基于改進的角色強制訪問擴展模型的變電所運維安控平臺研究

龔立群徐春華邱曉軍俞柏紅

（國網浙江慈溪市供電公司,浙江慈溪315300）

基于改進的角色強制訪問擴展模型的變電所運維安控平臺研究

龔立群徐春華邱曉軍俞柏紅

（國網浙江慈溪市供電公司,浙江慈溪315300）

變電所機房內安置著很多屏柜和設備，通過系統(tǒng)對屏柜和設備的安全管控和作業(yè)指導書的有效下發(fā)，是電力資源管理系統(tǒng)的一大難題。強制訪問控制模型以其嚴格的安全約束規(guī)則提供了很好的信息保密機制，解決了系統(tǒng)的安全管控問題，變電所運維安控系統(tǒng)通過引入基于角色強制訪問擴展模型，實現(xiàn)了變電所機房內資源的安全管控和作業(yè)指導書的有效下發(fā)。

角色訪問控制變電所運維安控安全級角色權限

1 引言

依據國網公司2012年精神大力推進三集五大體系建設，實施信息、通信資源整合，加快構建信息通信一體化管理、建設和運維體系，建立縱向貫通、橫向集成、高度共享的統(tǒng)一信息平臺。網的主要支撐點——各種電壓等級的變電站，其機房內安置著很多屏柜，每個屏柜內安裝著繼保設備、自動化設備、信息設備、通信設備、電源設備等，各類設備各司其職，通過電力管理系統(tǒng)可以實現(xiàn)電網設備資源的管理，但是一般的權限及角色控制存在著安全控制和系統(tǒng)可用性之間的矛盾。

基于角色的訪問控制(Role-based Access Control簡稱RBAC)是近年來發(fā)展起來的一種訪問控制模型，它由美國George Mason大學的Ravi Sandhu等人提出。RBAC的出現(xiàn)，進一步推動了計算機系統(tǒng)安全訪問控制模型的深入研究和發(fā)展，RBAC模型因為具有較好的可用性，已在計算機系統(tǒng)安全和數據庫應用系統(tǒng)安全中得到廣泛使用。訪問控制是用來保證信息系統(tǒng)中數據信息完整性和保密性的一項重要技術手段和方法，強制訪問控制（Lattice-Based Access Control，簡稱LBAC）是由Bell La padula模型發(fā)展過來的，以其嚴格的安全約束規(guī)則提供了很好的信息保密機制，但損失了相當的系統(tǒng)可用性。為了解決這個問題，引用了一種改進的ERBMAC（Extended Role-Based Mandatory Access Control）模型,它兼具基于角色訪問控制和強制訪問控制策略的功能特點，更加緊密結合應用系統(tǒng)，易于實施，并且靈活性強。

2 基于角色的訪問模型(RBAC)

在RBAC系統(tǒng)中，權限與角色相關聯(lián)，用戶被賦予適當的角色從而獲得角色的權限，簡化了權限管理。RBAC96模型是Sandhu等人提出的一個RBAC模型簇，包括四個子模型，圖1表示它們之間的層次結構。RBAC0是基本模型，描述任何支持RBAC的系統(tǒng)的最小要求。RBAC0包括四個基本元素：用戶集合（U）、角色集合（R）、會話集合（S）和權限集合（P）。用戶在一次會話中激活所屬角色的一個子集，獲得一組訪問權限，即可對相關客體執(zhí)行規(guī)定的操作，任何非顯式授予的權限都是被禁止的。

圖1 RBAC層次結構

RBAC1是對RBAC0的擴充，增加角色等級的概念。實際組織中職權重疊現(xiàn)象的客觀存在為角色提供了依據。通過角色等級，上級角色繼承下級角色的訪問權，再被授予自身特有的權限構成該角色的全部權限，這極大地方便了權限管理。RBAC2也是RBAC0的擴充，但與RBAC1不同，RBAC2加進了約束的概念。

RBAC3是RBAC1和RBAC2的結合。將角色等與約束結合起來就產生了等級結構上的約束：

（1）等級間的基數約束。給定角色的父角色或子角色的數量限制。

（2）等級間的互斥角色。兩個給定的角色是否可以有共同的上級角色或下級角色。特別是兩個互斥角色是否可以有共同的上級角色。

Bell-LaPadula安全模型（簡稱BLP模型）是最早的一種多級安全模型，也是公認的最著名的多級安全模型。BLP模型是一個狀態(tài)機模型，它形式化地定義了系統(tǒng)、系統(tǒng)狀態(tài)以及狀態(tài)間的轉換規(guī)則；定義了安全的概念；并制定了一組安全特性，以此對系統(tǒng)狀態(tài)和狀態(tài)轉換規(guī)則進行限制和約束，使得對于一個系統(tǒng)，如果它的初始狀態(tài)是安全的，并且所經過的一系列的規(guī)則都是保持安全的，那么可以證明系統(tǒng)是安全的。

3 變電所運維安控(資源)管理系統(tǒng)

本系統(tǒng)的設計思路：電力系統(tǒng)通信的實際工作中，當需要操作屏柜內設備時，由開票人員在本系統(tǒng)內開出工作票，并手工或自動輔助生成作業(yè)指導書。然后系統(tǒng)激活相應屏柜的電子鎖，即工作人員可以使用電子鑰匙打開該屏柜。然后在該屏柜的液晶屏上看到對應的作業(yè)指導書。工作人員在按照作業(yè)指導書逐項完成后，提交工作票，即可自動更新操作了的設備的相關狀態(tài)屬性，以及屏柜內部的具體情況信息，以便下次開票作為參考依據和以后對工作的責任認定。系統(tǒng)工作原理如圖2所示：

圖2 系統(tǒng)原理圖

管理人員填完工作票和調用作業(yè)指導書，簽發(fā)。

集控站審核工作票和作業(yè)指導書，確認無誤后許可，系統(tǒng)自動生成對應變電所的對應工作門禁系統(tǒng)，屏柜門禁激活（處于對應工作負責人工作卡開啟門禁）。

工作負責人在工作許可時間段內刷卡開啟工作站點門禁和工作屏柜門禁，打開液晶顯示屏，根據作業(yè)指導書逐步操作，操作一步在作業(yè)指導書提示框確認一步。改變資料在數據庫中實時同步更新。

工作完成，與作業(yè)指導書最后項工作結束確認，工作票流程自動結束，關上柜門，在此工作指示燈轉成白色正常狀態(tài)。

系統(tǒng)采用符合面向服務（SOA）架構的三層結構，利用前臺管理軟件采用B/S方式供用戶訪問，后臺牽涉到工作站的采用三層架構的C/S方式供用戶訪問。系統(tǒng)架構如圖3所示：

4 構造ERBMAC模型

通過對以上兩種模型的分析可以看出，基于LBAC模型的主體與客體都標有安全標簽，訪問控制嚴格按訪問規(guī)則進行，訪問的保密性與安全性方面較好，而過于嚴格的訪問控制在現(xiàn)實應用中很不方便。而RBAC模型權限被授予角色，管理員通過為用戶設置特定的角色來授予，簡化了授權管理。因此考慮與RBAC模型相結合，在原來的LBAC模型上進行擴展。

關于LBAC模型如何擴展，Sandhu等人在RBAC模型中模擬實施MAC，并且提出了解決方案。針對Sandhu方法中拒絕服務和給主體賦予過多權限等缺陷提出了改進措施。通過角色安全標簽將BLP模型和RBAC模型進行融合，提出了EBLP模型，但存在訪問效率低的缺點。本文提出的ERBMAC模型為了將兩者組合在一起，引入特權機制對其進行一定的限制，目的是將基于角色的訪問控制模型和改進的強制訪問控制模型兩者結合，以發(fā)揮兩者的優(yōu)點，彌補各自的不足。

4.1 在RBAC上構造LBAC

在LBAC中每個用戶有一個唯一的安全許可證，相應地，在RBAC中就要為每個用戶分配四個角色：一個讀角色xR，一個寫角色LW，一個修改角色LU，一個刪除角色LD，x是用戶的安全標簽。一個LBAC的用戶允許以用戶的安全標簽所支配的任何會話進入系統(tǒng)，這要求在RBAC中實現(xiàn)的會話有一個yR角色，一個yW角色，一個yU角色，一個yD角色。條件x≥y表示用戶的安全級要支配任何用戶用來登錄會話的安全級。

對于LBAC中的每一個具有安全標簽為x的客體，在RBAC中分配讀、寫、修改、刪除四個權限，記作(o，r)、（o，w）、（o，u）和（o，d），分別與一組唯一匹配的角色xR、xW、xU和xD對應。下面給出用RBAC構造LBAC系統(tǒng)的構造方法。

對于給定的安全標記SL——{L1，L2，……，Ln}和一個偏序關系≥LBAC，針對自由*-規(guī)則的等價的RBAC96系統(tǒng)的基礎上進行構造。

構造1（自由*-規(guī)則）

（2）RH，由四個不相交的角色層次構成：一個“讀”角色{ L1R，L2R，…，LnR}和≥LBAC構成，一個“寫”角色{L1W，L2W，…，LnW}和≥LBAC之逆構成，一個“修改”角色{L1U，L2U，…，LnU}和≥LBAC之逆構成，最后一個“刪除”角色{ L1D，L2D，…，LnD}和≥LBAC之逆構成。

（3）P={(o，r)，（o，w），（o，u），（o，d）oO}，其中r表示讀，w表示寫，u表示修改，d表示刪除，O為客體集。

（4）UA約束：為每個用戶精確分配xR、LW、LU和LD四個角色，x為分配給用戶的安全標記，LW、LU和LD為相應于≥LBAC的最低安全層次的寫角色、修改角色和刪除角色。

（5）會話約束：每個會話精確地具備yR、yW、yU和yD四個角色。

（6）PA約束：(o，r)被分配給讀角色xR，當且僅當{（o，w），（o，u），（o，d）}中的權限被分配角色，即具有xW、xU和xD角色的一個或多個時，也具有xR角色；(o，r)僅被精確地分配給一個角色xR，其中x為o的安全標記。

定理1一個由構造1定義的RBAC系統(tǒng)滿足簡單安全規(guī)則和自由*-規(guī)則。

證明：

（1）簡單安全規(guī)則：根據構造1，用戶u可以啟動一個會話s，并在會話s中激活某個角色yR（會話s的級別為y）。如果用戶u想要在會話s中讀取對象o，則(o，r)必須直接或間接地位于角色yR的權限集中。由于(o，r)只被指定給角色xR，因此在角色層次結構中yR必定直接或間接地繼承于角色xR，即yR≥xR。根據讀角色層次結構，y的安全級必定支配x的安全級，即y≥x，所以簡單安全規(guī)則滿足。

（2）自由*-規(guī)則：這里只證明寫角色滿足該規(guī)則，其它角色的證明方法類似。

根據構造1，每個用戶u都被指定了角色LW，用戶u可以啟動會話s中激活的角色yW（會話s的級別等于y）。如果用戶u想要在會話s中寫對象o，則（o，w）必須直接或間接的位于角色yW的權限集中。由于（o，w）只被指定給角色xW，因此在角色層次結構中yW必定直接或間接地繼承于xW，即yW≥xW。根據圖3-4中的寫角色層次結構，y的安全級必定受x的安全級支配，即y≤x，所以自由*-規(guī)則被滿足。

4.2 ERBMAC模型

ERBMAC模型組合了改進的LBAC訪問模型和RBAC模型的特點，能有效地抵制類似特洛伊木馬的攻擊，保證信息從低安全級向高安全級流動，同時在權限的管理方面又可以使用RBAC方式來管理。ERBMAC模型如圖3所示。

圖3 ERBMAC模型

4.2.1 ERBMAC模型組件

ERBMAC模型由如下元素組成：用戶集合（U），會話集合（S），客體集合（O），角色集合（R），范疇集合（C），安全標簽集合（SL），特權集合（P），安全約束規(guī)則集合（Rules），系統(tǒng)安全管理員（SSO）。各個元素說明如下：

（1）用戶是訪問系統(tǒng)的一個帳號，每個訪問系統(tǒng)的人有一個相應的用戶，用戶認證是訪問系統(tǒng)的第一道屏障。

（2）會話是用戶訪問系統(tǒng)過程中產生的，用戶訪問系統(tǒng)是通過會話來進行的，每個會話有一個相應的角色。

（3）客體則是系統(tǒng)中被訪問的對象。

（4）角色代表組織中的一個職能，也是業(yè)務系統(tǒng)上的一個崗位。

（5）安全標簽由密級與范圍組成，安全標簽集合用SL表示，安全標簽又稱安全級。密級集合用L表示，密級表示數據的重要程度。范疇集合用C表示，范疇是密級的作用范圍，通常是一個部門或一個職位。

（6）安全約束規(guī)定ERBMAC模型在訪問中遵守的約束規(guī)則。

（7）特權權限由系統(tǒng)安全管理員直接指定給角色權限，具有特權的用戶訪問不受安全級的限制。

4.2.2 ERBMAC模型分析

安全標簽SL與客體O是一對多的關系，每個客體都有一個唯一的安全標簽，表示該客體的信息敏感程度。

安全標簽SL與角色R是多對一的關系，每個角色只能有一個安全標簽。該模型取消了RBAC96中采用的角色繼承機制，角色的權限只通過標簽來體現(xiàn)，標簽級別的高低確定角色級別的高低。

用戶U本身沒有等級，用戶訪問系統(tǒng)是通過角色R來實現(xiàn)的，用戶與角色之間的關系是多對多關系。

一個會話S是訪問控制的一個單元，每個會話與一個用戶和該用戶訪問系統(tǒng)的角色相關聯(lián)。SLc代表當前安全標簽，用戶建立會話時，使用用戶角色的安全標簽作為當前會話的安全標簽。每個會話只能與一個用戶相關聯(lián)，而一個用戶可以同時建立多個會話，可以擁有具有不同的安全標簽的會話。

特權P是該系統(tǒng)模型的主要特點。在系統(tǒng)操作過程中，一般使用LBAC模型來進行訪問控制，當低級的主體需要讀寫訪問高級的客體或高級別的主體需要寫低級別的客體，就需要對主體設置特權。但特權與普通權限不同，特權是由系統(tǒng)安全管理員來指定的，而普通權限是通過角色安全級與客體的安全級比較來獲得的。

系統(tǒng)安全員主要負責整個系統(tǒng)的安全管理。具體有：用戶管理、客體管理、角色管理和安全標簽的管理等。

5 ERBMAC模型的應用

以ERBMAC模型在變電所運維安控平臺的應用為例，模型的實現(xiàn)采用JAVA語言開發(fā)，數據庫采用Oracle10g數據庫，應用服務器為Tomcat6.0，主要工作模式為B/S，安全管理是以WEB服務的形式提供的，訪問控制規(guī)則由WEB底層的組件實現(xiàn)。系統(tǒng)開發(fā)采用Struts2框架下的SSI模式，原型系統(tǒng)的功能由模型層實現(xiàn)。

系統(tǒng)采用了數據庫安全增強系統(tǒng)來提高數據庫系統(tǒng)的安全性，任何對數據庫的訪問都必須經過該安全管理系統(tǒng)檢查，對應用系統(tǒng)在訪問時進行約束和控制，以保護數據庫系統(tǒng)的安全，體系結構如圖4所示。

圖4 ERBMAC體系結構

圖5 安全級關系

圖5表示安全級之間關系，樹的子節(jié)點安全級支配其父節(jié)點的安全級，處于兩個不同分支的安全級不可比。結果表明ERBMAC系統(tǒng)通過角色的方式進行權限管理，提高了權限管理的方便性和有效性，而且ERBMAC系統(tǒng)可以按照安全級與特權的設置進行訪問控制，對變電所資源管理和電子操作票的安全下發(fā)起到很好的控制效果。

6 結束語

該文在分析各種不同訪問控制模型的基礎上，結合變電所屏柜資源安全管控的特點和作業(yè)指導書的下發(fā)模式，提出了擴展的基于角色的強制訪問控制模型（ERBMAC模型）。該模型擴展了強制訪問的權限，由原來的讀與寫權限擴展成為查詢、插入、修改和刪除權限，而且兼有強制訪問控制的安全性和角色管理的方便性。最后把該模型應用到變電所運維安控系統(tǒng)當中，運行實踐證明，文章提出的方案簡單，靈活性更高，能夠更加強化變電所資源的安全管理和作業(yè)指導書的安全有效下發(fā)。

[1]倪益民,楊松,樊陳.智能變電站合并單元智能終端集成技術探討[J].電力系統(tǒng)自動化,2004,38(12):95-99.

[2]劉文清,卿斯?jié)h,劉海峰.一個修改BLP安全模型的設計及在SecLinux上的應用[J].軟件學報,2002,13(4):567-573.

[3]梁彬,孫玉芳,石文昌,等.一種改進的以基于角色的訪問控制實施BLP模型及其變種的方法[J].計算機學報,2004,27(5): 636-644.

Research on Substation Operation and Maintenance Safety Control Platform Based on Improved Role Mandatory Access Expansion Model

GONG Li-qun,XU Chun-hua,QIU Xiao-jun,YU Bai-hong
(State Grid Zhejiang Cixi City power supply company,Cixi Zhejiang 315300 China)

the substation room placed a lot of cabinet and equipment,thesafety control and operation instruction system of cabinet and equipmenteffectively,is a big problem in electric power resource management system.Mandatory access control model with strict safety rules to provide the confidentiality of information is a good mechanism to solve the problem,the safety control system,substation operation and maintenance system through the introduction of mandatory access control model based on role ofexpansion,the safety control and operation instruction substation roomresources effectively issued.

role based access control of substation operation and maintenance;safety;safety grade;role;privilege

TP309

A

1008-1739（2015）08-45-4

定稿日期：2015-03-26