基于身份的可信訪問控制

楊新民

隨著信息化在各行各業的不斷深入應用，未來人類的生活將越來越依賴信息化。我國信息化建設雖然后期發展迅猛，但信息安全基礎設施薄弱，信息安全技術能力亟待提高，尤其是在緊密聯系著國計民生的政府、金融、通信、交通、能源、軍事等行業領域信息風險較為突出。這些領域的信息系統中數據信息巨大，并且這些信息系統大量整合了政府、金融機構、醫院、運營商、企業等多方面的信息資源，往往涉及到政務、商業、生活、個人隱私等方方面面，而接口、隱蔽通道眾多，容易出現連鎖反應。一旦出現信息泄露，將導致發生重大的安全事件，后果不堪設想。

同時隨著信息技術的普及，信息系統的管理者眾多，使用者更是不計其數，安全威脅源越來越寬泛。因此，基于可信計算通過發放和維護身份認證信息來建立一套信任網絡，并對這些不同身份信息的人賦予不同的資源訪問權限，匹配不同的訪問控制策略，來進行資源訪問的強制控制，從而實現可信的訪問控制，是未來信息安全建設的重中之重，甚至可以說將來會是影響到所有行業信息安全發展的基石。而要做到可信的訪問控制，關鍵有兩點：身份可信和訪問控制。

身份，可信訪問的核心

可信的核心是身份的可信。只有實現身份的可信，才能實現給不同的身份進行授權和審計。要想實現身份的可信，防止身份被盜用，就需要對所有的身份都分別賦予一個唯一的標識，標識是實體身份的一種計算機表達，每個實體與計算機內部的一個身份表達綁定，并且設定標識的有效期和權限范圍，當主體發起一個客體訪問時，會首先對該主體的身份標識進行認證，進而匹配不同的訪問控制策略。

通過身份標識和認證可以實現兩個目的，一是對身份進行授權控制，二是可以跟蹤所有操作的參與者，同時參與者的任何操作都能被明確地標識出來。因此身份標識認證技術可以從運營、管理、規范、法律、人員等多個角度來解決網絡信任問題。

控制，可信訪問的實現

訪問控制主要從物理、網絡、主機、應用、數據等層面實現對非授權訪問的控制。訪問控制機制的目的是為了保證系統中的數據只能被有權限的人訪問，未經授權的人則無法訪問到數據。訪問控制的核心是控制未授權的訪問。未授權訪問指的是未經授權的使用、泄露、修改、銷毀信息以及頒發指令等。這里又包含兩個方面：一個是非法用戶對系統資源的使用，另一個是合法用戶對系統資源的非法使用。因此，要實現訪問控制，第一步是鑒別主體的合法身份，第二步是授權或限制用戶對資源的訪問權限。

常規的訪問控制模型中，訪問可以對一個系統或在一個系統內部進行。訪問控制框架主要涉及三方面：提交訪問請求、訪問控制以及提出訪問請求。其中，主要包含主體、客體、訪問控制實施模塊和訪問控制策略模塊。訪問控制的實施模塊是執行訪問控制的機制，根據主體提出的訪問請求和訪問控制策略的決策規則對訪問請求進行分析處理，在授權范圍內，允許主體對客體進行有限的訪問；訪問控制策略模塊表示一組訪問控制規則和策略，控制著主體的訪問許可。

常見的訪問控制模型有Bell-La Padula模型、Biba模型、Clark-Wilson模型、Chinese Wall模型等。每個模型雖然采用了不同的控制策略和機制，但是其實質都是通過控制主體的訪問許可，根據訪問控制策略，有效實現控制主體的訪問對象、范圍、權限等。而不管是哪種訪問控制模型，由于其無法對身份進行標識和驗證，一旦主體的身份被盜用或者身份鑒別信息被篡改，訪問控制策略將被輕易繞過，形同虛設。因此只有結合身份認證技術，解決了身份的可信問題，才能實現真正意義上的可信訪問控制。

基于身份的可信訪問

訪問控制模型是針對信息的安全保護提出的，具有很好的安全性。而基于身份的可信訪問控制模型，是針對控制策略的靈活與管理的方便而提出的。為了得到更加安全且使用靈活的訪問控制模型，需要找到兩種模型的結合點。在現有的訪問控制模型基礎上，結合身份標識認證技術，即可形成基于身份的可信訪問控制模型，如下圖所示。

當然該模型不是在常見的訪問控制模型中簡單的插入身份標識認證技術，而是通過調整不同模塊的功用和位置，將訪問控制模型和身份標識認證二者有機結合在一起，形成該模型的核心部分——基于身份的可信訪問控制決策模塊，該模塊通過對不同用戶的角色授權，來實現可信的訪問控制。

基于身份的可信訪問控制決策模塊由身份標識集和訪問控制策略集兩部分構成，不同的用戶在發起一個訪問請求的時候，首先需要到“基于身份的訪問控制決策模塊”中的“身份標識集”中請求一個身份標識，“身份標識集”通過密碼算法會根據用戶的角色賦予其一個唯一的合法身份標識（如證書等），然后身份認證模塊會對用戶的標識進行認證、鑒別。只有在身份認證獲得通過后，才會給訪問控制實施模塊發出一個該身份的訪問請求。訪問控制實施模塊會向訪問控制決策模塊中的“訪問控制策略集”請求基于該身份的訪問控制策略，訪問控制策略集收到請求后會先向“用戶標識集”獲取用戶的角色、安全等級等信息，從而明確該身份的訪問對象、范圍、周期等訪問控制策略，然后該訪問控制策略將發送到訪問控制實施模塊，實施模塊會根據該訪問控制策略對不同的客體發送不同的訪問請求（如：讀、寫、執行等），從而形成對該用戶身份的完整訪問控制。

（作者單位：國家林業局信息中心）endprint