基于零信任的動(dòng)態(tài)訪問控制模型研究

張劉天 陳丹偉

(南京郵電大學(xué)計(jì)算機(jī)學(xué)院、軟件學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院 南京 210023)

(midgar_zhang.nj@foxmail.com)

傳統(tǒng)的對(duì)于資源的訪問保護(hù)理念稱為邊界安全理念，主要通過劃分安全區(qū)域，對(duì)不同的安全區(qū)域設(shè)置不同的安全要求，使得安全區(qū)域之間形成了網(wǎng)絡(luò)邊界，大部分安全設(shè)備都部署在網(wǎng)絡(luò)邊界處，包括防火墻、IPS、防毒墻、WAF等，對(duì)來自邊界外部的各種攻擊進(jìn)行防范.一旦攻擊者突破保護(hù)邊界并進(jìn)入內(nèi)部網(wǎng)絡(luò)，原有的網(wǎng)絡(luò)安全保護(hù)措施將顯得毫無(wú)用處.文獻(xiàn)[1]中數(shù)據(jù)表明，超過30%的用戶在不同的系統(tǒng)中使用相同的密碼.一旦攻擊者竊取用戶賬戶密碼，就可以輕松獲得對(duì)系統(tǒng)和數(shù)據(jù)的訪問權(quán)限，并竊取數(shù)據(jù)資源.而疫情使得移動(dòng)辦公的需求變得緊迫，大量的公司不得不讓員工居家工作，因此要求辦公人員在公司外部可以安全地訪問內(nèi)部資源.而傳統(tǒng)的 VPN接入方式存在安全性差、效率和穩(wěn)定性不夠、擴(kuò)展性差的特點(diǎn)以及內(nèi)部資源暴露面擴(kuò)大的問題.同時(shí)，隨著云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)的出現(xiàn)，傳統(tǒng)的網(wǎng)絡(luò)邊界逐漸變得模糊.為了應(yīng)對(duì)疫情帶來的辦公模式的變化，亟需有更好的安全防護(hù)理念和解決思路.

在這種背景下，本文將零信任架構(gòu)引入到移動(dòng)辦公體系中，提出了一種基于零信任的訪問控制模型ZTBAC，并給出了一種零信任體系下移動(dòng)辦公的架構(gòu)體系.訪問控制模型依據(jù)持續(xù)的信任評(píng)估和安全感知進(jìn)行身份驗(yàn)證，在訪問主體和資源之間建立安全可靠的連接通道，實(shí)現(xiàn)訪問動(dòng)態(tài)安全可控，從而保證移動(dòng)辦公的安全性.該模型中訪問主體不再是單一用戶，而是由用戶、設(shè)備和服務(wù)共同組成，并通過本文設(shè)計(jì)的信任度量體系對(duì)訪問主體進(jìn)行持續(xù)性的綜合信任評(píng)估，同時(shí)依據(jù)最小權(quán)限原則，將信任與授權(quán)結(jié)合實(shí)現(xiàn)安全的動(dòng)態(tài)訪問控制.

1 零信任訪問控制體系

訪問控制機(jī)制可以使安全可信的訪問主體獲取到所需要的權(quán)限，任何多用戶的系統(tǒng)都離不開對(duì)系統(tǒng)訪問控制的需求，都需要解決實(shí)體鑒別、數(shù)據(jù)保密性、數(shù)據(jù)完整性等訪問控制安全服務(wù)問題.而目前學(xué)術(shù)界對(duì)于現(xiàn)有環(huán)境下訪問控制技術(shù)的研究已相當(dāng)成熟，且安全策略的主流思想也主要集中在基于規(guī)則的安全策略，典型的有自主訪問控制模型(DAC)以及基于身份的安全策略，如強(qiáng)制訪問控制模型(MAC)、基于角色的訪問控制模型(RBAC)等[2].此外，使用控制模型(UCON)通過對(duì)傳統(tǒng)訪問模型的擴(kuò)展，能夠適應(yīng)更為開放更為動(dòng)態(tài)的環(huán)境[3].同時(shí)，隨著對(duì)信任的深入研究，部分學(xué)者開始將信任模型與主流的訪問控制模式結(jié)合，例如Chakraborty等人[4]在RBAC模型的基礎(chǔ)上提出了TrustBAC模型，該模型通過計(jì)算信任值為用戶分發(fā)角色，提高了RBAC模型的動(dòng)態(tài)性和監(jiān)管性.2010年，由著名研究機(jī)構(gòu)Forrester的首席分析師John Kindervag最早提出了零信任(zero trust)的理念[5]，并由谷歌在BeyondCorp[6]項(xiàng)目中率先得到了應(yīng)用.BeyondCorp是首個(gè)真正實(shí)現(xiàn)的零信任架構(gòu)，谷歌按照零信任的理念對(duì)網(wǎng)絡(luò)架構(gòu)進(jìn)行了重構(gòu)，未充分考慮對(duì)現(xiàn)有網(wǎng)絡(luò)的繼承和重用[7].2020年8月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)[8]發(fā)布了零信任標(biāo)準(zhǔn)架構(gòu)，給出了零信任的抽象訪問模型(如圖1所示).之后，2021年2月，美國(guó)國(guó)防部(DOD)[9]給出了零信任參考架構(gòu)，意味著零信任建設(shè)正式成為美國(guó)國(guó)防部信息網(wǎng)絡(luò)建設(shè)的一部分.2021年6月，中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)[10]發(fā)布了零信任系統(tǒng)技術(shù)規(guī)范，規(guī)定了用戶訪問資源、服務(wù)之間調(diào)用2種場(chǎng)景下零信任系統(tǒng)的功能規(guī)范與測(cè)試方式.2021年10月，國(guó)際電信標(biāo)準(zhǔn)組織ITU-T[11]正式發(fā)布由騰訊牽頭的服務(wù)訪問過程持續(xù)保護(hù)指南，標(biāo)志著中國(guó)零信任技術(shù)實(shí)踐走向世界范圍.作為一種專注于資源保護(hù)并基于信任前提的網(wǎng)絡(luò)安全范式，零信任體系中訪問主體永遠(yuǎn)不會(huì)被隱式的單純依據(jù)位置信息授予，而必須不斷進(jìn)行評(píng)估，根據(jù)綜合信任值分配權(quán)限.同時(shí)依據(jù)最小權(quán)限的原則，可以有效防止內(nèi)部的橫向攻擊。在零信任訪問控制體系中，通過信任評(píng)估模型和算法，實(shí)現(xiàn)基于身份的信任評(píng)估能力，只有通過信任評(píng)估，訪問控制系統(tǒng)才會(huì)授予訪問主體操作權(quán)限.

圖1 零信任模型

圖2 ZTBAC訪問控制模型

當(dāng)用戶或計(jì)算機(jī)需要訪問企業(yè)資源時(shí)，通過策略決策點(diǎn)(PDP)和策略執(zhí)行點(diǎn)(PEP)授予相應(yīng)的訪問權(quán)限.隱式信任區(qū)是指位于最小信任區(qū)域中的全部主體所具有的最后一個(gè)PEP/PDP的網(wǎng)關(guān)地址.例如，考慮機(jī)場(chǎng)中的旅客篩選模型.所有乘客都通過機(jī)場(chǎng)安全檢查站(PDP/PEP)進(jìn)入登機(jī)區(qū)，登機(jī)區(qū)即為隱式信任區(qū).PDP/PEP 采用一系列的控制策略，使得所有通過檢查點(diǎn)之后的通信流量都具有一個(gè)共同信任級(jí)別.PDP/PEP 不能對(duì)訪問流量使用超出其位置的策略，其思想是顯式地驗(yàn)證和授權(quán)企業(yè)的所有用戶、設(shè)備、應(yīng)用程序和工作流，所以零信任的本質(zhì)是在訪問主體和客體之間構(gòu)建以身份為基石的動(dòng)態(tài)可信訪問控制體系，而零信任所需要具備的零信任安全的關(guān)鍵能力可以概括為以身份為基石、業(yè)務(wù)安全訪問、持續(xù)信任評(píng)估和動(dòng)態(tài)訪問控制，與之相應(yīng)的零信任所需要的主要邏輯組件如下：1)可信代理，也可以叫作策略執(zhí)行點(diǎn).可信代理是零信任架構(gòu)的數(shù)據(jù)平面組件，通過動(dòng)態(tài)訪問控制引擎對(duì)訪問主體進(jìn)行認(rèn)證，對(duì)訪問主體的權(quán)限進(jìn)行動(dòng)態(tài)判定.同時(shí)，可信代理需要對(duì)所有的訪問流量進(jìn)行加密.而可信代理的具體產(chǎn)品形態(tài)在不同場(chǎng)景下具有較大差異，零信任網(wǎng)關(guān)是暴露在外部可被用戶直接訪問的系統(tǒng)，功能包括：對(duì)來訪未經(jīng)授權(quán)的請(qǐng)求進(jìn)行認(rèn)證授權(quán)轉(zhuǎn)發(fā)，對(duì)已正確授權(quán)的請(qǐng)求進(jìn)行資源訪問轉(zhuǎn)發(fā)；對(duì)禁止訪問的請(qǐng)求進(jìn)行攔截阻斷，并且可以基于反向代理技術(shù)阻止請(qǐng)求主體向后訪問[12].API網(wǎng)關(guān)形態(tài)或者可以簡(jiǎn)化為運(yùn)行在服務(wù)環(huán)境的代理Agent模塊等.2)動(dòng)態(tài)訪問控制引擎，包括策略引擎和策略管理點(diǎn).策略引擎負(fù)責(zé)決定是否授予指定訪問主體對(duì)資源的訪問權(quán)限；策略管理點(diǎn)負(fù)責(zé)建立客戶端與資源之間的邏輯連接通道.動(dòng)態(tài)訪問控制引擎和可信代理聯(lián)動(dòng)，對(duì)所有訪問請(qǐng)求進(jìn)行認(rèn)證和動(dòng)態(tài)授權(quán)是零信任架構(gòu)控制平面的策略判定點(diǎn).3)信任評(píng)估引擎.信任評(píng)估引擎是零信任架構(gòu)中實(shí)現(xiàn)持續(xù)信任評(píng)估能力的核心組件，和動(dòng)態(tài)訪問控制引擎聯(lián)動(dòng)，為其提供信任等級(jí)評(píng)估作為授權(quán)判定依據(jù).4)安全基礎(chǔ)設(shè)施，包括安全分析設(shè)施以及身份管理設(shè)施.安全分析設(shè)施包括終端可信環(huán)境感知、持續(xù)威脅檢測(cè)、態(tài)勢(shì)感知等安全分析平臺(tái).身份管理設(shè)施包含身份管理和權(quán)限管理功能組件.通過這些外部風(fēng)險(xiǎn)源以及權(quán)限管理，可以對(duì)授權(quán)策略進(jìn)行很好的細(xì)粒度的管理和跟蹤分析[13].移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)是目前應(yīng)用最為廣泛的業(yè)務(wù)場(chǎng)景，因此結(jié)合移動(dòng)辦公的訪問控制需求以及零信任理念，設(shè)計(jì)了更加安全的移動(dòng)辦公訪問控制體系[14].

2 零信任訪問控制體系構(gòu)建

2.1 基于零信任的訪問控制模型ZTBAC

本文提出了一種基于零信任理念的動(dòng)態(tài)訪問控制模型ZTBAC，如圖2所示.通過給定權(quán)限閾值限制訪問主體的權(quán)限范圍，而權(quán)限閾值隨著系統(tǒng)的運(yùn)行會(huì)自動(dòng)進(jìn)行一定范圍的調(diào)整.綜合信任值是依據(jù)用戶、設(shè)備、服務(wù)的獨(dú)立信任值以及威脅行為因子4個(gè)維度進(jìn)行計(jì)算的，每次發(fā)起訪問前都需要對(duì)訪問主體重新進(jìn)行信任評(píng)估，通過ZTBAC模型可以實(shí)現(xiàn)動(dòng)態(tài)的權(quán)限分配.

不同于RBAC和ABAC模型在ZTBAC中沒有角色和屬性的概念，取而代之的是每次會(huì)話中的訪問主體，所有訪問主體的權(quán)限僅在當(dāng)前會(huì)話中有效，而權(quán)限獲取的依據(jù)是訪問主體的綜合信任值以及各維度的獨(dú)立信任值.

下面列舉了ZTBAC模型授權(quán)過程中的各元素的定義：

1) 訪問主體Sub.訪問主體是由用戶、設(shè)備以及服務(wù)三者共同構(gòu)成的會(huì)話主體.

2) 資源Re.各類資源的集合，資源是訪問主體Sub最終操作的對(duì)象.

3) 策略集Ps.由若干子策略構(gòu)成的策略集合，訪問主體依據(jù)策略集執(zhí)行相關(guān)操作，每一次會(huì)話都會(huì)生成新的策略集.

4) 訪問主體行為Op(S).是訪問主體Sub可以對(duì)資源進(jìn)行的各類操作的集合.

5) 權(quán)限P.權(quán)限由具體的訪問資源Re和針對(duì)該資源具體的訪問主體行為Op(S)構(gòu)成.

6) 威脅行為D.由安全組件負(fù)責(zé)收集的危險(xiǎn)操作以及來自外部環(huán)境的攻擊行為.

7) 主體信任值T.包括訪問主體的綜合信任值T(S)、用戶信任值T(u)、設(shè)備信任值T(d)，由信任引擎計(jì)算得出,完整的信任度量體系在第3節(jié)給出.

8) 權(quán)限閾值Pt.訪問主體Sub獲取具體權(quán)限P所需要的最小信任值，由用戶閾值P(u)、設(shè)備閾值P(d)及權(quán)限閾值P(A)組成，只有當(dāng)訪問主體的信任值T大于權(quán)限閾值Pt時(shí)才可以獲取當(dāng)前權(quán)限.權(quán)限閾值P(A)的大小在初始時(shí)設(shè)定，之后依據(jù)訪問主體Sub的歷史請(qǐng)求情況進(jìn)行動(dòng)態(tài)調(diào)整，使得訪問主體Sub可以更準(zhǔn)確地獲取相應(yīng)的權(quán)限P.

9) 授權(quán)A.當(dāng)訪問主體信任值T大于權(quán)限閾值Pt時(shí)，對(duì)訪問主體Sub動(dòng)態(tài)授權(quán)，使其可以對(duì)目標(biāo)資源Re進(jìn)行正常操作.

在ZTBAC模型中，訪問主體Sub不是一直不變的，訪問主體的權(quán)限P也不是一直有效的.在一次會(huì)話中，訪問主體Sub1依據(jù)當(dāng)前信任值T(S)獲取相應(yīng)的權(quán)限P1，當(dāng)訪問結(jié)束后，訪問主體的信任值T(S)便不再可用，隨之訪問主體也不再擁有之前的權(quán)限P1，只有重新經(jīng)過信任引擎評(píng)估，才可以重新獲取到對(duì)應(yīng)的權(quán)限P1.當(dāng)訪問主體的環(huán)境、設(shè)備等發(fā)生變化，從而使得信任值降低時(shí)，執(zhí)行相同的請(qǐng)求將會(huì)被拒絕，從而實(shí)現(xiàn)細(xì)粒度的訪問控制.

2.2 零信任下的訪問控制架構(gòu)

為了實(shí)現(xiàn)零信任訪問控制模型的要求，本文基于移動(dòng)辦公場(chǎng)景給出了一種訪問控制架構(gòu)，可以很好地實(shí)現(xiàn)ZTBAC模型的訪問控制功能，具體架構(gòu)如圖3所示.傳統(tǒng)的移動(dòng)辦公通常是通過VPN連接內(nèi)網(wǎng)進(jìn)行，而在零信任架構(gòu)下主體可以直接通過外網(wǎng)進(jìn)行訪問，從而實(shí)現(xiàn)遠(yuǎn)程辦公[15].

圖3 基于ZTBAC的移動(dòng)辦公架構(gòu)

整個(gè)應(yīng)用架構(gòu)基于零信任訪問控制設(shè)計(jì)，共分為以下7個(gè)模塊：

1) 接入認(rèn)證模塊.零信任架構(gòu)中對(duì)于主體(用戶、設(shè)備以及服務(wù))的訪問請(qǐng)求，要求先認(rèn)證后連接，因此首先需要對(duì)訪問主體的身份進(jìn)行認(rèn)證.該模塊具備本地賬戶管理、單點(diǎn)登錄/登出驗(yàn)證、多因素認(rèn)證等功能.

2) 應(yīng)用支撐模塊.該模塊是移動(dòng)辦公的主要功能模塊，其中包括2大系統(tǒng)：即時(shí)通信系統(tǒng)和協(xié)同辦公系統(tǒng).即時(shí)通信系統(tǒng)包括即時(shí)消息的發(fā)送接收、留言服務(wù)、在線音視頻會(huì)議以及內(nèi)部通信錄存儲(chǔ)等功能；協(xié)同辦公系統(tǒng)主要負(fù)責(zé)提供在線辦公，多人協(xié)作服務(wù)，包括文檔共享、公文交換、事務(wù)處理、移動(dòng)辦公等，使公司各部門各級(jí)人員可以實(shí)現(xiàn)遠(yuǎn)程的信息共享、共同處理事務(wù)等功能.

3) 終端基礎(chǔ)設(shè)施.主要包括數(shù)據(jù)庫(kù)系統(tǒng)、設(shè)備白名單、用戶身份信息等資源設(shè)施以及相應(yīng)的管理設(shè)施，是認(rèn)證依據(jù)的來源，同時(shí)也是訪問的客體對(duì)象.

4) 信任計(jì)算模塊.負(fù)責(zé)根據(jù)接入認(rèn)證模塊的信息以及安全態(tài)勢(shì)感知系統(tǒng)的情報(bào)計(jì)算訪問主體的綜合信任值.

5) 持續(xù)態(tài)勢(shì)感知模塊.包括威脅情報(bào)收集服務(wù)和安全運(yùn)營(yíng)中心.威脅情報(bào)收集服務(wù)可以根據(jù)外部情報(bào)對(duì)訪問主體進(jìn)行辨別.安全運(yùn)營(yíng)中心包括安全信息和事件管理(SIEM)、擴(kuò)展檢測(cè)和響應(yīng)(XDR)等系統(tǒng)對(duì)用戶的信息進(jìn)行綜合評(píng)判，并將得到風(fēng)險(xiǎn)分析結(jié)果與綜合威脅情報(bào)判別的結(jié)果共同發(fā)給信任計(jì)算模塊以及策略控制模塊.

6) 策略控制模塊.負(fù)責(zé)訪問控制，依據(jù)信任計(jì)算模塊、持續(xù)安全態(tài)勢(shì)感知、終端信息等對(duì)訪問主體進(jìn)行授權(quán)以及分發(fā)策略，若訪問中出現(xiàn)風(fēng)險(xiǎn)操作可以隨時(shí)切斷主體的訪問行為.

7) 網(wǎng)關(guān)/服務(wù)端代理.負(fù)責(zé)執(zhí)行策略控制模塊下發(fā)的策略，是已授權(quán)的訪問主體直接訪問的對(duì)象.

2.3 訪問控制過程

各級(jí)用戶進(jìn)行移動(dòng)辦公時(shí)，系統(tǒng)將依據(jù)訪問主體的信任值以及權(quán)限閾值進(jìn)行細(xì)粒度的訪問控制，具體的訪問控制授權(quán)過程如圖4所示：

圖4 訪問控制授權(quán)過程

1) 開始階段.用戶使用設(shè)備登入并請(qǐng)求移動(dòng)辦公服務(wù)，態(tài)勢(shì)感知模塊開始持續(xù)監(jiān)測(cè).

2) 接入認(rèn)證階段.接入認(rèn)證模塊首先依據(jù)用戶以及設(shè)備的登錄信息判斷其是否在白名單內(nèi)，若驗(yàn)證通過則繼續(xù)獲取訪問請(qǐng)求信息，并將用戶，設(shè)備及服務(wù)信息發(fā)送給信任計(jì)算模塊，否則將當(dāng)前登錄信息發(fā)送到持續(xù)態(tài)勢(shì)感知模塊.

3) 計(jì)算綜合信任值.當(dāng)訪問主體(用戶、設(shè)備及服務(wù))通過認(rèn)證后，信任計(jì)算模塊依據(jù)接入認(rèn)證模塊以及態(tài)勢(shì)感知模塊發(fā)來的信息計(jì)算訪問主體的綜合信任值作為授權(quán)的依據(jù).當(dāng)訪問主體信任值大于權(quán)限閾值時(shí)，授予訪問主體相應(yīng)的權(quán)限.而一旦訪問主體的信任值小于權(quán)限閾值時(shí)，將拒絕授權(quán)并將請(qǐng)求信息發(fā)送給態(tài)勢(shì)感知模塊.同時(shí)當(dāng)累積的訪問次數(shù)超過S后，將重新修改權(quán)限閾值.

4) 策略控制模塊.依據(jù)信任計(jì)算模塊的判決結(jié)果以及態(tài)勢(shì)感知模塊發(fā)送的安全信息進(jìn)行策略的生成與分發(fā).當(dāng)態(tài)勢(shì)感知模塊檢測(cè)到存在危險(xiǎn)行為時(shí)，策略控制模塊將直接結(jié)束當(dāng)前訪問，否則將動(dòng)態(tài)生成訪問控制策略.

5) 態(tài)勢(shì)感知模塊.由各種威脅情報(bào)收集服務(wù)以及風(fēng)險(xiǎn)行為感知服務(wù)構(gòu)成，可以接收各個(gè)模塊發(fā)送的行為信息并進(jìn)行安全性分析，將評(píng)判結(jié)果同環(huán)境安全態(tài)勢(shì)監(jiān)測(cè)結(jié)果一并發(fā)送給策略控制模塊.

6) 網(wǎng)關(guān)/服務(wù)端執(zhí)行策略.負(fù)責(zé)執(zhí)行策略控制模塊分發(fā)的策略，實(shí)現(xiàn)訪問控制功能.

7) 執(zhí)行終端服務(wù).為合法主體提供相應(yīng)的資源.

整個(gè)移動(dòng)辦公體系架構(gòu)依據(jù)4大主要模塊完成訪問控制工作，當(dāng)用戶發(fā)送移動(dòng)辦公服務(wù)請(qǐng)求時(shí)，依據(jù)信任值、權(quán)限閾值以及安全性分析對(duì)訪問主體進(jìn)行授權(quán)，可以很好地實(shí)現(xiàn)基于零信任的訪問控制功能，為移動(dòng)辦公提供了保障.

3 信任值計(jì)算

在上文提出的移動(dòng)辦公控制架構(gòu)中，訪問主體的信任值以及權(quán)限的閾值是后續(xù)判斷的依據(jù)，因此本文設(shè)計(jì)了一種信任值及閾值的動(dòng)態(tài)計(jì)算方式.

3.1 訪問主體的信任度量體系

圖5 訪問主體度量指標(biāo)

通常所說的訪問主體是用戶個(gè)體，而在零信任結(jié)構(gòu)中，訪問主體由用戶、設(shè)備以及服務(wù)三者共同構(gòu)成，基于這個(gè)理念，訪問主體的信任值包括用戶信任值、設(shè)備信任值、服務(wù)請(qǐng)求信任值以及這三者的綜合信任值，同時(shí)還需要考慮外部威脅情況對(duì)綜合信任值進(jìn)行調(diào)整，在此基礎(chǔ)上本文給出ZTBAC模型的信任度量體系，如圖5和圖6所示：

圖6 威脅行為指標(biāo)

該體系對(duì)用戶、設(shè)備、服務(wù)三者各自的度量指標(biāo)進(jìn)行分類，同時(shí)兼顧可能存在的威脅性行為，使得系統(tǒng)可以給出準(zhǔn)確的信任值，并迅速拒絕危險(xiǎn)請(qǐng)求，保證系統(tǒng)內(nèi)部的安全.移動(dòng)辦公架構(gòu)下的信任度量指標(biāo)如下：

1) 用戶.指用戶個(gè)體，主要基于身份信息計(jì)算信任值，包括賬戶、密碼、位置等.此外出于安全需求有時(shí)還需要進(jìn)行加強(qiáng)認(rèn)證，包括動(dòng)態(tài)令牌、短信、掃碼、token、人臉識(shí)別等方式中的1種或幾種.

2) 設(shè)備.指用戶發(fā)起訪問請(qǐng)求的終端，設(shè)備信任值基于設(shè)備身份計(jì)算.在模型中每個(gè)設(shè)備應(yīng)具有唯一標(biāo)識(shí)符認(rèn)證，可以由數(shù)字證書、網(wǎng)卡的MAC地址來表示，用于和內(nèi)部的設(shè)備白名單進(jìn)行匹配；同時(shí)，設(shè)備自身的安全信息也需要考慮在內(nèi)，包括設(shè)備類型、殺毒防護(hù)組件檢查、高危漏洞檢查、當(dāng)前進(jìn)程檢查、應(yīng)用軟件版本檢查、操作系統(tǒng)版本檢查等.由以上2部分共同決定設(shè)備的信任值.

3) 服務(wù).服務(wù)指用戶的訪問請(qǐng)求狀態(tài)，需要考慮網(wǎng)絡(luò)信息，如：網(wǎng)速、IP、域名等；目標(biāo)資源信息如目標(biāo)端口、資源狀態(tài)等；發(fā)起請(qǐng)求的行為信息如訪問和請(qǐng)求時(shí)間等.綜合三者共同計(jì)算出服務(wù)信任值.

4) 威脅行為.主要考慮外部威脅情報(bào)、安全日志審計(jì)以及對(duì)攻擊行為進(jìn)行監(jiān)測(cè)，依據(jù)三者的安全情況對(duì)訪問主體信任值進(jìn)行及時(shí)調(diào)整.外部情報(bào)源主要由情報(bào)來源以及威脅等級(jí)表示，用于比對(duì)訪問主體的安全狀態(tài).安全日志審計(jì)包括：導(dǎo)出、另存和刪除審計(jì)日志；用戶的創(chuàng)建、修改、刪除與授權(quán)；其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作,其中每一份日志應(yīng)考慮事件發(fā)生的日期和時(shí)間;事件類型;事件主體身份標(biāo)識(shí);事件結(jié)果.持續(xù)攻擊行為監(jiān)測(cè)主要針對(duì)常見的攻擊行為，包括掃描網(wǎng)絡(luò)、賬號(hào)爆破、遠(yuǎn)程注入等.

3.2 訪問主體信任值計(jì)算

在所有基于信任的訪問控制架構(gòu)中，通常將信任計(jì)算分為：基于資源屬性的信任算法、基于主體分值的信任算法以及單一信任算法和上下文信任算法.本文設(shè)計(jì)的信任算法是基于訪問主體的信任值和權(quán)限閾值，當(dāng)主體信任值滿足權(quán)限閾值要求時(shí)，訪問主體才可獲得相應(yīng)的訪問權(quán)限.

3.2.1 滑動(dòng)窗口機(jī)制

零信任理念要求對(duì)所有的訪問主體默認(rèn)為不信任，因此每當(dāng)訪問主體發(fā)起請(qǐng)求時(shí)需要重新計(jì)算當(dāng)前信任值，這使得計(jì)算依據(jù)格外重要.本文引入滑動(dòng)窗口機(jī)制用于保證計(jì)算數(shù)據(jù)的可靠性和時(shí)效性.計(jì)算信任值時(shí)只采用位于滑動(dòng)窗口內(nèi)的數(shù)據(jù)，忽略窗口外的數(shù)據(jù)，每交互1次，窗口移動(dòng)1個(gè)單位，窗口內(nèi)數(shù)據(jù)的權(quán)重大小也隨之變化，直到離開窗口，失去參考價(jià)值.滑動(dòng)窗口模型如圖7所示：

圖7 滑動(dòng)窗口模型

式(1)為在此基礎(chǔ)上給出的衰減函數(shù)，用于表示權(quán)重的變化.m表示窗口大小，s為訪問主體歷史記錄和當(dāng)前訪問記錄的距離，α為任意小正數(shù)，用于調(diào)節(jié)衰減范圍.

(1)

3.2.2 懲罰機(jī)制

整個(gè)系統(tǒng)本身采取只減不增的模式對(duì)發(fā)生惡意行為的節(jié)點(diǎn)進(jìn)行懲罰，一旦系統(tǒng)檢測(cè)到非法操作后，將為訪問主體中的用戶及設(shè)備增加一個(gè)信任值上限，從而限制其后續(xù)獲取權(quán)限.信任上限由懲罰函數(shù)計(jì)算得出，如式(2)所示:

(2)

其中p′為訪問主體目標(biāo)權(quán)限的閾值或信任上限，C為懲罰系數(shù)，系數(shù)越小，懲罰力度越大，本文將非法操作由低到高劃分為5個(gè)級(jí)別:最低、較低、中等、較高、最高.R為非法操作所包含的等級(jí)數(shù)量，r為當(dāng)前非法操作對(duì)應(yīng)的等級(jí).當(dāng)發(fā)生違法操作時(shí)，會(huì)對(duì)訪問主體進(jìn)行對(duì)應(yīng)的懲罰，而當(dāng)再次發(fā)生同樣的非法行為時(shí)會(huì)再次修改信任上限.

3.2.3 訪問主體信任值計(jì)算

本文基于邏輯回歸模型給出了訪問主體各度量指標(biāo)信任值的基本計(jì)算方法，首先把用戶、設(shè)備和環(huán)境用集合n表示，并將其各自的度量指標(biāo)轉(zhuǎn)化為對(duì)應(yīng)的信任等級(jí)值，用集合ln表示，三者各自的基礎(chǔ)信任值的計(jì)算方式如式(3)所示：

(3)

其中zl為各個(gè)度量指標(biāo)所含的信任值，al為各個(gè)度量指標(biāo)的影響因子，即所占權(quán)重，A(s)為衰減因子使信任值隨窗口移動(dòng)而變化，其中l(wèi)∈ln，則gn(z)代表用戶、設(shè)備和環(huán)境三者各自的綜合信任值.三者進(jìn)行計(jì)算得到的訪問主體的綜合信任值如式(4)所示：

G′(z)=∑cn×gn(z)，

(4)

其中cn為用戶、設(shè)備和環(huán)境三者所占權(quán)重，其加和為1，G′(z)為訪問主體的綜合信任值.此外，為了保證系統(tǒng)的安全，計(jì)算信任值時(shí)還需要將威脅行為考慮在內(nèi)，依據(jù)本文給出的信任度量體系，將所給出的威脅行為表示為集合W={w1,w2，…，wt},之后用tv表示各個(gè)威脅行為的影響因子，其中v∈W，tv初始值均為1，式(5)用于計(jì)算威脅行為的影響因子：

(5)

當(dāng)系統(tǒng)檢測(cè)到相應(yīng)的威脅行為后直接修改tv的值為0，從而修改信任值，使非法主體無(wú)法獲取權(quán)限.由此給出訪問主體的綜合信任值的完整算法，如式(6)所示：

(6)

當(dāng)訪問主體發(fā)送訪問請(qǐng)求時(shí)，信任引擎依據(jù)信任度量體系計(jì)算出訪問主體的信任值，并將其作為決策引擎進(jìn)行決策的依據(jù).

3.3 權(quán)限閾值動(dòng)態(tài)調(diào)節(jié)算法

(7)

3.4 實(shí)驗(yàn)分析

3.4.1 復(fù)雜度分析

整個(gè)信任度量體系主要分為信任值計(jì)算模塊和權(quán)限閾值模塊調(diào)整2部分.在ZTBAC模型的信任值計(jì)算模塊中，首先計(jì)算gn(z)，其中n為度量指標(biāo)主體，l為度量指標(biāo)集合大小，則計(jì)算復(fù)雜度為O(nl)，之后在式(5)中計(jì)算威脅行為的影響因子，需要對(duì)每一個(gè)可能存在的威脅行為逐一分析，所以計(jì)算復(fù)雜度為O(t)，則整體的計(jì)算復(fù)雜度為O(nlt)，又n代表度量指標(biāo)主體設(shè)備、用戶及服務(wù)，三者應(yīng)為常量，最終信任計(jì)算模塊的計(jì)算復(fù)雜度為O(lt).而對(duì)于權(quán)限閾值調(diào)整模塊，計(jì)算復(fù)雜度僅與初始設(shè)置的累積訪問次數(shù)S有關(guān)，計(jì)算復(fù)雜度為O(S).所以整體的時(shí)間復(fù)雜度為O(S+lt).此外，需要存儲(chǔ)歷史訪問的記錄，空間復(fù)雜度為O(S×Kd),其中Kd為存儲(chǔ)記錄的大小.

3.4.2 實(shí)驗(yàn)分析

實(shí)驗(yàn)主要考慮移動(dòng)辦公環(huán)境下，信任模型對(duì)訪問主體信任值描述的靈敏性和有效性.使用MATLAB分析不同的度量指標(biāo)集合對(duì)主體信任值的計(jì)算時(shí)延，以及對(duì)權(quán)限閾值調(diào)整的影響.實(shí)驗(yàn)環(huán)境為Intel Core i5-4210H CPU @2.9 Hz，8 GB內(nèi)存，Win8.1系統(tǒng)，Matlab-R2020a版本.

在度量指標(biāo)的選取上考慮移動(dòng)辦公的特性，主要選取表1中的指標(biāo)作為信任計(jì)算依據(jù)，同時(shí)給出了各個(gè)關(guān)鍵字段信息所具有的信任值范圍.

表1 信任計(jì)算指標(biāo)

同時(shí)在移動(dòng)辦公中，操作主要由用戶主動(dòng)發(fā)起，因此用戶在訪問主體信任值中權(quán)重應(yīng)為最高，其次是用戶辦公時(shí)的設(shè)備，依據(jù)計(jì)算公式，實(shí)驗(yàn)參數(shù)設(shè)置如表2所示：

表2 實(shí)驗(yàn)參數(shù)設(shè)置

影響因子由管理人員根據(jù)需求設(shè)置，實(shí)驗(yàn)中全部設(shè)置為1，同時(shí)設(shè)所有的度量指標(biāo)初始信任值z(mì)l=0.2，初始時(shí)默認(rèn)無(wú)威脅行為，不設(shè)置滑動(dòng)窗口，實(shí)驗(yàn)結(jié)果如圖8所示.

圖8 度量指標(biāo)對(duì)信任值的影響

圖8所示為度量指標(biāo)個(gè)數(shù)與信任值之間的關(guān)系，可以看出不同的權(quán)重c會(huì)造成信任增長(zhǎng)速率的不同，其中服務(wù)和設(shè)備的主體信任值上升較為平緩，主要是由于兩者的權(quán)重c較小.而用戶主體的信任值和訪問主體的綜合信任值在度量指標(biāo)個(gè)數(shù)較少時(shí)增長(zhǎng)較快，而隨著指標(biāo)個(gè)數(shù)增多，兩者的信任值增長(zhǎng)均趨于平緩，接近一個(gè)穩(wěn)定值，因此獲取更高的權(quán)限會(huì)更困難.

圖9所示為度量指標(biāo)數(shù)量和信任值計(jì)算時(shí)延之間的關(guān)系，可以看出當(dāng)度量指標(biāo)的數(shù)量增加時(shí)，計(jì)算時(shí)延整體呈增長(zhǎng)趨勢(shì)，當(dāng)度量指標(biāo)數(shù)量小于10時(shí)，計(jì)算時(shí)延增幅較小，而當(dāng)度量指標(biāo)個(gè)數(shù)超過10后，計(jì)算時(shí)延有大幅增長(zhǎng)，之后增長(zhǎng)速度再次減緩.結(jié)合以上實(shí)驗(yàn)結(jié)果，對(duì)度量指標(biāo)的選取不應(yīng)過多，當(dāng)度量指標(biāo)個(gè)數(shù)較多時(shí)，計(jì)算時(shí)延較高，而其對(duì)信任值的影響較小，會(huì)使得整個(gè)信任度量體系的靈敏度下降，這是ZTBAC模型所不能承受的.

圖9 度量指標(biāo)對(duì)計(jì)算時(shí)延的影響

為了驗(yàn)證滑動(dòng)窗口對(duì)信任值增長(zhǎng)的影響，添加一個(gè)大小為10的滑動(dòng)窗口用于對(duì)度量指標(biāo)進(jìn)行處理，比較其訪問20次時(shí)信任值增長(zhǎng)趨勢(shì)的變化，結(jié)果如圖10所示：

圖10 滑動(dòng)窗口對(duì)信任值的影響

增加滑動(dòng)窗口后，主體信任值有所下降，同時(shí)上升趨勢(shì)減緩，說明訪問主體獲取高權(quán)限需要更多的度量指標(biāo)，增加了安全性.

當(dāng)發(fā)生非法行為時(shí)懲罰機(jī)制會(huì)設(shè)置相應(yīng)的信任上限，為了驗(yàn)證懲罰機(jī)制的有效性，本文設(shè)某一訪問主體中用戶的初始信任值為0.45，懲罰系數(shù)C=0.8，非法操作等級(jí)為最低，當(dāng)訪問主體多次發(fā)生非法行為時(shí)，其可獲取的信任上限變化如圖11所示：

圖11 懲罰機(jī)制對(duì)信任值的影響

實(shí)驗(yàn)結(jié)果表明，當(dāng)惡意訪問主體發(fā)生非法操作時(shí)，其可獲取的信任上限會(huì)快速下降，當(dāng)發(fā)生5次同樣的惡意行為時(shí)，惡意主體可獲得的信任上限已經(jīng)接近于0，可確保整個(gè)模型的安全性.

3.4.3 安全性分析

從以上實(shí)驗(yàn)可以看出，ZTBAC模型相對(duì)于基于RBAC下的TrustBAC模型[3]，有效解決了用戶可以通過自己的信任值無(wú)限制地獲取權(quán)限的問題，ZTBAC中訪問主體不能單純依靠較高的綜合信任值獲取到更高權(quán)限.同時(shí)在TrustBAC中一旦用戶利用信任值獲取到對(duì)應(yīng)角色，就可以獲得該角色包含的所有權(quán)限，而在ZTBAC模型中，訪問主體在獲取任意權(quán)限前都需要進(jìn)行信任評(píng)估，并且僅能獲取到當(dāng)前操作所請(qǐng)求的對(duì)應(yīng)權(quán)限，滿足最小權(quán)限原則.ZTBAC模型中信任值計(jì)算采用logistic模型，使得信任值并不呈線性增長(zhǎng)，而滑動(dòng)窗口機(jī)制有效應(yīng)對(duì)信任累積攻擊，使得信任值增長(zhǎng)緩慢，而當(dāng)發(fā)生非法行為時(shí)，由于懲罰機(jī)制的存在，會(huì)使訪問主體可獲得的信任上限快速下降，這對(duì)任何理性訪問主體而言是不可承受的，非法操作的風(fēng)險(xiǎn)不足以滿足收益.

4 結(jié)束語(yǔ)

本文基于零信任給出的移動(dòng)辦公下ZTBAC訪問控制架構(gòu)，將信任評(píng)估體系加入到訪問控制中，同時(shí)對(duì)訪問主體的信任度進(jìn)行持續(xù)評(píng)估，動(dòng)態(tài)地更新訪問主體的權(quán)限信息，更好地滿足了當(dāng)前環(huán)境下移動(dòng)辦公訪問控制的安全性要求.后續(xù)將針對(duì)動(dòng)態(tài)策略的生成與分發(fā)進(jìn)行研究，進(jìn)一步完善整個(gè)訪問體系架構(gòu)，提高效率及安全性.