◆石興華 曹金璇 朱衍丞

?

基于可信計算的動態(tài)訪問控制策略研究

◆石興華 曹金璇 朱衍丞

（中國人民大學(xué)信息技術(shù)與網(wǎng)絡(luò)安全學(xué)院 北京 100038）

針對目前公安信息系統(tǒng)使用的結(jié)合PMI框架和傳統(tǒng)RBAC模型的靜態(tài)訪問控制策略在對公安信息資源利用上存在的許多不足。本文在對基于信任和角色的訪問控制模型及公安合成作戰(zhàn)平臺進(jìn)行了深入的研究及擴(kuò)展后，提出了一套適應(yīng)于公安合成作戰(zhàn)平臺的基于可信計算的動態(tài)訪問控制策略，使公安系統(tǒng)的數(shù)據(jù)資源在保證安全性的前提下得到最充分的融合與利用，從而能夠杜絕“信息孤島”的產(chǎn)生。

PKI/PMI；RBAC；可信計算；動靜態(tài)訪問控制

0 前言

近年來，隨著技術(shù)的發(fā)展、互聯(lián)網(wǎng)的普及，人類社會已經(jīng)進(jìn)入了一個數(shù)據(jù)大爆炸的時代。大數(shù)據(jù)觀念和大數(shù)據(jù)技術(shù)已經(jīng)開始滲透到各個領(lǐng)域中。大數(shù)據(jù)背景下，公安工作的信息化建設(shè)及應(yīng)用的發(fā)展直接影響到了公安隊伍處理應(yīng)用信息的能力[1]。

公安合成作戰(zhàn)平臺是在原有公安信息系統(tǒng)體系架構(gòu)支撐的平臺基礎(chǔ)上，基于人工智能和大數(shù)據(jù)技術(shù)所提出的一個公安綜合信息系統(tǒng)。它不僅可以實現(xiàn)新形勢下的處置指揮模式，即打破現(xiàn)公安信息系統(tǒng)中存在的信息孤島，并依托通信網(wǎng)絡(luò)技術(shù)，以指揮作戰(zhàn)一體化為主線，打破各部門不同警種間的界限并科學(xué)地整合信息資源，使其能夠緊緊地圍繞指揮、情報、勤務(wù)三個環(huán)節(jié)來大力推進(jìn)情指聯(lián)動、情勤對接的情報指揮一體化運行機(jī)制，進(jìn)一步拉近情報與實戰(zhàn)、指揮與行動的距離[2]。

然而，現(xiàn)有的公安信息系統(tǒng)采用的是基于PKI/PMI的身份認(rèn)證與授權(quán)訪問體系，這種方法雖然很大程度上提升了系統(tǒng)安全性，但傳統(tǒng)的RBAC是一種靜態(tài)訪問控制的方式，即存在著資源分配不均，權(quán)限與角色關(guān)聯(lián)方式過于單一的問題已經(jīng)不適應(yīng)于公安合成作戰(zhàn)平臺。在公安工作中，就會造成不需要直接頻繁接觸業(yè)務(wù)數(shù)據(jù)的領(lǐng)導(dǎo)擁有過高的權(quán)限，而經(jīng)常接觸各類數(shù)據(jù)的基層民警權(quán)限太低，這在時間和空間上都是對資源的一種浪費?；谝陨蠁栴}，本文將擴(kuò)展后的基于信任與角色的訪問控制模型應(yīng)用到公安合成作戰(zhàn)平臺中，提出了一種適合于公安系統(tǒng)的動態(tài)訪問控制策略。

1 PMI下的傳統(tǒng)RBAC模型

PMI概述：

PMI（Privilege Management Infrastructure，權(quán)限管理基礎(chǔ)設(shè)施）是一種較為傳統(tǒng)的對身份進(jìn)行認(rèn)證的技術(shù)，能夠為系統(tǒng)提供統(tǒng)一的授權(quán)管理服務(wù)機(jī)制。即通過屬性證書（Attribute Certificate，AC）來滿足系統(tǒng)中對于權(quán)限的分發(fā)、驗證及撤銷的要求[3]。訪問控制模塊所采用的訪問控制框架為 X.812|ISO 10181[4]，如圖1所示。該框架中包含了訪問控制系統(tǒng)設(shè)計時所需的一些基本訪問控制功能組件，主要包括：訪問請求的發(fā)起者、AEF（Access Enforcement Function，訪問控制執(zhí)行功能）模塊、ADF（Access Decision Function，訪問控制決策功能）模塊和目標(biāo)資源四部分。

系統(tǒng)中資源的使用者，即訪問控制模型中的用戶請求發(fā)起者；數(shù)據(jù)資源，以及外部設(shè)備等資源構(gòu)成了目標(biāo)資源；AEF則能夠建立從發(fā)起者與目標(biāo)資源之間的通信聯(lián)系，通過把發(fā)起者的訪問請求變成一個三元組，并按照ADF返回的決策信息，來實施訪問操作或拒絕訪問請求；ADF則是負(fù)責(zé)根據(jù)系統(tǒng)的授權(quán)策略來對AEF的發(fā)送請求信息進(jìn)行判定，再將判定的結(jié)果發(fā)送給AEF0。在基于PMI訪問控制的公安信息系統(tǒng)中采用的是RBAC模型。

2 基于RBAC的靜態(tài)訪問控制策略

訪問控制作為網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，其主要職責(zé)是為了阻止系統(tǒng)中非法用戶的進(jìn)入，同時還需要防止系統(tǒng)中合法用戶對資源的非法使用。RBAC（Role-Based Access Control，基于角色的訪問控制模型）是有機(jī)結(jié)合了傳統(tǒng)的MAC（Mandatory Access control，強(qiáng)制訪問控制）和DAC（Discretionary Access Control，自主訪問控制）模型而出現(xiàn)， 它能夠?qū)⑾到y(tǒng)不同的權(quán)限與用戶的不同角色相關(guān)聯(lián)并建立映射，在用戶被分配為合適角色后，即獲得角色的權(quán)限，這樣能極大地簡化系統(tǒng)中的權(quán)限管理。

而作為訪問控制的基礎(chǔ)，訪問矩陣的基本思想是將所有的訪問控制信息存儲在一個全局矩陣X中，X中的行對應(yīng)于主體，列對應(yīng)于客體，X中的每一個元素X[i，j]表示主體i對客體j所具有的訪問權(quán)限。例如：在某個信息系統(tǒng)中有五個主體User1-5，以及四個客體Data1-4，其訪問控制矩陣授權(quán)關(guān)系如表1所示。

表1 訪問控制矩陣

其中O表示主體完全擁有客體，R表示主體能夠?qū)腕w進(jìn)行讀操作，W表示主體可以對客體進(jìn)行寫操作?？梢钥吹皆诒?中，User1-4都分別擁有不同的客體資源，卻幾乎沒有權(quán)限去訪問其他主體的資源；User5雖然未擁有客體資源但卻擁有最高權(quán)限，即可以對其他所有主體的數(shù)據(jù)資源進(jìn)行讀寫操作。

在各省市的公安信息系統(tǒng)訪問控制策略中，幾乎都符合表1中的訪問控制矩陣：User5就代表著局長等頂層領(lǐng)導(dǎo)干部，User1-4就代表各部門基層業(yè)務(wù)民警，而在平臺運行前就已經(jīng)通過PKI/PMI機(jī)制賦予了他們與在部門中角色相對應(yīng)的訪問權(quán)限。但在實際公安工作中，領(lǐng)導(dǎo)根本不需要頻繁地直接接觸各下屬部門如交管部門、技偵部門的數(shù)據(jù)，但卻給了他們最高訪問權(quán)限；相反，各部門業(yè)務(wù)民警卻可能每天都會與不同部門的不同類型數(shù)據(jù)打交道。比如在面對毒品交易案件時，民警可能就需要從刑偵部門獲取犯罪嫌疑人的個人信息數(shù)據(jù)；從交管部門獲取嫌疑人的駕車逃竄路線數(shù)據(jù)；從技偵部門獲取嫌疑人的電話聯(lián)系數(shù)據(jù)等。

然而現(xiàn)在的公安信息系統(tǒng)中，各部門數(shù)據(jù)要求權(quán)限過高，業(yè)務(wù)民警要想跨越權(quán)限訪問其他部門的數(shù)據(jù)資源，則需要向上級層層報備、等待批示，倘若領(lǐng)導(dǎo)臨時有事出差，則耽誤了偵破案件的時間，有礙于對辦案效率要求極高的公安工作。特別是像User2這樣的基層業(yè)務(wù)民警，自己雖擁有一方資源卻對其他所有部門的資源都沒有任何權(quán)限，儼然就形成了一座閉塞的“信息孤島”。從安全的角度來講，這樣的訪問控制策略固然是最好的，幾乎可以完全保護(hù)到公安工作中所有敏感數(shù)據(jù)不被泄露。但從如今大數(shù)據(jù)的發(fā)展趨勢來講，這樣對信息數(shù)據(jù)是一種浪費。

3 研究現(xiàn)狀

Ferraiolo等[6]首先提出了基于角色的訪問控制（RBAC），并于2004年形成了NIST RBAC[7]標(biāo)準(zhǔn)。隨著對系統(tǒng)工程的研究逐漸深入，對于RBAC模型的改進(jìn)和擴(kuò)展也不斷被研究人員提出并在各類信息系統(tǒng)中得到應(yīng)用實踐。但由于公安業(yè)務(wù)的特殊性及諸如合成作戰(zhàn)平臺的公安系統(tǒng)訪問控制的復(fù)雜度過高，一直沒有合適的模型成功應(yīng)用。

文獻(xiàn)[8]按照訪問客體類型及其層次關(guān)系將域內(nèi)的訪問控制邏輯分層處理，從而得到一種用于訪問控制的層次模型，此模型能在公安系統(tǒng)中在不同層次上保護(hù)不同類型的客體對象，但作者并未給出具體的實現(xiàn)方案。文獻(xiàn)[9]建立了一種創(chuàng)新層次化角色關(guān)系模型，這種模型采用的是樹型角色結(jié)構(gòu)，雖然能提高模型對系統(tǒng)角色的管理能力，但卻不符合公安合成作戰(zhàn)平臺中角色層次的繼承形式和授權(quán)管理效率。文獻(xiàn)[10]提出繼承域的概念并提出了一種基于繼承域的角色層次模型，從而改善了傳統(tǒng)模型中對系統(tǒng)角色的層次和系統(tǒng)私有角色分配不均勻的問題，但模型對于公安合成作戰(zhàn)平臺這樣復(fù)雜組織結(jié)構(gòu)的描述能力仍然不夠理想。

通過以上可以看出，研究對于RBAC模型的改進(jìn)主要是通過層次劃分或引入采用樹形結(jié)構(gòu)來達(dá)到訪問控制的細(xì)粒度化及授權(quán)管理的便捷化、可擴(kuò)展化。但用戶在建立角色的映射之后，所擁有的權(quán)限就已經(jīng)確定而不能動態(tài)調(diào)整，導(dǎo)致整個訪問控制機(jī)制僵化例如，當(dāng)訪問用戶不再是合法用戶時，它可能會對公安信息系統(tǒng)中的重要敏感數(shù)據(jù)造成威脅；而對于可信用戶，訪問權(quán)限無法獲得提升。換句話說，在這種基于RBAC的靜態(tài)控制訪問中，用戶能夠自主地對系統(tǒng)進(jìn)行選擇訪問，但系統(tǒng)卻無法“選擇”用戶。

對于動態(tài)訪問控制的研究，文獻(xiàn)[11]中提出了基于PKI的分布式RBAC模型（G-RBAC），它使用對可變屬性值的授權(quán)證書來讓系統(tǒng)動態(tài)地根據(jù)登錄環(huán)境來對用戶授予不同權(quán)限。但作者旨在研究針對分布式系統(tǒng)下的跨域訪問控制，對域內(nèi)訪問控制沒有深入分析。文獻(xiàn)[12]提出了一種基于信任和角色的動態(tài)訪問控制（Trust and Role-Based Access Control，T&RBAC）模型，在角色與權(quán)限中間增加了服務(wù)和服務(wù)級別這兩個實體元素從而避免為每個權(quán)限設(shè)置信任關(guān)系。本文就是基于擴(kuò)展后的T&RBAC來提出適合于公安合成作戰(zhàn)平臺的訪問控制策略。

4 基于信任與角色的動態(tài)訪問控制模型

T&RBAC模型實質(zhì)是將信任管理（Pervasive Trust Management,PTM）模型[13]與RBAC模型相結(jié)合，實現(xiàn)可信動態(tài)授權(quán)。圖2給出T&RBAC模型的基本結(jié)構(gòu)。

可以看出，在T&RBAC模型中，因為服務(wù)和服務(wù)級別這兩個實體元素的出現(xiàn)，并且把可信計算引入動態(tài)訪問控制策略當(dāng)中。依據(jù)最小特權(quán)原則，這里的服務(wù)是具有完整獨立功能的權(quán)限集合，下面結(jié)合公安系統(tǒng)的實例說明這種動態(tài)分配過程及特點。

圖2 T&RBAC模型結(jié)構(gòu)圖

假設(shè)在某公安合成作戰(zhàn)平臺中，W部門對于基層民警的系統(tǒng)權(quán)限及在對應(yīng)的服務(wù)級別如圖３和圖４所示，在初始時刻，如果有一個信任度T1，且T1∈[h0,h1]的Z部門基層民警，對W部門的數(shù)據(jù)資源沒有任何權(quán)限。但在一段時間的人機(jī)交互后，用戶信任度上升為T2，且T2∈[h2,h3]，則此時這個民警就可以獲得最高為服務(wù)級別2的權(quán)限，可以選擇將數(shù)據(jù)共享于Z部門或者整個合成作戰(zhàn)平臺，也包括服務(wù)級別2的對數(shù)據(jù)瀏覽。其中，對民警的信任度的計算方法如下：

在實際計算中，可用time類下的strptime方法將轉(zhuǎn)換為unix時間戳方便計算。通常民警對數(shù)據(jù)服務(wù)器的訪問都是在工作時間，若在工作時間外進(jìn)行訪問，無論是想要竊取數(shù)據(jù)還是加班作案，()都可以以民警是否提交反饋為標(biāo)準(zhǔn)來對用戶行為進(jìn)行放大；另外，visit表示用戶訪問數(shù)據(jù)次數(shù)；abnormal表示違規(guī)操作（權(quán)限與操作不符）次數(shù)。雖然每個數(shù)據(jù)服務(wù)器都有制定不同的服務(wù)-服務(wù)級別-權(quán)限映射，但用戶在使用時可能會不遵從自己的對應(yīng)權(quán)限對數(shù)據(jù)進(jìn)行惡意竊取或破壞，比如用戶在修改的時候?qū)?shù)據(jù)內(nèi)容全部刪除等。行為規(guī)范指數(shù)σ可以準(zhǔn)確反映用戶操作與實際權(quán)限的匹配度。

基于信任與角色的模型很大程度上解決了靜態(tài)訪問控制無法動態(tài)調(diào)整訪問權(quán)限的問題，使傳統(tǒng)的RBAC模型更加適用于如今大數(shù)據(jù)環(huán)境下公安合成作戰(zhàn)平臺的戰(zhàn)略要求，在提高各部門資源的利用率，杜絕“信息孤島”又能具有一定的安全性。

圖３ 初始時刻信任度與服務(wù)關(guān)系

圖4 變化后時刻信任度與服務(wù)關(guān)系

5 總結(jié)

本文根據(jù)基于信任和角色的訪問控制模型對原公安合成作戰(zhàn)平臺訪問控制策略進(jìn)行改進(jìn)，可在實現(xiàn)數(shù)據(jù)資源安全的前提下，很好地實現(xiàn)動態(tài)訪問控制，解決了以往基于傳統(tǒng)RBAC模型的靜態(tài)訪問控制缺乏靈活性而不利于如今公安大數(shù)據(jù)發(fā)展的問題。在以后的研究工作中，可以針對具體的公安工作元素來對策略中的評價因子進(jìn)行更貼合、更豐富的選取，來保證計算結(jié)果的可靠性。

[1]曹金璇,張建嶺.公安信息系統(tǒng)應(yīng)用課程體系建設(shè)研究[J].計算機(jī)教育,2012(14):63-66.

[2]雷霆,那正平,陳紅耀.公安合成作戰(zhàn)平臺建設(shè)與應(yīng)用[J].警察技術(shù),2017(04):19-22.

[3]胡和平，汪傳武，一種基于角色訪問控制的新模型及其實現(xiàn)機(jī)制[J] .計算機(jī)研究與發(fā)展，第37卷，第1期，2001.1,37-43.

[4]鄒曉，基于角色的訪問控制模型分析與實現(xiàn)。微計算機(jī)信息， 2006，22(63):108-110.

[5]郭軍. 基于角色的訪問控制分級授權(quán)管理的研究[D].西安電子科技大學(xué),2012.

[6]Ferraiolo D，Kuhn R． Role-based access controls［C］．Proceedings of 15th National Computer Security Conference，Washington，DC：IEEE，1992: 554-563.

[7]Ferraiolo D F，Sandhu R，Gavrila S，et al． Proposed NIST standard for role -based access control［C］．ACM Transactions on Information and System Security ( TISSEC) ，2001: 224-274．

[8]吳開超,沈志宏,周園春,閻保平.信息系統(tǒng)訪問控制的層次模型[J].計算機(jī)工程與設(shè)計,2009,30(01):22-24+50.

[9]任志宇,陳性元,張斌,王俊.一種新型的角色層次化關(guān)系模型[J].信息工程大學(xué)學(xué)報,2010,11(01):88-92+98.

[10]李飛行,慕曉冬,張璐,宋洪軍.RBAC模型中角色繼承的改進(jìn)[J].火力與指揮控制,2012,37(09):129-132.

[11]徐松,趙曦濱,顧明.網(wǎng)格環(huán)境下的分布式RBAC模型框架[J].計算機(jī)工程,2006(06):163-166.

[12]高鵬祥. 基于信任和角色的動態(tài)訪問控制模型的研究和設(shè)計[D].天津大學(xué),2014.

[13]Almenarez F, Marin A, Díaz D, et al. Developing a model for trust management in pervasive devices.Pervasive Computing and Communications Workshops, 2006. Per Com Workshops 2006. Fourth Annual IEEE International Conference on. IEEE, 2006: 267~272.

項目支持：1、國家重點研發(fā)計劃[2016YFB0801100]。2、中國人民公安大學(xué)研究闡釋2018年中央政法工作會議和全國公安廳局長工作會議精神專項課題[2018XKZTHY17]，“大數(shù)據(jù)戰(zhàn)略下公安合成作戰(zhàn)平臺建設(shè)研究”。