基于角色的安全访问控制方法

山东省莱西市第一中学 刘丰毓

青岛华新博源智能科技有限公司 丁惠一

基于角色的安全访问控制方法

山东省莱西市第一中学 刘丰毓

青岛华新博源智能科技有限公司 丁惠一

本文研究的基本思路是：根据信息系统安全风险评估的基本原理和基于任务访问控制模型的相关理论，构建了一种基于风险评估的对等网络访问控制模型。节点之间进行交互时，主体节点先进行本次交互任务的风险评估，以实现主体节点对目标节点访问权限的动态管理，从而达到网络系统安全的目标。本文的分析场景为P2P 网络资源共享应用。

角色；访问控制；网络安全；评估；P2P

1.风险评估

风险评估的目的就是对某一交互任务可能带来的风险进行分析，评估安全威胁的发生可能性及其影响程度，为安全策略的确定提供依据。风险评估与分析是一个复杂的过程，其包括主体节点共享资源价值的评价、主体节点本身脆弱性识别和可能来自目标节点的威胁识别。

资源作为对等网络中最有价值的基本元素，是REMAC的第一评估要素。首先对网络系统中的所有资源进行合理分类，分析其安全需求。这里的安全需求主要包括共享资源的机密性、完整性、可用性三个方面。

定义1 机密性(Confidentiality)：是资源的一种安全属性，指资源所达到的未提供（泄露）给非授权用户的程度，以C(s)表示某一资源s的机密性，，其中。定义2 完整性(Integrity)：是资源的一种安全属性，指资源不能被非授权篡改或破坏的属性，以I(s)表示某一资源s的完整性，，其中。定义3 可用性(Availability)：是资源的一种安全属性，指被授权用户按访问控制的要求可访问资源的程度，以A(s)表示某一资源s的可用性，，其中。定义4 资源价值(Asset value)：是资源一种重要程度的属性，它是资产（资源）识别的主要内容，以V(s)表示某一资源s的价值，，其中。显然，本次交互任务需要访问的资源规模越大，资源的价值也越大。因此，设Q(s)为本次交互任务需要访问资源s的规模，。那么，由资源的机密性、完整性、可用性及其规模，得到目标节点需要访问的资源价值为：

主体节点Zn的脆弱性为：

其中，KI为主体节点进行资源共享交互发生安全事故的次数，KS为主体节点进行资源共享交互没有发生安全事故的次数。α1，α2为预定的参数值，表示每个子项的权重值。

威胁识别是目标节点使本次交互任务可能发生不安全事件内在或外在因素的综合。这里主要从3个方面来分析：1）目标节点的前期交互行为；2）目标节点的可靠性；3）其他节点对目标节点的评价。

定义5 来自目标节点前期交互行为的可能威胁：

其中MI为目标节点在资源共享交互中有非法行为的次数，MS是行为良好的次数。

定义6 假设来自目标节点可靠性的可能威胁为：

其中πoff为目标节点的离线时间，πon是其在线时间。为目标节点在以前进行资源共享交互中丢包率的平均值

2.访问控制模型

本文对任务访问控制模型进行了扩展，从目标节点（服务请求节点）对资源访问的具体需求出发，并综合考虑了本次资源共享交互中服务提供节点和目标节点的各种内外因素，对本次交互任务进行风险评估，以实现灵活动态的授权机制，这种安全策略正好满足P2P网络分布式访问控制的安全需求。为了方便对REMAC进行形式化描述，先给出一些相关的概念。

定义8 任务（Task）：就是节点间进行资源共享的一个逻辑单元，是可区分的对某一资源的动作。

定义9 授权步（Authorization step）：表示为As，是指对某一资源的原子操作，一个任务可依次分为多个授权步来完成，其中任何一个授权步的失败都将导致整个任务的失败。

授权步之间存在着相互依赖关系，包括了顺序依赖、失败依赖、失败代理依赖和失败撤销依赖。顺序依赖是指：授权步As1完成之后，As2才能被激活；失败依赖是指授权步As1失败之后，As2才能被激活；失败代理依赖是指授权步As1失败之后，才能由As2代理执行；失败撤销依赖是指授权步As1失败之后，As2的授权被收回。

才能完成，主体节点Zn可以根据安全需求和访问控制策略进行动态的访问权限管理。

3.安全性能分析

为了使REMAC模型能够抵御一些典型的安全攻击。我们在REMAC模型中增加身份认证和保密通信机制。身份认证就是当目标节点有访问请求时，主体节点需对其身份进行识别，然后才能依据本次任务的风险值来确定是否授权，以及目标节点能够拥有何种访问权限。由于P2P网络的自组织等特性，没有权威的第三方参与，只能由参与交互的双方来确认对方的身份。在系统初始化，每个节点独立地生成一个公钥密钥对(Kp, Ks)，其中公钥Kp公开，任何两个节点进行通信时均采用公钥密码体制进行加密。同时，目标节点在发送访问请求信息时，则采用其私钥Ks进行数字签名，主体节点收到请求信息后，可以采用目标节点的公钥Kp进行身份验证。

下面来分析REMAC模型针对一些典型攻击的防御性能。

所谓女巫攻击，是指某恶意节点在网络系统中以多个身份非法地出现，以影响网络系统的整体效率和可用性。由于该模型采用了数字签名来进行节点的身份验证。因此，能够有效地抑制女巫攻击。

冒名是指恶意节点伪装成别的节点并使用其身份信息进行访问。由于所有的请求信息都需要目标节点的签名密钥进行了签名，并且与目标节点唯一的身份信息联系在一起，因此理论上恶意节点不可能通过获得别的节点的密钥对而进行伪装。

窃听攻击是指信息在通信过程中被恶意用户通过一些技术手段获取到。但由于所有的信息在传输过程中均采用了公钥密码体制进行了加密，因此就算恶意用户获取了这些信息，在理论上也无法解密。

[1]梅红岩,张玉洁,孟祥武.非结构P2P 网络受限搜索机制[J].软件学报,2013,24(9):2132-2150.

[2]Endo K,Imaoka A,Okano D,et al.A search method using temporary links for unstructured P2P networks[J].Journal of Networks,2014,9(7):1665-1673.

[3]郭世泽,陆哲明.复杂网络基础理论[M].北京:科学出版社,2012.

[4]史蒂文·泰迪里斯著.李井奎译.博弈论导论[M].北京:中国人民大学出版社,2015.

[5]谢季坚,刘承平.模糊数学方法及其应用[M].武汉:华中科技大学出版社,2000.

刘丰毓（1999—），男，山东莱西人，高三在读，善于钻研，热衷于计算机程序开发，尤其是计算机安全、网络安全方面较为突出。

丁惠一（1978—），男，山东莱西人，研究生，现供职于青岛华新博源智能科技有限公司，主要研究方向：物联网、智能控制、计算机软件、大数据及云计算等核心技术的建筑智能和节能环保，发表专利有《中央空调智能运维系统》、《中央空调监控系统》、《水冷式中央空调控制系统》。