李鳳華，陳天柱，王震，張林杰，史國振，郭云川

?

復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問控制機(jī)制

李鳳華1,2，陳天柱1,2，王震3，張林杰4，史國振5，郭云川1

（1. 中國科學(xué)院信息工程研究所信息安全國家重點(diǎn)實(shí)驗室，北京 100093；2. 中國科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100049；3. 杭州電子科技大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，浙江 杭州 310018；4. 中國電子科技集團(tuán)公司第五十四研究所，河北 石家莊 050081；5. 北京電子科技學(xué)院信息安全系，北京 100070）

以天地一體化網(wǎng)絡(luò)、物聯(lián)網(wǎng)和復(fù)雜專用網(wǎng)絡(luò)為代表的復(fù)雜網(wǎng)絡(luò)環(huán)境（CNN, complex network environment）具有設(shè)備動態(tài)接入，網(wǎng)絡(luò)異構(gòu)、眾多和信息跨網(wǎng)流動頻繁等特點(diǎn)。上述特點(diǎn)給復(fù)雜網(wǎng)絡(luò)環(huán)境下的訪問控制技術(shù)帶來細(xì)粒度控制、策略跟隨和策略語義歸一化等一系列新需求。針對這些需求，將面向網(wǎng)絡(luò)空間的訪問控制機(jī)制映射到復(fù)雜網(wǎng)絡(luò)環(huán)境中。首先展示訪問控制機(jī)制的具體映射過程，其次提出相應(yīng)的訪問控制管理模型，并用Z符號形式化地描述管理模型中的管理函數(shù)。實(shí)例分析表明，該訪問控制機(jī)制可滿足上述一系列新需求。

復(fù)雜網(wǎng)絡(luò)環(huán)境；跨網(wǎng)；天地一體化網(wǎng)絡(luò)；訪問控制機(jī)制；管理模型

1 引言

近年來，以天地一體化網(wǎng)絡(luò)[1]、物聯(lián)網(wǎng)[2]、復(fù)雜專用網(wǎng)絡(luò)為代表的復(fù)雜網(wǎng)絡(luò)環(huán)境快速發(fā)展。美國衛(wèi)星工業(yè)協(xié)會發(fā)布的《2016年衛(wèi)星產(chǎn)業(yè)狀況報告》調(diào)查表明，從2006年到2015年全球衛(wèi)星工業(yè)產(chǎn)值平均每年呈現(xiàn)9%以上的增長率[3]；Gartner預(yù)測物聯(lián)網(wǎng)設(shè)備在2015年達(dá)到50億臺，2020年將達(dá)到250億臺。復(fù)雜網(wǎng)絡(luò)環(huán)境的快速發(fā)展給人們的日常生活帶來了巨大便利，同時也產(chǎn)生了大量的安全問題，尤其是數(shù)據(jù)安全問題。因此，作為保護(hù)數(shù)據(jù)被合法訪問的先進(jìn)技術(shù)，研究復(fù)雜網(wǎng)絡(luò)環(huán)境下的訪問控制技術(shù)顯得尤為必要。

復(fù)雜網(wǎng)絡(luò)環(huán)境具有設(shè)備動態(tài)接入、網(wǎng)絡(luò)異構(gòu)、眾多和信息跨網(wǎng)流動頻繁等特點(diǎn)。例如，天地一體化網(wǎng)絡(luò)由天基骨干網(wǎng)、天基接入網(wǎng)、地基節(jié)點(diǎn)網(wǎng)、地面互聯(lián)網(wǎng)和移動通信網(wǎng)等異構(gòu)網(wǎng)絡(luò)組成。在該網(wǎng)絡(luò)中，海量地面用戶頻繁動態(tài)接入，天基接入網(wǎng)獲取的地面實(shí)時信息經(jīng)由天基骨干網(wǎng)流向地基節(jié)點(diǎn)網(wǎng)。上述特點(diǎn)給復(fù)雜網(wǎng)絡(luò)環(huán)境訪問控制技術(shù)帶來諸多新需求。1) 細(xì)粒度控制：復(fù)雜網(wǎng)絡(luò)環(huán)境具有海量信息，不同用戶對這些信息具有不同的使用權(quán)限，粗粒度控制會帶來大量安全問題。2) 策略跟隨：數(shù)據(jù)信息在網(wǎng)間頻繁流動，其相應(yīng)的控制策略未跟隨數(shù)據(jù)信息本體到新網(wǎng)時會造成用戶失去對數(shù)據(jù)的控制。3) 策略語義歸一化：數(shù)據(jù)信息在流動過程中跨越不同網(wǎng)絡(luò)，網(wǎng)絡(luò)間策略語言的不一致性可能會造成策略在網(wǎng)間轉(zhuǎn)化時出現(xiàn)錯誤。

研究者們基于傳統(tǒng)訪問控制模型，針對復(fù)雜網(wǎng)絡(luò)環(huán)境的某些特點(diǎn)，提出了不同的訪問控制機(jī)制。針對物聯(lián)網(wǎng)設(shè)備動態(tài)接入特點(diǎn)，文獻(xiàn)[4~6]基于訪問控制列表[7]提出基于Capability的訪問控制模型。在該模型中，組織或個人可對訪問設(shè)備進(jìn)行細(xì)粒度管理。針對智能電網(wǎng)跨安全網(wǎng)特點(diǎn)，文獻(xiàn)[8]將角色[9]定義范圍從局部微電網(wǎng)擴(kuò)展到局部交互微電網(wǎng)和遠(yuǎn)程微電網(wǎng)。針對物聯(lián)網(wǎng)網(wǎng)絡(luò)異構(gòu)和信息頻繁流動的特點(diǎn)，文獻(xiàn)[10]擴(kuò)展可信[11]的概念，提出了終端到終端的安全交流和訪問機(jī)制。針對天地一體化網(wǎng)絡(luò)的動態(tài)性特點(diǎn)，文獻(xiàn)[12]融合角色安全性和可用性、屬性[13]靈活性等優(yōu)勢提出一種分布式的訪問控制框架。文獻(xiàn)[14]基于角色、上下文[15]和動態(tài)的偏好知識，提出一種用戶可連續(xù)訪問的控制模型。然而，上述基于傳統(tǒng)訪問控制模型提出的方案很難解決復(fù)雜網(wǎng)絡(luò)環(huán)境下信息流跨網(wǎng)問題，例如，基于Capability的訪問控制模型無法對流出該網(wǎng)的數(shù)據(jù)進(jìn)行控制，新網(wǎng)中可能不存在與源網(wǎng)中該數(shù)據(jù)對應(yīng)的角色，進(jìn)而失去該數(shù)據(jù)原本的訪問策略。

文獻(xiàn)[16]提出了面向網(wǎng)絡(luò)空間的訪問控制機(jī)制（CoAC, cyberspace-oriented access control model）。該機(jī)制使用設(shè)備、接入點(diǎn)、時間、網(wǎng)絡(luò)以及相關(guān)屬性因素描述策略，實(shí)現(xiàn)了網(wǎng)絡(luò)空間對細(xì)粒度控制、策略跟隨和策略語義一致性等訪問控制需求。本文將面向網(wǎng)絡(luò)空間的訪問控制機(jī)制映射到復(fù)雜網(wǎng)絡(luò)環(huán)境上，呈現(xiàn)復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問控制機(jī)制（CACCN, cross-network access control mechanism for complex network environment）。天地一體化網(wǎng)絡(luò)具有“節(jié)點(diǎn)海量、多異構(gòu)網(wǎng)融合、信息跨網(wǎng)流動頻繁”等特點(diǎn)，是一種典型的復(fù)雜網(wǎng)絡(luò)環(huán)境。因此，本文以天地一體化網(wǎng)絡(luò)為例，具體展示映射過程，主要貢獻(xiàn)如下。

1) 針對復(fù)雜網(wǎng)絡(luò)環(huán)境對細(xì)粒度控制、策略跟隨和策略語義歸一化等需求，通過映射面向網(wǎng)絡(luò)空間的訪問控制機(jī)制，提出了面向復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問控制機(jī)制，實(shí)現(xiàn)對復(fù)雜網(wǎng)絡(luò)環(huán)境信息流跨網(wǎng)控制。實(shí)例分析表明，所提出的訪問控制機(jī)制可解決上述需求。

2) 針對訪問控制管理的復(fù)雜性，給出了訪問控制管理模型，并用Z符號[17]形式化地描述了管理模型中的管理函數(shù)和管理方法。

2 基于CoAC的復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問控制

本節(jié)首先呈現(xiàn)從CoAC到CACCN的映射過程，然后詳細(xì)給出CACCN的實(shí)施機(jī)制并分析其滿足的安全需求。

2.1 從CoAC到CACCN的映射

下面，以天地一體化網(wǎng)絡(luò)為例，具體展示從CoAC到CACCN的映射過程。該映射是由8個映射函數(shù)組成，每個映射函數(shù)的原像與像的主要區(qū)別在于訪問控制屬性。

訪問控制屬性是指訪問請求實(shí)體通過網(wǎng)絡(luò)對資源訪問時所涉及的所有與權(quán)限分配相關(guān)的特征，分為2類：與安全相關(guān)的所有屬性（）和與安全不相關(guān)的通用屬性（）。一般地，和可用向量表示，向量中的分量表示一種屬性。例如，加密方式是的分量，傳輸帶寬是的分量。

映射1 訪問請求實(shí)體映射。在天地一體化網(wǎng)絡(luò)中，訪問請求實(shí)體包括2類：用戶和訪問代理，記為=<,>，其中，用戶包括3類，空基用戶、?；脩艉完懟脩簦槐硎静渴鹪诘孛骊P(guān)口站、衛(wèi)星和終端中的訪問代理，可以是一個裝置或進(jìn)程；表示所有的請求實(shí)體集。

映射2 接入點(diǎn)映射。類似于CoAC，接入點(diǎn)（AP, access point）是指資源訪問請求實(shí)體首次接入天地一體化網(wǎng)絡(luò)時路由網(wǎng)絡(luò)首跳點(diǎn)所在的空間位置（space location）或網(wǎng)絡(luò)標(biāo)識（network identity）。

天地一體化網(wǎng)絡(luò)接入點(diǎn)的通用屬性包括接入速率（）、接入類型（）、接入策略（）、接入?yún)f(xié)議（）、通信頻段（）、支持的用戶數(shù)量（）、接入總帶寬（）等；安全屬性與CoAC中接入點(diǎn)的安全屬性相同，包括加密類型（）、安全傳輸協(xié)議（）等。接入點(diǎn)的通用屬性（和安全屬性（）可分別表示為

=<,,,,,,, …>

=<,, …>

其中，包括光接入、微波接入和有線接入等；包括控制信道接入和業(yè)務(wù)信道接入；接入?yún)f(xié)議集合包括FDMA、TDMA、CDMA和OFDMA等；接入頻段集合包括L頻段和S頻段等。

映射3 資源映射。資源是指天地一體化網(wǎng)絡(luò)中訪問請求實(shí)體訪問的對象，如密碼資源、偵查監(jiān)視衛(wèi)星和對地監(jiān)測衛(wèi)星所獲得的數(shù)據(jù)等。資源（）可用二元組<,>表示，其中，表示的唯一標(biāo)識，表示的內(nèi)容。

資源的通用屬性包括資源擁有者（）、資源類型（）、資源訪問策略（）、資源大?。ǎ?、資源是否在國土可見范圍（）、存儲地點(diǎn)（）。資源的安全屬性包括安全等級（）、被允許操作（）、加密方式（）等。的通用屬性（）和安全屬性（）可分別表示為

=<,,,,,, …>

=<,,,…>

其中，包括管理類數(shù)據(jù)（）和應(yīng)用類數(shù)據(jù)（）。包括測控數(shù)據(jù)、位置數(shù)據(jù)、狀態(tài)數(shù)據(jù)、申請數(shù)據(jù)、廣播數(shù)據(jù)和網(wǎng)管數(shù)據(jù)等。按照流動方向，可劃分為前向數(shù)據(jù)和返向數(shù)據(jù)；按照內(nèi)容，可劃分為文本、圖片、語音和視頻等。

映射4 訪問設(shè)備映射。訪問設(shè)備（）是指天地一體化網(wǎng)絡(luò)中訪問請求實(shí)體訪問資源時所使用的設(shè)備，主要包括高速航天器終端、天基骨干網(wǎng)地面終端、Ka大容量寬帶便攜/固定終端、高軌衛(wèi)星移動軍用手持/民用車載終端、低軌星座手持/車載終端、Ku（FDMA）便攜/固定終端、Ku（TDMA）便攜/固定終端等。

設(shè)備的通用屬性（）包括設(shè)備空間位置（）、設(shè)備移動速度（）、設(shè)備移動方向（）、通信頻段（）、通信帶寬（）、接入優(yōu)先級（）等；設(shè)備安全屬性包括加密機(jī)制（）、安全等級（）等。資源（）的通用屬性（）和安全屬性（）可分別表示為

=<,,,,,,…>

=<,, …>，

設(shè)備可用三元組<,,>表示，其中，表示設(shè)備ID。

映射5 網(wǎng)絡(luò)—天基骨干網(wǎng)絡(luò)映射。天基骨干網(wǎng)絡(luò)（SBN, space backbone network）是位于地球同步軌道的若干天基骨干節(jié)點(diǎn)（SBNO, space backbone node）通過激光通信或微波通信連接而成的網(wǎng)絡(luò)，天基骨干節(jié)點(diǎn)是數(shù)據(jù)中繼、路由交換、信息存儲、處理融合的載體。天基骨干網(wǎng)絡(luò)可表示為無向連通圖SBN=（SBN,SBN），其中，SBN={1, …,sbno}為圖的頂點(diǎn)集，表示天基骨干節(jié)點(diǎn)集，sbno表示第個天基骨干節(jié)點(diǎn)，1≤≤，≥3；SBN= {<sbno,sbno1>|1≤≤,sbno1=1}為邊集，表示天基骨干節(jié)點(diǎn)間的傳輸鏈路。SBN中任何頂點(diǎn)只與前后2個頂點(diǎn)相連，其含義是同步軌道上的天基骨干節(jié)點(diǎn)只與前后骨干節(jié)點(diǎn)通信。為了簡潔，用表示天基骨干網(wǎng)絡(luò)的邊。

天基骨干節(jié)點(diǎn)通用屬性包括控制者（）、關(guān)口站是否可見（）、傳輸協(xié)議（）、計算能力（）、存儲能力（）、功能（）、空閑信道數(shù)量（）等。天基骨干節(jié)點(diǎn)安全屬性包括加密方式（）、所支持的安全傳輸協(xié)議（）等。其中，表示骨干節(jié)點(diǎn)由誰控制，包括受低軌衛(wèi)星控制或受地面控制，包括衛(wèi)星傳輸協(xié)議（STP, satellite transport protocol）等，包括數(shù)據(jù)中繼、路由交換、信息存儲、處理融合等。頂點(diǎn)的通用屬性（）和安全屬性（）分別表示為

=<,,,,,,, …>

=<,, …>

天基骨干網(wǎng)絡(luò)邊的通用屬性（）包括通道類型（）、通信帶寬（）、服務(wù)質(zhì)量（）、物理鏈路層協(xié)議（）、路由協(xié)議（）、網(wǎng)絡(luò)層協(xié)議（）、傳輸層協(xié)議（）和通信頻段（）等；天基骨干網(wǎng)傳輸?shù)陌踩珜傩园ò踩燃墸ǎ?、加密類型（）、所支持的安全傳輸協(xié)議（）等。邊的通用屬性（）和安全屬性（）分別表示為

=<,,,,,,,, …>

={<,,,…>

其中，包括2類：通信信道（）和控制信道（），包括Laor和Dra等，包括IP和DTN等，包括HQRP（hierarchical QoS routing protocol）和LAOR（location-assisted on demand）協(xié)議等，包括TCP和UDP等，包括L頻段和S頻段等。

映射7 網(wǎng)絡(luò)—地基節(jié)點(diǎn)網(wǎng)絡(luò)映射。地基節(jié)點(diǎn)網(wǎng)絡(luò)（GNN, ground node network）是由多個地面互連的地基骨干節(jié)點(diǎn)（GBN, ground backbone node）、Ku寬帶衛(wèi)星關(guān)口站（KUG, Ku bandwidth satellite gateway）、Ka大容量寬帶衛(wèi)星關(guān)口站（KAG, Ka satellite gateway）和S衛(wèi)星關(guān)口站（SS, S satellite gateway）通過地面高速骨干網(wǎng)絡(luò)等方式連接而成的網(wǎng)絡(luò)，地基骨干節(jié)點(diǎn)包括關(guān)口站和信息港，主要完成網(wǎng)絡(luò)控制、資源管理、協(xié)議轉(zhuǎn)換、信息處理、融合共享等功能，并實(shí)現(xiàn)與其他地面系統(tǒng)的互聯(lián)互通。

地基節(jié)點(diǎn)網(wǎng)絡(luò)可用無向圖GNN(GNN,GNN)表示，其中，GNN=GBN∪KUG∪KAG∪SS為圖的頂點(diǎn)集，GBNKUG、KAG、SS分別表示地基骨干節(jié)點(diǎn)、Ku寬帶衛(wèi)星關(guān)口站、Ka大容量寬帶衛(wèi)星關(guān)口站、S衛(wèi)星關(guān)口站的對應(yīng)節(jié)點(diǎn)。GNN為GNN所構(gòu)成完全圖的邊集，即GNN={, , , , , }, 其中，?{<,>|∈GBN,∈KUG}表示地基骨干節(jié)點(diǎn)和Ku寬帶衛(wèi)星關(guān)口站相連，由此類推，可得等的含義。

地基節(jié)點(diǎn)網(wǎng)絡(luò)頂點(diǎn)和邊的屬性類型與天基骨干網(wǎng)絡(luò)相同，但屬性值存在差別，這里不再贅述屬性類型。

映射8 網(wǎng)絡(luò)映射。天地一體化網(wǎng)絡(luò)（SGIN, space-ground integrated network）是信息傳播的載體，是所有信息傳播通道的集合。宏觀上，整個天地一體化網(wǎng)絡(luò)可用無向圖SGIN=(SGIN,SGIN)表示，該網(wǎng)絡(luò)的頂點(diǎn)包括天基骨干子網(wǎng)SBN、天基接入子網(wǎng)SAN和地基節(jié)點(diǎn)子網(wǎng)GNN，邊是由SBN、SAN和GNN組成，即

SGIN=SBN∪SAN∪GNN

SGIN=SBN∪SAN∪GNN∪{<sbno,san>| 1≤≤, 1≤≤Q, 1≤≤, 天基骨干節(jié)點(diǎn)sbno和天基接入節(jié)點(diǎn)san可連}∪{<sbno,>|∈GNN,天基骨干節(jié)點(diǎn)sbno與地基節(jié)點(diǎn)可見}∪{< san,>|∈GNN，1≤≤Q, 1≤≤，san關(guān)口站和相連}

天地一體化網(wǎng)絡(luò)中頂點(diǎn)屬性為圖SBN、圖SAN和圖GNN中所有頂點(diǎn)屬性的并集，邊屬性為圖SBN、圖SAN和圖GNN中所有邊屬性的并集。

2.2 CACCN實(shí)施機(jī)制

訪問控制的一個核心問題是如何高效地分配和撤銷訪問權(quán)限，為了解決此問題，本文借鑒CoAC中的權(quán)限管理方式，通過場景來分配和撤銷權(quán)限。場景由廣義時態(tài)、接入點(diǎn)、設(shè)備、網(wǎng)絡(luò)構(gòu)成，在權(quán)限分配時，預(yù)先設(shè)定何種場景對何種客體能執(zhí)行何種操作（即進(jìn)行“場景—權(quán)限”分配）；當(dāng)用戶對客體執(zhí)行某種操作時，權(quán)限決策點(diǎn)首先判定用戶所在場景（即“用戶—場景”判定），基于“用戶—場景”和“場景—權(quán)限”，權(quán)限決策點(diǎn)判定用戶是否具有對客體執(zhí)行該操作的權(quán)限。關(guān)于基于場景的訪問控制的形式定義，請參考文獻(xiàn)[2]。圖1詳細(xì)給出了復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問控制機(jī)制。為了準(zhǔn)確實(shí)施CACCN，本文定義CACCN相關(guān)核心實(shí)施函數(shù)如下。

1):(,,.,.,,)→∪為屬性選擇函數(shù)，用來確定哪些屬性可用作權(quán)限分配的依據(jù)。設(shè)備、資源和復(fù)雜網(wǎng)絡(luò)環(huán)境均擁有大量的安全屬性或通用屬性，設(shè)計此函數(shù)是為了提高策略決策時的效率，需要依據(jù)控制需求選擇其中部分安全屬性或通用屬性作為決策依據(jù)。

2):(,,.,.,,,)→{true,false}為屬性檢查函數(shù)，其中，表示所有屬性值的集合。

3)()→為訪問請求實(shí)體—場景檢查函數(shù)，用于檢查訪問請求實(shí)體所在的場景。

4)(,) →{true,false}為場景—權(quán)限分配函數(shù)，用于分配給定場景所用于的權(quán)限，其中，和分別表示所有場景的集合和所有權(quán)限的集合。返回結(jié)果為true表示分配成功，否則，分配失敗。

圖1 復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問控制機(jī)制

5)(,) →{true, false}為場景—權(quán)限吊銷函數(shù)，用于吊銷分配給定場景的指定權(quán)限。

2.3 CACCN分析

下面分析CACCN如何滿足引言部分所提出的訪問控制需求以及其他需求。

1) 支持細(xì)粒度控制。資源以及場景中的接入點(diǎn)、網(wǎng)絡(luò)等都包含大量細(xì)粒度的安全屬性和通用屬性，并且可依據(jù)需求擴(kuò)展這些屬性。

在實(shí)際應(yīng)用中可預(yù)先定義或?qū)崟r獲取這些屬性的動態(tài)變化值，因此，所提訪問控制機(jī)制是細(xì)粒度的，可對訪問過程作精準(zhǔn)控制。

2) 支持策略跟隨。由于資源通用屬性作為控制因素包含在訪問策略中，同時資源在流動過程中該屬性始終伴隨資源，因而該機(jī)制支持策略跟隨。

3) 支持策略語義歸一化處理。該機(jī)制定義大量共有屬性，采用該機(jī)制的不同機(jī)構(gòu)或組織均能理解這些屬性。采用這些共有屬性控制信息流動時可實(shí)現(xiàn)策略語義歸一化處理。

本文所提訪問控制機(jī)制除了支持這3種核心需求外，還能有效確保機(jī)密性和支持策略自定義。機(jī)密性方面，在設(shè)備、資源和網(wǎng)絡(luò)的通用屬性、安全屬性中定義安全等級和加密算法，該安全等級包含了設(shè)備、資源和傳輸通道的密級，通過實(shí)施策略可確保涉密信息只能在低于其密級的傳輸信道中傳輸，并且只能被具有相應(yīng)角色的用戶所接收，從而保障機(jī)密性。策略自定義方面，資源的通用屬性中包含了資源擁有者的資源訪問策略，因此，除了采用場景進(jìn)行中心化訪問控制授權(quán)之外，每個組織或機(jī)構(gòu)可依據(jù)自身情況自定義對該資源的訪問控制策略。

3 復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問控制管理

在復(fù)雜網(wǎng)絡(luò)環(huán)境中設(shè)備動態(tài)接入，異構(gòu)網(wǎng)絡(luò)彼此連接，海量信息頻繁跨網(wǎng)流動，這使復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問控制機(jī)制異常復(fù)雜，因此，需要設(shè)計一套相應(yīng)的管理模型[18]和管理函數(shù)，確保復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問控制系統(tǒng)能高效安全運(yùn)行。為確保管理函數(shù)語義準(zhǔn)確，本文使用Z符號[17]描述管理函數(shù)。

3.1 復(fù)雜網(wǎng)絡(luò)環(huán)境管理模型

在復(fù)雜網(wǎng)絡(luò)環(huán)境中，管理員通過網(wǎng)絡(luò)服務(wù)系統(tǒng)和運(yùn)維管理系統(tǒng)在給定的時間段內(nèi)利用特定的設(shè)備、特定網(wǎng)絡(luò)對訪問請求實(shí)體分配、撤銷和更新特定資源的訪問權(quán)限。由此可知，管理者通過特定的場景實(shí)現(xiàn)對訪問控制的管理，簡稱為管理場景。

定義1 管理場景（ADSC, administration scene）。定義為四元組（,,,），表示管理者在時間利用設(shè)備在這個訪問點(diǎn)通過網(wǎng)絡(luò)對管理對象進(jìn)行管理。

圖2 復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問控制管理模型

復(fù)雜網(wǎng)絡(luò)環(huán)境管理者通過管理場景對訪問過程進(jìn)行管理，其管理流程如下。超級管理員為管理者分配、撤銷管理場景，并維護(hù)管理場景對應(yīng)的權(quán)限。管理者通過管理場景更新、刪除和修改場景，選取設(shè)備、網(wǎng)絡(luò)、資源的通用屬性和安全屬性。另外，管理者需要日常維護(hù)場景、會話對應(yīng)的權(quán)限，檢測場景的權(quán)限是否存在沖突。訪問請求實(shí)體以某一時間點(diǎn)、接入點(diǎn)、設(shè)備、網(wǎng)絡(luò)申請對資源的某一訪問權(quán)限時，管理模型認(rèn)證其身份，認(rèn)證通過后為其分配會話，并激活會話對應(yīng)的場景進(jìn)而激活該權(quán)限對應(yīng)的場景。管理模型檢測訪問請求實(shí)體的訪問場景是否滿足該權(quán)限對應(yīng)的場景，如果滿足則具有權(quán)限，反之不具有權(quán)限。圖2詳細(xì)給出了復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問控制管理模型。

根據(jù)管理流程，管理對象包括：1) 訪問請求實(shí)體身份、場景中的相關(guān)元素及屬性、資源及屬性和權(quán)限；2) 訪問請求實(shí)體的場景分配、給當(dāng)前訪問請求實(shí)體分配會話、給當(dāng)前會話分配場景、場景與權(quán)限的映射。

基于管理場景，可定義管理模型。由于本文所提模式是文獻(xiàn)[2]的實(shí)例化，根據(jù)文獻(xiàn)[2]和圖2所示的管理模型，很容易定義管理模型組件，本文不再給出管理模型組件的定義。

在復(fù)雜網(wǎng)絡(luò)環(huán)境中，不同管理者存在不同的管理權(quán)限，如超級管理員能夠撤銷所有管理員的權(quán)限。下面定義4個與場景相關(guān)的分配與撤銷函數(shù)。

1):××2→{true, false}為用戶—場景分配函數(shù)，其中，表示能夠獲得管理場景的先決條件。函數(shù)can_assignUS (,,)為真時分配中的管理場景。注意：場景最低的管理員不能為其他管理員分配任何場景。

2):×2{superADSC}→{true, false}為用戶—場景撤銷函數(shù)，,)表示具有管理場景的管理者能夠撤銷分配某個用戶的中的管理場景。注意：超級管理場景是分配其他管理場景的最初入口，是不能撤銷的；另外，場景最低的管理員不能撤銷其他管理員分配任何場景。

3):××2→{true, false}為場景—權(quán)限分配函數(shù)，其中，表示能夠獲得管理權(quán)限的先決條件，表示所有管理權(quán)限的集合。函數(shù)(,,)為真表示具有管理場景的管理者能對滿足條件的場景分配中的管理權(quán)限。

4):×2→{true, false}為場景—權(quán)限撤銷函數(shù)，(,)表示具有管理場景的管理者能夠撤銷分配某個場景的管理權(quán)限。

3.2 復(fù)雜網(wǎng)絡(luò)環(huán)境管理函數(shù)

為了能夠準(zhǔn)確地管理訪問控制過程，需要定義管理函數(shù)。本文將管理函數(shù)劃分為6種：請求實(shí)體—場景管理、場景—權(quán)限管理、場景管理、會話管理、屬性管理、認(rèn)證管理。由復(fù)雜網(wǎng)絡(luò)環(huán)境管理模型定義的4個管理函數(shù)以及與活動數(shù)量相關(guān)的管理函數(shù)（包括用戶當(dāng)前活動場景數(shù)量函數(shù)、用戶活動場景數(shù)量上限函數(shù)、擁有當(dāng)前權(quán)限的場景數(shù)量函數(shù)和給定權(quán)限所允許的活動場景數(shù)量上限函數(shù)）[2]。下面詳細(xì)給出相應(yīng)的管理函數(shù)。

在請求實(shí)體—場景管理中，相應(yīng)的管理函數(shù)為、，如表1所示，其功能分別是為管理者分配管理場景、撤銷管理者具有的管理場景。

表1 請求實(shí)體—場景管理類

在場景—權(quán)限管理中，管理函數(shù)為、、、，如表2所示，其功能分別是為管理場景分配權(quán)限、撤銷管理場景的權(quán)限、修改管理場景的權(quán)限、保證高場景繼承低場景的權(quán)限。

表2 場景—權(quán)限管理類

注： 函數(shù)((,))表示將權(quán)限賦予管理場景的管理員所在的場景，()表示執(zhí)行當(dāng)前操作的管理者所在的場景。

在場景管理中，管理函數(shù)為、、、、、，如表3所示，、、、的功能分別是修改場景時間、接入點(diǎn)、設(shè)備、網(wǎng)絡(luò)因素，的功能是檢測是否存在與該場景沖突的場景，功能是檢查場景。

在會話管理中，管理函數(shù)為、，如表4所示，其功能分別是為訪問請求實(shí)體分配會話、為會話分配場景。

表3 場景管理類

表4 會話管理類

在認(rèn)證管理中，管理函數(shù)為、，如表5所示，其功能分別是選擇通用屬性、安全屬性作為控制要素。

在認(rèn)證管理中，管理函數(shù)為、、、，如表6所示，其功能分別是檢查時間、設(shè)備、接入點(diǎn)、網(wǎng)絡(luò)因素是否在允許的范圍內(nèi)。

表5 屬性管理類

表6 認(rèn)證管理類

注： 函數(shù)allowedValue()表示通用屬性中各個分量所允許的值；對∈進(jìn)行了重載，本文不再定義。

4 結(jié)束語

復(fù)雜網(wǎng)絡(luò)環(huán)境具有設(shè)備動態(tài)接入，網(wǎng)絡(luò)異構(gòu)、眾多和信息跨網(wǎng)流動頻繁等特點(diǎn)，上述特點(diǎn)對訪問控制技術(shù)帶來細(xì)粒度控制、策略跟隨和策略語義歸一化等需求。針對上述需求，本文以天地一體化網(wǎng)絡(luò)為例，通過映射面向網(wǎng)絡(luò)空間的訪問控制機(jī)制，提出了面向復(fù)雜網(wǎng)絡(luò)環(huán)境的訪問控制機(jī)制，實(shí)現(xiàn)了對復(fù)雜網(wǎng)絡(luò)環(huán)境信息流的跨網(wǎng)控制。該機(jī)制滿足復(fù)雜網(wǎng)絡(luò)環(huán)境下細(xì)粒度控制、策略跟隨和策略語義歸一化處理等一系列需求。針對訪問控制管理的復(fù)雜性，給出了訪問控制管理模型，并用Z符號形式化地描述了管理模型中的管理函數(shù)和管理方法。

[1] 沈榮駿. 我國天地一體化航天互聯(lián)網(wǎng)構(gòu)想[J]. 中國工程科學(xué), 2006, 8(10): 19-30.

SHEN R J. Some thoughts of (Chinese) integrated space-ground network system[J]. Engineering Science, 2006, 8(10): 19-30.

[2] GUBBI J, BUYYA R, MARUSIC S, et al. Internet of things (IoT): a vision, architectural elements, and future directions[J]. Future Generation Computer Systems, 2013, 29(7): 1645-1660.

[3] 張蓉, 徐曄, 閔小峰. 美協(xié)會發(fā)表2016年衛(wèi)星產(chǎn)業(yè)狀況報告[J].中國航天, 2016, 8: 38-44.

ZHANG R, XU Y, MIN X F. 2016 SIA state of the satellite industry report[J]. Aerospace China, 2016, 8: 38-44.

[4] ANGGOROJATI B, MAHALLE P, PRASAO N R, et al. Capability-based access control delegation model on the federated IoT network[C]//Symposium on Wireless Personal Multimedia Communications. 2012: 604-608.

[5] GUSMEROLI S, PICCIONE S, ROTONDI D. IoT access control issues: a capability based approach[C]//The IEEE International Conference on Innovative Mobile and Internet Services in Ubiquitous Computing. 2012: 787-792.

[6] GUSMEROLI S, PICCIONE S, ROTONDI D. A capability-based security approach to manage access control in the internet of things[J]. Mathematical and Computer Modelling, 2013, 58(5): 1189-1205.

[7] SAMARATI P, VIMERCATI S D C D. Access control: policies, models, and mechanisms[C]//International School on Foundations of Security Analysis and Design. 2000: 137-196.

[8] CHEUNG H, YANG C, et al. New smart-grid operation-based network access control[C]//The IEEE International Conference on Energy Conversion Congress and Exposition. 2015: 1203-1207.

[9] FERRAIOLO D F, SANDHU R, GAVRILA S, et al. Proposed NIST standard for role-based access control[J]. ACM Transactions on Information and System Security, 2001, 4(3): 224-274.

[10] BERNABE B, RAMOS J, GOMEZ A F S, et al. TACIoT: multidimensional trust-aware access control system for the Internet of Things[J]. Soft Computing, 2016, 20(5): 1763-1779.

[11] GRANDISON T, SLOMAN M. A survey of trust in internet applications[J]. IEEE Communications Surveys & Tutorials, 2000, 3(4): 2-16.

[12] 封孝生, 劉德生, 樂俊, 等. 臨近空間信息資源訪問控制策略初探[J]. 計算機(jī)應(yīng)用研究, 2008, 25(12): 3702-3704.

FENG X S, LIU D S, YUE J, et al. Exploration on access control to near space information resources[J]. Application Research of Computers, 2008, 25(12): 3702-3704.

[13] HUR J, NOH D K. Attribute-based access control with efficient revocation in data outsourcing systems[J]. IEEE Transactions on Parallel and Distributed Systems, 2011, 22(7): 1214-1221.

[14] QI H, MA H, LI J, et al. Access control model based on role and attribute and its applications on space-ground integration networks[C]//The IEEE International Conference on Computer Science and Network Technology. 2015: 1118-1122.

[15] KULKARNI D, TRIPATHI A. Context-aware role-based access control in pervasive computing systems[C]//The ACM Symposium on Access Control Models and Technologies. 2008: 113-122.

[16] 李鳳華, 王彥超, 殷麗華, 等. 面向網(wǎng)絡(luò)空間的訪問控制模型[J]. 通信學(xué)報, 2016, 37(5): 9-20.

LI F H, WANG Y C, YIN L H, et al. Novel cyberspace-oriented access control model[J]. Journal on Communications, 2016, 37(5): 9-20.

[17] DORNYEI Z. Motivational strategies in the language classroom[M]. Cambridge: Cambridge University Press, 2001.

[18] SANDHU R S, COYNE E J. Role-based access control models[J]. Computer, 1996, 29(2): 38-47.

Cross-network access control mechanism forcomplex network environment

LI Fenghua1,2, CHEN Tianzhu1,2, WANG Zhen3, ZHANG Linjie4, SHI Guozhen5, GUO Yunchuan1

1. The State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China 2. School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049, China 3. School of Cyberspace, Hangzhou Dianzi University, Hangzhou 310018, China 4. The 54th Research Institute of China Electronics Technology Group Corporation 54, Shijiazhuang 050081, China 5. Department of Information Security, Beijing Electronic Science and Technology Institute, Beijing 100070, China

Complex network environments, such as space-ground integrated networks, internet of things and complex private networks, have some typical characteristics, e.g., integration of multi-network and information flow in cross-network. These characteristics bring access control for complex network environment the new requirement of coarse-grained control, sticky policies and inconsistent operation semantics. To satisfy these requirements, cross-network access control mechanism in complex network environments (CACCN) was designed by mapping the cyberspace-oriented access control. First of all, the process of mapping was illustrated using the example of space-ground integrated networks. Next, a management model was proposed to manage the control elements in CACCN and a series of management functions were designed by using Z-notation. The analysis on practical example demonstrates that the mechanism can satisfy a series of access control requirements.

complex network environment, cross-network, space-ground integrated network, access control, management model

TP302

A

10.11959/j.issn.1000-436x.2018019

2017-10-28；

2018-01-09

郭云川，guoyunchuan@iie.ac.cn

國家重點(diǎn)研發(fā)計劃基金資助項目（No.2016YFB0801001）；國家自然科學(xué)基金資助項目（No.61672515）

The National Key R&D Program of China（No.2016YFB0801001）, The National Natural Science Foundation of China (No.61672515)

李鳳華（1966-），男，湖北浠水人，博士，中國科學(xué)院信息工程研究所副總工程師、研究員、博士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)與系統(tǒng)安全、信息保護(hù)、隱私計算。

陳天柱（1987-），男，河北秦皇島人，中國科學(xué)院信息工程研究所博士生，主要研究方向為信息安全。

王震（1984-），男，山東聊城人，博士，杭州電子科技大學(xué)副研究員、碩士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)與系統(tǒng)安全、博弈論。

張林杰（1972-），女，河北樂亭人，中國電子科技集團(tuán)公司第五十四研究所研究員，主要研究方向為網(wǎng)絡(luò)安全、通信網(wǎng)絡(luò)與系統(tǒng)。

史國振（1974-），男，河南濟(jì)源人，博士，北京電子科技學(xué)院副教授、碩士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)安全、嵌入式系統(tǒng)、訪問控制。

郭云川（1977-），男，四川營山人，博士，中國科學(xué)院信息工程研究所副研究員，主要研究方向為物聯(lián)網(wǎng)安全、形式化方法。