資源的機密性、完整性、可用性三個方面。

定義1 機密性(Confidentiality)：是資源的一種安全屬性，指資源所達到的未提供（泄露）給非授權用戶的程度，以C(s)表示某一資源s的機密性，，其中。定義2 完整性(Integrity)：是資源的一種安全屬性，指資源不能被非授權篡改或破壞的屬性，以I(s)表示某一資源s的完整性，，其中。定義3 可用性(Availability)：是資源的一種安全屬性，指被授權用戶按訪問控制的要求可訪問資源的程度，以A(s)表示某一資源s的可用性，，其中。定義4 資源價值(Asset value)：是資源一種重要程度的屬性，它是資產（資源）識別的主要內容，以V(s)表示某一資源s的價值，，其中。顯然，本次交互任務需要訪問的資源規模越大，資源的價值也越大。因此，設Q(s)為本次交互任務需要訪問資源s的規模，。那么，由資源的機密性、完整性、可用性及其規模，得到目標節點需要訪問的資源價值為：

主體節點Zn的脆弱性為：

其中，KI為主體節點進行資源共享交互發生安全事故的次數，KS為主體節點進行資源共享交互沒有發生安全事故的次數。α1，α2為預定的參數值，表示每個子項的權重值。

威脅識別是目標節點使本次交互任務可能發生不安全事件內在或外在因素的綜合。這里主要從3個方面來分析：1）目標節點的前期交互行為；2）目標節點的可靠性；3）其他節點對目標節點的評價。

定義5 來自目標節點前期交互行為的可能威脅：

其中MI為目標節點在資源共享交互中有非法行為的次數，MS是行為良好的次數。

定義6 假設來自目標節點可靠性的可能威脅為：

其中πoff為目標節點的離線時間，πon是其在線時間。為目標節點在以前進行資源共享交互中丟包率的平均值

2.訪問控制模型

本文對任務訪問控制模型進行了擴展，從目標節點（服務請求節點）對資源訪問的具體需求出發，并綜合考慮了本次資源共享交互中服務提供節點和目標節點的各種內外因素，對本次交互任務進行風險評估，以實現靈活動態的授權機制，這種安全策略正好滿足P2P網絡分布式訪問控制的安全需求。為了方便對REMAC進行形式化描述，先給出一些相關的概念。

定義8 任務（Task）：就是節點間進行資源共享的一個邏輯單元，是可區分的對某一資源的動作。

定義9 授權步（Authorization step）：表示為As，是指對某一資源的原子操作，一個任務可依次分為多個授權步來完成，其中任何一個授權步的失敗都將導致整個任務的失敗。

授權步之間存在著相互依賴關系，包括了順序依賴、失敗依賴、失敗代理依賴和失敗撤銷依賴。順序依賴是指：授權步As1完成之后，As2才能被激活；失敗依賴是指授權步As1失敗之后，As2才能被激活；失敗代理依賴是指授權步As1失敗之后，才能由As2代理執行；失敗撤銷依賴是指授權步As1失敗之后，As2的授權被收回。

才能完成，主體節點Zn可以根據安全需求和訪問控制策略進行動態的訪問權限管理。

3.安全性能分析

為了使REMAC模型能夠抵御一些典型的安全攻擊。我們在REMAC模型中增加身份認證和保密通信機制。身份認證就是當目標節點有訪問請求時，主體節點需對其身份進行識別，然后才能依據本次任務的風險值來確定是否授權，以及目標節點能夠擁有何種訪問權限。由于P2P網絡的自組織等特性，沒有權威的第三方參與，只能由參與交互的雙方來確認對方的身份。在系統初始化，每個節點獨立地生成一個公鑰密鑰對(Kp, Ks)，其中公鑰Kp公開，任何兩個節點進行通信時均采用公鑰密碼體制進行加密。同時，目標節點在發送訪問請求信息時，則采用其私鑰Ks進行數字簽名，主體節點收到請求信息后，可以采用目標節點的公鑰Kp進行身份驗證。

下面來分析REMAC模型針對一些典型攻擊的防御性能。

所謂女巫攻擊，是指某惡意節點在網絡系統中以多個身份非法地出現，以影響網絡系統的整體效率和可用性。由于該模型采用了數字簽名來進行節點的身份驗證。因此，能夠有效地抑制女巫攻擊。

冒名是指惡意節點偽裝成別的節點并使用其身份信息進行訪問。由于所有的請求信息都需要目標節點的簽名密鑰進行了簽名，并且與目標節點唯一的身份信息聯系在一起，因此理論上惡意節點不可能通過獲得別的節點的密鑰對而進行偽裝。

竊聽攻擊是指信息在通信過程中被惡意用戶通過一些技術手段獲取到。但由于所有的信息在傳輸過程中均采用了公鑰密碼體制進行了加密，因此就算惡意用戶獲取了這些信息，在理論上也無法解密。

[1]梅紅巖,張玉潔,孟祥武.非結構P2P 網絡受限搜索機制[J].軟件學報,2013,24(9):2132-2150.

[2]Endo K,Imaoka A,Okano D,et al.A search method using temporary links for unstructured P2P networks[J].Journal of Networks,2014,9(7):1665-1673.

[3]郭世澤,陸哲明.復雜網絡基礎理論[M].北京:科學出版社,2012.

[4]史蒂文·泰迪里斯著.李井奎譯.博弈論導論[M].北京:中國人民大學出版社,2015.

[5]謝季堅,劉承平.模糊數學方法及其應用[M].武漢:華中科技大學出版社,2000.

劉豐毓（1999—），男，山東萊西人，高三在讀，善于鉆研，熱衷于計算機程序開發，尤其是計算機安全、網絡安全方面較為突出。

丁惠一（1978—），男，山東萊西人，研究生，現供職于青島華新博源智能科技有限公司，主要研究方向：物聯網、智能控制、計算機軟件、大數據及云計算等核心技術的建筑智能和節能環保，發表專利有《中央空調智能運維系統》、《中央空調監控系統》、《水冷式中央空調控制系統》。