基于信任度的公安合成作戰平臺動態訪問控制策略

石興華 曹金璇 朱衍丞

(中國人民公安大學信息技術與網絡安全學院 北京 100038)

0 引 言

目前公安合成作戰平臺訪問采用基于PKI/PMI的身份認證與訪問控制框架[1-2]。其中PMI采用基于角色的訪問控制策略[3-5]，即基于民警業務崗位、行政級別進行缺省的靜態授權。這種靜態訪問控制策略和授權的方式仍處于粗粒度控制階段，不能適應公安信息化深度應用對信息資源綜合共享利用的需求，給公安業務開展帶來諸多不便。

例如，當開展一個重大刑事案件偵辦時，業務偵查民警可能需要從交管部門獲取嫌疑人的駕車逃竄路線數據，從技術部門獲取嫌疑人的電話聯系數據等。然而，現行公安合成作戰平臺的訪問控制策略，部門間數據的相互訪問所需權限會更高，普通民警跨部門獲取辦案數據需向上級層層申報批準，這種方式往往容易錯過偵破案件的最佳時機。

針對以上問題，本文通過對信任度理論[6-7]及公安合成作戰平臺用戶資源訪問權限控制策略的深入分析，提出了一種結合用戶自身屬性、案件性質、用戶歷史操作行為、風險評估[5]等不同維度進行用戶信任值[9]量化的信任機制[10]。基于這種信任機制，結合大數據技術應用，對傳統的基于角色的訪問控制模型[11-12]進行了相應改進與擴展。在遵循公安合成作戰平臺原有PKI/PMI框架的前提下，優化PMI中用戶授權方法，提出了一套動態訪問控制策略。

實驗結果表明，該策略既能滿足大數據背景下公安合成作戰平臺的應用對用戶角色授權的細粒度需求，又能保證公安合成作戰平臺具有良好的安全性。

1 平臺訪問的信任度計算

公安合成作戰平臺訪問中的信任度計算包括用戶系統交互信任評價、直接信任度評價和間接信任度評價三個主要因素。

1.1 用戶系統交互信任評價

用戶與公安合成作戰平臺交互行為的信任評價可參考用戶行為信任評價模型，采用帶有不同權重的評價因子進行量化。它包括評價因子的選取和一次交互行為的信任度評價。

1.1.1評價因子選取

結合公安合成作戰平臺實際，評價因子的確定需要考慮用戶自身屬性、辦案性質、數據操作行為等多種不同因素。

(1) 用戶屬性 這里的用戶是指訪問公安合成作戰平臺的民警，其屬性主要包括警務級別α和偵破能力β兩個方面(注：公式中系數的選取為方便計算，可根據實際公安工作需求進行動態調整)。

① 警務級別α：警務級別α由用戶的“警齡”和“警級”來確定。當遇到一個未知用戶發送的請求時，系統評價模型首先計算該用戶的信任值是最直接、最可靠的方式。

α=0.01×year×level

(1)

式中：year表示用戶入警時間(單位：年)；level表示用戶的警務等級。

② 偵破能力β：偵破能力β由用戶主導或參與的結案數目來確定，即：

式中：n、m分別表示民警從警以來主導案件結案數、參與案件結案數，若案件性質為“重大刑事案件”，則結案數×2。

(2) 辦案性質 放權風險度φ與案件級別和案件主偵人員的類別有關，案件級別和主偵人員的級別越高，放權風險度φ越大。即：

式中：N為參與案件偵查的人員數目；Γ為風險權值，表示系統對用戶行為風險的接受程度；μ為案件級別，即：

ρ為立案之時，公安系統判定的案件主偵人員類別：

H為信息熵，表示不確定信息量：

(3) 數據操作 用戶對數據操作涉及的兩個重要問題，一個是數據使用行為規范，另一個是數據使用結果反饋。

① 行為規范指數σ:雖然每個數據服務器都有制定不同的服務-服務級別-權限映射，但用戶在使用數據時可能會違背系統賦予的權限而對數據進行惡意竊取或破壞，比如用戶在修改的時候將數據內容全部刪除等。行為規范指數σ可以準確反映用戶操作與實際權限的匹配度。行為規范指數σ的計算公式為：

式中：visit表示用戶操作數據次數；abnormal表示違規操作(權限與操作不符)次數；c表示民警請求訪問數據服務器的具體時間，格式為“HH:MM(小時：分鐘)”；t(c)表示時間函數，并有：

實際計算中，可用time類下的strptime方法將c轉換為unix時間戳方便計算。通常民警對數據服務器的訪問都是在工作時間，若在工作時間外進行訪問，則有泄露數據的可能。式(8)還根據時間對c進行了細粒度劃分。

② 數據反饋γ：民警在使用其他部門數據后必須提交使用報告反饋，以證明所訪問數據與辦案情況真實相關，因為使用報告內容必須通過人工審查，這里只用數據反饋γ來表示用戶使用報告的反饋情況，計算公式為：

“這年頭咋死的都有，前天我上網看見個賊漂亮的妞兒，在自個兒家里摔了，砸到了魚缸，割破了動脈，沒人救流血流死了，白瞎那么風騷了。”潘陽說。

γ=0.3×λ

(9)

式中：λ為Booleans值表示民警數據反饋狀態，提交反饋報告為1，否則為0。

1.1.2一次交互行為評價值

設Tar為可選取的以上評價因子，對應的評價因子集則為Target={Tar1,Tar2,…,Tarn}。且各評價因子對應權重為{ω1,ω2,…,ωn}，ω1+ω2+…+ωn=10。則一次交互后的行為評價R為：

且：

1.2 直接信任度評價

直接信任度的定義為根據歷史用戶系統交互信任度即由直接經驗計算而得出的信任值，用符號DRS表示，其形式化描述為：

DRS=f(ER,OR,ES)

(12)

式中：DRS表示實體ER對ES的直接信任關系，其信任程度分布在信任域OR上，即直接信任關系有以下關系：

DRS→ES∈OiOi∈PTSR

(13)

第i次交互后的直接信任度計算公式為：

(14)

Di-1表示第i-1次交互的綜合信任度；η為用于調整Di和D′影響比重的信任分配系數；h為獎勵系數，用于在信任評價中調控信任度；r為懲罰系數，用于降低不信任評價的信任度，且h

1.3 間接信任度評價

間接信任度評價[13]是指通過第三方或消息傳遞而獲得的信任關系，而非經過直接經驗獲得。間接信任度評價用來表示權限審計員對的用戶信任值的評價，用IRS表示；實體R到實體S間的審計員(包括線上、線下)數量為NumO/U則其形式化定義為：

IRS→Trust(ER,ES)=Trust(ER,NumO/U,ES)

(16)

第i次交互后的間接信任度計算公式為：

Ii={σ×score1+(1-σ)×score2}×

Ii-1,score1,score2∈(0,1]

(17)

結合公安合成作戰平臺中的動態訪問控制模型，審計員OLA和ULA可以根據用戶使用數據提交的申請及反饋報告來給出用戶在某一時刻的訪問評分score1、score2；σ、(1-σ)為對應權值；Ii-1表示用戶上一次訪問的評分。

1.4 綜合信任度

綜合信任度是直接信任度和間接信任度的加權平均，用符號Ti表示，公式為：

Ti=θ×Di+(1-θ)×Ii

(18)

式中：Di為第i次交互后的直接信任度；Di為第i次交互后的間接信任度；θ為信任能力系數，用于分配直接信任度與間接信任度對總信任度的影響權重。

2 動態訪問控制策略設計

2.1 動態訪問控制框架

基于所提出的對用戶信任值進行計量的方法，在不改變公安合成作戰平臺原PKI/PMI框架的前提下，設計的動態訪問控制框架如圖1所示。系統的身份認證及動態授權由各個部分相互協作共同完成。

在整個框架中身份認證與訪問控制體系被劃分為四個模塊：身份認證模塊、權限過濾模塊、屬性證書管理模塊、權限審計模塊，分別由不同組件或子系統互相協作完成。系統的身份認證過程仍沿用原生的PKI模式，主要根據用戶的登錄信息及用戶USB Keys提供的PIN碼來驗證用戶數字證書的合法性，是保障系統及數據安全的第一道“防線”，為確保公安合成作戰平臺具有較高的安全性，這部分不做改動。

2.2 動態訪問控制模塊設計

在系統訪問控制方面，仍以擴展后的屬性證書簽發中心AA為整個訪問授權過程的中心，負責屬性證書查詢及發布。同時新增了審計管理系統AM，并利用信任度計算對AA所發布證書進行動態監督及調整。各模塊具體職能分布如表1所示。系統中各部門維護各自的數據庫，能夠及時更新數據，做到信息準確、安全。同時，為防止信息泄露，保證信息絕對安全，用戶訪問部門數據服務器的整個流程都需要用會話(Session)進行記錄。

表1 動態訪問控制詳細功能列表

續表1

因為Session為全局變量，系統中各個模塊皆可調用，故可以在Session中添加若干屬性記錄用戶行為，包括：(1) 數據操作。在Session中設立相關字段記錄用戶對數據的操作。(2) 數據反饋。由于公安信息數據資源具有極高的敏感性，若民警跨部門訪問權限要求高的數據，除了提交數據使用說明外，還必須提交反饋報告，里面包括數據的具體用途、取得效果、案件進展等，確保用戶所獲得的數據權限與實際案件需要相符。

在審計管理系統AM中，為了確保數據絕對安全，用戶行為的部分審計工作須由人工來完成，故除了設立在線審計員外，還需要線下審計員，其各自主要職能如下：

1) 線下審計員(Under-line auditor，ULA)。根據公式計算出的用戶信任值一定會存在一定程度的偏差，但若能加上人工審計，就會使計算結果更加準確。除了參與信任度計算以外，ULA還負責對信任信息庫按時維護、權限調整結果管理等工作。

2) 線上審計員(On-line auditor，OLA)。因為公安工作對辦案及時性要求比較高，若民警想要在短時間內跨權限訪問數據服務器，則需要通過線上審計員直接進行審核，OLA可以根據用戶請求的數據隸屬單位向上級提出申請，將原先的辦案申請流程放到了線上進行，可加快辦案效率。

ULA和OLA需要共同維護信任信息庫，而信任信息庫又為用戶信任度計算提供決策支持。

2.3 動態訪問控制授權的實施過程

策略中每個用戶權限設置過程如圖2和圖3所示，為權限管理方便，在角色與權限中間增加了服務和服務級別[11]這兩個實體元素。若以P、S、Sl分別表示權限集合、服務集合、服務等級集合，則權限指派關系(Permission assignment，PA)形式化定義為：PA?S×Sl×P。權限指派是指權限到服務級別，服務級別到服務的映射關系。這部分由各部門服務器負責管理，大多數下都是以靜態形式存放，又以服務策略的形式傳遞給LDAP對照其他映射進行授權。下面結合公安實戰的一個案例，說明動態訪問控制授權的實現過程。

假設有X部門對于基層民警的數據權限及對應的服務級別如圖2和圖3所示。

圖2 初始信任度與服務關系

圖3 一段時間后信任度與服務關系

從圖2、圖3中可以看到，一個信任度TrustValue1，且TrustValue1∈[hold0,hold1]的Y部門基層民警，在初始時刻對X部門的數據資源沒有任何權限。用戶在與系統友好交互之后，自身信任度上升為TrustValue2，且TrustValue2∈[hold2,hold3]，則此時這個民警就可以獲得最高為服務級別2的權限，可以選擇將數據共享于Y部門或者整個信息系統，也包括服務級別2的對數據瀏覽。策略在保留了原RBAC模型優點的同時，加入服務和可信機制，避免了靜態訪問缺陷。對于信任閾值的設定，需結合保密規定所明確的數據涉密級別，設定相應的閾值，如部門數據敏感度高的，可適當提高信任閾值。

3 策略驗證與對比分析

針對本文提出的基于信任度的動態訪問控制策略以及傳統的靜態訪問控制策略，結合民警對公安合成作戰平臺訪問及使用的實例對參數進行假設，采用變量控制法并選取合適的評價因子進行計算：如表2中交管總隊隊長即001用戶第一次訪問涉及到的用戶屬性評價因子的計算過程為：

1) 用戶001身份為警司二級且從警10年，結合式(1)、式(2)，則警級α=0.01×10×(4+2×0.1)=0.42。

表2 測試結果與對比

按照同樣的方式計算出所有評價因子后，選取合適的參數后可以得到001用戶在系統的交互評價信任度、直接信任度，再結合間接信任度，最后計算出綜合信任值。用同樣的方法計算出交管業務民警002的綜合信任值，則用戶001、002在第10次訪問后在原靜態訪問控制策略與本文提出的動態訪問控制策略中的權限分配結果如表2、圖4、圖5所示。

圖4 動態訪問控制下的權限分配

圖5 靜態訪問控制下的權限分配

可以看到，在傳統基于RBAC的靜態訪問控制策略中，用戶權限固定無法更改。而在本文提出的基于信任度的動態訪問控制策略中，系統會根據用戶與計算機的交互情況計算出用戶的信任值，而用戶的權限也會隨著信任值改變而改變。用戶到權限的映射關系不再僅局限于用戶的固定身份，而由許多不同維度決定的間接信任值和直接信任值共同決定，能夠有效實現公安合成作戰平臺的動態訪問控制。同時，數據服務器端可以維護自己的角色到權限的閾值范圍并對用戶信任值計算公式進行適當調整，以達到數據訪問控制的最佳狀態。以上測試對比足以說明本策略具有極高的靈活性及安全性。

4 結 語

本文以合成作戰平臺動態訪問授權策略建議為實例，對系統原靜態訪問控制策略進行了改進，提供給公安機關實際應用的借鑒。通過模擬民警與平臺交互過程，證明了此策略可在保障數據資源安全的前提下，結合用戶的可信操作行為和用戶業務處理的實際需求來動態調整資源訪問權限的授予機制。這能對平臺用戶進行細粒度的動態訪問授權，使民警能夠通過提升可信度的方法，來提升其對其他部門數據資源的訪問權限。本文解決了以往基于傳統RBAC模型靜態訪問控制缺乏科學合理、高效、靈活的問題，使系統中相連接的各部門數據能夠最大化共享利用，從而提高公安合成作戰的效率，且符合智慧警務戰略下對公安信息化工作提出的新需求、新思路。