基于身份的可信訪問控制

楊新民

隨著信息化在各行各業(yè)的不斷深入應(yīng)用，未來人類的生活將越來越依賴信息化。我國(guó)信息化建設(shè)雖然后期發(fā)展迅猛，但信息安全基礎(chǔ)設(shè)施薄弱，信息安全技術(shù)能力亟待提高，尤其是在緊密聯(lián)系著國(guó)計(jì)民生的政府、金融、通信、交通、能源、軍事等行業(yè)領(lǐng)域信息風(fēng)險(xiǎn)較為突出。這些領(lǐng)域的信息系統(tǒng)中數(shù)據(jù)信息巨大，并且這些信息系統(tǒng)大量整合了政府、金融機(jī)構(gòu)、醫(yī)院、運(yùn)營(yíng)商、企業(yè)等多方面的信息資源，往往涉及到政務(wù)、商業(yè)、生活、個(gè)人隱私等方方面面，而接口、隱蔽通道眾多，容易出現(xiàn)連鎖反應(yīng)。一旦出現(xiàn)信息泄露，將導(dǎo)致發(fā)生重大的安全事件，后果不堪設(shè)想。

同時(shí)隨著信息技術(shù)的普及，信息系統(tǒng)的管理者眾多，使用者更是不計(jì)其數(shù)，安全威脅源越來越寬泛。因此，基于可信計(jì)算通過發(fā)放和維護(hù)身份認(rèn)證信息來建立一套信任網(wǎng)絡(luò)，并對(duì)這些不同身份信息的人賦予不同的資源訪問權(quán)限，匹配不同的訪問控制策略，來進(jìn)行資源訪問的強(qiáng)制控制，從而實(shí)現(xiàn)可信的訪問控制，是未來信息安全建設(shè)的重中之重，甚至可以說將來會(huì)是影響到所有行業(yè)信息安全發(fā)展的基石。而要做到可信的訪問控制，關(guān)鍵有兩點(diǎn)：身份可信和訪問控制。

身份，可信訪問的核心

可信的核心是身份的可信。只有實(shí)現(xiàn)身份的可信，才能實(shí)現(xiàn)給不同的身份進(jìn)行授權(quán)和審計(jì)。要想實(shí)現(xiàn)身份的可信，防止身份被盜用，就需要對(duì)所有的身份都分別賦予一個(gè)唯一的標(biāo)識(shí)，標(biāo)識(shí)是實(shí)體身份的一種計(jì)算機(jī)表達(dá)，每個(gè)實(shí)體與計(jì)算機(jī)內(nèi)部的一個(gè)身份表達(dá)綁定，并且設(shè)定標(biāo)識(shí)的有效期和權(quán)限范圍，當(dāng)主體發(fā)起一個(gè)客體訪問時(shí)，會(huì)首先對(duì)該主體的身份標(biāo)識(shí)進(jìn)行認(rèn)證，進(jìn)而匹配不同的訪問控制策略。

通過身份標(biāo)識(shí)和認(rèn)證可以實(shí)現(xiàn)兩個(gè)目的，一是對(duì)身份進(jìn)行授權(quán)控制，二是可以跟蹤所有操作的參與者，同時(shí)參與者的任何操作都能被明確地標(biāo)識(shí)出來。因此身份標(biāo)識(shí)認(rèn)證技術(shù)可以從運(yùn)營(yíng)、管理、規(guī)范、法律、人員等多個(gè)角度來解決網(wǎng)絡(luò)信任問題。

控制，可信訪問的實(shí)現(xiàn)

訪問控制主要從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面實(shí)現(xiàn)對(duì)非授權(quán)訪問的控制。訪問控制機(jī)制的目的是為了保證系統(tǒng)中的數(shù)據(jù)只能被有權(quán)限的人訪問，未經(jīng)授權(quán)的人則無法訪問到數(shù)據(jù)。訪問控制的核心是控制未授權(quán)的訪問。未授權(quán)訪問指的是未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。這里又包含兩個(gè)方面：一個(gè)是非法用戶對(duì)系統(tǒng)資源的使用，另一個(gè)是合法用戶對(duì)系統(tǒng)資源的非法使用。因此，要實(shí)現(xiàn)訪問控制，第一步是鑒別主體的合法身份，第二步是授權(quán)或限制用戶對(duì)資源的訪問權(quán)限。

常規(guī)的訪問控制模型中，訪問可以對(duì)一個(gè)系統(tǒng)或在一個(gè)系統(tǒng)內(nèi)部進(jìn)行。訪問控制框架主要涉及三方面：提交訪問請(qǐng)求、訪問控制以及提出訪問請(qǐng)求。其中，主要包含主體、客體、訪問控制實(shí)施模塊和訪問控制策略模塊。訪問控制的實(shí)施模塊是執(zhí)行訪問控制的機(jī)制，根據(jù)主體提出的訪問請(qǐng)求和訪問控制策略的決策規(guī)則對(duì)訪問請(qǐng)求進(jìn)行分析處理，在授權(quán)范圍內(nèi)，允許主體對(duì)客體進(jìn)行有限的訪問；訪問控制策略模塊表示一組訪問控制規(guī)則和策略，控制著主體的訪問許可。

常見的訪問控制模型有Bell-La Padula模型、Biba模型、Clark-Wilson模型、Chinese Wall模型等。每個(gè)模型雖然采用了不同的控制策略和機(jī)制，但是其實(shí)質(zhì)都是通過控制主體的訪問許可，根據(jù)訪問控制策略，有效實(shí)現(xiàn)控制主體的訪問對(duì)象、范圍、權(quán)限等。而不管是哪種訪問控制模型，由于其無法對(duì)身份進(jìn)行標(biāo)識(shí)和驗(yàn)證，一旦主體的身份被盜用或者身份鑒別信息被篡改，訪問控制策略將被輕易繞過，形同虛設(shè)。因此只有結(jié)合身份認(rèn)證技術(shù)，解決了身份的可信問題，才能實(shí)現(xiàn)真正意義上的可信訪問控制。

基于身份的可信訪問

訪問控制模型是針對(duì)信息的安全保護(hù)提出的，具有很好的安全性。而基于身份的可信訪問控制模型，是針對(duì)控制策略的靈活與管理的方便而提出的。為了得到更加安全且使用靈活的訪問控制模型，需要找到兩種模型的結(jié)合點(diǎn)。在現(xiàn)有的訪問控制模型基礎(chǔ)上，結(jié)合身份標(biāo)識(shí)認(rèn)證技術(shù)，即可形成基于身份的可信訪問控制模型，如下圖所示。

當(dāng)然該模型不是在常見的訪問控制模型中簡(jiǎn)單的插入身份標(biāo)識(shí)認(rèn)證技術(shù)，而是通過調(diào)整不同模塊的功用和位置，將訪問控制模型和身份標(biāo)識(shí)認(rèn)證二者有機(jī)結(jié)合在一起，形成該模型的核心部分——基于身份的可信訪問控制決策模塊，該模塊通過對(duì)不同用戶的角色授權(quán)，來實(shí)現(xiàn)可信的訪問控制。

基于身份的可信訪問控制決策模塊由身份標(biāo)識(shí)集和訪問控制策略集兩部分構(gòu)成，不同的用戶在發(fā)起一個(gè)訪問請(qǐng)求的時(shí)候，首先需要到“基于身份的訪問控制決策模塊”中的“身份標(biāo)識(shí)集”中請(qǐng)求一個(gè)身份標(biāo)識(shí)，“身份標(biāo)識(shí)集”通過密碼算法會(huì)根據(jù)用戶的角色賦予其一個(gè)唯一的合法身份標(biāo)識(shí)（如證書等），然后身份認(rèn)證模塊會(huì)對(duì)用戶的標(biāo)識(shí)進(jìn)行認(rèn)證、鑒別。只有在身份認(rèn)證獲得通過后，才會(huì)給訪問控制實(shí)施模塊發(fā)出一個(gè)該身份的訪問請(qǐng)求。訪問控制實(shí)施模塊會(huì)向訪問控制決策模塊中的“訪問控制策略集”請(qǐng)求基于該身份的訪問控制策略，訪問控制策略集收到請(qǐng)求后會(huì)先向“用戶標(biāo)識(shí)集”獲取用戶的角色、安全等級(jí)等信息，從而明確該身份的訪問對(duì)象、范圍、周期等訪問控制策略，然后該訪問控制策略將發(fā)送到訪問控制實(shí)施模塊，實(shí)施模塊會(huì)根據(jù)該訪問控制策略對(duì)不同的客體發(fā)送不同的訪問請(qǐng)求（如：讀、寫、執(zhí)行等），從而形成對(duì)該用戶身份的完整訪問控制。

（作者單位：國(guó)家林業(yè)局信息中心）endprint