基于信任度的公安合成作战平台动态访问控制策略

石兴华 曹金璇 朱衍丞

(中国人民公安大学信息技术与网络安全学院 北京 100038)

0 引 言

目前公安合成作战平台访问采用基于PKI/PMI的身份认证与访问控制框架[1-2]。其中PMI采用基于角色的访问控制策略[3-5]，即基于民警业务岗位、行政级别进行缺省的静态授权。这种静态访问控制策略和授权的方式仍处于粗粒度控制阶段，不能适应公安信息化深度应用对信息资源综合共享利用的需求，给公安业务开展带来诸多不便。

例如，当开展一个重大刑事案件侦办时，业务侦查民警可能需要从交管部门获取嫌疑人的驾车逃窜路线数据，从技术部门获取嫌疑人的电话联系数据等。然而，现行公安合成作战平台的访问控制策略，部门间数据的相互访问所需权限会更高，普通民警跨部门获取办案数据需向上级层层申报批准，这种方式往往容易错过侦破案件的最佳时机。

针对以上问题，本文通过对信任度理论[6-7]及公安合成作战平台用户资源访问权限控制策略的深入分析，提出了一种结合用户自身属性、案件性质、用户历史操作行为、风险评估[5]等不同维度进行用户信任值[9]量化的信任机制[10]。基于这种信任机制，结合大数据技术应用，对传统的基于角色的访问控制模型[11-12]进行了相应改进与扩展。在遵循公安合成作战平台原有PKI/PMI框架的前提下，优化PMI中用户授权方法，提出了一套动态访问控制策略。

实验结果表明，该策略既能满足大数据背景下公安合成作战平台的应用对用户角色授权的细粒度需求，又能保证公安合成作战平台具有良好的安全性。

1 平台访问的信任度计算

公安合成作战平台访问中的信任度计算包括用户系统交互信任评价、直接信任度评价和间接信任度评价三个主要因素。

1.1 用户系统交互信任评价

用户与公安合成作战平台交互行为的信任评价可参考用户行为信任评价模型，采用带有不同权重的评价因子进行量化。它包括评价因子的选取和一次交互行为的信任度评价。

1.1.1评价因子选取

结合公安合成作战平台实际，评价因子的确定需要考虑用户自身属性、办案性质、数据操作行为等多种不同因素。

(1) 用户属性 这里的用户是指访问公安合成作战平台的民警，其属性主要包括警务级别α和侦破能力β两个方面(注：公式中系数的选取为方便计算，可根据实际公安工作需求进行动态调整)。

① 警务级别α：警务级别α由用户的“警龄”和“警级”来确定。当遇到一个未知用户发送的请求时，系统评价模型首先计算该用户的信任值是最直接、最可靠的方式。

α=0.01×year×level

(1)

式中：year表示用户入警时间(单位：年)；level表示用户的警务等级。

② 侦破能力β：侦破能力β由用户主导或参与的结案数目来确定，即：

式中：n、m分别表示民警从警以来主导案件结案数、参与案件结案数，若案件性质为“重大刑事案件”，则结案数×2。

(2) 办案性质 放权风险度φ与案件级别和案件主侦人员的类别有关，案件级别和主侦人员的级别越高，放权风险度φ越大。即：

式中：N为参与案件侦查的人员数目；Γ为风险权值，表示系统对用户行为风险的接受程度；μ为案件级别，即：

ρ为立案之时，公安系统判定的案件主侦人员类别：

H为信息熵，表示不确定信息量：

(3) 数据操作 用户对数据操作涉及的两个重要问题，一个是数据使用行为规范，另一个是数据使用结果反馈。

① 行为规范指数σ:虽然每个数据服务器都有制定不同的服务-服务级别-权限映射，但用户在使用数据时可能会违背系统赋予的权限而对数据进行恶意窃取或破坏，比如用户在修改的时候将数据内容全部删除等。行为规范指数σ可以准确反映用户操作与实际权限的匹配度。行为规范指数σ的计算公式为：

式中：visit表示用户操作数据次数；abnormal表示违规操作(权限与操作不符)次数；c表示民警请求访问数据服务器的具体时间，格式为“HH:MM(小时：分钟)”；t(c)表示时间函数，并有：

实际计算中，可用time类下的strptime方法将c转换为unix时间戳方便计算。通常民警对数据服务器的访问都是在工作时间，若在工作时间外进行访问，则有泄露数据的可能。式(8)还根据时间对c进行了细粒度划分。

② 数据反馈γ：民警在使用其他部门数据后必须提交使用报告反馈，以证明所访问数据与办案情况真实相关，因为使用报告内容必须通过人工审查，这里只用数据反馈γ来表示用户使用报告的反馈情况，计算公式为：

“这年头咋死的都有，前天我上网看见个贼漂亮的妞儿，在自个儿家里摔了，砸到了鱼缸，割破了动脉，没人救流血流死了，白瞎那么风骚了。”潘阳说。

γ=0.3×λ

(9)

式中：λ为Booleans值表示民警数据反馈状态，提交反馈报告为1，否则为0。

1.1.2一次交互行为评价值

设Tar为可选取的以上评价因子，对应的评价因子集则为Target={Tar1,Tar2,…,Tarn}。且各评价因子对应权重为{ω1,ω2,…,ωn}，ω1+ω2+…+ωn=10。则一次交互后的行为评价R为：

且：

1.2 直接信任度评价

直接信任度的定义为根据历史用户系统交互信任度即由直接经验计算而得出的信任值，用符号DRS表示，其形式化描述为：

DRS=f(ER,OR,ES)

(12)

式中：DRS表示实体ER对ES的直接信任关系，其信任程度分布在信任域OR上，即直接信任关系有以下关系：

DRS→ES∈OiOi∈PTSR

(13)

第i次交互后的直接信任度计算公式为：

(14)

Di-1表示第i-1次交互的综合信任度；η为用于调整Di和D′影响比重的信任分配系数；h为奖励系数，用于在信任评价中调控信任度；r为惩罚系数，用于降低不信任评价的信任度，且h

1.3 间接信任度评价

间接信任度评价[13]是指通过第三方或消息传递而获得的信任关系，而非经过直接经验获得。间接信任度评价用来表示权限审计员对的用户信任值的评价，用IRS表示；实体R到实体S间的审计员(包括线上、线下)数量为NumO/U则其形式化定义为：

IRS→Trust(ER,ES)=Trust(ER,NumO/U,ES)

(16)

第i次交互后的间接信任度计算公式为：

Ii={σ×score1+(1-σ)×score2}×

Ii-1,score1,score2∈(0,1]

(17)

结合公安合成作战平台中的动态访问控制模型，审计员OLA和ULA可以根据用户使用数据提交的申请及反馈报告来给出用户在某一时刻的访问评分score1、score2；σ、(1-σ)为对应权值；Ii-1表示用户上一次访问的评分。

1.4 综合信任度

综合信任度是直接信任度和间接信任度的加权平均，用符号Ti表示，公式为：

Ti=θ×Di+(1-θ)×Ii

(18)

式中：Di为第i次交互后的直接信任度；Di为第i次交互后的间接信任度；θ为信任能力系数，用于分配直接信任度与间接信任度对总信任度的影响权重。

2 动态访问控制策略设计

2.1 动态访问控制框架

基于所提出的对用户信任值进行计量的方法，在不改变公安合成作战平台原PKI/PMI框架的前提下，设计的动态访问控制框架如图1所示。系统的身份认证及动态授权由各个部分相互协作共同完成。

在整个框架中身份认证与访问控制体系被划分为四个模块：身份认证模块、权限过滤模块、属性证书管理模块、权限审计模块，分别由不同组件或子系统互相协作完成。系统的身份认证过程仍沿用原生的PKI模式，主要根据用户的登录信息及用户USB Keys提供的PIN码来验证用户数字证书的合法性，是保障系统及数据安全的第一道“防线”，为确保公安合成作战平台具有较高的安全性，这部分不做改动。

2.2 动态访问控制模块设计

在系统访问控制方面，仍以扩展后的属性证书签发中心AA为整个访问授权过程的中心，负责属性证书查询及发布。同时新增了审计管理系统AM，并利用信任度计算对AA所发布证书进行动态监督及调整。各模块具体职能分布如表1所示。系统中各部门维护各自的数据库，能够及时更新数据，做到信息准确、安全。同时，为防止信息泄露，保证信息绝对安全，用户访问部门数据服务器的整个流程都需要用会话(Session)进行记录。

表1 动态访问控制详细功能列表

续表1

因为Session为全局变量，系统中各个模块皆可调用，故可以在Session中添加若干属性记录用户行为，包括：(1) 数据操作。在Session中设立相关字段记录用户对数据的操作。(2) 数据反馈。由于公安信息数据资源具有极高的敏感性，若民警跨部门访问权限要求高的数据，除了提交数据使用说明外，还必须提交反馈报告，里面包括数据的具体用途、取得效果、案件进展等，确保用户所获得的数据权限与实际案件需要相符。

在审计管理系统AM中，为了确保数据绝对安全，用户行为的部分审计工作须由人工来完成，故除了设立在线审计员外，还需要线下审计员，其各自主要职能如下：

1) 线下审计员(Under-line auditor，ULA)。根据公式计算出的用户信任值一定会存在一定程度的偏差，但若能加上人工审计，就会使计算结果更加准确。除了参与信任度计算以外，ULA还负责对信任信息库按时维护、权限调整结果管理等工作。

2) 线上审计员(On-line auditor，OLA)。因为公安工作对办案及时性要求比较高，若民警想要在短时间内跨权限访问数据服务器，则需要通过线上审计员直接进行审核，OLA可以根据用户请求的数据隶属单位向上级提出申请，将原先的办案申请流程放到了线上进行，可加快办案效率。

ULA和OLA需要共同维护信任信息库，而信任信息库又为用户信任度计算提供决策支持。

2.3 动态访问控制授权的实施过程

策略中每个用户权限设置过程如图2和图3所示，为权限管理方便，在角色与权限中间增加了服务和服务级别[11]这两个实体元素。若以P、S、Sl分别表示权限集合、服务集合、服务等级集合，则权限指派关系(Permission assignment，PA)形式化定义为：PA⊆S×Sl×P。权限指派是指权限到服务级别，服务级别到服务的映射关系。这部分由各部门服务器负责管理，大多数下都是以静态形式存放，又以服务策略的形式传递给LDAP对照其他映射进行授权。下面结合公安实战的一个案例，说明动态访问控制授权的实现过程。

假设有X部门对于基层民警的数据权限及对应的服务级别如图2和图3所示。

图2 初始信任度与服务关系

图3 一段时间后信任度与服务关系

从图2、图3中可以看到，一个信任度TrustValue1，且TrustValue1∈[hold0,hold1]的Y部门基层民警，在初始时刻对X部门的数据资源没有任何权限。用户在与系统友好交互之后，自身信任度上升为TrustValue2，且TrustValue2∈[hold2,hold3]，则此时这个民警就可以获得最高为服务级别2的权限，可以选择将数据共享于Y部门或者整个信息系统，也包括服务级别2的对数据浏览。策略在保留了原RBAC模型优点的同时，加入服务和可信机制，避免了静态访问缺陷。对于信任阈值的设定，需结合保密规定所明确的数据涉密级别，设定相应的阈值，如部门数据敏感度高的，可适当提高信任阈值。

3 策略验证与对比分析

针对本文提出的基于信任度的动态访问控制策略以及传统的静态访问控制策略，结合民警对公安合成作战平台访问及使用的实例对参数进行假设，采用变量控制法并选取合适的评价因子进行计算：如表2中交管总队队长即001用户第一次访问涉及到的用户属性评价因子的计算过程为：

1) 用户001身份为警司二级且从警10年，结合式(1)、式(2)，则警级α=0.01×10×(4+2×0.1)=0.42。

表2 测试结果与对比

按照同样的方式计算出所有评价因子后，选取合适的参数后可以得到001用户在系统的交互评价信任度、直接信任度，再结合间接信任度，最后计算出综合信任值。用同样的方法计算出交管业务民警002的综合信任值，则用户001、002在第10次访问后在原静态访问控制策略与本文提出的动态访问控制策略中的权限分配结果如表2、图4、图5所示。

图4 动态访问控制下的权限分配

图5 静态访问控制下的权限分配

可以看到，在传统基于RBAC的静态访问控制策略中，用户权限固定无法更改。而在本文提出的基于信任度的动态访问控制策略中，系统会根据用户与计算机的交互情况计算出用户的信任值，而用户的权限也会随着信任值改变而改变。用户到权限的映射关系不再仅局限于用户的固定身份，而由许多不同维度决定的间接信任值和直接信任值共同决定，能够有效实现公安合成作战平台的动态访问控制。同时，数据服务器端可以维护自己的角色到权限的阈值范围并对用户信任值计算公式进行适当调整，以达到数据访问控制的最佳状态。以上测试对比足以说明本策略具有极高的灵活性及安全性。

4 结 语

本文以合成作战平台动态访问授权策略建议为实例，对系统原静态访问控制策略进行了改进，提供给公安机关实际应用的借鉴。通过模拟民警与平台交互过程，证明了此策略可在保障数据资源安全的前提下，结合用户的可信操作行为和用户业务处理的实际需求来动态调整资源访问权限的授予机制。这能对平台用户进行细粒度的动态访问授权，使民警能够通过提升可信度的方法，来提升其对其他部门数据资源的访问权限。本文解决了以往基于传统RBAC模型静态访问控制缺乏科学合理、高效、灵活的问题，使系统中相连接的各部门数据能够最大化共享利用，从而提高公安合成作战的效率，且符合智慧警务战略下对公安信息化工作提出的新需求、新思路。