一種基于CPK角色訪問控制的方案

陳亞茹

(河南工業貿易職業學院信息工程系 鄭州 450012)

(642200814@qq.com)

移動辦公用戶接入到WiFi通過服務器身份認證成功之后，用戶可以訪問公司內網的電子文檔.電子文檔的傳統保護方法是對文檔進行加密存儲，用戶破解密鑰后就擁有訪問電子文檔的所有權限[1].在訪問過程中非法用戶可以通過拷貝、復制等方式泄露公司的機密數據，造成公司巨大的經濟損失.因此如何加強對公司內部機密電子文檔的保護是一個研究重點.

公司內部電子文檔從文檔本身加密和分配用戶訪問權限2個方面進行保護，因此移動辦公用戶訪問公司文檔時需要進行身份認證、權限控制、文檔加解密等操作，實現公司內部電子文檔的安全訪問[2].文獻[3]提出了基于公鑰基礎設備(public key infrastructure, PKI)的數字簽名方案，在一定程度上實現電子文檔的傳輸數據安全，但是存在CA權威和信任度缺陷的問題.針對文獻[3]存在CA權威和信任度缺陷的問題，文獻[4]提出了基于組合公鑰(combined public key)的電子文檔保護方案，實現接收方直接通過解密電子文檔就可以擁有全部權限的功能，但是存在權限不明確的問題.針對文獻[4]存在權限不明確的問題,文獻[5]提出了CPK與自主訪問控制(DAC)相結合的保護方案,根據用戶而不是角色來授權電子文檔的操作權限，但是存在難以有效地控制自主授權方式,出現重復授權等情況，不利于管理.針對文獻[5]存在重復授權的問題,文獻[6]提出角色訪問控制電子文檔管理的方案，解決了重復授權的問題，但是沒有解決權限細化的問題.針對權限細化的問題，即隨著訪問者數量的增加，不同的角色需要訪問不同的資源,基于角色訪問控制(role-based access control, RBAC)的模型應運而生[7].隨著用戶的增加，基于RBAC訪問策略控制模型出現了許多問題[8]，特別是在面對多層次用戶的訪問環境時，傳統的基于角色訪問控制技術不能完全展現自身優勢.針對RBAC訪問策略控制模型出現的問題，人們提出了RBAC95模型[9]和RBAC96模型[10].其中RBAC95模型存在不支持細粒度訪問控制的問題，RBAC96模型中存在角色權限及其繼承關系復雜性、不支持多用戶訪問控制環境的問題.文獻[11]針對角色訪問策略模型存在的問題，提出改進的多層次訪問策略，但是增加了整個體系管理成本.隨著組合公鑰的提出和深入研究，文獻[12]提出了CPK與RBAC訪問策略結合的方案.文獻[13]把CPK與RBAC訪問策略結合的方案應用到實際中，指出CPK-RBAC是解決身份認證的安全問題和細粒度保護措施的基礎.文獻[14]指出文獻[12]僅提出了權限集、會話集，在約束集上沒有解決的措施.針對約束集上的問題，文獻[14]提出了一種CPK與RBAC96模型相融合的方案，采用繼承和約束的關鍵技術對訪問控制進一步細分，解決了訪問控制中權限沖突等問題，進一步實現了訪問的安全，但是在移動辦公中增加了管理員管理的負擔.

基于此，針對移動辦公過程中限制訪問者權限目前需要滿足下面2個條件：

1) 授權終端用戶ID，分配給用戶一定權限訪問公司內部數據；

2) 給用戶分配不同的角色，使得用戶不可以越權訪問公司內部數據.

通過以上分析，本文提出了CPK和角色訪問控制相結合的改進模型CPK-RBAC.該模型的思想是在保留RBAC96中繼承約束關系的基礎上，去除RBAC97模型中繼承關系的復雜度，引入用戶組并通過密鑰加密文檔，每個密鑰代表不同的權限，同時對密鑰賦予相應的用戶.不同密鑰保護不同的文檔，不同用戶分配不同的密鑰，合法用戶只有根據自己密鑰權限才可以解密相應的文檔，保證了公司文檔的安全.

1 基于CPK角色訪問控制的設計

1.1 基于CPK角色訪問控制的目標

本文的總體思路是CPK和角色訪問控制相結合，把用戶標識(用戶標識信息、安全級別)貫穿到身份認證和訪問控制中.首先，CPK服務器為每一個用戶分配一個安全級別和用戶擁有該級別的安全級別密鑰，并引入用戶組來實現角色為核心的訪問控制；其次，根據用戶的操作行為劃分成不同的用戶等級，每個等級具有相同的密鑰，用戶在執行訪問操作之前，進行身份權限的檢查；最后，判斷用戶是否有權限進行這個操作，若有這個權限，允許用戶執行相應密鑰的授權人員才能解密文檔，否則拒絕非法用戶的訪問.

1.2 基于CPK角色訪問控制模型

訪問控制是先確定訪問者身份，之后根據身份進行權限分配.RBAC模型根據權限實現用戶和權限的分離，本文從下面幾個方面對RBAC模型進行改進：

1) 引入了用戶組的概念.改進的模型支持對用戶組和用戶的授權，每一個分組授予不同的角色,每個角色擁有不同的權限，用戶組授權使授權工作進一步簡化，可以把傳統管理員進一步細分成系統管理員、審計管理員、安全保密員.其中對用戶的授權由系統管理員來實現，改變了傳統上全部工作由管理員來完成的任務，用戶劃分為高層用戶、中層用戶、一般用戶和低級用戶；

2) 為每個用戶分配一個安全級別且用戶擁有安全級別對應的密鑰.通過密鑰加密文檔，每個密鑰代表不同的權限，同時密鑰賦予相應的用戶.不同密鑰保護不同的文檔，合法用戶只有根據自己密鑰權限才可以解密相應的文檔.文檔解密后，通過服務器計算公鑰，進一步檢測文檔的完整性.客戶端通過該方式訪問公司內部文檔，保證了公司文檔的安全.

CPK與角色訪問控制模型(RBAC)的結合方式如圖1所示：

圖1 CPK與RBAC訪問策略結合方式

1) 符號的含義

CPK KMC：CPK的密鑰管理中心；U:用戶集；R：角色集；P：權限集；S：會話集；C：用戶組.描述如下：

PA∈p×R，表示多對多的權限與用戶分配關系，PA∈{(r,p)|r∈R,p∈P}P×R;

UA?U×R，表示多對多的用戶與角色的分配關系，UA={(u,r)|u∈U}U×R;

US:S→U,表示會話到用戶集的映射，每個會話對應單個用戶；

SR:S→R,表示會話集到角色集的映射函數；

RH?R×R，表示角色集R的關系；

UC:U→C，表示給用戶指定用戶組；

CA:C→A，表示對指定的用戶組授權；

UA:U→A，表示對用戶直接授權.

綜上所述，CPK和RBAC模型是通過用戶ID標識聯系在一起.在CPK系統中，終端用戶向CPK密鑰注冊中心(RMC)申請用戶注冊，在經過密鑰注冊中心的核審后把標識發送給密鑰管理中心(KMC)，密鑰生成中心(KPC)生成用戶ID返回給用戶.訪問控制根據用戶標識分配角色，并根據角色為用戶分配相應級別的權限.通過增加支持用戶和用戶組授權，對用戶的權限和授權部門進一步細化，使管理員授權用戶角色更加方便.

2) CPK ID證書

嵌套CPK ID證書的CPK TF卡由CPK密鑰管理中心生成，經過密鑰注冊中心分發到用戶終端.CPK TF卡中存放的內容包括以下幾項.

① CPK TF卡公開的信息：用戶姓名、年齡等.

② 頒發機構的信息.

③ 用戶標識：姓名、單位名稱、電話、郵件、賬號等.

④ 權限(等級)密鑰kp：在公司內網中，為了保護文件的信息，需要對文件進行強制密級劃分，并為移動辦公用戶分配相應的權限密鑰.權限密鑰kp采用對稱密鑰AES算法加密，在口令pwd加密下存放：Epwd(kp).相同權限用戶的級別密鑰是相同的，高級別權限的用戶擁有比自己級別低的權限密鑰.例如：假定機密權限等級高于秘密和公開的權限，那么擁有機密權限的用戶，也同時擁有秘密和公開的權限密鑰.其中，公司內部文檔分為4個等級：絕密、機密、秘密、內部.

⑤ 級別(角色)密鑰kc：在多個領域中，需要對用戶進行不同級別的劃分，這個級別通過對稱密鑰實現.kc在口令pwd加密下存放：Epwd(kc).級別相同的用戶具有相同級別密鑰.

⑥ 應用環境參數：不同領域的用戶標識是不同的，比如電子郵件需要郵件標識、辦公用戶需要用戶名等.

⑦ 私鑰SSK:SSK由密鑰管理中心生成，并用隨機數加密私鑰，防止私鑰的泄露，即Er(SSKn).其中不同用戶隨機數是不同的，用戶自己保存隨機數，防止CPK TF丟失，造成信息泄露的問題.

⑧ 公鑰矩陣PSK.

3) 用戶權限和用戶角色

根據ID證書可以確定用戶角色和設置用戶權限.用戶角色劃分如圖2所示：

圖2 用戶角色劃分示意圖

① 確定用戶角色

角色等級由管理員和用戶等級2部分組成.管理員分為系統管理員、審計管理員、安全保密員3種級別，不同管理員對系統分別進行管理；根據用戶訪問文檔角色等級，系統管理員把用戶劃分為高層用戶、中層用戶、一般用戶、低級用戶.系統管理員管理用戶級別并為其發放ID證書，不同級別用戶擁有不同的權限.

② 設置用戶權限

根據用戶角色進行相應的權限設置.若用戶是高層用戶，則其證書具有絕密、機密、秘密、公開的對稱密鑰，若用戶是中層用戶則具有3個密鑰，一般用戶具有2個密鑰，低級用戶具有2個密鑰.

當終端用戶登錄到CPK服務器時，CPK服務器根據用戶名和PIN碼來獲得用戶的基本信息，查詢用戶屬于哪個用戶組，可以對應訪問等級密鑰.

2 基于CPK角色訪問控制的實現

基于CPK-RBAC的訪問控制設計主要采用下面3個算法實現，分別是配置密鑰、文檔加密和解密過程.

2.1 配置密鑰

配置密鑰包括文件密鑰配置、角色密鑰配置和等級(權限)密鑰配置.配置密鑰過程如下：

1) 文件密鑰配置

① 絕密級別密鑰變量key1；

② 機密級別密鑰變量key2；

③ 秘密級別密鑰變量key3；

④ 公開級別密鑰變量key4.

2) 角色密鑰配置

① 系統管理員密鑰變量c_key1;

② 高層用戶密鑰變量c_key2;

③ 中層用戶密鑰變量c_key3;

④ 一般用戶密鑰變量c_key4;

⑤ 低級用戶密鑰變量c_key5.

3) 等級密鑰配置

① 機器產生隨機密鑰：Ran_key=256 b，每一臺機器產生不同的密鑰；

② 定義初值：data=256 b，采用口令pwd輸入；

③ 采用AES加密，計算：

ERan_key(data)=data1;

Edata(data1)=data2;

Edata1(data2)=data3;

Edata1(data3)=data4.

④ 若用戶是高層用戶，把data1,data2,data3,data4寫入等級密鑰區；

若用戶是中層用戶，把data2,data3,data4寫入等級密鑰區；

若用戶是一般用戶，把data3,data4寫入等級密鑰區；

若用戶是低級用戶，把data4寫入等級密鑰區.

把用戶ID標識、角色密鑰、等級密鑰、私鑰、公鑰矩陣、時間戳等寫入ID證書.

2.2 文檔加密過程

服務器產生隨機數Ran，利用等級密鑰對文檔加密.

ERan⊕c_keyn⊕keyn(data)=coded_text;
EPK(Ran)=coded_key.

服務器先把文檔分成不同的等級，后用文件對應的等級密鑰加密文檔.用戶根據CPK ID證書中用戶級別進行文檔訪問，級別高的用戶可以訪問級別低的用戶.

2.3 文檔解密過程

文檔收到服務器發送的信息，利用等級密鑰進行解密.

DSK(coded_key)=Ran;
DRan⊕c_keyn⊕keyn(coded_text)=data.

首先檢測用戶級別是否大于文檔級別，若用戶擁有權限，用ID證書中對應的文件等級密鑰解密文檔.

綜上所述，基于CPK-RBAC的訪問控制流程如圖3所示：

圖3 CPK-RBAC訪問控制流程圖

1) 系統為每個用戶劃分一個等級， CPK管理中心基于這個等級生成并分發ID證書.終端用戶插入CPK TF卡向CPK服務器發送登錄請求，CPK服務器根據強身份認證(PIN碼和用戶密碼)對用戶進行身份認證；

2) 當終端身份認證通過之后，用戶提出訪問公司內部某級別文件時，服務器首先查看電子文檔的說明(級別等)，之后提取用戶ID標識，終端訪問公司內部文件服務器獲取用戶的信息，并查詢用戶屬于哪個用戶組，并獲得用戶安全級別，當用戶的安全級別高于該文件的級別時，允許用戶繼續進行步驟3)，否則訪問結束；

3) 用戶訪問的文檔是加密后的密文，用戶利用等級密鑰解密文檔，之后再利用對方公鑰進行數字簽名驗證來檢測文檔的完整性，如果文檔完整允許繼續進行步驟4);

4) 查看用戶訪問文檔的具體權限，進行只讀、只寫，完成對文檔的操作.

系統基于ID標識為用戶分配一個安全級別且用戶擁有該級別的安全密鑰，實現不同級別用戶對不同文件進行操作，若用戶越權使用文檔，則服務器采取措施阻止非法用戶的訪問.

3 系統測試

圖4 身份認證

本方案配置Windows系統中安裝虛擬機VM，在虛擬機上安裝了Windows Server2003,Windows Server2003作為服務器.其中服務器端含有CPK算法模塊，終端含有CPK算法模塊的ID標識.采用Java語言對訪問的文檔進行測試.實驗包括2個部分：一是根據CPK ID標識測試終端的合法身份；二是測試用戶根據權限對文檔的訪問操作.用戶登錄進行身份認證如圖4所示，文檔訪問如圖5所示：

圖5 文件訪問

身份認證測試結果表明，系統對用戶身份認證成功之后，根據CPK ID標識把權限準確細分給用戶，用戶根據自己的權限密鑰訪問對應的等級密鑰文檔，防止用戶越權訪問文檔，實現公司內部數據的安全.

4 結束語

本文設計了一種基于CPK的角色訪問控制方案.從CPK、訪問控制等方面，在保留RBAC96中繼承約束關系的基礎上，去除RBAC97模型中繼承關系的復雜度，通過密鑰加密文檔，不同密鑰保護不同的文檔，不同用戶分配不同的密鑰，合法用戶只有根據自己密鑰權限才可以解密相應的文檔，防止非法用戶越權訪問.