基于改进的角色强制访问扩展模型的变电所运维安控平台研究

龚立群徐春华邱晓军俞柏红

（国网浙江慈溪市供电公司,浙江慈溪315300）

基于改进的角色强制访问扩展模型的变电所运维安控平台研究

龚立群徐春华邱晓军俞柏红

（国网浙江慈溪市供电公司,浙江慈溪315300）

变电所机房内安置着很多屏柜和设备，通过系统对屏柜和设备的安全管控和作业指导书的有效下发，是电力资源管理系统的一大难题。强制访问控制模型以其严格的安全约束规则提供了很好的信息保密机制，解决了系统的安全管控问题，变电所运维安控系统通过引入基于角色强制访问扩展模型，实现了变电所机房内资源的安全管控和作业指导书的有效下发。

角色访问控制变电所运维安控安全级角色权限

1 引言

依据国网公司2012年精神大力推进三集五大体系建设，实施信息、通信资源整合，加快构建信息通信一体化管理、建设和运维体系，建立纵向贯通、横向集成、高度共享的统一信息平台。网的主要支撑点——各种电压等级的变电站，其机房内安置着很多屏柜，每个屏柜内安装着继保设备、自动化设备、信息设备、通信设备、电源设备等，各类设备各司其职，通过电力管理系统可以实现电网设备资源的管理，但是一般的权限及角色控制存在着安全控制和系统可用性之间的矛盾。

基于角色的访问控制(Role-based Access Control简称RBAC)是近年来发展起来的一种访问控制模型，它由美国George Mason大学的Ravi Sandhu等人提出。RBAC的出现，进一步推动了计算机系统安全访问控制模型的深入研究和发展，RBAC模型因为具有较好的可用性，已在计算机系统安全和数据库应用系统安全中得到广泛使用。访问控制是用来保证信息系统中数据信息完整性和保密性的一项重要技术手段和方法，强制访问控制（Lattice-Based Access Control，简称LBAC）是由Bell La padula模型发展过来的，以其严格的安全约束规则提供了很好的信息保密机制，但损失了相当的系统可用性。为了解决这个问题，引用了一种改进的ERBMAC（Extended Role-Based Mandatory Access Control）模型,它兼具基于角色访问控制和强制访问控制策略的功能特点，更加紧密结合应用系统，易于实施，并且灵活性强。

2 基于角色的访问模型(RBAC)

在RBAC系统中，权限与角色相关联，用户被赋予适当的角色从而获得角色的权限，简化了权限管理。RBAC96模型是Sandhu等人提出的一个RBAC模型簇，包括四个子模型，图1表示它们之间的层次结构。RBAC0是基本模型，描述任何支持RBAC的系统的最小要求。RBAC0包括四个基本元素：用户集合（U）、角色集合（R）、会话集合（S）和权限集合（P）。用户在一次会话中激活所属角色的一个子集，获得一组访问权限，即可对相关客体执行规定的操作，任何非显式授予的权限都是被禁止的。

图1 RBAC层次结构

RBAC1是对RBAC0的扩充，增加角色等级的概念。实际组织中职权重叠现象的客观存在为角色提供了依据。通过角色等级，上级角色继承下级角色的访问权，再被授予自身特有的权限构成该角色的全部权限，这极大地方便了权限管理。RBAC2也是RBAC0的扩充，但与RBAC1不同，RBAC2加进了约束的概念。

RBAC3是RBAC1和RBAC2的结合。将角色等与约束结合起来就产生了等级结构上的约束：

（1）等级间的基数约束。给定角色的父角色或子角色的数量限制。

（2）等级间的互斥角色。两个给定的角色是否可以有共同的上级角色或下级角色。特别是两个互斥角色是否可以有共同的上级角色。

Bell-LaPadula安全模型（简称BLP模型）是最早的一种多级安全模型，也是公认的最著名的多级安全模型。BLP模型是一个状态机模型，它形式化地定义了系统、系统状态以及状态间的转换规则；定义了安全的概念；并制定了一组安全特性，以此对系统状态和状态转换规则进行限制和约束，使得对于一个系统，如果它的初始状态是安全的，并且所经过的一系列的规则都是保持安全的，那么可以证明系统是安全的。

3 变电所运维安控(资源)管理系统

本系统的设计思路：电力系统通信的实际工作中，当需要操作屏柜内设备时，由开票人员在本系统内开出工作票，并手工或自动辅助生成作业指导书。然后系统激活相应屏柜的电子锁，即工作人员可以使用电子钥匙打开该屏柜。然后在该屏柜的液晶屏上看到对应的作业指导书。工作人员在按照作业指导书逐项完成后，提交工作票，即可自动更新操作了的设备的相关状态属性，以及屏柜内部的具体情况信息，以便下次开票作为参考依据和以后对工作的责任认定。系统工作原理如图2所示：

图2 系统原理图

管理人员填完工作票和调用作业指导书，签发。

集控站审核工作票和作业指导书，确认无误后许可，系统自动生成对应变电所的对应工作门禁系统，屏柜门禁激活（处于对应工作负责人工作卡开启门禁）。

工作负责人在工作许可时间段内刷卡开启工作站点门禁和工作屏柜门禁，打开液晶显示屏，根据作业指导书逐步操作，操作一步在作业指导书提示框确认一步。改变资料在数据库中实时同步更新。

工作完成，与作业指导书最后项工作结束确认，工作票流程自动结束，关上柜门，在此工作指示灯转成白色正常状态。

系统采用符合面向服务（SOA）架构的三层结构，利用前台管理软件采用B/S方式供用户访问，后台牵涉到工作站的采用三层架构的C/S方式供用户访问。系统架构如图3所示：

4 构造ERBMAC模型

通过对以上两种模型的分析可以看出，基于LBAC模型的主体与客体都标有安全标签，访问控制严格按访问规则进行，访问的保密性与安全性方面较好，而过于严格的访问控制在现实应用中很不方便。而RBAC模型权限被授予角色，管理员通过为用户设置特定的角色来授予，简化了授权管理。因此考虑与RBAC模型相结合，在原来的LBAC模型上进行扩展。

关于LBAC模型如何扩展，Sandhu等人在RBAC模型中模拟实施MAC，并且提出了解决方案。针对Sandhu方法中拒绝服务和给主体赋予过多权限等缺陷提出了改进措施。通过角色安全标签将BLP模型和RBAC模型进行融合，提出了EBLP模型，但存在访问效率低的缺点。本文提出的ERBMAC模型为了将两者组合在一起，引入特权机制对其进行一定的限制，目的是将基于角色的访问控制模型和改进的强制访问控制模型两者结合，以发挥两者的优点，弥补各自的不足。

4.1 在RBAC上构造LBAC

在LBAC中每个用户有一个唯一的安全许可证，相应地，在RBAC中就要为每个用户分配四个角色：一个读角色xR，一个写角色LW，一个修改角色LU，一个删除角色LD，x是用户的安全标签。一个LBAC的用户允许以用户的安全标签所支配的任何会话进入系统，这要求在RBAC中实现的会话有一个yR角色，一个yW角色，一个yU角色，一个yD角色。条件x≥y表示用户的安全级要支配任何用户用来登录会话的安全级。

对于LBAC中的每一个具有安全标签为x的客体，在RBAC中分配读、写、修改、删除四个权限，记作(o，r)、（o，w）、（o，u）和（o，d），分别与一组唯一匹配的角色xR、xW、xU和xD对应。下面给出用RBAC构造LBAC系统的构造方法。

对于给定的安全标记SL——{L1，L2，……，Ln}和一个偏序关系≥LBAC，针对自由*-规则的等价的RBAC96系统的基础上进行构造。

构造1（自由*-规则）

（2）RH，由四个不相交的角色层次构成：一个“读”角色{ L1R，L2R，…，LnR}和≥LBAC构成，一个“写”角色{L1W，L2W，…，LnW}和≥LBAC之逆构成，一个“修改”角色{L1U，L2U，…，LnU}和≥LBAC之逆构成，最后一个“删除”角色{ L1D，L2D，…，LnD}和≥LBAC之逆构成。

（3）P={(o，r)，（o，w），（o，u），（o，d）oO}，其中r表示读，w表示写，u表示修改，d表示删除，O为客体集。

（4）UA约束：为每个用户精确分配xR、LW、LU和LD四个角色，x为分配给用户的安全标记，LW、LU和LD为相应于≥LBAC的最低安全层次的写角色、修改角色和删除角色。

（5）会话约束：每个会话精确地具备yR、yW、yU和yD四个角色。

（6）PA约束：(o，r)被分配给读角色xR，当且仅当{（o，w），（o，u），（o，d）}中的权限被分配角色，即具有xW、xU和xD角色的一个或多个时，也具有xR角色；(o，r)仅被精确地分配给一个角色xR，其中x为o的安全标记。

定理1一个由构造1定义的RBAC系统满足简单安全规则和自由*-规则。

证明：

（1）简单安全规则：根据构造1，用户u可以启动一个会话s，并在会话s中激活某个角色yR（会话s的级别为y）。如果用户u想要在会话s中读取对象o，则(o，r)必须直接或间接地位于角色yR的权限集中。由于(o，r)只被指定给角色xR，因此在角色层次结构中yR必定直接或间接地继承于角色xR，即yR≥xR。根据读角色层次结构，y的安全级必定支配x的安全级，即y≥x，所以简单安全规则满足。

（2）自由*-规则：这里只证明写角色满足该规则，其它角色的证明方法类似。

根据构造1，每个用户u都被指定了角色LW，用户u可以启动会话s中激活的角色yW（会话s的级别等于y）。如果用户u想要在会话s中写对象o，则（o，w）必须直接或间接的位于角色yW的权限集中。由于（o，w）只被指定给角色xW，因此在角色层次结构中yW必定直接或间接地继承于xW，即yW≥xW。根据图3-4中的写角色层次结构，y的安全级必定受x的安全级支配，即y≤x，所以自由*-规则被满足。

4.2 ERBMAC模型

ERBMAC模型组合了改进的LBAC访问模型和RBAC模型的特点，能有效地抵制类似特洛伊木马的攻击，保证信息从低安全级向高安全级流动，同时在权限的管理方面又可以使用RBAC方式来管理。ERBMAC模型如图3所示。

图3 ERBMAC模型

4.2.1 ERBMAC模型组件

ERBMAC模型由如下元素组成：用户集合（U），会话集合（S），客体集合（O），角色集合（R），范畴集合（C），安全标签集合（SL），特权集合（P），安全约束规则集合（Rules），系统安全管理员（SSO）。各个元素说明如下：

（1）用户是访问系统的一个帐号，每个访问系统的人有一个相应的用户，用户认证是访问系统的第一道屏障。

（2）会话是用户访问系统过程中产生的，用户访问系统是通过会话来进行的，每个会话有一个相应的角色。

（3）客体则是系统中被访问的对象。

（4）角色代表组织中的一个职能，也是业务系统上的一个岗位。

（5）安全标签由密级与范围组成，安全标签集合用SL表示，安全标签又称安全级。密级集合用L表示，密级表示数据的重要程度。范畴集合用C表示，范畴是密级的作用范围，通常是一个部门或一个职位。

（6）安全约束规定ERBMAC模型在访问中遵守的约束规则。

（7）特权权限由系统安全管理员直接指定给角色权限，具有特权的用户访问不受安全级的限制。

4.2.2 ERBMAC模型分析

安全标签SL与客体O是一对多的关系，每个客体都有一个唯一的安全标签，表示该客体的信息敏感程度。

安全标签SL与角色R是多对一的关系，每个角色只能有一个安全标签。该模型取消了RBAC96中采用的角色继承机制，角色的权限只通过标签来体现，标签级别的高低确定角色级别的高低。

用户U本身没有等级，用户访问系统是通过角色R来实现的，用户与角色之间的关系是多对多关系。

一个会话S是访问控制的一个单元，每个会话与一个用户和该用户访问系统的角色相关联。SLc代表当前安全标签，用户建立会话时，使用用户角色的安全标签作为当前会话的安全标签。每个会话只能与一个用户相关联，而一个用户可以同时建立多个会话，可以拥有具有不同的安全标签的会话。

特权P是该系统模型的主要特点。在系统操作过程中，一般使用LBAC模型来进行访问控制，当低级的主体需要读写访问高级的客体或高级别的主体需要写低级别的客体，就需要对主体设置特权。但特权与普通权限不同，特权是由系统安全管理员来指定的，而普通权限是通过角色安全级与客体的安全级比较来获得的。

系统安全员主要负责整个系统的安全管理。具体有：用户管理、客体管理、角色管理和安全标签的管理等。

5 ERBMAC模型的应用

以ERBMAC模型在变电所运维安控平台的应用为例，模型的实现采用JAVA语言开发，数据库采用Oracle10g数据库，应用服务器为Tomcat6.0，主要工作模式为B/S，安全管理是以WEB服务的形式提供的，访问控制规则由WEB底层的组件实现。系统开发采用Struts2框架下的SSI模式，原型系统的功能由模型层实现。

系统采用了数据库安全增强系统来提高数据库系统的安全性，任何对数据库的访问都必须经过该安全管理系统检查，对应用系统在访问时进行约束和控制，以保护数据库系统的安全，体系结构如图4所示。

图4 ERBMAC体系结构

图5 安全级关系

图5表示安全级之间关系，树的子节点安全级支配其父节点的安全级，处于两个不同分支的安全级不可比。结果表明ERBMAC系统通过角色的方式进行权限管理，提高了权限管理的方便性和有效性，而且ERBMAC系统可以按照安全级与特权的设置进行访问控制，对变电所资源管理和电子操作票的安全下发起到很好的控制效果。

6 结束语

该文在分析各种不同访问控制模型的基础上，结合变电所屏柜资源安全管控的特点和作业指导书的下发模式，提出了扩展的基于角色的强制访问控制模型（ERBMAC模型）。该模型扩展了强制访问的权限，由原来的读与写权限扩展成为查询、插入、修改和删除权限，而且兼有强制访问控制的安全性和角色管理的方便性。最后把该模型应用到变电所运维安控系统当中，运行实践证明，文章提出的方案简单，灵活性更高，能够更加强化变电所资源的安全管理和作业指导书的安全有效下发。

[1]倪益民,杨松,樊陈.智能变电站合并单元智能终端集成技术探讨[J].电力系统自动化,2004,38(12):95-99.

[2]刘文清,卿斯汉,刘海峰.一个修改BLP安全模型的设计及在SecLinux上的应用[J].软件学报,2002,13(4):567-573.

[3]梁彬,孙玉芳,石文昌,等.一种改进的以基于角色的访问控制实施BLP模型及其变种的方法[J].计算机学报,2004,27(5): 636-644.

Research on Substation Operation and Maintenance Safety Control Platform Based on Improved Role Mandatory Access Expansion Model

GONG Li-qun,XU Chun-hua,QIU Xiao-jun,YU Bai-hong
(State Grid Zhejiang Cixi City power supply company,Cixi Zhejiang 315300 China)

the substation room placed a lot of cabinet and equipment,thesafety control and operation instruction system of cabinet and equipmenteffectively,is a big problem in electric power resource management system.Mandatory access control model with strict safety rules to provide the confidentiality of information is a good mechanism to solve the problem,the safety control system,substation operation and maintenance system through the introduction of mandatory access control model based on role ofexpansion,the safety control and operation instruction substation roomresources effectively issued.

role based access control of substation operation and maintenance;safety;safety grade;role;privilege

TP309

A

1008-1739（2015）08-45-4

定稿日期：2015-03-26