王建軍，羅治華，周 夏

（1.湖南第一師范學(xué)院，湖南 長沙 410205；2.杭州盈高科技有限公司，浙江 杭州 310063）

0 引言

校園內(nèi)智慧學(xué)習(xí)環(huán)境[1-3]主要使用蜂窩網(wǎng)絡(luò)連接感知設(shè)備、移動智能終端（包含智能手機(jī)、平板電腦等）、通信網(wǎng)絡(luò)節(jié)點(diǎn)和數(shù)字資源服務(wù)器等，能夠支持即時(shí)推送學(xué)習(xí)資源、自動識別學(xué)習(xí)情景、協(xié)同構(gòu)建學(xué)習(xí)社群和教學(xué)社群，滿足學(xué)生自主學(xué)習(xí)需要。智慧學(xué)習(xí)環(huán)境是一個(gè)開放系統(tǒng)，允許隨時(shí)隨地接入移動智能終端。由于移動智能終端具有移動性和隨機(jī)性，因此傳統(tǒng)的靜態(tài)安全規(guī)則，如強(qiáng)制訪問控制[4]、角色訪問控制[5-6]、位置時(shí)態(tài)角色訪問控制[7]，不能滿足其訪問權(quán)限的實(shí)際應(yīng)用需求。

本文以零信任[8-9]安全架構(gòu)為基礎(chǔ)，在智慧學(xué)習(xí)環(huán)境中使用信任風(fēng)險(xiǎn)[10-11]為移動智能終端提供一種彈性的訪問權(quán)限管理機(jī)制，在風(fēng)險(xiǎn)可控的情況下，靈活實(shí)施移動智能終端權(quán)限管理。

1 移動智能終端安全需求分析

校園內(nèi)智慧學(xué)習(xí)環(huán)境的蜂窩網(wǎng)絡(luò)連接結(jié)構(gòu)如圖1 所示。智慧學(xué)習(xí)環(huán)境以蜂窩網(wǎng)絡(luò)基站為網(wǎng)絡(luò)節(jié)點(diǎn)，移動智能終端連接網(wǎng)絡(luò)節(jié)點(diǎn)，網(wǎng)絡(luò)節(jié)點(diǎn)之間連接構(gòu)建蜂窩網(wǎng)絡(luò)，實(shí)現(xiàn)移動智能終端相互通信和數(shù)字資源訪問。移動智能終端在蜂窩網(wǎng)絡(luò)中移動時(shí)，由于校園內(nèi)學(xué)生人數(shù)多且具有高移動性和隨機(jī)性特征，移動智能終端的網(wǎng)絡(luò)位置和周邊環(huán)境會影響其安全需求。

移動智能終端的常規(guī)安全需求可以分為接入安全、訪問安全和環(huán)境安全3 個(gè)方面。

（1）接入安全。移動智能終端接入智慧學(xué)習(xí)環(huán)境時(shí)，需要有合法的身份，但存在身份假冒的風(fēng)險(xiǎn)。人們通常使用傳統(tǒng)訪問控制機(jī)制的防火墻進(jìn)行權(quán)限管理。防火墻對用戶（移動智能終端）身份進(jìn)行驗(yàn)證，對于通過身份驗(yàn)證的用戶則授予權(quán)限。用戶的密鑰、IP 地址、位置等因素常常被用來評判用戶身份，對于防火墻內(nèi)的用戶則授予訪問權(quán)限，防火墻外的用戶則不被授予訪問權(quán)限。如果用戶的身份信息被泄漏，則可能被假冒。

（2）訪問安全。移動智能終端雖然具有合法身份，但存在超越權(quán)限訪問數(shù)字資源的行為風(fēng)險(xiǎn)。用戶在通過合法身份認(rèn)證以后，可以在權(quán)限內(nèi)訪問數(shù)字資源，然而也存在用戶利用合法身份掩護(hù)超越權(quán)限訪問行為。訪問行為審計(jì)機(jī)制對用戶每次訪問行為進(jìn)行審計(jì)記錄，如果用戶存在違背安全規(guī)則的訪問行為，將影響用戶的信任等級和訪問權(quán)限。

（3）環(huán)境安全。移動智能終端的周邊環(huán)境，比如同一蜂窩網(wǎng)絡(luò)中移動智能終端的數(shù)量與密度等，周邊環(huán)境使移動智能終端存在信息泄漏風(fēng)險(xiǎn)。如果移動智能終端的周邊節(jié)點(diǎn)密度大、數(shù)量多，用戶在使用移動智能終端交互信息時(shí)，發(fā)生信息泄漏的可能性較大。如果用戶訪問數(shù)字資源的機(jī)密度越高，信息泄漏的危害性就越大。因此，人們使用環(huán)境因素評估用戶的信任等級和訪問權(quán)限，例如基于屬性訪問控制[12]的評估方法。

當(dāng)前主流的權(quán)限管理機(jī)制，如強(qiáng)制訪問控制、角色訪問控制、位置時(shí)態(tài)訪問控制、信任管理機(jī)制[13]等，均不能為以上3 種安全需求提供一種全面的解決方案。零信任是一種新的網(wǎng)絡(luò)安全架構(gòu)，其目的是突破網(wǎng)絡(luò)安全周界為網(wǎng)絡(luò)資源提供安全保護(hù)。零信任使用位置角色管理用戶訪問權(quán)限，實(shí)現(xiàn)了合法用戶訪問行為審計(jì)，較好地滿足了以上三種安全需求。但是零信任由于實(shí)行嚴(yán)格的位置角色管理，對于一些特殊情況，如在智慧學(xué)習(xí)環(huán)境中，當(dāng)移動智能終端從一個(gè)蜂窩區(qū)間進(jìn)入另一個(gè)蜂窩區(qū)間時(shí)，如果正在傳送學(xué)習(xí)資料或者參加學(xué)習(xí)討論，角色訪問權(quán)限會因?yàn)槲恢酶淖兌K止訪問，這顯然不符合實(shí)際應(yīng)用需求，但如果繼續(xù)訪問又違背了安全規(guī)則。顯然，零信任不能解決移動智能終端這種模糊安全周界問題，此外，除了位置以外，零信任也沒有考慮移動智能終端其他周邊環(huán)境因素對安全的影響。

2 移動智能終端權(quán)限管理機(jī)制改進(jìn)

2.1 零信任基本架構(gòu)

相對于傳統(tǒng)訪問控制，信任管理是一種更加靈活的權(quán)限管理機(jī)制，使用信任管理引擎管理、解釋和執(zhí)行安全策略，在域和域之間建立和傳遞信任關(guān)系。在分布式環(huán)境中，傳統(tǒng)的信任管理依賴用戶的網(wǎng)絡(luò)位置或其它因素，對于在網(wǎng)絡(luò)邊界內(nèi)的用戶，默認(rèn)其具有訪問權(quán)限，但這種隱式信任暗藏了安全風(fēng)險(xiǎn)。

零信任取消了基于網(wǎng)絡(luò)位置的信任授權(quán)模式，即規(guī)定不管用戶在何時(shí)何處提出訪問要求，均要進(jìn)行身份認(rèn)證和權(quán)限管理。也就是說，零信任將過去以網(wǎng)段防護(hù)為主轉(zhuǎn)變?yōu)橐再Y源防護(hù)為主，解決了分布式環(huán)境中移動智能終端超越網(wǎng)絡(luò)邊界的安全訪問問題，使得這些設(shè)備不必通過虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）即可安全訪問企業(yè)資源。同時(shí)，也解決了網(wǎng)絡(luò)邊界內(nèi)的隱式信任安全問題。零信任基本架構(gòu)如圖2 所示，安全策略功能部件由策略決策點(diǎn)（PolicyDecisionPoint，PDP）和策略執(zhí)行點(diǎn)（PolicyEnforcementPoint，PEP）組成，策略決策點(diǎn)可分為策略引擎（PolicyEngine，PE）和策略管理器（PolicyAdministrator，PA）[14]。

圖2 零信任基本架構(gòu)

移動智能終端在非可信區(qū)域提出資源訪問請求，必定經(jīng)過PDP 和PEP的安全檢查和訪問授權(quán)。其中，PE 負(fù)責(zé)訪問與否決策，PA 負(fù)責(zé)證書生成并通知策略執(zhí)行器是否允許訪問，PEP 根據(jù)訪問決策結(jié)果允許或終止訪問主體與資源之間的通信。傳統(tǒng)身份認(rèn)證方式是一次認(rèn)證即長期有效，一旦身份信息被竊取，或者合法用戶濫用、誤用訪問權(quán)限，將存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。零信任對于通過身份認(rèn)證的用戶，將監(jiān)控其訪問行為，并對訪問行為進(jìn)行評判，一旦出現(xiàn)違規(guī)行為，將降低或者取消其訪問權(quán)限，改變其信任等級。零信任機(jī)制一般是結(jié)合角色訪問控制、屬性訪問控制進(jìn)行授權(quán)，對于通過身份認(rèn)證的合法用戶賦予相應(yīng)的權(quán)限。

2.2 基于信任風(fēng)險(xiǎn)的零信任改進(jìn)安全策略

基于信任風(fēng)險(xiǎn)的零信任改進(jìn)安全策略以零信任安全架構(gòu)為基礎(chǔ)，由策略決策點(diǎn)和策略執(zhí)行點(diǎn)執(zhí)行安全檢查和訪問授權(quán)。在執(zhí)行安全檢查時(shí)，參照移動智能終端的當(dāng)前訪問行為、位置時(shí)態(tài)、周邊環(huán)境、歷史訪問行為等風(fēng)險(xiǎn)因素，在風(fēng)險(xiǎn)可控的情況下彈性改變移動智能終端的訪問權(quán)限，使移動智能終端安全策略能夠適應(yīng)智慧學(xué)習(xí)環(huán)境實(shí)際應(yīng)用場景需求，并對移動智能終端的訪問行為進(jìn)行監(jiān)控。

2.2.1 移動智能終端零信任改進(jìn)安全策略的目的和要求

移動智能終端零信任改進(jìn)安全策略的目的和要求具體為：

（1）實(shí)現(xiàn)對移動智能終端周邊環(huán)境的安全信任評估，增強(qiáng)智慧學(xué)習(xí)環(huán)境的信息安全強(qiáng)度，為彈性改變移動智能終端訪問權(quán)限提供基礎(chǔ)；

（2）實(shí)現(xiàn)對移動智能終端信任等級的彈性管理，增強(qiáng)智慧學(xué)習(xí)環(huán)境數(shù)字資源訪問權(quán)限的靈活性，提高零信任安全機(jī)制的可適應(yīng)性；

（3）實(shí)現(xiàn)智慧學(xué)習(xí)環(huán)境數(shù)字資源的細(xì)粒度訪問權(quán)限管理，在對移動智能終端彈性權(quán)限管理時(shí)，保障數(shù)字資源的安全性。

2.2.2 移動智能終端零信任改進(jìn)安全策略思想

本文使用信任風(fēng)險(xiǎn)評判機(jī)制改進(jìn)移動智能終端基于信任值的零信任安全策略，其中信任值分為直接信任值和推薦信任值，信任風(fēng)險(xiǎn)分為主觀信任風(fēng)險(xiǎn)和客觀信任風(fēng)險(xiǎn)。

（1）移動智能終端信任值

移動智能終端信任值由直接信任值和推薦信任值構(gòu)成[15]，直接信任值是根據(jù)其身份授予的，推薦信任值是網(wǎng)絡(luò)節(jié)點(diǎn)根據(jù)與移動智能終端的成功交互情況而給出的信任評判值，如果有多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)同時(shí)推薦一個(gè)移動智能終端，其推薦信任值是每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)推薦信任值的融合。信任值是直接信任值與推薦信任值求和。移動智能終端與網(wǎng)絡(luò)節(jié)點(diǎn)交互情況如表1 所示，假定有n個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)和m個(gè)移動智能終端，其交互情況按3 種類型統(tǒng)計(jì)，分別是總交互次數(shù)（Su），成功交互次數(shù)（Sc），不成功交互次數(shù)（Fa）。交互情況表保存在認(rèn)證服務(wù)器。

表1 移動智能終端交互情況

移動智能終端的信任值存放在信任值等級表中，在蜂窩網(wǎng)絡(luò)中每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)均保存有信任值等級表。如果某個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的信任值等級表發(fā)生變化，將把變化的信任值傳送給蜂窩網(wǎng)絡(luò)中其他網(wǎng)絡(luò)節(jié)點(diǎn)，使所有網(wǎng)絡(luò)節(jié)點(diǎn)的信任值等級表保持同步。信任值等級表結(jié)構(gòu)如表2 所示。

表2 信任值等級

當(dāng)移動智能終端訪問某個(gè)蜂窩區(qū)間時(shí)，策略決策器會對移動智能終端進(jìn)行身份認(rèn)證，在信任值等級表中查找移動智能終端，如果不存在，則需要計(jì)算移動智能終端的直接信任值、推薦信任值和信任值，修改本網(wǎng)絡(luò)節(jié)點(diǎn)的信任值等級表并同步其他網(wǎng)絡(luò)節(jié)點(diǎn)。如果移動智能終端符合信任等級要求，則直接執(zhí)行第（3）步；如果不符合信任等級要求，則先執(zhí)行第（2）步。

（2）移動智能終端主觀信任風(fēng)險(xiǎn)計(jì)算

主觀信任風(fēng)險(xiǎn)是指移動智能終端存在主動違背訪問規(guī)則的可能性，其判斷依據(jù)是移動智能終端的不成功歷史訪問行為。移動智能終端k的主觀信任風(fēng)險(xiǎn)值計(jì)算方式為其對各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的失敗訪問次數(shù)之和與總訪問次數(shù)之和的比值。如果主觀信任風(fēng)險(xiǎn)值高于風(fēng)險(xiǎn)門限，則移動智能終端k的訪問終止；如果主觀信任風(fēng)險(xiǎn)值低于風(fēng)險(xiǎn)門限，則進(jìn)行第（3）步。

（3）移動智能終端客觀信任風(fēng)險(xiǎn)計(jì)算

客觀信任風(fēng)險(xiǎn)是指移動智能終端周邊環(huán)境存在的不安全因素可能產(chǎn)生的風(fēng)險(xiǎn)，例如蜂窩網(wǎng)絡(luò)內(nèi)移動終端的數(shù)量多少、相鄰蜂窩網(wǎng)絡(luò)信號重疊區(qū)面積大小等都是移動智能終端客觀信任風(fēng)險(xiǎn)的影響因素，而且可能造成信息被竊聽等安全風(fēng)險(xiǎn)。如果客觀信任風(fēng)險(xiǎn)值超出風(fēng)險(xiǎn)門限，則訪問終止，如果低于風(fēng)險(xiǎn)門限則進(jìn)行第（4）步。

（4）動態(tài)管理移動智能終端訪問權(quán)限

移動智能終端信任風(fēng)險(xiǎn)由主管信任風(fēng)險(xiǎn)和客觀信任風(fēng)險(xiǎn)求和，如果信任風(fēng)險(xiǎn)大于風(fēng)險(xiǎn)門限，則停止后續(xù)工作；如果小于風(fēng)險(xiǎn)門限，則允許繼續(xù)完成任務(wù)，一旦任務(wù)完成，終止移動智能終端訪問權(quán)限。

（5）持續(xù)監(jiān)控移動智能終端訪問行為

移動智能終端僅限于延續(xù)未完成的訪問行為，不能有新的訪問要求。如果移動智能終端違背訪問規(guī)則，訪問次數(shù)被記錄在交互情況表中，并降低移動智能終端信任值和推薦者信任值。

2.2.3 零信任基本架構(gòu)改進(jìn)模型

零信任基本架構(gòu)改進(jìn)模型的功能結(jié)構(gòu)如圖3 所示，安全策略功能部件包含策略決策器、策略執(zhí)行器、主觀信任風(fēng)險(xiǎn)評判器、客觀信任風(fēng)險(xiǎn)評判器、信任風(fēng)險(xiǎn)評判器等。

圖3 零信任基本架構(gòu)改進(jìn)模型

策略引擎如果判斷移動智能終端信任值符合要求，策略執(zhí)行器則允許移動智能終端訪問數(shù)字資源；如果移動智能終端信任值不符合要求，且當(dāng)前訪問行為需要繼續(xù)完成，則策略引擎進(jìn)行主觀信任風(fēng)險(xiǎn)評判、客觀信任風(fēng)險(xiǎn)評判和信任風(fēng)險(xiǎn)評判。策略執(zhí)行器根據(jù)風(fēng)險(xiǎn)評判結(jié)果決定是否繼續(xù)移動智能終端的訪問行為，一旦任務(wù)完成，則終止移動智能終端的訪問行為。

3 實(shí)踐探究

智慧學(xué)習(xí)環(huán)境給學(xué)生提供了充分的自主學(xué)習(xí)條件，允許學(xué)生隨時(shí)隨地開展學(xué)習(xí)活動和學(xué)習(xí)交流，而零信任安全機(jī)制適應(yīng)了智慧學(xué)習(xí)環(huán)境的安全需求，是未來的發(fā)展趨勢。零信任給智慧學(xué)習(xí)環(huán)境提供了身份認(rèn)證、角色授權(quán)、權(quán)限調(diào)整、行為監(jiān)控等安全舉措，但在具體實(shí)施時(shí)還存在一些問題。

如果移動智能終端在蜂窩網(wǎng)絡(luò)A 向相鄰蜂窩網(wǎng)絡(luò)B 移動時(shí)，移動智能終端的當(dāng)前學(xué)習(xí)行為需要持續(xù)，比如正在閱覽數(shù)字資源、傳輸學(xué)習(xí)資料或者開展學(xué)習(xí)討論，移動智能終端在蜂窩網(wǎng)絡(luò)A 中被授權(quán)訪問，但在蜂窩網(wǎng)絡(luò)B 中不被授權(quán)訪問。因此，當(dāng)移動智能終端進(jìn)入蜂窩網(wǎng)絡(luò)B 時(shí)，這些訪問行為違背了角色權(quán)限。如果能夠判定移動智能終端繼續(xù)訪問行為并不會產(chǎn)生安全危害，或者安全危害在可接受的范圍，那么可以使用權(quán)限彈性管理機(jī)制，臨時(shí)改變移動智能終端在蜂窩網(wǎng)絡(luò)B 中的訪問權(quán)限，同時(shí)審計(jì)監(jiān)督移動智能終端的訪問行為，支持其繼續(xù)完成當(dāng)前學(xué)習(xí)行為；但不允許出現(xiàn)其它訪問行為，且在當(dāng)前學(xué)習(xí)行為完成時(shí)，即時(shí)終止移動智能終端的臨時(shí)權(quán)限。

在智慧學(xué)習(xí)環(huán)境中實(shí)施安全機(jī)制時(shí)，使用風(fēng)險(xiǎn)評判機(jī)制對不符合信任等級的移動智能終端分別進(jìn)行主觀信任風(fēng)險(xiǎn)評判、客觀信任風(fēng)險(xiǎn)評判和信任風(fēng)險(xiǎn)評判。如果這3 種風(fēng)險(xiǎn)值均低于風(fēng)險(xiǎn)門限，則實(shí)施彈性授權(quán)，允許移動智能終端繼續(xù)進(jìn)行當(dāng)前訪問行為。移動智能終端彈性授權(quán)實(shí)施流程如圖4所示。

圖4 移動智能終端彈性授權(quán)實(shí)施流程

當(dāng)移動智能終端進(jìn)入蜂窩網(wǎng)絡(luò)B 時(shí)，PE 檢查其信任等級，如果符合安全要求，則由PA 通知PEP，允許移動智能終端繼續(xù)訪問。如果不符合安全要求，則進(jìn)行3 級信任風(fēng)險(xiǎn)評判，即主觀信任風(fēng)險(xiǎn)評判、客觀信任風(fēng)險(xiǎn)評判和信任風(fēng)險(xiǎn)評判，只有在前一級滿足要求的情況下，才進(jìn)行下一級風(fēng)險(xiǎn)評判，如果不滿足，即終止訪問行為；如果全部滿足，則進(jìn)行彈性授權(quán)，并繼續(xù)監(jiān)控其訪問行為的安全性，一旦發(fā)現(xiàn)非法訪問行為，立即修改交互行為記錄表和信任等級表，并停止其繼續(xù)訪問。

4 結(jié)語

智慧學(xué)習(xí)環(huán)境為學(xué)生自主學(xué)習(xí)提供條件支持，體現(xiàn)了以學(xué)生為中心的教育理念。零信任安全機(jī)制為智慧學(xué)習(xí)環(huán)境提供了較全面的解決方案，但由于零信任主要使用角色管理權(quán)限，不能對學(xué)生一些特殊學(xué)習(xí)行為提供安全支持。本文對移動智能終端實(shí)施主觀信任風(fēng)險(xiǎn)評判、客觀信任風(fēng)險(xiǎn)評判和信任風(fēng)險(xiǎn)評判，并根據(jù)風(fēng)險(xiǎn)評判結(jié)果為移動智能終端實(shí)施彈性授權(quán)，滿足了智慧學(xué)習(xí)環(huán)境的實(shí)際需要和安全需求，更好地支持學(xué)生自主學(xué)習(xí)。