复杂网络环境下跨网访问控制机制

李凤华，陈天柱，王震，张林杰，史国振，郭云川



复杂网络环境下跨网访问控制机制

李凤华1,2，陈天柱1,2，王震3，张林杰4，史国振5，郭云川1

（1. 中国科学院信息工程研究所信息安全国家重点实验室，北京 100093；2. 中国科学院大学网络空间安全学院，北京 100049；3. 杭州电子科技大学网络空间安全学院，浙江 杭州 310018；4. 中国电子科技集团公司第五十四研究所，河北 石家庄 050081；5. 北京电子科技学院信息安全系，北京 100070）

以天地一体化网络、物联网和复杂专用网络为代表的复杂网络环境（CNN, complex network environment）具有设备动态接入，网络异构、众多和信息跨网流动频繁等特点。上述特点给复杂网络环境下的访问控制技术带来细粒度控制、策略跟随和策略语义归一化等一系列新需求。针对这些需求，将面向网络空间的访问控制机制映射到复杂网络环境中。首先展示访问控制机制的具体映射过程，其次提出相应的访问控制管理模型，并用Z符号形式化地描述管理模型中的管理函数。实例分析表明，该访问控制机制可满足上述一系列新需求。

复杂网络环境；跨网；天地一体化网络；访问控制机制；管理模型

1 引言

近年来，以天地一体化网络[1]、物联网[2]、复杂专用网络为代表的复杂网络环境快速发展。美国卫星工业协会发布的《2016年卫星产业状况报告》调查表明，从2006年到2015年全球卫星工业产值平均每年呈现9%以上的增长率[3]；Gartner预测物联网设备在2015年达到50亿台，2020年将达到250亿台。复杂网络环境的快速发展给人们的日常生活带来了巨大便利，同时也产生了大量的安全问题，尤其是数据安全问题。因此，作为保护数据被合法访问的先进技术，研究复杂网络环境下的访问控制技术显得尤为必要。

复杂网络环境具有设备动态接入、网络异构、众多和信息跨网流动频繁等特点。例如，天地一体化网络由天基骨干网、天基接入网、地基节点网、地面互联网和移动通信网等异构网络组成。在该网络中，海量地面用户频繁动态接入，天基接入网获取的地面实时信息经由天基骨干网流向地基节点网。上述特点给复杂网络环境访问控制技术带来诸多新需求。1) 细粒度控制：复杂网络环境具有海量信息，不同用户对这些信息具有不同的使用权限，粗粒度控制会带来大量安全问题。2) 策略跟随：数据信息在网间频繁流动，其相应的控制策略未跟随数据信息本体到新网时会造成用户失去对数据的控制。3) 策略语义归一化：数据信息在流动过程中跨越不同网络，网络间策略语言的不一致性可能会造成策略在网间转化时出现错误。

研究者们基于传统访问控制模型，针对复杂网络环境的某些特点，提出了不同的访问控制机制。针对物联网设备动态接入特点，文献[4~6]基于访问控制列表[7]提出基于Capability的访问控制模型。在该模型中，组织或个人可对访问设备进行细粒度管理。针对智能电网跨安全网特点，文献[8]将角色[9]定义范围从局部微电网扩展到局部交互微电网和远程微电网。针对物联网网络异构和信息频繁流动的特点，文献[10]扩展可信[11]的概念，提出了终端到终端的安全交流和访问机制。针对天地一体化网络的动态性特点，文献[12]融合角色安全性和可用性、属性[13]灵活性等优势提出一种分布式的访问控制框架。文献[14]基于角色、上下文[15]和动态的偏好知识，提出一种用户可连续访问的控制模型。然而，上述基于传统访问控制模型提出的方案很难解决复杂网络环境下信息流跨网问题，例如，基于Capability的访问控制模型无法对流出该网的数据进行控制，新网中可能不存在与源网中该数据对应的角色，进而失去该数据原本的访问策略。

文献[16]提出了面向网络空间的访问控制机制（CoAC, cyberspace-oriented access control model）。该机制使用设备、接入点、时间、网络以及相关属性因素描述策略，实现了网络空间对细粒度控制、策略跟随和策略语义一致性等访问控制需求。本文将面向网络空间的访问控制机制映射到复杂网络环境上，呈现复杂网络环境下跨网访问控制机制（CACCN, cross-network access control mechanism for complex network environment）。天地一体化网络具有“节点海量、多异构网融合、信息跨网流动频繁”等特点，是一种典型的复杂网络环境。因此，本文以天地一体化网络为例，具体展示映射过程，主要贡献如下。

1) 针对复杂网络环境对细粒度控制、策略跟随和策略语义归一化等需求，通过映射面向网络空间的访问控制机制，提出了面向复杂网络环境下跨网访问控制机制，实现对复杂网络环境信息流跨网控制。实例分析表明，所提出的访问控制机制可解决上述需求。

2) 针对访问控制管理的复杂性，给出了访问控制管理模型，并用Z符号[17]形式化地描述了管理模型中的管理函数和管理方法。

2 基于CoAC的复杂网络环境下跨网访问控制

本节首先呈现从CoAC到CACCN的映射过程，然后详细给出CACCN的实施机制并分析其满足的安全需求。

2.1 从CoAC到CACCN的映射

下面，以天地一体化网络为例，具体展示从CoAC到CACCN的映射过程。该映射是由8个映射函数组成，每个映射函数的原像与像的主要区别在于访问控制属性。

访问控制属性是指访问请求实体通过网络对资源访问时所涉及的所有与权限分配相关的特征，分为2类：与安全相关的所有属性（）和与安全不相关的通用属性（）。一般地，和可用向量表示，向量中的分量表示一种属性。例如，加密方式是的分量，传输带宽是的分量。

映射1 访问请求实体映射。在天地一体化网络中，访问请求实体包括2类：用户和访问代理，记为=<,>，其中，用户包括3类，空基用户、海基用户和陆基用户；表示部署在地面关口站、卫星和终端中的访问代理，可以是一个装置或进程；表示所有的请求实体集。

映射2 接入点映射。类似于CoAC，接入点（AP, access point）是指资源访问请求实体首次接入天地一体化网络时路由网络首跳点所在的空间位置（space location）或网络标识（network identity）。

天地一体化网络接入点的通用属性包括接入速率（）、接入类型（）、接入策略（）、接入协议（）、通信频段（）、支持的用户数量（）、接入总带宽（）等；安全属性与CoAC中接入点的安全属性相同，包括加密类型（）、安全传输协议（）等。接入点的通用属性（和安全属性（）可分别表示为

=<,,,,,,, …>

=<,, …>

其中，包括光接入、微波接入和有线接入等；包括控制信道接入和业务信道接入；接入协议集合包括FDMA、TDMA、CDMA和OFDMA等；接入频段集合包括L频段和S频段等。

映射3 资源映射。资源是指天地一体化网络中访问请求实体访问的对象，如密码资源、侦查监视卫星和对地监测卫星所获得的数据等。资源（）可用二元组<,>表示，其中，表示的唯一标识，表示的内容。

资源的通用属性包括资源拥有者（）、资源类型（）、资源访问策略（）、资源大小（）、资源是否在国土可见范围（）、存储地点（）。资源的安全属性包括安全等级（）、被允许操作（）、加密方式（）等。的通用属性（）和安全属性（）可分别表示为

=<,,,,,, …>

=<,,,…>

其中，包括管理类数据（）和应用类数据（）。包括测控数据、位置数据、状态数据、申请数据、广播数据和网管数据等。按照流动方向，可划分为前向数据和返向数据；按照内容，可划分为文本、图片、语音和视频等。

映射4 访问设备映射。访问设备（）是指天地一体化网络中访问请求实体访问资源时所使用的设备，主要包括高速航天器终端、天基骨干网地面终端、Ka大容量宽带便携/固定终端、高轨卫星移动军用手持/民用车载终端、低轨星座手持/车载终端、Ku（FDMA）便携/固定终端、Ku（TDMA）便携/固定终端等。

设备的通用属性（）包括设备空间位置（）、设备移动速度（）、设备移动方向（）、通信频段（）、通信带宽（）、接入优先级（）等；设备安全属性包括加密机制（）、安全等级（）等。资源（）的通用属性（）和安全属性（）可分别表示为

=<,,,,,,…>

=<,, …>，

设备可用三元组<,,>表示，其中，表示设备ID。

映射5 网络—天基骨干网络映射。天基骨干网络（SBN, space backbone network）是位于地球同步轨道的若干天基骨干节点（SBNO, space backbone node）通过激光通信或微波通信连接而成的网络，天基骨干节点是数据中继、路由交换、信息存储、处理融合的载体。天基骨干网络可表示为无向连通图SBN=（SBN,SBN），其中，SBN={1, …,sbno}为图的顶点集，表示天基骨干节点集，sbno表示第个天基骨干节点，1≤≤，≥3；SBN= {<sbno,sbno1>|1≤≤,sbno1=1}为边集，表示天基骨干节点间的传输链路。SBN中任何顶点只与前后2个顶点相连，其含义是同步轨道上的天基骨干节点只与前后骨干节点通信。为了简洁，用表示天基骨干网络的边。

天基骨干节点通用属性包括控制者（）、关口站是否可见（）、传输协议（）、计算能力（）、存储能力（）、功能（）、空闲信道数量（）等。天基骨干节点安全属性包括加密方式（）、所支持的安全传输协议（）等。其中，表示骨干节点由谁控制，包括受低轨卫星控制或受地面控制，包括卫星传输协议（STP, satellite transport protocol）等，包括数据中继、路由交换、信息存储、处理融合等。顶点的通用属性（）和安全属性（）分别表示为

=<,,,,,,, …>

=<,, …>

天基骨干网络边的通用属性（）包括通道类型（）、通信带宽（）、服务质量（）、物理链路层协议（）、路由协议（）、网络层协议（）、传输层协议（）和通信频段（）等；天基骨干网传输的安全属性包括安全等级（）、加密类型（）、所支持的安全传输协议（）等。边的通用属性（）和安全属性（）分别表示为

=<,,,,,,,, …>

={<,,,…>

其中，包括2类：通信信道（）和控制信道（），包括Laor和Dra等，包括IP和DTN等，包括HQRP（hierarchical QoS routing protocol）和LAOR（location-assisted on demand）协议等，包括TCP和UDP等，包括L频段和S频段等。

映射7 网络—地基节点网络映射。地基节点网络（GNN, ground node network）是由多个地面互连的地基骨干节点（GBN, ground backbone node）、Ku宽带卫星关口站（KUG, Ku bandwidth satellite gateway）、Ka大容量宽带卫星关口站（KAG, Ka satellite gateway）和S卫星关口站（SS, S satellite gateway）通过地面高速骨干网络等方式连接而成的网络，地基骨干节点包括关口站和信息港，主要完成网络控制、资源管理、协议转换、信息处理、融合共享等功能，并实现与其他地面系统的互联互通。

地基节点网络可用无向图GNN(GNN,GNN)表示，其中，GNN=GBN∪KUG∪KAG∪SS为图的顶点集，GBNKUG、KAG、SS分别表示地基骨干节点、Ku宽带卫星关口站、Ka大容量宽带卫星关口站、S卫星关口站的对应节点。GNN为GNN所构成完全图的边集，即GNN={, , , , , }, 其中，⊆{<,>|∈GBN,∈KUG}表示地基骨干节点和Ku宽带卫星关口站相连，由此类推，可得等的含义。

地基节点网络顶点和边的属性类型与天基骨干网络相同，但属性值存在差别，这里不再赘述属性类型。

映射8 网络映射。天地一体化网络（SGIN, space-ground integrated network）是信息传播的载体，是所有信息传播通道的集合。宏观上，整个天地一体化网络可用无向图SGIN=(SGIN,SGIN)表示，该网络的顶点包括天基骨干子网SBN、天基接入子网SAN和地基节点子网GNN，边是由SBN、SAN和GNN组成，即

SGIN=SBN∪SAN∪GNN

SGIN=SBN∪SAN∪GNN∪{<sbno,san>| 1≤≤, 1≤≤Q, 1≤≤, 天基骨干节点sbno和天基接入节点san可连}∪{<sbno,>|∈GNN,天基骨干节点sbno与地基节点可见}∪{< san,>|∈GNN，1≤≤Q, 1≤≤，san关口站和相连}

天地一体化网络中顶点属性为图SBN、图SAN和图GNN中所有顶点属性的并集，边属性为图SBN、图SAN和图GNN中所有边属性的并集。

2.2 CACCN实施机制

访问控制的一个核心问题是如何高效地分配和撤销访问权限，为了解决此问题，本文借鉴CoAC中的权限管理方式，通过场景来分配和撤销权限。场景由广义时态、接入点、设备、网络构成，在权限分配时，预先设定何种场景对何种客体能执行何种操作（即进行“场景—权限”分配）；当用户对客体执行某种操作时，权限决策点首先判定用户所在场景（即“用户—场景”判定），基于“用户—场景”和“场景—权限”，权限决策点判定用户是否具有对客体执行该操作的权限。关于基于场景的访问控制的形式定义，请参考文献[2]。图1详细给出了复杂网络环境下跨网访问控制机制。为了准确实施CACCN，本文定义CACCN相关核心实施函数如下。

1):(,,.,.,,)→∪为属性选择函数，用来确定哪些属性可用作权限分配的依据。设备、资源和复杂网络环境均拥有大量的安全属性或通用属性，设计此函数是为了提高策略决策时的效率，需要依据控制需求选择其中部分安全属性或通用属性作为决策依据。

2):(,,.,.,,,)→{true,false}为属性检查函数，其中，表示所有属性值的集合。

3)()→为访问请求实体—场景检查函数，用于检查访问请求实体所在的场景。

4)(,) →{true,false}为场景—权限分配函数，用于分配给定场景所用于的权限，其中，和分别表示所有场景的集合和所有权限的集合。返回结果为true表示分配成功，否则，分配失败。

图1 复杂网络环境下跨网访问控制机制

5)(,) →{true, false}为场景—权限吊销函数，用于吊销分配给定场景的指定权限。

2.3 CACCN分析

下面分析CACCN如何满足引言部分所提出的访问控制需求以及其他需求。

1) 支持细粒度控制。资源以及场景中的接入点、网络等都包含大量细粒度的安全属性和通用属性，并且可依据需求扩展这些属性。

在实际应用中可预先定义或实时获取这些属性的动态变化值，因此，所提访问控制机制是细粒度的，可对访问过程作精准控制。

2) 支持策略跟随。由于资源通用属性作为控制因素包含在访问策略中，同时资源在流动过程中该属性始终伴随资源，因而该机制支持策略跟随。

3) 支持策略语义归一化处理。该机制定义大量共有属性，采用该机制的不同机构或组织均能理解这些属性。采用这些共有属性控制信息流动时可实现策略语义归一化处理。

本文所提访问控制机制除了支持这3种核心需求外，还能有效确保机密性和支持策略自定义。机密性方面，在设备、资源和网络的通用属性、安全属性中定义安全等级和加密算法，该安全等级包含了设备、资源和传输通道的密级，通过实施策略可确保涉密信息只能在低于其密级的传输信道中传输，并且只能被具有相应角色的用户所接收，从而保障机密性。策略自定义方面，资源的通用属性中包含了资源拥有者的资源访问策略，因此，除了采用场景进行中心化访问控制授权之外，每个组织或机构可依据自身情况自定义对该资源的访问控制策略。

3 复杂网络环境下跨网访问控制管理

在复杂网络环境中设备动态接入，异构网络彼此连接，海量信息频繁跨网流动，这使复杂网络环境下跨网访问控制机制异常复杂，因此，需要设计一套相应的管理模型[18]和管理函数，确保复杂网络环境下跨网访问控制系统能高效安全运行。为确保管理函数语义准确，本文使用Z符号[17]描述管理函数。

3.1 复杂网络环境管理模型

在复杂网络环境中，管理员通过网络服务系统和运维管理系统在给定的时间段内利用特定的设备、特定网络对访问请求实体分配、撤销和更新特定资源的访问权限。由此可知，管理者通过特定的场景实现对访问控制的管理，简称为管理场景。

定义1 管理场景（ADSC, administration scene）。定义为四元组（,,,），表示管理者在时间利用设备在这个访问点通过网络对管理对象进行管理。

图2 复杂网络环境下跨网访问控制管理模型

复杂网络环境管理者通过管理场景对访问过程进行管理，其管理流程如下。超级管理员为管理者分配、撤销管理场景，并维护管理场景对应的权限。管理者通过管理场景更新、删除和修改场景，选取设备、网络、资源的通用属性和安全属性。另外，管理者需要日常维护场景、会话对应的权限，检测场景的权限是否存在冲突。访问请求实体以某一时间点、接入点、设备、网络申请对资源的某一访问权限时，管理模型认证其身份，认证通过后为其分配会话，并激活会话对应的场景进而激活该权限对应的场景。管理模型检测访问请求实体的访问场景是否满足该权限对应的场景，如果满足则具有权限，反之不具有权限。图2详细给出了复杂网络环境下跨网访问控制管理模型。

根据管理流程，管理对象包括：1) 访问请求实体身份、场景中的相关元素及属性、资源及属性和权限；2) 访问请求实体的场景分配、给当前访问请求实体分配会话、给当前会话分配场景、场景与权限的映射。

基于管理场景，可定义管理模型。由于本文所提模式是文献[2]的实例化，根据文献[2]和图2所示的管理模型，很容易定义管理模型组件，本文不再给出管理模型组件的定义。

在复杂网络环境中，不同管理者存在不同的管理权限，如超级管理员能够撤销所有管理员的权限。下面定义4个与场景相关的分配与撤销函数。

1):××2→{true, false}为用户—场景分配函数，其中，表示能够获得管理场景的先决条件。函数can_assignUS (,,)为真时分配中的管理场景。注意：场景最低的管理员不能为其他管理员分配任何场景。

2):×2{superADSC}→{true, false}为用户—场景撤销函数，,)表示具有管理场景的管理者能够撤销分配某个用户的中的管理场景。注意：超级管理场景是分配其他管理场景的最初入口，是不能撤销的；另外，场景最低的管理员不能撤销其他管理员分配任何场景。

3):××2→{true, false}为场景—权限分配函数，其中，表示能够获得管理权限的先决条件，表示所有管理权限的集合。函数(,,)为真表示具有管理场景的管理者能对满足条件的场景分配中的管理权限。

4):×2→{true, false}为场景—权限撤销函数，(,)表示具有管理场景的管理者能够撤销分配某个场景的管理权限。

3.2 复杂网络环境管理函数

为了能够准确地管理访问控制过程，需要定义管理函数。本文将管理函数划分为6种：请求实体—场景管理、场景—权限管理、场景管理、会话管理、属性管理、认证管理。由复杂网络环境管理模型定义的4个管理函数以及与活动数量相关的管理函数（包括用户当前活动场景数量函数、用户活动场景数量上限函数、拥有当前权限的场景数量函数和给定权限所允许的活动场景数量上限函数）[2]。下面详细给出相应的管理函数。

在请求实体—场景管理中，相应的管理函数为、，如表1所示，其功能分别是为管理者分配管理场景、撤销管理者具有的管理场景。

表1 请求实体—场景管理类

在场景—权限管理中，管理函数为、、、，如表2所示，其功能分别是为管理场景分配权限、撤销管理场景的权限、修改管理场景的权限、保证高场景继承低场景的权限。

表2 场景—权限管理类

注： 函数((,))表示将权限赋予管理场景的管理员所在的场景，()表示执行当前操作的管理者所在的场景。

在场景管理中，管理函数为、、、、、，如表3所示，、、、的功能分别是修改场景时间、接入点、设备、网络因素，的功能是检测是否存在与该场景冲突的场景，功能是检查场景。

在会话管理中，管理函数为、，如表4所示，其功能分别是为访问请求实体分配会话、为会话分配场景。

表3 场景管理类

表4 会话管理类

在认证管理中，管理函数为、，如表5所示，其功能分别是选择通用属性、安全属性作为控制要素。

在认证管理中，管理函数为、、、，如表6所示，其功能分别是检查时间、设备、接入点、网络因素是否在允许的范围内。

表5 属性管理类

表6 认证管理类

注： 函数allowedValue()表示通用属性中各个分量所允许的值；对∈进行了重载，本文不再定义。

4 结束语

复杂网络环境具有设备动态接入，网络异构、众多和信息跨网流动频繁等特点，上述特点对访问控制技术带来细粒度控制、策略跟随和策略语义归一化等需求。针对上述需求，本文以天地一体化网络为例，通过映射面向网络空间的访问控制机制，提出了面向复杂网络环境的访问控制机制，实现了对复杂网络环境信息流的跨网控制。该机制满足复杂网络环境下细粒度控制、策略跟随和策略语义归一化处理等一系列需求。针对访问控制管理的复杂性，给出了访问控制管理模型，并用Z符号形式化地描述了管理模型中的管理函数和管理方法。

[1] 沈荣骏. 我国天地一体化航天互联网构想[J]. 中国工程科学, 2006, 8(10): 19-30.

SHEN R J. Some thoughts of (Chinese) integrated space-ground network system[J]. Engineering Science, 2006, 8(10): 19-30.

[2] GUBBI J, BUYYA R, MARUSIC S, et al. Internet of things (IoT): a vision, architectural elements, and future directions[J]. Future Generation Computer Systems, 2013, 29(7): 1645-1660.

[3] 张蓉, 徐晔, 闵小峰. 美协会发表2016年卫星产业状况报告[J].中国航天, 2016, 8: 38-44.

ZHANG R, XU Y, MIN X F. 2016 SIA state of the satellite industry report[J]. Aerospace China, 2016, 8: 38-44.

[4] ANGGOROJATI B, MAHALLE P, PRASAO N R, et al. Capability-based access control delegation model on the federated IoT network[C]//Symposium on Wireless Personal Multimedia Communications. 2012: 604-608.

[5] GUSMEROLI S, PICCIONE S, ROTONDI D. IoT access control issues: a capability based approach[C]//The IEEE International Conference on Innovative Mobile and Internet Services in Ubiquitous Computing. 2012: 787-792.

[6] GUSMEROLI S, PICCIONE S, ROTONDI D. A capability-based security approach to manage access control in the internet of things[J]. Mathematical and Computer Modelling, 2013, 58(5): 1189-1205.

[7] SAMARATI P, VIMERCATI S D C D. Access control: policies, models, and mechanisms[C]//International School on Foundations of Security Analysis and Design. 2000: 137-196.

[8] CHEUNG H, YANG C, et al. New smart-grid operation-based network access control[C]//The IEEE International Conference on Energy Conversion Congress and Exposition. 2015: 1203-1207.

[9] FERRAIOLO D F, SANDHU R, GAVRILA S, et al. Proposed NIST standard for role-based access control[J]. ACM Transactions on Information and System Security, 2001, 4(3): 224-274.

[10] BERNABE B, RAMOS J, GOMEZ A F S, et al. TACIoT: multidimensional trust-aware access control system for the Internet of Things[J]. Soft Computing, 2016, 20(5): 1763-1779.

[11] GRANDISON T, SLOMAN M. A survey of trust in internet applications[J]. IEEE Communications Surveys & Tutorials, 2000, 3(4): 2-16.

[12] 封孝生, 刘德生, 乐俊, 等. 临近空间信息资源访问控制策略初探[J]. 计算机应用研究, 2008, 25(12): 3702-3704.

FENG X S, LIU D S, YUE J, et al. Exploration on access control to near space information resources[J]. Application Research of Computers, 2008, 25(12): 3702-3704.

[13] HUR J, NOH D K. Attribute-based access control with efficient revocation in data outsourcing systems[J]. IEEE Transactions on Parallel and Distributed Systems, 2011, 22(7): 1214-1221.

[14] QI H, MA H, LI J, et al. Access control model based on role and attribute and its applications on space-ground integration networks[C]//The IEEE International Conference on Computer Science and Network Technology. 2015: 1118-1122.

[15] KULKARNI D, TRIPATHI A. Context-aware role-based access control in pervasive computing systems[C]//The ACM Symposium on Access Control Models and Technologies. 2008: 113-122.

[16] 李凤华, 王彦超, 殷丽华, 等. 面向网络空间的访问控制模型[J]. 通信学报, 2016, 37(5): 9-20.

LI F H, WANG Y C, YIN L H, et al. Novel cyberspace-oriented access control model[J]. Journal on Communications, 2016, 37(5): 9-20.

[17] DORNYEI Z. Motivational strategies in the language classroom[M]. Cambridge: Cambridge University Press, 2001.

[18] SANDHU R S, COYNE E J. Role-based access control models[J]. Computer, 1996, 29(2): 38-47.

Cross-network access control mechanism forcomplex network environment

LI Fenghua1,2, CHEN Tianzhu1,2, WANG Zhen3, ZHANG Linjie4, SHI Guozhen5, GUO Yunchuan1

1. The State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China 2. School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049, China 3. School of Cyberspace, Hangzhou Dianzi University, Hangzhou 310018, China 4. The 54th Research Institute of China Electronics Technology Group Corporation 54, Shijiazhuang 050081, China 5. Department of Information Security, Beijing Electronic Science and Technology Institute, Beijing 100070, China

Complex network environments, such as space-ground integrated networks, internet of things and complex private networks, have some typical characteristics, e.g., integration of multi-network and information flow in cross-network. These characteristics bring access control for complex network environment the new requirement of coarse-grained control, sticky policies and inconsistent operation semantics. To satisfy these requirements, cross-network access control mechanism in complex network environments (CACCN) was designed by mapping the cyberspace-oriented access control. First of all, the process of mapping was illustrated using the example of space-ground integrated networks. Next, a management model was proposed to manage the control elements in CACCN and a series of management functions were designed by using Z-notation. The analysis on practical example demonstrates that the mechanism can satisfy a series of access control requirements.

complex network environment, cross-network, space-ground integrated network, access control, management model

TP302

A

10.11959/j.issn.1000-436x.2018019

2017-10-28；

2018-01-09

郭云川，guoyunchuan@iie.ac.cn

国家重点研发计划基金资助项目（No.2016YFB0801001）；国家自然科学基金资助项目（No.61672515）

The National Key R&D Program of China（No.2016YFB0801001）, The National Natural Science Foundation of China (No.61672515)

李凤华（1966-），男，湖北浠水人，博士，中国科学院信息工程研究所副总工程师、研究员、博士生导师，主要研究方向为网络与系统安全、信息保护、隐私计算。

陈天柱（1987-），男，河北秦皇岛人，中国科学院信息工程研究所博士生，主要研究方向为信息安全。

王震（1984-），男，山东聊城人，博士，杭州电子科技大学副研究员、硕士生导师，主要研究方向为网络与系统安全、博弈论。

张林杰（1972-），女，河北乐亭人，中国电子科技集团公司第五十四研究所研究员，主要研究方向为网络安全、通信网络与系统。

史国振（1974-），男，河南济源人，博士，北京电子科技学院副教授、硕士生导师，主要研究方向为网络安全、嵌入式系统、访问控制。

郭云川（1977-），男，四川营山人，博士，中国科学院信息工程研究所副研究员，主要研究方向为物联网安全、形式化方法。