尹 虹，田 濤

（1.中國鐵道科學(xué)研究院集團(tuán)有限公司 電子計(jì)算技術(shù)研究所，北京 100081；2.中國國家鐵路集團(tuán)有限公司 辦公廳，北京 100844）

隨著鐵路運(yùn)輸能力和水平的提高，其發(fā)揮的作用越來越重要。鐵路運(yùn)輸所依賴的基石—鐵路通信網(wǎng)承擔(dān)著鐵路信息化的重任。網(wǎng)絡(luò)是連接數(shù)據(jù)的橋梁，保證網(wǎng)絡(luò)中數(shù)據(jù)的安全，是確保鐵路通信網(wǎng)有效運(yùn)行的重中之重。

由于鐵路通信網(wǎng)對外敞開通信網(wǎng)的大門，因此，身份認(rèn)證顯得尤為重要。

無證書公鑰密碼（CL-PKC，Certificateless Public Key Cryptography）技術(shù)[1]舍棄了之前的證書訪問模式，不需要通過一系列證書發(fā)布、證書認(rèn)證、證書使用等繁瑣操作，就能保證加密信息的公鑰的真實(shí)性，提高了效率。

本文不單純研究使用CL-PKC技術(shù)，而是將它與基于角色的訪問控制相結(jié)合，應(yīng)用于鐵路通信網(wǎng)，此結(jié)合能充分發(fā)揮二者的長處，對訪問控制信息提供高效率的密碼技術(shù)保護(hù)。此外，由于使用的是基于角色的訪問控制，相比單獨(dú)的訪問控制，能進(jìn)一步提升響應(yīng)速度，滿足鐵路通信網(wǎng)內(nèi)大量高性能、高安全防護(hù)系統(tǒng)的需要。

本文將密碼技術(shù)應(yīng)用于鐵路通信網(wǎng)的訪問控制，可以快速地進(jìn)行身份認(rèn)證及訪問權(quán)限控制，為探索密碼技術(shù)在傳統(tǒng)訪問控制領(lǐng)域的安全、高效應(yīng)用積累經(jīng)驗(yàn)。

1 無證書公鑰密碼體制

1.1 公鑰密碼學(xué)的發(fā)展

1986年，Diffie和Hellman提出了公共密鑰加密技術(shù)[2]。公共密鑰為加解密雙方都知曉，而它的真實(shí)性如果不通過額外的策略，是無從保證的。有3種額外的策略：（1）沿用傳統(tǒng)的公鑰密碼技術(shù)；（2）使用帶有身份信息的公鑰密碼技術(shù)；（3）本文采用的不使用證書的公鑰密碼技術(shù)[3]。

1.1.1 傳統(tǒng)公鑰密碼體制

在20世紀(jì)80年代，提出了公鑰基礎(chǔ)設(shè)施（PKI，Public Key Infrastructure），它是密碼技術(shù)領(lǐng)域的突破和創(chuàng)新[4]。它提供數(shù)據(jù)加密、證書認(rèn)證、數(shù)字簽名和密鑰管理等服務(wù)，構(gòu)建鐵路行業(yè)密碼應(yīng)用的基礎(chǔ)。但目前的PKI技術(shù)還有一定的缺陷，如證書的時(shí)效性在部分方案中不能滿足要求，證書管理會占用大量的系統(tǒng)資源。

1.1.2 基于身份的公鑰密碼體制

Shamir提出了帶有身份信息的公共密鑰技術(shù)[5]，可解決證書的管理開銷和時(shí)效問題。但是其可信度高度依賴可信的第三方（PKG），高負(fù)荷環(huán)境將導(dǎo)致唯一的可信第三方承受負(fù)擔(dān)過重。如果系統(tǒng)的主密鑰泄露，整個(gè)機(jī)制就會瓦解，保護(hù)措施形同虛設(shè)。為了攻克這個(gè)問題，產(chǎn)生了一項(xiàng)重大成果即CL-PKC技術(shù)[6]，在這項(xiàng)技術(shù)中，公共密鑰的產(chǎn)生、認(rèn)證和使用將不依賴于證書。

——推動工會改革創(chuàng)新。習(xí)近平總書記要求：“時(shí)代在發(fā)展，事業(yè)在創(chuàng)新，工會工作也要發(fā)展，也要創(chuàng)新。”“工會組織要增強(qiáng)自我革新的勇氣，堅(jiān)持眼睛向下、面向基層，改革和改進(jìn)機(jī)關(guān)機(jī)構(gòu)設(shè)置、管理模式、運(yùn)行機(jī)制，堅(jiān)持力量配備、服務(wù)資源向基層傾斜，創(chuàng)新工作體制機(jī)制和方式方法，自覺運(yùn)用改革精神謀劃工會工作，推動工會工作再上新臺階。”

1.1.3 基于無證書的公鑰密碼體制

本世紀(jì)初，Al-Riyami、Paterson發(fā)明了CLPKC技術(shù)，此技術(shù)在管控公共密鑰時(shí)，不使用證書。如果PKG[7]中的私鑰被不相關(guān)人員所獲得，那么不相關(guān)人員只是得到了私鑰的一部分，整個(gè)私鑰對于不相關(guān)人員仍然是不可見和不可用的狀態(tài)。無需證書即可認(rèn)證公鑰真實(shí)性，降低系統(tǒng)的開銷，從根本上消除了以上2種密碼體制所存在的問題。

1.2 無證書認(rèn)證密鑰協(xié)商（CL-AK）協(xié)議

會話密鑰的確定需要加解密雙方都知曉并同意，過程無需依附于可信第三方密鑰管理中心（KCG），可獨(dú)立運(yùn)用。參與成員在協(xié)議結(jié)束后可共享密鑰，除參與成員以外的其他任何人均不能獲取此密鑰。有一類協(xié)議被稱為AKAP[8]，它能夠幫助參與成員確認(rèn)其他參與成員的身份。

2 基于角色的訪問控制理論

2.1 訪問控制基礎(chǔ)

2.1.1 自主訪問控制

自主訪問控制（DAC，Discretionary Access Control）是操作方自己決定自己可控客體的操作者及其可執(zhí)行的某些操作。

2.1.2 強(qiáng)制訪問控制

強(qiáng)制訪問控制（MAC，Mandatory Access Control）[9]，這種方式不是由操作方自己決定，而是系統(tǒng)來決定某些人可以執(zhí)行某些操作，除此之外一律禁止。主體和客體各自具有一組安全屬性。每當(dāng)主體嘗試訪問客體或?qū)腕w進(jìn)行某種操作時(shí)，系統(tǒng)都會強(qiáng)制施行授權(quán)規(guī)則的檢查，即檢查安全屬性，根據(jù)安全屬性決定是否可進(jìn)行訪問或操作。根據(jù)一組授權(quán)規(guī)則（也稱策略）檢查任何主體對任何客體進(jìn)行的任何操作，這組授權(quán)規(guī)則決定操作是否允許。

2.1.3 基于角色的訪問控制

基于角色的訪問控制（RBAC，Role-Based Access Control）不是針對單個(gè)主體，而是將主體納入一個(gè)集合，可執(zhí)行的操作納入另一個(gè)集合，所有的限制是在兩個(gè)集合中執(zhí)行。每一種角色對應(yīng)一組相應(yīng)的權(quán)限。主體屬于某種角色，角色的權(quán)限就給與了這個(gè)主體。這個(gè)角色可以執(zhí)行某類操作，被賦予這個(gè)角色的主體就能執(zhí)行某類操作。

2.2 角色管理模型

角色管理的模型（ARBAC97，Administrative RBAC97）[10]，結(jié)構(gòu)組成，如圖1所示。

ARBAC97模型包含3個(gè)部分。

（1）用戶-角色指派模型：決定用戶是否屬于某類角色，可以將用戶加入某類角色集合，也可將用戶從某類角色集合中移除。

（2）權(quán)限-角色指派模型：決定角色是否擁有某類權(quán)限，可以讓角色擁有某類權(quán)限，也可將某類權(quán)限從角色中剝奪。

（3）角色-角色指派模型：管理角色與角色之間的繼承關(guān)系。

圖1 ARBAC97模型

3 鐵路通信網(wǎng)訪問控制方案研究

3.1 訪問控制方案流程

鐵路通信網(wǎng)訪問控制方案需要完成以下2項(xiàng)功能：

（1）設(shè)備身份認(rèn)證：防止非法設(shè)備接入，實(shí)現(xiàn)雙向認(rèn)證。

（2）設(shè)備權(quán)限控制：設(shè)定設(shè)備訪問的權(quán)限，明確指明某些設(shè)備可以進(jìn)行某些操作，除此之外的設(shè)備一律阻止。

鐵路通信網(wǎng)訪問控制方案采用無證書公鑰密碼技術(shù)，包含鐵路通信網(wǎng)身份認(rèn)證和權(quán)限分配，具體流程，如圖2所示。

（1）鐵路行業(yè)權(quán)威源（SOA）發(fā)布角色權(quán)限集到服務(wù)器，將密鑰信息發(fā)布給客戶端和服務(wù)器。（2）服務(wù)器用收到的密碼信息，判斷客戶端是否被允許訪問。（3）客戶端用收到的密碼信息，判斷服務(wù)器是否被允許訪問，兩者都得到角色的權(quán)限集合。

圖2 訪問控制方案流程

3.2 訪問控制方案系統(tǒng)結(jié)構(gòu)

SOA將IDwRC信息發(fā)送給主站，子站從主站獲取信息，從可信任的密鑰生成中心（KGC）獲取部分私鑰；輕量目錄訪問協(xié)議（LDAP）服務(wù)器從子站獲取角色權(quán)限。系統(tǒng)結(jié)構(gòu)，如圖3所示。

圖3 訪問控制方案系統(tǒng)結(jié)構(gòu)

3.3 訪問控制方案總體框架

采用CL-PKC和RBAC等技術(shù)的身份認(rèn)證和權(quán)限分配功能，實(shí)現(xiàn)了鐵路通信網(wǎng)統(tǒng)一訪問控制的目的，其總體框架模型，如圖4所示。

（1）身份認(rèn)證子系統(tǒng)從子站LDAP服務(wù)器獲取角色身份，終端通過此系統(tǒng)得到角色身份。（2）權(quán)限分配子系統(tǒng)從子站LDAP服務(wù)器獲取權(quán)限信息傳遞給終端，從而實(shí)現(xiàn)終端對應(yīng)用服務(wù)器、數(shù)據(jù)庫的可控訪問，實(shí)現(xiàn)權(quán)限分配和權(quán)限驗(yàn)證。

圖4 訪問控制方案總體框架

4 結(jié)束語

鐵路通信網(wǎng)是鐵路運(yùn)輸系統(tǒng)的基石，密碼技術(shù)應(yīng)用在鐵路通信網(wǎng)，能最大限度地保障網(wǎng)內(nèi)信息的安全。本文對鐵路通信網(wǎng)的訪問控制展開了深入地學(xué)習(xí)和研究，針對集中式鐵路通信網(wǎng)訪問控制安全性要求高、響應(yīng)速度要求快的特點(diǎn)，將無繁瑣證書認(rèn)證機(jī)制的無證書公鑰密碼技術(shù)與RBAC相結(jié)合，應(yīng)用于鐵路通信網(wǎng)，降低了計(jì)算所需付出的時(shí)間代價(jià)，避免了PKI的認(rèn)證系統(tǒng)龐大和低效的缺點(diǎn)，保證網(wǎng)內(nèi)信息的真實(shí)性。