電子軍務系統中T-RBAC 訪問控制組件的設計與應用

王 偉,杜 靜,周子琛

(1.武警工程大學 電子技術系, 西安710086;2.武警政治學院 指揮系,上海200435)

1 引 言

近年來,軍隊加大了信息化建設力度,指揮自動化網絡體系已基本建成,以數字證書管理中心為代表的網絡安全基礎設施也已投入使用。同時,軍隊各業務部門構建了大量信息管理系統,逐步實現了部隊作戰、政工、后勤等業務數據的網絡傳遞、存儲、遠程查詢和管理,有效提高了信息化條件下的軍隊整體防衛作戰能力。

網絡時代的電子軍務系統不再是孤立的單機版系統,而是基于開放網絡協議標準,運行于軍隊內聯網上的分布式、綜合性、實時信息管理系統。然而,網絡的開放性、復雜性和擴展性導致系統安全漏洞增多,使電子軍務系統面臨日益嚴重的安全威脅。因此,研究和應用符合軍隊特殊工作環境的安全機制,確保系統、人員編制、業務數據的安全,已成為構建電子軍務系統時首要關注的問題。

在當前電子軍務系統面臨的各種威脅中,破壞認證和會話管理、破壞訪問控制兩種安全漏洞威脅最大。一方面,一些軍務系統僅采用了簡單的口令鑒別機制;另一方面,盡管傳統的訪問控制策略,如強制訪問控制(Mandatory Access Control,MAC)、基于角色的訪問控制(Role Based Access Control,RBAC)、基于任務的訪問控制(Task Based Access Control,TBAC)機制已經廣泛使用, 并且有一些適應性改進[1-2],但都不能很好地適應部隊的特殊需要。針對軍用訪問控制模型的相關研究[3-4]在與實際應用環境結合方面有所不足。

針對上述兩種主要的安全威脅,本文探討了將權限控制與業務部門的人員編制、任務分工和工作流程相結合保護系統與數據安全的方法,并利用公開密鑰基礎設施[5](Public Key Infrastructure,PKI)和輕量級目錄訪問協議[6](Lightweight Directory Access Protocol,LDAP)實現了基于數字證書的統一認證以及基于任務和角色的訪問控制(Task-Role Based Access Control,T-RBAC)安全組件。在司政后多種軍務系統中的實際應用結果顯示,安全組件能夠對用戶訪問和操作權限進行嚴格、規范和靈活地控制,有效保證系統、工作流和數據的安全。

2 電子軍務系統的安全需求及對策

部隊作戰、政工、后勤業務系統運行于內部開放的網絡環境中,所面臨的安全威脅既可能來自于非授權用戶的各種惡意滲透行為,也可能是授權用戶的故意或者誤操作[7]。其中,政工業務系統由于既要向普通用戶開放,又要保護關鍵數據,因此安全風險最大。現以人民武警報社投稿和編審系統為例,分析電子軍務系統安全需求。

(1)各級官兵均可通過內聯網訪問該系統投稿、查稿,用戶的復雜性導致可能存在惡意攻擊行為,因此需要依托指揮自動化網安全基礎設施,建立統一的用戶認證機制。

(2)編審人員處理稿件的流程比較規范,稿件按編、審、定、發的工作模式流轉,一般不允許編者有跨越編審步驟和超出職責范圍的行為,更不允許稿件作者介入編審流程。

(3)業務人員編制級別不同,各司其職,下級只對直接上級負責,上級對下級有監督管理權,這使得系統含有多類具有不同角色和等級的用戶。

(4)業務部門希望部分工作流程能夠人為控制,從而獲得更好的靈活性,以便能應對突發事件。

可見,《人民武警報》編審系統的需求涉及到用戶群、人員編制、任務分工、業務流程等多個方面,其面對的安全問題可以推廣到網絡環境下的多種電子軍務系統。因此,需要將權限控制與業務工作流、部門編制、人員職務和角色分工緊密結合在一起,把以角色為基礎的訪問控制模型和以任務為基礎的授權控制模型結合在一起,實現以任務為中心的認證與訪問控制,保護系統和數據的安全。

3 T-RBAC 訪問控制策略基本原理

3.1 基于角色的訪問控制

RBAC 的基本思想是:將系統資源的訪問權限,包括對處理功能的使用權和對數據的讀寫、搜索、比較等操作權,進行分組、歸類或建立層次性關系,抽象為“角色”,再根據安全策略為用戶指派角色,從而實現用戶和權限之間的靈活對應關系(一對一、一對多或多對一)。角色是一個邏輯意義上的概念,它在實際中可以映射為一個主體的集合,同時角色又對應為一個權限的集合,因此,角色表現為一個將主體和權限聯系起來的紐帶。RBAC[8]訪問控制模型如圖1 所示。

圖1 RBAC 模型Fig.1 RBAC model

基于角色的訪問控制策略本質上屬于強制訪問控制的擴展,其用戶與訪問權限隔離的特性減少了授權管理的負擔。RBAC 允許靈活地定義角色之間的關系,容易實現最小權限分配,能夠適應范圍廣泛的安全策略,極大地簡化權限管理,因此是目前最流行的訪問控制策略。

3.2 基于任務的訪問控制

TBAC[9]有兩點含義:首先,它在工作流的環境中考慮對信息的保護問題,是一種上下文相關的訪問控制模型。在工作流環境中,每一步對數據的處理都與以前的處理相關,相應的訪問控制也是這樣。因而TBAC 中的許可不是一個固定的狀態,授權和許可等行為都在被不斷地監控,許可狀態也隨著不斷地變化。其次,它不僅能對不同工作流實行不同的訪問控制策略,而且還能對同一工作流的不同任務實例實行不同的訪問控制策略。它能抽象出任務之間的一些訪問/授權關聯關系,包括順序依賴、失敗依賴、分權依賴和代理依賴等。比如,順序依賴表示只有當任務A 被授權訪問后,任務B 才能被授權訪問。TBAC 授權模型[10]如圖2 所示。

圖2 TBAC 模型Fig.2 TBAC model

TBAC 采用“面向任務”的觀點,從任務角度來建立安全模型和實現安全機制,在任務處理的過程中提供動態實時的安全管理。它能夠很好地適應工作流、分布式處理以及交易管理等系統中的分布式計算和多點訪問、控制和決策的信息處理任務。

3.3 基于任務-角色的訪問控制策略

RBAC 根據任務職責設置角色,可以在人員職務變動的時候方便地分配新角色,然而RBAC 在權限的動態管理方面顯得力不從心,仍然無法勝任對分布性、協作性和實時性要求較高的應用領域。解決方法就是在RBAC 的框架下再加入任務的概念,結合基于角色和基于任務策略的優點,利用任務來動態管理權限,這就是基于任務-角色的訪問控制。

T-RBAC 模型[11]在RBAC 的角色和權限之間加入了任務層,模型的核心已經不是角色而是任務。模型將權限直接與任務連接起來,角色只有通過執行任務才能獲得權限,實際上,角色只是用來限制可執行任務的一個途徑。任務是一個動態的概念,動態產生,動態分配權限,這樣就實現了動態授權和最小權限限制。T-RBAC 模型如圖3 所示。

圖3 T-RBAC 模型Fig.3 T-RBAC model

T-RBAC 具有RBAC 和TBAC 兩者的優點。在T-RBAC 中,工作流中的每一步操作在執行之前都會檢查操作者是否具有權限,這樣就能在任務級別上免除軍務系統受惡意操作和非授權使用數據的威脅。同時,每個任務都是一個獨立的活動單位,因此任務之間可以相互協作,并根據上下文環境控制任務的各種狀態,解決了RBAC 在靈活性以及實時性應用環境中的不足。

4 認證與訪問控制安全組件的設計與實現

基于上述思想,本文將RBAC 訪問控制策略與業務流程結合在一起,設計并實現了基于T -RBAC的安全控制組件。以《人民武警報》投稿編審系統為例,在嵌入認證與訪問控制安全機制后,系統能夠在確保數據與操作安全的前提下,支持用戶在線投稿、編輯在線審稿、稿件管理等功能。本節介紹基于LDAP 和PKI 的身份認證、基于RABC 的訪問控制以及它們與報社編審工作流綁定的實現方法。

4.1 基于LDAP 和PKI 的身份認證

由于LDAP 服務器可以用于存儲各種不同的數據類型,本文采用LDAP 數據庫服務器作為認證系統的核心,將其與PKI 結合起來,使用LDAP 作為數字證書庫的存儲和備份系統,實現了基于LDAP 和PKI 的身份認證構件[12]。

LDAP 用于存儲當前網絡環境中所有資源的信息,包括基本的個人賬戶信息和各種系統服務。如圖4 所示,在LDAP 目錄樹中設定了以下組織單元,分別是用戶person、用戶組group、應用系統對象service、角色role、數字證書Certificate。這樣,每個用戶的安全信息,包括PKI 提供的數字證書、用戶對系統資源的訪問權限,都被保存在活動目錄中。編審系統通過活動目錄控制用戶的登錄,用戶對系統資源的訪問也受到活動目錄控制。

圖4 自定義LDAP 的目錄信息樹Fig.4 The defined LDAP directory tree

4.2 基于RBAC 的訪問控制

系統基于RBAC 模型對用戶訪問和操作數據的權限進行控制[13-14]。

(1)用戶

根據武警部隊的編制,在LDAP 中建立一個全局的部門目錄樹,所有投稿和編審用戶都可表示為目錄樹上的結點。例如,從結點的區別名(Distinguished Name,DN)“userUid=llx, ou=newspaper, dc=apf, dc=cn”可唯一定位到報社編審用戶llx。利用JNDI(Java Naming Directory Interface),能夠對目錄樹進行AUID(add/update/insert/delete)操作,這樣就同時實現了對用戶和部門的管理。

(2)角色

系統中的用戶根據功能被分為8 類角色,即通信員、管理員、編輯、副主任、主任、副社長、社長、主編,這些角色與編審工作流相關聯,具有不同的職務和職責。在T-RBAC 模型定義中,表現為他們所擁有的對文稿(OBS)和操作(OPS)的權限各不相同。

(3)文稿

首先根據報紙的結構定義一個版面與欄目樹,文稿被劃分到相應欄目分支下。用戶通過角色與許可的綁定,能夠獲得對文稿的訪問權。目錄結構樹允許通過AUID 進行操作,這使系統具有了針對突發事件增加臨時版或專版的靈活性。

(4)許可

許可用于限定一個角色可以訪問報紙哪些版面和文稿,以及可以執行哪些操作。用戶首先被賦予角色,然后再與文稿類型以及刪除、提交、返修、錄用等各種操作相關聯。

在將用戶、角色和許可進行綁定之后,用戶就獲得了在系統中訪問文稿、進行操作的權限。用戶登錄時,系統首先訪問LDAP 驗證用戶身份,然后根據用戶的角色顯示不同的操作功能列表,包括公共操作和由角色控制的操作。用戶的操作權限如圖5 所示。

圖5 在線投稿編審系統中用戶的操作權限Fig.5 User′s operation permission in the online manuscript collecting and editing system

可見,在同一應用環境下,不同角色的用戶除具有公共操作項目外,還可得到特殊的操作權限。例如,編輯可將誤投給自己的稿件轉投其他編輯;主任享有查看本處所有稿件、對稿件進行重分配的權限;主編有錄用稿件、安排版面、查看所有稿件的權限;社長則監督全局、處置突發事件。

4.3 基于T-RBAC的工作流控制

工作流是工作流程的計算模型,它是整體或部分業務過程的自動化,其間文檔、信息或者任務按照一套程序規則,從一個參與者到另一參與者進行處理。在報社編審系統中,首先將編審流程分解為由多個操作任務構成的具有時間約束的任務集合,再將任務集關聯到用戶角色集和許可集,就實現了基于任務-角色相結合的工作流控制。

系統對業務工作流的管理任務主要體現在如何控制報社人員對稿件的訪問、編審、管理等工作。報社編審流程實行四審制,即編輯初審、主任復審、社長審定、主編組版。因此,可將與編審相關的用戶劃分為6 類角色:編輯、副主任、主任、副社長、社長、主編,每種角色在工作流程中可以對稿件執行不同權限的操作(OPS),每個操作動作都會改變稿件的狀態。

編審過程的狀態轉換過程如圖6 所示,審稿工作是由多個并發的編審任務構成的。一個稿件的編審過程,是一個稿件由新稿到編輯、審定、終審、錄用等各個狀態的轉換過程。每個用戶的角色將他限制于四審制流程的某一個位置。當具有不同角色和權限的用戶登錄時,系統篩選出的稿件將會因用戶的工作職責(編輯、主任等角色)的不同,對數據的訪問權(所負責的欄目)不同而不同。當用戶完成所負責的編審任務并“提交”稿件時,會改變該稿件的狀態,使稿件進入流程的下一階段,并顯示在流程中具有更高層次角色用戶的任務列表中。通過這樣逐步的編審和提交,就能完成對稿件的編審工作。同時,在稿件編審過程中,可以選擇“返修”、“淘汰”等提交動作,使該稿件的狀態轉換回退或終止,支持更復雜和靈活的編審任務。

圖6 稿件編審狀態轉換圖Fig.6 The state-transition diagram of manuscript-edit-workflow

4.4 系統測試與改進

我們對所實現的《人民武警報》投稿編審系統在實際工作環境中進行了測試。以2011 年3 月數據為例,系統管理報社編審用戶47 人,各類通信員773人;處理文稿5 328件,錄用稿件1 484篇,平均狀態轉換4.2 次,無惡意操作與數據安全問題發生。應用測試結果顯示,在嵌入安全組件后,系統能夠實現對用戶權限和編審業務流程嚴格、規范和靈活地控制,有效地提高了報紙新聞的時效性、報刊信息處理的集成度、網絡化和自動化。

在測試中發現,編審系統中的訪問控制組件與業務功能關聯比較緊密,不利于組件的移植。為了進一步提高所實現安全組件對多種電子軍務系統的適用性,對組件進行了兩方面改進:首先,對代碼進行了封裝和優化,將組件與業務流程進行了分離,減小了安全機制與業務功能之間的耦合度;其次,為用戶提供了業務流程編制接口和權限配置管理接口,使操作和訪問權限與業務流的結合變得更加靈活。

我們將改進后的安全組件分別嵌入到作戰公文處理系統和后勤經費管理系統中。在用戶和角色管理方面,只需經過少量編程和設置即可完成。而在操作權限、工作流程管理方面,通過分析作戰系統中公文的撰寫、提交、審核、簽發等流轉過程,以及經費管理系統中的預算、申請、審批、核算等執行流程,并將操作權限與流程進行編程綁定后,系統能夠正常運轉。整體來看,該安全組件具有較好的擴展性和可移植性。

5 結束語

針對電子軍務系統的數據與操作安全問題,本文提出基于業務工作流,結合部門編制、人員職務和角色分工,以任務為中心進行認證與訪問控制,從而保護系統操作和數據安全的思想。

本文實現的基于PKI 和LADP 的統一認證以及任務與角色結合的T -RBAC 訪問控制組件適用于司、政、后多種業務系統。實際工作中的應用效果顯示,基于PKI 和LADP 的認證組件嚴格限定只有合法用戶才能登錄系統,防止了非授權用戶的惡意滲透攻擊;基于T-RBAC 的工作流控制組件確保了業務流程中的操作和數據安全。在未來工作中,我們將進一步提高安全組件的完備性和易用性。

[1] 于小兵,郭順生,楊明忠.擴展RBAC 模型及其在ERP 系統中的應用[J] .計算機工程,2009,35(24):165-167.

YU Xiao-bing, GUO Shun-sheng, YANG Ming-zhong.Extended RBAC Model and Its Application in ERP System[ J] .Computer Engineering,2009,35(24):165-167.(in Chinese)

[2] 周建美, 徐慧.TRBAC 模型在工作流系統中的研究與實現[J] .微型機與應用,2010,29(15):4-5,9.

ZHOU Jian-mei, XU Hui.Research and Implementation of Task-role based Access Control Model on Workflow System[J] .Microcomputer&Its Applications, 2010, 29(15):4-5,9.(in Chinese)

[3] 韓若飛,汪厚祥,杜輝,等.一種軍用的基于任務-角色的訪問控制模型[J] .計算機工程,2006,32(23):165-167.

HAN Ruo-fei, WANG Hou-xiang, DU Hui, et al.Taskrole-based Access Control Model for Military Use[ J] .Computer Engineering, 2006, 32(23):165-167.(in Chinese)

[4] 徐宇茹, 李瑛, 郭天杰.基于TRBAC 的分布式指揮系統訪問控制建模[ J] .海軍航空工程學院學報, 2010,25(4):407-410.

XU Yu -ru, LI Ying, GUO Tian-jie.Model Design of Task-Role-Based Access Control in Distributed Command System[ J] .Journal of Naval Aeronautical and Astronautical University, 2010, 25(4):407-410.(in Chinese)

[ 5] RFC 3280.2002, Internet X.509 Pub lic Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile[ S] .

[ 6] RFC 4523.2006, Lightweight Directory Access Protocol(LDAP)Schema Definitions for X.509 Certificates[ S] .

[ 7] Mike Maschino.Access Control within Military C4ISR Systems[ C]//Proceedings of SPIE.Orlando, FL, USA:IEEE,2003:1-5.

[ 8] FerraioloD F, Sandhu R, Gavrila S.Proposed NIST Standard for Role-based Access Control[ J] .ACM Transactions on Information and System Security, 2001, 4(3):224-274.

[ 9] Thomas R K, Sandhu RS.Task-based Authentication Controls(TABC):a Family of Models for Active and Enterprise-oriented Authentication Management[ C]//Proceedings of the IFIP WG1113 Workshop on Database Security.London:Chapman Hall,1997:166-181.

[ 10] 鄧集波, 洪帆.基于任務的訪問控制模型[ J] .軟件學報, 2003, 14(1):76-82.

DENG Ji-bo, HONG Fan.Task-Based Access Control Model[J] .Journal of Software,2003,14(1):76-82.(in Chinese)

[ 11] Han R F, Wang H X.An Access Control Model with High Security for Distributed Workflow and Real-time Application[C]//Proceedings of SPIE-The International Society for Optical Engineering.Bellingham,WA ,USA:IEEE,2007:6784 3E.

[ 12] 于華, 蔡海濱, 劉良旭.基于LDAP 和PKI 的Intranet統一身份認證系統研究[ J] .計算機工程與設計,2006, 27(10):1863-1866.

YU Hua, CAI Hai-bin, LIU Liang-xu.Study of Intranet Single User Authentication System based on LDAP and PKI Technology[J] .Computer Engineering and Design, 2006,27(10), 1863-1866.(in Chinese)

[13] Park J, Sandhu R.Toward Usage Control Models:Beyond Traditional Access Control[C]//Proceedings of the 7th ACM Symposium on Access Control Models and Technologies.Monterey, CA,USA:2002:57-64.

[14] Sylvia L Osborn, Ravi S Sandhu, Qamar Munawer.Configuring Role-Based Access Control to Enforce Mandatory and Discretionary Access Control Policies[ J] .ACM Transactions on Information and System Security, 2000, 3(2):85-106.