基于信任度的公安合成作戰(zhàn)平臺動態(tài)訪問控制策略

石興華 曹金璇 朱衍丞

(中國人民公安大學信息技術與網(wǎng)絡安全學院 北京 100038)

0 引 言

目前公安合成作戰(zhàn)平臺訪問采用基于PKI/PMI的身份認證與訪問控制框架[1-2]。其中PMI采用基于角色的訪問控制策略[3-5]，即基于民警業(yè)務崗位、行政級別進行缺省的靜態(tài)授權。這種靜態(tài)訪問控制策略和授權的方式仍處于粗粒度控制階段，不能適應公安信息化深度應用對信息資源綜合共享利用的需求，給公安業(yè)務開展帶來諸多不便。

例如，當開展一個重大刑事案件偵辦時，業(yè)務偵查民警可能需要從交管部門獲取嫌疑人的駕車逃竄路線數(shù)據(jù)，從技術部門獲取嫌疑人的電話聯(lián)系數(shù)據(jù)等。然而，現(xiàn)行公安合成作戰(zhàn)平臺的訪問控制策略，部門間數(shù)據(jù)的相互訪問所需權限會更高，普通民警跨部門獲取辦案數(shù)據(jù)需向上級層層申報批準，這種方式往往容易錯過偵破案件的最佳時機。

針對以上問題，本文通過對信任度理論[6-7]及公安合成作戰(zhàn)平臺用戶資源訪問權限控制策略的深入分析，提出了一種結(jié)合用戶自身屬性、案件性質(zhì)、用戶歷史操作行為、風險評估[5]等不同維度進行用戶信任值[9]量化的信任機制[10]?；谶@種信任機制，結(jié)合大數(shù)據(jù)技術應用，對傳統(tǒng)的基于角色的訪問控制模型[11-12]進行了相應改進與擴展。在遵循公安合成作戰(zhàn)平臺原有PKI/PMI框架的前提下，優(yōu)化PMI中用戶授權方法，提出了一套動態(tài)訪問控制策略。

實驗結(jié)果表明，該策略既能滿足大數(shù)據(jù)背景下公安合成作戰(zhàn)平臺的應用對用戶角色授權的細粒度需求，又能保證公安合成作戰(zhàn)平臺具有良好的安全性。

1 平臺訪問的信任度計算

公安合成作戰(zhàn)平臺訪問中的信任度計算包括用戶系統(tǒng)交互信任評價、直接信任度評價和間接信任度評價三個主要因素。

1.1 用戶系統(tǒng)交互信任評價

用戶與公安合成作戰(zhàn)平臺交互行為的信任評價可參考用戶行為信任評價模型，采用帶有不同權重的評價因子進行量化。它包括評價因子的選取和一次交互行為的信任度評價。

1.1.1評價因子選取

結(jié)合公安合成作戰(zhàn)平臺實際，評價因子的確定需要考慮用戶自身屬性、辦案性質(zhì)、數(shù)據(jù)操作行為等多種不同因素。

(1) 用戶屬性 這里的用戶是指訪問公安合成作戰(zhàn)平臺的民警，其屬性主要包括警務級別α和偵破能力β兩個方面(注：公式中系數(shù)的選取為方便計算，可根據(jù)實際公安工作需求進行動態(tài)調(diào)整)。

① 警務級別α：警務級別α由用戶的“警齡”和“警級”來確定。當遇到一個未知用戶發(fā)送的請求時，系統(tǒng)評價模型首先計算該用戶的信任值是最直接、最可靠的方式。

α=0.01×year×level

(1)

式中：year表示用戶入警時間(單位：年)；level表示用戶的警務等級。

② 偵破能力β：偵破能力β由用戶主導或參與的結(jié)案數(shù)目來確定，即：

式中：n、m分別表示民警從警以來主導案件結(jié)案數(shù)、參與案件結(jié)案數(shù)，若案件性質(zhì)為“重大刑事案件”，則結(jié)案數(shù)×2。

(2) 辦案性質(zhì) 放權風險度φ與案件級別和案件主偵人員的類別有關，案件級別和主偵人員的級別越高，放權風險度φ越大。即：

式中：N為參與案件偵查的人員數(shù)目；Γ為風險權值，表示系統(tǒng)對用戶行為風險的接受程度；μ為案件級別，即：

ρ為立案之時，公安系統(tǒng)判定的案件主偵人員類別：

H為信息熵，表示不確定信息量：

(3) 數(shù)據(jù)操作 用戶對數(shù)據(jù)操作涉及的兩個重要問題，一個是數(shù)據(jù)使用行為規(guī)范，另一個是數(shù)據(jù)使用結(jié)果反饋。

① 行為規(guī)范指數(shù)σ:雖然每個數(shù)據(jù)服務器都有制定不同的服務-服務級別-權限映射，但用戶在使用數(shù)據(jù)時可能會違背系統(tǒng)賦予的權限而對數(shù)據(jù)進行惡意竊取或破壞，比如用戶在修改的時候?qū)?shù)據(jù)內(nèi)容全部刪除等。行為規(guī)范指數(shù)σ可以準確反映用戶操作與實際權限的匹配度。行為規(guī)范指數(shù)σ的計算公式為：

式中：visit表示用戶操作數(shù)據(jù)次數(shù)；abnormal表示違規(guī)操作(權限與操作不符)次數(shù)；c表示民警請求訪問數(shù)據(jù)服務器的具體時間，格式為“HH:MM(小時：分鐘)”；t(c)表示時間函數(shù)，并有：

實際計算中，可用time類下的strptime方法將c轉(zhuǎn)換為unix時間戳方便計算。通常民警對數(shù)據(jù)服務器的訪問都是在工作時間，若在工作時間外進行訪問，則有泄露數(shù)據(jù)的可能。式(8)還根據(jù)時間對c進行了細粒度劃分。

② 數(shù)據(jù)反饋γ：民警在使用其他部門數(shù)據(jù)后必須提交使用報告反饋，以證明所訪問數(shù)據(jù)與辦案情況真實相關，因為使用報告內(nèi)容必須通過人工審查，這里只用數(shù)據(jù)反饋γ來表示用戶使用報告的反饋情況，計算公式為：

“這年頭咋死的都有，前天我上網(wǎng)看見個賊漂亮的妞兒，在自個兒家里摔了，砸到了魚缸，割破了動脈，沒人救流血流死了，白瞎那么風騷了。”潘陽說。

γ=0.3×λ

(9)

式中：λ為Booleans值表示民警數(shù)據(jù)反饋狀態(tài)，提交反饋報告為1，否則為0。

1.1.2一次交互行為評價值

設Tar為可選取的以上評價因子，對應的評價因子集則為Target={Tar1,Tar2,…,Tarn}。且各評價因子對應權重為{ω1,ω2,…,ωn}，ω1+ω2+…+ωn=10。則一次交互后的行為評價R為：

且：

1.2 直接信任度評價

直接信任度的定義為根據(jù)歷史用戶系統(tǒng)交互信任度即由直接經(jīng)驗計算而得出的信任值，用符號DRS表示，其形式化描述為：

DRS=f(ER,OR,ES)

(12)

式中：DRS表示實體ER對ES的直接信任關系，其信任程度分布在信任域OR上，即直接信任關系有以下關系：

DRS→ES∈OiOi∈PTSR

(13)

第i次交互后的直接信任度計算公式為：

(14)

Di-1表示第i-1次交互的綜合信任度；η為用于調(diào)整Di和D′影響比重的信任分配系數(shù)；h為獎勵系數(shù)，用于在信任評價中調(diào)控信任度；r為懲罰系數(shù)，用于降低不信任評價的信任度，且h

1.3 間接信任度評價

間接信任度評價[13]是指通過第三方或消息傳遞而獲得的信任關系，而非經(jīng)過直接經(jīng)驗獲得。間接信任度評價用來表示權限審計員對的用戶信任值的評價，用IRS表示；實體R到實體S間的審計員(包括線上、線下)數(shù)量為NumO/U則其形式化定義為：

IRS→Trust(ER,ES)=Trust(ER,NumO/U,ES)

(16)

第i次交互后的間接信任度計算公式為：

Ii={σ×score1+(1-σ)×score2}×

Ii-1,score1,score2∈(0,1]

(17)

結(jié)合公安合成作戰(zhàn)平臺中的動態(tài)訪問控制模型，審計員OLA和ULA可以根據(jù)用戶使用數(shù)據(jù)提交的申請及反饋報告來給出用戶在某一時刻的訪問評分score1、score2；σ、(1-σ)為對應權值；Ii-1表示用戶上一次訪問的評分。

1.4 綜合信任度

綜合信任度是直接信任度和間接信任度的加權平均，用符號Ti表示，公式為：

Ti=θ×Di+(1-θ)×Ii

(18)

式中：Di為第i次交互后的直接信任度；Di為第i次交互后的間接信任度；θ為信任能力系數(shù)，用于分配直接信任度與間接信任度對總信任度的影響權重。

2 動態(tài)訪問控制策略設計

2.1 動態(tài)訪問控制框架

基于所提出的對用戶信任值進行計量的方法，在不改變公安合成作戰(zhàn)平臺原PKI/PMI框架的前提下，設計的動態(tài)訪問控制框架如圖1所示。系統(tǒng)的身份認證及動態(tài)授權由各個部分相互協(xié)作共同完成。

在整個框架中身份認證與訪問控制體系被劃分為四個模塊：身份認證模塊、權限過濾模塊、屬性證書管理模塊、權限審計模塊，分別由不同組件或子系統(tǒng)互相協(xié)作完成。系統(tǒng)的身份認證過程仍沿用原生的PKI模式，主要根據(jù)用戶的登錄信息及用戶USB Keys提供的PIN碼來驗證用戶數(shù)字證書的合法性，是保障系統(tǒng)及數(shù)據(jù)安全的第一道“防線”，為確保公安合成作戰(zhàn)平臺具有較高的安全性，這部分不做改動。

2.2 動態(tài)訪問控制模塊設計

在系統(tǒng)訪問控制方面，仍以擴展后的屬性證書簽發(fā)中心AA為整個訪問授權過程的中心，負責屬性證書查詢及發(fā)布。同時新增了審計管理系統(tǒng)AM，并利用信任度計算對AA所發(fā)布證書進行動態(tài)監(jiān)督及調(diào)整。各模塊具體職能分布如表1所示。系統(tǒng)中各部門維護各自的數(shù)據(jù)庫，能夠及時更新數(shù)據(jù)，做到信息準確、安全。同時，為防止信息泄露，保證信息絕對安全，用戶訪問部門數(shù)據(jù)服務器的整個流程都需要用會話(Session)進行記錄。

表1 動態(tài)訪問控制詳細功能列表

續(xù)表1

因為Session為全局變量，系統(tǒng)中各個模塊皆可調(diào)用，故可以在Session中添加若干屬性記錄用戶行為，包括：(1) 數(shù)據(jù)操作。在Session中設立相關字段記錄用戶對數(shù)據(jù)的操作。(2) 數(shù)據(jù)反饋。由于公安信息數(shù)據(jù)資源具有極高的敏感性，若民警跨部門訪問權限要求高的數(shù)據(jù)，除了提交數(shù)據(jù)使用說明外，還必須提交反饋報告，里面包括數(shù)據(jù)的具體用途、取得效果、案件進展等，確保用戶所獲得的數(shù)據(jù)權限與實際案件需要相符。

在審計管理系統(tǒng)AM中，為了確保數(shù)據(jù)絕對安全，用戶行為的部分審計工作須由人工來完成，故除了設立在線審計員外，還需要線下審計員，其各自主要職能如下：

1) 線下審計員(Under-line auditor，ULA)。根據(jù)公式計算出的用戶信任值一定會存在一定程度的偏差，但若能加上人工審計，就會使計算結(jié)果更加準確。除了參與信任度計算以外，ULA還負責對信任信息庫按時維護、權限調(diào)整結(jié)果管理等工作。

2) 線上審計員(On-line auditor，OLA)。因為公安工作對辦案及時性要求比較高，若民警想要在短時間內(nèi)跨權限訪問數(shù)據(jù)服務器，則需要通過線上審計員直接進行審核，OLA可以根據(jù)用戶請求的數(shù)據(jù)隸屬單位向上級提出申請，將原先的辦案申請流程放到了線上進行，可加快辦案效率。

ULA和OLA需要共同維護信任信息庫，而信任信息庫又為用戶信任度計算提供決策支持。

2.3 動態(tài)訪問控制授權的實施過程

策略中每個用戶權限設置過程如圖2和圖3所示，為權限管理方便，在角色與權限中間增加了服務和服務級別[11]這兩個實體元素。若以P、S、Sl分別表示權限集合、服務集合、服務等級集合，則權限指派關系(Permission assignment，PA)形式化定義為：PA?S×Sl×P。權限指派是指權限到服務級別，服務級別到服務的映射關系。這部分由各部門服務器負責管理，大多數(shù)下都是以靜態(tài)形式存放，又以服務策略的形式傳遞給LDAP對照其他映射進行授權。下面結(jié)合公安實戰(zhàn)的一個案例，說明動態(tài)訪問控制授權的實現(xiàn)過程。

假設有X部門對于基層民警的數(shù)據(jù)權限及對應的服務級別如圖2和圖3所示。

圖2 初始信任度與服務關系

圖3 一段時間后信任度與服務關系

從圖2、圖3中可以看到，一個信任度TrustValue1，且TrustValue1∈[hold0,hold1]的Y部門基層民警，在初始時刻對X部門的數(shù)據(jù)資源沒有任何權限。用戶在與系統(tǒng)友好交互之后，自身信任度上升為TrustValue2，且TrustValue2∈[hold2,hold3]，則此時這個民警就可以獲得最高為服務級別2的權限，可以選擇將數(shù)據(jù)共享于Y部門或者整個信息系統(tǒng)，也包括服務級別2的對數(shù)據(jù)瀏覽。策略在保留了原RBAC模型優(yōu)點的同時，加入服務和可信機制，避免了靜態(tài)訪問缺陷。對于信任閾值的設定，需結(jié)合保密規(guī)定所明確的數(shù)據(jù)涉密級別，設定相應的閾值，如部門數(shù)據(jù)敏感度高的，可適當提高信任閾值。

3 策略驗證與對比分析

針對本文提出的基于信任度的動態(tài)訪問控制策略以及傳統(tǒng)的靜態(tài)訪問控制策略，結(jié)合民警對公安合成作戰(zhàn)平臺訪問及使用的實例對參數(shù)進行假設，采用變量控制法并選取合適的評價因子進行計算：如表2中交管總隊隊長即001用戶第一次訪問涉及到的用戶屬性評價因子的計算過程為：

1) 用戶001身份為警司二級且從警10年，結(jié)合式(1)、式(2)，則警級α=0.01×10×(4+2×0.1)=0.42。

表2 測試結(jié)果與對比

按照同樣的方式計算出所有評價因子后，選取合適的參數(shù)后可以得到001用戶在系統(tǒng)的交互評價信任度、直接信任度，再結(jié)合間接信任度，最后計算出綜合信任值。用同樣的方法計算出交管業(yè)務民警002的綜合信任值，則用戶001、002在第10次訪問后在原靜態(tài)訪問控制策略與本文提出的動態(tài)訪問控制策略中的權限分配結(jié)果如表2、圖4、圖5所示。

圖4 動態(tài)訪問控制下的權限分配

圖5 靜態(tài)訪問控制下的權限分配

可以看到，在傳統(tǒng)基于RBAC的靜態(tài)訪問控制策略中，用戶權限固定無法更改。而在本文提出的基于信任度的動態(tài)訪問控制策略中，系統(tǒng)會根據(jù)用戶與計算機的交互情況計算出用戶的信任值，而用戶的權限也會隨著信任值改變而改變。用戶到權限的映射關系不再僅局限于用戶的固定身份，而由許多不同維度決定的間接信任值和直接信任值共同決定，能夠有效實現(xiàn)公安合成作戰(zhàn)平臺的動態(tài)訪問控制。同時，數(shù)據(jù)服務器端可以維護自己的角色到權限的閾值范圍并對用戶信任值計算公式進行適當調(diào)整，以達到數(shù)據(jù)訪問控制的最佳狀態(tài)。以上測試對比足以說明本策略具有極高的靈活性及安全性。

4 結(jié) 語

本文以合成作戰(zhàn)平臺動態(tài)訪問授權策略建議為實例，對系統(tǒng)原靜態(tài)訪問控制策略進行了改進，提供給公安機關實際應用的借鑒。通過模擬民警與平臺交互過程，證明了此策略可在保障數(shù)據(jù)資源安全的前提下，結(jié)合用戶的可信操作行為和用戶業(yè)務處理的實際需求來動態(tài)調(diào)整資源訪問權限的授予機制。這能對平臺用戶進行細粒度的動態(tài)訪問授權，使民警能夠通過提升可信度的方法，來提升其對其他部門數(shù)據(jù)資源的訪問權限。本文解決了以往基于傳統(tǒng)RBAC模型靜態(tài)訪問控制缺乏科學合理、高效、靈活的問題，使系統(tǒng)中相連接的各部門數(shù)據(jù)能夠最大化共享利用，從而提高公安合成作戰(zhàn)的效率，且符合智慧警務戰(zhàn)略下對公安信息化工作提出的新需求、新思路。