基于可信級度量的智能終端安全模型研究

郭德彪，陳衛(wèi)兵，王金燕，周 穎，彭志香

（湖南工業(yè)大學(xué) 計算機與通信學(xué)院，湖南 株洲 412007）

1 背景知識

開放環(huán)境下，智能終端系統(tǒng)用戶變動頻繁、無法事先獲得用戶的身份，給用戶身份安全管理及隱私保護帶來巨大挑戰(zhàn)。在系統(tǒng)資源緊張的智能終端中（例如分布嵌入式系統(tǒng)），復(fù)雜的安全策略及可信度量方法限制了這些系統(tǒng)的應(yīng)用范圍。針對這些問題，國內(nèi)外諸多學(xué)者使用不同方法擴展了基于角色的訪問控制（role-based access control，RBAC）模型[1-6]，以增強開放式環(huán)境下基于傳統(tǒng)RBAC模型[7-8]的平臺安全性。

一些學(xué)者提出使用基于證書的訪問控制模型增強平臺的安全管理[9-12]，但基于證書的機制不保證在證書發(fā)布期間載體行為和功用的一致性，也無法保障證書本身的獲得途徑合法；同時，基于訪問控制的證書機制不記錄用戶行為，它根據(jù)證書呈遞的一個特殊會話給予相應(yīng)權(quán)限，具有二值性的缺陷。因此，有學(xué)者提出基于可信的訪問控制模型，此模型通過信任度量動態(tài)升降用戶權(quán)限克服了基于證書的訪問控制模型的上述缺點，信任度量值的計算根據(jù)終端對自身度量及第三方聲譽[13]。

J.W.Woo 等人[14]提出了一個擴展的RBAC模型，通過判斷用戶可信值是否大于預(yù)先設(shè)定的閾值來決定是否授予權(quán)限。H.Takabi等人[15]定義了用戶可信度及角色需求可信度，并定義只有當用戶可信度大于或等于角色需求可信度時才能分配角色。Qureshi Basit等人[16]給出了一種可信度量機制，該機制避免了因網(wǎng)絡(luò)中節(jié)點間的第三方信譽造假而模型容易被攻陷的現(xiàn)象。SudipChakraborty等人[17]將可信關(guān)系集成在RBAC中，并提出了TrustBAC模型，該模型先給用戶分配可信級，然后根據(jù)可信級與角色映射并分配權(quán)限，用戶只有通過提升可信值才能提升角色集權(quán)限。TrustBAC模型能夠動態(tài)地對角色進行分配，克服了RBAC模型的動態(tài)性及監(jiān)管性不足的缺陷。LiLei等人[18]提出用一種模糊回歸可信度量方法預(yù)測用戶的可信性關(guān)系，該方法可以避免基于可信分級的環(huán)境適應(yīng)性帶來的誤導(dǎo)問題。CarlesMartinez-García等人[19]基于一種類似角色扮演的訪問控制機制提出了FRBAC模型，模型內(nèi)部角色是可進化的，因而增強了模型的安全性。A.ElHusseini等人[23]結(jié)合EC-SAKA協(xié)議提出一種適用于智能環(huán)境下低資源系統(tǒng)使用的可信度量機制，具有信任度量簡單的優(yōu)點。

上述模型及所用度量機制，或用戶角色不可進化，動態(tài)性差[13-15,23]，或未考慮用戶信任需求[17,19]，或度量機制復(fù)雜[16,18,20-22]，均不適合在資源緊張的智能終端上使用。因此，為解決上述問題，本文提出一種基于輕量級可信度量機制的智能終端安全模型stTLM，該模型通過對任務(wù)安全分級及集成獎懲機制，可提供細粒度的安全訪問授權(quán)性能，具有優(yōu)異的環(huán)境適應(yīng)性及動態(tài)性能。

2 stTLM安全模型

2.1 形式化說明

stTLM安全模型如圖1所示。

圖1 stTLM模型Fig.1Model of stTLM

stTLM模型定義了元素集及元素集之間的關(guān)系。元素包括下列類型：用戶、可信級、角色、會話、操作、客體、權(quán)限及約束。

定義1stTLM模型元素的形式化定義如下：

1）用戶 USERS ={user1, user2, …, usern}，用戶的概念是指具有自主能力的實體，包括其它系統(tǒng)、有自主能力的程序及自然人。

用戶集U指正獲取系統(tǒng)服務(wù)的用戶集合。集成在模型中的管理員Admin是一個特殊的用戶，擁有所有權(quán)限。

2）可信級 TRUST_LEVELS={TL|TL[0,1]}，是[0,1]之間的一個動態(tài)可變的實數(shù)。一個用戶在特定時刻根據(jù)會話擁有一個可信級。

3）角色 ROLES = {role1, role2, …, rolen}，系統(tǒng)根據(jù)用戶的可信級賦予角色集，角色R是指相同語義職責關(guān)聯(lián)的工作職能。

4）會話 SESSIONS = {session1, session2, …,sessionn}，會話S對應(yīng)于一個用戶和一組可信級，表示用戶獲取可信級的過程。

一個用戶可進行多次會話，在每次會話中獲得不同可信級。擁有不同的可信級意味著擁有不同的訪問權(quán)限。

5）客體 O = {object1, object2, …, objectn}，客體是一個可操作的數(shù)據(jù)集合，是系統(tǒng)可支配資源的一部分。

6）操作 A = {read, write, execute, …}，是程序操作的一個鏡像。

7）約束 C定義為施用于模型元素之間的斷言，返回一個接受與否的量?？蓪⑵湟暈槭┯迷仃P(guān)系或元素分配的條件。

8）權(quán)限 P=2(O×A)，在系統(tǒng)中執(zhí)行特定任務(wù)的授權(quán)。權(quán)限總是和角色聯(lián)系在一塊，即權(quán)限賦予角色特定的權(quán)利。權(quán)限類型取決于應(yīng)用系統(tǒng)，模型本身并不作任何假設(shè)。

定義2stTLM模型元素之間的關(guān)系定義如下。

1）sua 定義了根據(jù)一個用戶u屬性P分配會話s的關(guān)系，sua(u, P, s)=sP。在一次訪問過程中，用戶u可能會發(fā)起多次會話s。

6）RD=ROLES×ROLES為角色的支配關(guān)系，表示為≤。對任何(r1,r2)RD，僅當Assigned_Permissions(r1)Assigned_Permissions(r2)時，稱為 r2≤ r1。

7）PD=PERMISSION×PERMISSION，為權(quán)限的支配關(guān)系，表示為≤。對于任何(p1,p2) PD，Assigned_TrustLevels(p1)Assigned_TrustLevels (p2)時，稱為p2≤p1。

8）Assigned_Roles函數(shù) TRUST_LEVELS→2ROLES指定可信級與角色之間的映射關(guān)系。形式表示為Assigned_Roles(TL)={rROLES｜(r, TL)RTA}。

9）Assigned_Permission函數(shù) ROLES→ 2PERMISSIONS指定角色與權(quán)限之間的映射關(guān)系。形式表示為Assigned_Permission(r) ={pPERMISSIONS｜(p, r)PA}。

約束constraints除了對分配函數(shù)進行限制外，也對訪問控制策略及可信度量策略進行限制，系統(tǒng)可以根據(jù)具體需求對模型約束進行適當擴展及細化。本文提出的輕量級可信度量機制中，可以對任務(wù)安全因子及獎懲因子進行約束。這樣做的目的是，既保證了任務(wù)安全的細粒度，同時增強了度量機制的動態(tài)性。

2.2 訪問控制管理

stTLM模型綜合授權(quán)函數(shù)、訪問控制策略以及可信度量策略，決策一個訪問用戶是否被允許訪問相關(guān)客體。

當訪問發(fā)生時，模型會根據(jù)被嚴密保護的訪問歷史記錄和推薦，計算出訪問用戶的可信值。用戶的可信值將傳遞給訪問控制管理，以作為決策的依據(jù)。訪問控制管理根據(jù)訪問控制策略及約束服務(wù)，使用授權(quán)函數(shù)為用戶分配角色和權(quán)限。用戶在系統(tǒng)中的行為會被記錄，非法行為會使用戶的可信級降低。根據(jù)訪問控制策略，當更新后的用戶可信級很低而無法獲得訪問權(quán)限時，將導(dǎo)致用戶正在進行的或后續(xù)的訪問請求被拒絕。因此，模型的安全性均及動態(tài)性可以得到保障。模型訪問控制管理框架如圖2所示。

訪問控制機制的本質(zhì)是通過限制用戶動作以保護系統(tǒng)資源，即只允許用戶在限定的訪問控制策略下實施特定任務(wù)。使用stTLM安全模型用作訪問控制時，用戶每次訪問被允許前會先進行授權(quán)，授權(quán)依據(jù)是用戶可信級值是否大于規(guī)定值。可信級值只有大于規(guī)定值，訪問才被允許。同樣，在會話過程中訪問控制策略會動態(tài)驗證授權(quán)及存取函數(shù)是否滿足條件。若不滿足這些條件，訪問將被立刻禁止。用戶被允許訪問后，系統(tǒng)將為一個用戶立即激活一個會話。在會話期間，用戶擁有一個動態(tài)可信級，能夠使用與之關(guān)聯(lián)的角色。一個角色可以被多個用戶使用，這些用戶的權(quán)限相同。因此，用戶可以通過可信級度量獲得一個角色，執(zhí)行該角色限定權(quán)限內(nèi)的操作。

圖2 模型訪問控制管理過程Fig.2Management process of access control in stTLM

從用戶角度分析，stTLM模型工作流圖的基本過程如圖3所示。

圖3 stTLM模型工作流圖Fig.3Workflow diagram of stTLM model

用戶（user）第一次接入系統(tǒng)（system）時，系統(tǒng)注冊用戶并生成會話實例（session）。系統(tǒng)根據(jù)用戶提供的公開屬性P，使用sua函數(shù)啟用會話sP并激活對用戶u可信關(guān)系度量。系統(tǒng)根據(jù)計算的可信級值T(system→user)=tl，使用函數(shù)Assigned_Roles確定用戶user可以使用的角色role。role可以有多個，對任意一個角色rolei，user都有一個對應(yīng)的權(quán)限集pj，即j,( pj, ri)PA。因此，在會話session中，用戶user擁有權(quán)限集∪iAssigned_Permissions(rolei)=∪1≤i≤n｛pij｜( pi, rolei)PA｝。用戶user被限定只能在權(quán)限滿足條件下才能對客體O執(zhí)行操作A，即(o,a)O×A，(o,a)pij。用戶user對被允許的客體上動作會被記錄在會話session中。對可信級重新評估時，動作歷史會作為評估信息來源，更新的可信級值tl′會重新保存在session中。模型集成一個超級管理員system_admin，它能根據(jù)預(yù)定義的訪問控制策略及可信度量策略對模型進行管理，可禁止類似拒絕服務(wù)攻擊（DoS）的訪問請求。

3 可信級度量

由圖2可知，在stTLM模型中，可信級的度量是一個核心機制。為適應(yīng)在資源緊缺的智能終端中使用模型，提出了一個具有細粒度安全特性的輕量級度量機制——sTrust。該機制度量組件構(gòu)成如表1所示，可信級TL的度量包括直接可信DT及間接可信IT兩部分。與其它度量機制[20-23]不同的是，直接知識和間接知識組件允許擴展。直接知識是節(jié)點根據(jù)歷史對自身的直接推測，不僅包括信譽組件RE還包括直接不確定性組件DU。同理，間接知識是節(jié)點對歷史和推薦的間接推測，包括趨勢組件TR和間接不確定性組件IU。

表1 可信度量機制組件sTrustTable1Component of sTrust scheme

使用sTrust評估實體間的可信關(guān)系過程中始終遵循準則1和定義3，可信（不可信）的概念與SudipChakraborty等[17]給出的定義相同。

準則1 與可信關(guān)系度量時刻間隔越小，對可信關(guān)系度量值的權(quán)重影響越大。

定義3 可信（不可信）定義為在特定上下文中實體安全可靠動作的（不）勝任能力。

在特定的上下文c中，實體A對B的信任度量用T(A→B)=DT(A→B), IT(A→B)表示，其中，DT(A→B)為直接可信度量值，IT(A→B)為間接可信度量值?？尚哦攘恐悼捎檬剑?）表示

T(A→B)[0,1]∪{⊥}，0表示完全不可信，1表示完全可信，⊥表示無定義。無定義意味著在度量時間間隔內(nèi)，系統(tǒng)沒有可度量的事件發(fā)生。

權(quán)值向量W元素分別為直接可信和間接可信權(quán)重?？尚哦攘康幕A(chǔ)是對事件性質(zhì)的判定, 事件性質(zhì)由定義4確定。令表示在第i個時間間隔內(nèi)第k個事件，若LT,則=0；若HT，則=1。表示在第i個時間間隔內(nèi)的所有的事件和值，令ni，lai，hai分別表示在第i個時間間隔內(nèi)度量事件總數(shù)（一般可信事件不參與度量）、低可信事件個數(shù)及高可信時間個數(shù)，顯然ni=lai+hai。特別地，當ni=0時，T{⊥}。

定義4T(A→B)(0, 0.5) 表示低可信級LT(A→B)；T(A→B)=0.5表示一般可信級MT(A→B)；T(A→B)(0.5,1)表示高可信級 HT(A→B)。

為表述方便，除特殊說明外，下文中對度量關(guān)系的表述均指實體A對實體B的度量關(guān)系，例如T(A→B)將簡化描述為T。直接可信是實體根據(jù)經(jīng)驗E和直接知識DK對自己的度量。在本文中，直接知識主要指信譽RE。

權(quán)值wE, wDK滿足關(guān)系wE+wDK=1。經(jīng)驗的度量值由式（3）確定：

直接知識包括信譽及直接不確定兩部分

信譽是對客體以往訪問的一個記錄評價，當對任務(wù)的安全需求較高時對信譽評估更加嚴格。信譽值的評估定義為式（4）：

sl為對任務(wù)分配的安全因子，這樣做是為了滿足不同任務(wù)的細粒度安全需求。當sl=1時，不考慮安全特性。此處限制sl[1,100]且滿足slZ+。顯然，sl越大，任務(wù)對安全的需求越高。DU難以進行量化，應(yīng)根據(jù)實際應(yīng)用擴展。

間接可信部分包括推薦（RC）和間接知識（IK）兩部分，推薦來自直接關(guān)聯(lián)實體（推薦者）。間接可信值的度量方法用式（5）表示：

設(shè)直接關(guān)聯(lián)的節(jié)點個數(shù)m，每個關(guān)聯(lián)節(jié)點都作為一個推薦者給出一個推薦值DTi（相關(guān)推薦者的可信級值），則度量推薦值RC是所有這m個推薦者的推薦值的平均值，用式（6）式表示：

間接知識包括獎懲及間接不確定兩部分

獎懲機制基于近期歷史事件性質(zhì)判定是否獎懲，并對后續(xù)事件進行直觀預(yù)測。用式（7）表示：

對趨勢的度量僅在策略間隔時間到時更新，采用類似式（3）的計算方法。IU難以進行量化，應(yīng)根據(jù)實際應(yīng)用擴展。對歷史可信級，采用式（8）的計算方法[23]。顯然，它們均遵循規(guī)則1。

4 模型評估及分析

在編寫的模擬器上驗證stTLM模型的有效性，模擬器遵循sTrust機制的度量規(guī)則。為方便驗證，仿真要素設(shè)置如表2所示。為user1、user2及user3分配的可信級初始值為0.20, 0.50及0.80；令D={D1, D2, D3,D4}為實驗數(shù)據(jù)集，實驗數(shù)據(jù)的0代表違規(guī)事件，1代表合法事件，空格代表一個時間間隔；假設(shè)與終端直接關(guān)聯(lián)的終端有3個，它們的推薦值集為R={R1, R2,R3, R4}；規(guī)則部分為用戶可信級與用戶權(quán)限之間的映射關(guān)系，仿真時參考，此處不對權(quán)限P作具體定義。

仿真結(jié)果如圖4所示，分別為stTLM模型在不同仿真數(shù)據(jù)下可信級的度量結(jié)果。由圖4可知，違規(guī)事件拉低了關(guān)聯(lián)用戶的可信級，合法事件提升了相關(guān)用戶的可信級值。對于擁有不同初始可信級的用戶，相同的事件將使用戶可信級趨于一致。

表2 仿真設(shè)置Tabel2 Simulation settings

由圖4a可知，在第1個和第7個時間間隔，少數(shù)合法事件減慢了用戶的可信級的下降趨勢。但大量的違規(guī)事件最終致使TLuser<0.2，根據(jù)規(guī)則用戶將不能獲得系統(tǒng)任何權(quán)限；由圖4d可知，在第1個和第7個時間間隔，違法事件立即拉低了可信級。但通過大量合法事件積累，最終TLuser>0.8，根據(jù)規(guī)則用戶將獲得系統(tǒng)所有必要權(quán)限；由圖4b，4c的度量結(jié)果可知，在各個時間間隔用戶可信級可快速動態(tài)地反應(yīng)事件性質(zhì)。綜上所述，stTLM模型有效，且具有優(yōu)異的動態(tài)性及細粒度安全特性。

圖4 stTLM模型有效性仿真結(jié)果Fig.4The simulation result for the effectiveness of stTLM model

5 結(jié)語

本文提出了一種基于可信級度量的智能終端安全模型stTLM。模型集成了一種輕量級可信度量機制，通過任務(wù)安全分級策略和獎懲機制提供更細粒度的訪問授權(quán)。模型有效性分析結(jié)果表明，本文所給出的模型具有優(yōu)異的環(huán)境適應(yīng)性及動態(tài)性能，且容易實施。

[1]Chen Liang，Jason Crampton.Risk-Aware Role-Based Access Control[C]//7th International Workshop on Security and Trust Management.Berlin：Springer，2012：140-156.

[2]Subhendu Aich，Shamik Sural，Majumdar A K.STARBAC:Spatiotemporal Role Based Access Control[C]//International Conference on OTM Part II.Berlin：Springer ，2007：1567-1582.

[3]Tang Zhuo，Wei Juan，Salam Ahmed，et al.A New RBAC Based Access Control Model for Cloud Computing[C]//7th International Conference on Advances in Grid and Pervasive Computing.Berlin：Springer，2012：279-288.

[4]Huang Yong.Reputation and Role Based Access Control Model for Multi-Domain Environments[C]//International Symposium on Intelligence Information Processing and Trust Computing.Huanggang：[s.n.]，2010：597-600.

[5]Covington M J，Moyer M J，Ahamad M.Generalized Role-Based Access Control for Securing Future Applications[C/OL].[2012-04-12].http://hdl.handle.net/1853/6580.

[6]Aljnidi Mohamad ，Leneutre Jean.ASRBAC: A Security Administration Model for Mobile Autonomic Networks(MAutoNets)[C]//4th International Workshop on Data Privacy Management and Autonomous Spontaneous Security.Berlin：Springer，2010：163-177.

[7]Sandhu R S，Coyne E J，F(xiàn)einstein H L，et al.Role-Based Access Control Models[J].IEEE Computer，1996，29(2)：38-47.

[8]Ferraiolo D F，Sandhu R S，Gavrila S I，et al.Proposed NIST Standard for Role-Based Access Control[J].ACM Transactions on Information Systems Security，2001，4(3)：224-274.

[9]Chadwick D，Otenko A，Ball E.Role-Based Access Control with X.509 Attribute Certificates[J].IEEE Internet Computing，2003，7(2)：62-69.

[10]Blaze M，F(xiàn)eigenbaum J，Lacy J.RFC 2704：The KeyNote Trust Management System Version 2[S].Internet Society：Network Working Group，1999：1-37.

[11]Liang Jianmao，Shun Zhenyao，Kai Zhang，et al.Design and Implementation of Document Access Control Model Based on Role and Security Policy[C]//Second International Conference on Trusted Systems.Berlin：Springer，2011：26-36.

[12]Li N H，Winsborough W H，Mitchell J C.Beyond Proofof-Compliance: Safety and Availability Analysis in Trust Management[C]// IEEE Symposium on Security and Privacy.Oakland：IEEE Computer Society Press，2003：123-139.

[13]Bonatti P，Duma C，Olmedilla D，et al.An Integration of Reputation-Based and Policy-Based Trust Management[C/OL].[2012-04-15]//http://rewerse.net/publications/download/REWERSE-RP-2005-116.pdf.

[14]Woo J W，Hwang M J，Lee M J，et al.Dynamic Role-Based Access Control with Trust-Satisfaction and Reputation for Multi-Agent System[C]//24th International Conference on Advanced Information Networking and Applications Workshops.Perth：Conference Publishing Services，2010：1121-1126.

[15]Takabi H，Amini M，Jalili R.Trusted-Based User-Role Assignment in Role-Based Access Control[C]//International Conference on Computer Systems and Applications.Amman：[s.n.]，2007：807-814.

[16]Qureshi Basit，Min Geyong，Kouvatsos Demetres.Countering the Collusion Attack with a Multidimensional Decentralized Trust and Reputation Model in Disconnected MANETS[J].Multimed Tools Application.2011，doi：10.1007/sl 1042-011-0780-7.

[17]Sudip Chakraborty，Indrajit Ray.TrustBAC-Intergrating Trust Relationships into the RBAC Model for Access Control in Open Systems[C]//International Symposium on Access Control Models and Technologoes.NewYork：Association for Coputeing Machinery，2006：49-59.

[18]Li Lei，Wang Yan，Varadharajan Vijay.Fuzzy Regression Based Trust Prediction in Service-Oriented Applications[C]//6th International Conference on Autonomic and Trusted Computing.Berlin：Springer，2009：221-235.

[19]Carles Martinez-García，Guillermo Navarro-Arribas，Joan Borrell.Intra-Role Progression in RBAC: An RPC-Like Access Control Scheme[C]//6th International Workshop on Data Privacy Management and Autonomous Spontaneus Security.Berlin：Springer，2012：221-234.

[20]Li Lei，Wang Yan.The Study of Trust Vector Based Trust Rating Aggregation in Service-Oriented Environments[J].World Wide Web，2012，15(5/6)：547-549.

[21]Ray Indrajit，Chakraborty Sudip.A Vector Model of Trust for Developing Trustworthy Systems[C]//9th European Symposium on Research in Computer Security.Berlin：Springer，2004：260-275.

[22]Zhou R，Hwang K.Vectortrust: The Trust Vector Aggregation Scheme for Trust Management in Peer-to-Peer Networks and Networks[C]//18th International Conference on Computer Communications and Networks.San Francisco：CA USA，2009：1-6.

[23]Husseini A El，Abdallah M'Hamed，Bachar EL Hassan，et al.A Noval Trust-Based Authentication Scheme for Low-Resource Devices in Smart Environments[J].Procedia Computer Science, 2011，5：362-369.