基于可信計算的動態訪問控制策略研究

◆石興華 曹金璇 朱衍丞

?

基于可信計算的動態訪問控制策略研究

◆石興華 曹金璇 朱衍丞

（中國人民大學信息技術與網絡安全學院 北京 100038）

針對目前公安信息系統使用的結合PMI框架和傳統RBAC模型的靜態訪問控制策略在對公安信息資源利用上存在的許多不足。本文在對基于信任和角色的訪問控制模型及公安合成作戰平臺進行了深入的研究及擴展后，提出了一套適應于公安合成作戰平臺的基于可信計算的動態訪問控制策略，使公安系統的數據資源在保證安全性的前提下得到最充分的融合與利用，從而能夠杜絕“信息孤島”的產生。

PKI/PMI；RBAC；可信計算；動靜態訪問控制

0 前言

近年來，隨著技術的發展、互聯網的普及，人類社會已經進入了一個數據大爆炸的時代。大數據觀念和大數據技術已經開始滲透到各個領域中。大數據背景下，公安工作的信息化建設及應用的發展直接影響到了公安隊伍處理應用信息的能力[1]。

公安合成作戰平臺是在原有公安信息系統體系架構支撐的平臺基礎上，基于人工智能和大數據技術所提出的一個公安綜合信息系統。它不僅可以實現新形勢下的處置指揮模式，即打破現公安信息系統中存在的信息孤島，并依托通信網絡技術，以指揮作戰一體化為主線，打破各部門不同警種間的界限并科學地整合信息資源，使其能夠緊緊地圍繞指揮、情報、勤務三個環節來大力推進情指聯動、情勤對接的情報指揮一體化運行機制，進一步拉近情報與實戰、指揮與行動的距離[2]。

然而，現有的公安信息系統采用的是基于PKI/PMI的身份認證與授權訪問體系，這種方法雖然很大程度上提升了系統安全性，但傳統的RBAC是一種靜態訪問控制的方式，即存在著資源分配不均，權限與角色關聯方式過于單一的問題已經不適應于公安合成作戰平臺。在公安工作中，就會造成不需要直接頻繁接觸業務數據的領導擁有過高的權限，而經常接觸各類數據的基層民警權限太低，這在時間和空間上都是對資源的一種浪費?；谝陨蠁栴}，本文將擴展后的基于信任與角色的訪問控制模型應用到公安合成作戰平臺中，提出了一種適合于公安系統的動態訪問控制策略。

1 PMI下的傳統RBAC模型

PMI概述：

PMI（Privilege Management Infrastructure，權限管理基礎設施）是一種較為傳統的對身份進行認證的技術，能夠為系統提供統一的授權管理服務機制。即通過屬性證書（Attribute Certificate，AC）來滿足系統中對于權限的分發、驗證及撤銷的要求[3]。訪問控制模塊所采用的訪問控制框架為 X.812|ISO 10181[4]，如圖1所示。該框架中包含了訪問控制系統設計時所需的一些基本訪問控制功能組件，主要包括：訪問請求的發起者、AEF（Access Enforcement Function，訪問控制執行功能）模塊、ADF（Access Decision Function，訪問控制決策功能）模塊和目標資源四部分。

系統中資源的使用者，即訪問控制模型中的用戶請求發起者；數據資源，以及外部設備等資源構成了目標資源；AEF則能夠建立從發起者與目標資源之間的通信聯系，通過把發起者的訪問請求變成一個三元組，并按照ADF返回的決策信息，來實施訪問操作或拒絕訪問請求；ADF則是負責根據系統的授權策略來對AEF的發送請求信息進行判定，再將判定的結果發送給AEF0。在基于PMI訪問控制的公安信息系統中采用的是RBAC模型。

2 基于RBAC的靜態訪問控制策略

訪問控制作為網絡安全防范和保護的主要策略，其主要職責是為了阻止系統中非法用戶的進入，同時還需要防止系統中合法用戶對資源的非法使用。RBAC（Role-Based Access Control，基于角色的訪問控制模型）是有機結合了傳統的MAC（Mandatory Access control，強制訪問控制）和DAC（Discretionary Access Control，自主訪問控制）模型而出現， 它能夠將系統不同的權限與用戶的不同角色相關聯并建立映射，在用戶被分配為合適角色后，即獲得角色的權限，這樣能極大地簡化系統中的權限管理。

而作為訪問控制的基礎，訪問矩陣的基本思想是將所有的訪問控制信息存儲在一個全局矩陣X中，X中的行對應于主體，列對應于客體，X中的每一個元素X[i，j]表示主體i對客體j所具有的訪問權限。例如：在某個信息系統中有五個主體User1-5，以及四個客體Data1-4，其訪問控制矩陣授權關系如表1所示。

表1 訪問控制矩陣

其中O表示主體完全擁有客體，R表示主體能夠對客體進行讀操作，W表示主體可以對客體進行寫操作。可以看到在表1中，User1-4都分別擁有不同的客體資源，卻幾乎沒有權限去訪問其他主體的資源；User5雖然未擁有客體資源但卻擁有最高權限，即可以對其他所有主體的數據資源進行讀寫操作。

在各省市的公安信息系統訪問控制策略中，幾乎都符合表1中的訪問控制矩陣：User5就代表著局長等頂層領導干部，User1-4就代表各部門基層業務民警，而在平臺運行前就已經通過PKI/PMI機制賦予了他們與在部門中角色相對應的訪問權限。但在實際公安工作中，領導根本不需要頻繁地直接接觸各下屬部門如交管部門、技偵部門的數據，但卻給了他們最高訪問權限；相反，各部門業務民警卻可能每天都會與不同部門的不同類型數據打交道。比如在面對毒品交易案件時，民警可能就需要從刑偵部門獲取犯罪嫌疑人的個人信息數據；從交管部門獲取嫌疑人的駕車逃竄路線數據；從技偵部門獲取嫌疑人的電話聯系數據等。

然而現在的公安信息系統中，各部門數據要求權限過高，業務民警要想跨越權限訪問其他部門的數據資源，則需要向上級層層報備、等待批示，倘若領導臨時有事出差，則耽誤了偵破案件的時間，有礙于對辦案效率要求極高的公安工作。特別是像User2這樣的基層業務民警，自己雖擁有一方資源卻對其他所有部門的資源都沒有任何權限，儼然就形成了一座閉塞的“信息孤島”。從安全的角度來講，這樣的訪問控制策略固然是最好的，幾乎可以完全保護到公安工作中所有敏感數據不被泄露。但從如今大數據的發展趨勢來講，這樣對信息數據是一種浪費。

3 研究現狀

Ferraiolo等[6]首先提出了基于角色的訪問控制（RBAC），并于2004年形成了NIST RBAC[7]標準。隨著對系統工程的研究逐漸深入，對于RBAC模型的改進和擴展也不斷被研究人員提出并在各類信息系統中得到應用實踐。但由于公安業務的特殊性及諸如合成作戰平臺的公安系統訪問控制的復雜度過高，一直沒有合適的模型成功應用。

文獻[8]按照訪問客體類型及其層次關系將域內的訪問控制邏輯分層處理，從而得到一種用于訪問控制的層次模型，此模型能在公安系統中在不同層次上保護不同類型的客體對象，但作者并未給出具體的實現方案。文獻[9]建立了一種創新層次化角色關系模型，這種模型采用的是樹型角色結構，雖然能提高模型對系統角色的管理能力，但卻不符合公安合成作戰平臺中角色層次的繼承形式和授權管理效率。文獻[10]提出繼承域的概念并提出了一種基于繼承域的角色層次模型，從而改善了傳統模型中對系統角色的層次和系統私有角色分配不均勻的問題，但模型對于公安合成作戰平臺這樣復雜組織結構的描述能力仍然不夠理想。

通過以上可以看出，研究對于RBAC模型的改進主要是通過層次劃分或引入采用樹形結構來達到訪問控制的細粒度化及授權管理的便捷化、可擴展化。但用戶在建立角色的映射之后，所擁有的權限就已經確定而不能動態調整，導致整個訪問控制機制僵化例如，當訪問用戶不再是合法用戶時，它可能會對公安信息系統中的重要敏感數據造成威脅；而對于可信用戶，訪問權限無法獲得提升。換句話說，在這種基于RBAC的靜態控制訪問中，用戶能夠自主地對系統進行選擇訪問，但系統卻無法“選擇”用戶。

對于動態訪問控制的研究，文獻[11]中提出了基于PKI的分布式RBAC模型（G-RBAC），它使用對可變屬性值的授權證書來讓系統動態地根據登錄環境來對用戶授予不同權限。但作者旨在研究針對分布式系統下的跨域訪問控制，對域內訪問控制沒有深入分析。文獻[12]提出了一種基于信任和角色的動態訪問控制（Trust and Role-Based Access Control，T&RBAC）模型，在角色與權限中間增加了服務和服務級別這兩個實體元素從而避免為每個權限設置信任關系。本文就是基于擴展后的T&RBAC來提出適合于公安合成作戰平臺的訪問控制策略。

4 基于信任與角色的動態訪問控制模型

T&RBAC模型實質是將信任管理（Pervasive Trust Management,PTM）模型[13]與RBAC模型相結合，實現可信動態授權。圖2給出T&RBAC模型的基本結構。

可以看出，在T&RBAC模型中，因為服務和服務級別這兩個實體元素的出現，并且把可信計算引入動態訪問控制策略當中。依據最小特權原則，這里的服務是具有完整獨立功能的權限集合，下面結合公安系統的實例說明這種動態分配過程及特點。

圖2 T&RBAC模型結構圖

假設在某公安合成作戰平臺中，W部門對于基層民警的系統權限及在對應的服務級別如圖３和圖４所示，在初始時刻，如果有一個信任度T1，且T1∈[h0,h1]的Z部門基層民警，對W部門的數據資源沒有任何權限。但在一段時間的人機交互后，用戶信任度上升為T2，且T2∈[h2,h3]，則此時這個民警就可以獲得最高為服務級別2的權限，可以選擇將數據共享于Z部門或者整個合成作戰平臺，也包括服務級別2的對數據瀏覽。其中，對民警的信任度的計算方法如下：

在實際計算中，可用time類下的strptime方法將轉換為unix時間戳方便計算。通常民警對數據服務器的訪問都是在工作時間，若在工作時間外進行訪問，無論是想要竊取數據還是加班作案，()都可以以民警是否提交反饋為標準來對用戶行為進行放大；另外，visit表示用戶訪問數據次數；abnormal表示違規操作（權限與操作不符）次數。雖然每個數據服務器都有制定不同的服務-服務級別-權限映射，但用戶在使用時可能會不遵從自己的對應權限對數據進行惡意竊取或破壞，比如用戶在修改的時候將數據內容全部刪除等。行為規范指數σ可以準確反映用戶操作與實際權限的匹配度。

基于信任與角色的模型很大程度上解決了靜態訪問控制無法動態調整訪問權限的問題，使傳統的RBAC模型更加適用于如今大數據環境下公安合成作戰平臺的戰略要求，在提高各部門資源的利用率，杜絕“信息孤島”又能具有一定的安全性。

圖３ 初始時刻信任度與服務關系

圖4 變化后時刻信任度與服務關系

5 總結

本文根據基于信任和角色的訪問控制模型對原公安合成作戰平臺訪問控制策略進行改進，可在實現數據資源安全的前提下，很好地實現動態訪問控制，解決了以往基于傳統RBAC模型的靜態訪問控制缺乏靈活性而不利于如今公安大數據發展的問題。在以后的研究工作中，可以針對具體的公安工作元素來對策略中的評價因子進行更貼合、更豐富的選取，來保證計算結果的可靠性。

[1]曹金璇,張建嶺.公安信息系統應用課程體系建設研究[J].計算機教育,2012(14):63-66.

[2]雷霆,那正平,陳紅耀.公安合成作戰平臺建設與應用[J].警察技術,2017(04):19-22.

[3]胡和平，汪傳武，一種基于角色訪問控制的新模型及其實現機制[J] .計算機研究與發展，第37卷，第1期，2001.1,37-43.

[4]鄒曉，基于角色的訪問控制模型分析與實現。微計算機信息， 2006，22(63):108-110.

[5]郭軍. 基于角色的訪問控制分級授權管理的研究[D].西安電子科技大學,2012.

[6]Ferraiolo D，Kuhn R． Role-based access controls［C］．Proceedings of 15th National Computer Security Conference，Washington，DC：IEEE，1992: 554-563.

[7]Ferraiolo D F，Sandhu R，Gavrila S，et al． Proposed NIST standard for role -based access control［C］．ACM Transactions on Information and System Security ( TISSEC) ，2001: 224-274．

[8]吳開超,沈志宏,周園春,閻保平.信息系統訪問控制的層次模型[J].計算機工程與設計,2009,30(01):22-24+50.

[9]任志宇,陳性元,張斌,王俊.一種新型的角色層次化關系模型[J].信息工程大學學報,2010,11(01):88-92+98.

[10]李飛行,慕曉冬,張璐,宋洪軍.RBAC模型中角色繼承的改進[J].火力與指揮控制,2012,37(09):129-132.

[11]徐松,趙曦濱,顧明.網格環境下的分布式RBAC模型框架[J].計算機工程,2006(06):163-166.

[12]高鵬祥. 基于信任和角色的動態訪問控制模型的研究和設計[D].天津大學,2014.

[13]Almenarez F, Marin A, Díaz D, et al. Developing a model for trust management in pervasive devices.Pervasive Computing and Communications Workshops, 2006. Per Com Workshops 2006. Fourth Annual IEEE International Conference on. IEEE, 2006: 267~272.

項目支持：1、國家重點研發計劃[2016YFB0801100]。2、中國人民公安大學研究闡釋2018年中央政法工作會議和全國公安廳局長工作會議精神專項課題[2018XKZTHY17]，“大數據戰略下公安合成作戰平臺建設研究”。