基于身份的可信访问控制

杨新民

随着信息化在各行各业的不断深入应用，未来人类的生活将越来越依赖信息化。我国信息化建设虽然后期发展迅猛，但信息安全基础设施薄弱，信息安全技术能力亟待提高，尤其是在紧密联系着国计民生的政府、金融、通信、交通、能源、军事等行业领域信息风险较为突出。这些领域的信息系统中数据信息巨大，并且这些信息系统大量整合了政府、金融机构、医院、运营商、企业等多方面的信息资源，往往涉及到政务、商业、生活、个人隐私等方方面面，而接口、隐蔽通道众多，容易出现连锁反应。一旦出现信息泄露，将导致发生重大的安全事件，后果不堪设想。

同时随着信息技术的普及，信息系统的管理者众多，使用者更是不计其数，安全威胁源越来越宽泛。因此，基于可信计算通过发放和维护身份认证信息来建立一套信任网络，并对这些不同身份信息的人赋予不同的资源访问权限，匹配不同的访问控制策略，来进行资源访问的强制控制，从而实现可信的访问控制，是未来信息安全建设的重中之重，甚至可以说将来会是影响到所有行业信息安全发展的基石。而要做到可信的访问控制，关键有两点：身份可信和访问控制。

身份，可信访问的核心

可信的核心是身份的可信。只有实现身份的可信，才能实现给不同的身份进行授权和审计。要想实现身份的可信，防止身份被盗用，就需要对所有的身份都分别赋予一个唯一的标识，标识是实体身份的一种计算机表达，每个实体与计算机内部的一个身份表达绑定，并且设定标识的有效期和权限范围，当主体发起一个客体访问时，会首先对该主体的身份标识进行认证，进而匹配不同的访问控制策略。

通过身份标识和认证可以实现两个目的，一是对身份进行授权控制，二是可以跟踪所有操作的参与者，同时参与者的任何操作都能被明确地标识出来。因此身份标识认证技术可以从运营、管理、规范、法律、人员等多个角度来解决网络信任问题。

控制，可信访问的实现

访问控制主要从物理、网络、主机、应用、数据等层面实现对非授权访问的控制。访问控制机制的目的是为了保证系统中的数据只能被有权限的人访问，未经授权的人则无法访问到数据。访问控制的核心是控制未授权的访问。未授权访问指的是未经授权的使用、泄露、修改、销毁信息以及颁发指令等。这里又包含两个方面：一个是非法用户对系统资源的使用，另一个是合法用户对系统资源的非法使用。因此，要实现访问控制，第一步是鉴别主体的合法身份，第二步是授权或限制用户对资源的访问权限。

常规的访问控制模型中，访问可以对一个系统或在一个系统内部进行。访问控制框架主要涉及三方面：提交访问请求、访问控制以及提出访问请求。其中，主要包含主体、客体、访问控制实施模块和访问控制策略模块。访问控制的实施模块是执行访问控制的机制，根据主体提出的访问请求和访问控制策略的决策规则对访问请求进行分析处理，在授权范围内，允许主体对客体进行有限的访问；访问控制策略模块表示一组访问控制规则和策略，控制着主体的访问许可。

常见的访问控制模型有Bell-La Padula模型、Biba模型、Clark-Wilson模型、Chinese Wall模型等。每个模型虽然采用了不同的控制策略和机制，但是其实质都是通过控制主体的访问许可，根据访问控制策略，有效实现控制主体的访问对象、范围、权限等。而不管是哪种访问控制模型，由于其无法对身份进行标识和验证，一旦主体的身份被盗用或者身份鉴别信息被篡改，访问控制策略将被轻易绕过，形同虚设。因此只有结合身份认证技术，解决了身份的可信问题，才能实现真正意义上的可信访问控制。

基于身份的可信访问

访问控制模型是针对信息的安全保护提出的，具有很好的安全性。而基于身份的可信访问控制模型，是针对控制策略的灵活与管理的方便而提出的。为了得到更加安全且使用灵活的访问控制模型，需要找到两种模型的结合点。在现有的访问控制模型基础上，结合身份标识认证技术，即可形成基于身份的可信访问控制模型，如下图所示。

当然该模型不是在常见的访问控制模型中简单的插入身份标识认证技术，而是通过调整不同模块的功用和位置，将访问控制模型和身份标识认证二者有机结合在一起，形成该模型的核心部分——基于身份的可信访问控制决策模块，该模块通过对不同用户的角色授权，来实现可信的访问控制。

基于身份的可信访问控制决策模块由身份标识集和访问控制策略集两部分构成，不同的用户在发起一个访问请求的时候，首先需要到“基于身份的访问控制决策模块”中的“身份标识集”中请求一个身份标识，“身份标识集”通过密码算法会根据用户的角色赋予其一个唯一的合法身份标识（如证书等），然后身份认证模块会对用户的标识进行认证、鉴别。只有在身份认证获得通过后，才会给访问控制实施模块发出一个该身份的访问请求。访问控制实施模块会向访问控制决策模块中的“访问控制策略集”请求基于该身份的访问控制策略，访问控制策略集收到请求后会先向“用户标识集”获取用户的角色、安全等级等信息，从而明确该身份的访问对象、范围、周期等访问控制策略，然后该访问控制策略将发送到访问控制实施模块，实施模块会根据该访问控制策略对不同的客体发送不同的访问请求（如：读、写、执行等），从而形成对该用户身份的完整访问控制。

（作者单位：国家林业局信息中心）endprint