基于改進的角色強制訪問擴展模型的變電所運維安控平臺研究

龔立群徐春華邱曉軍俞柏紅

（國網(wǎng)浙江慈溪市供電公司,浙江慈溪315300）

基于改進的角色強制訪問擴展模型的變電所運維安控平臺研究

龔立群徐春華邱曉軍俞柏紅

（國網(wǎng)浙江慈溪市供電公司,浙江慈溪315300）

變電所機房內(nèi)安置著很多屏柜和設(shè)備，通過系統(tǒng)對屏柜和設(shè)備的安全管控和作業(yè)指導(dǎo)書的有效下發(fā)，是電力資源管理系統(tǒng)的一大難題。強制訪問控制模型以其嚴格的安全約束規(guī)則提供了很好的信息保密機制，解決了系統(tǒng)的安全管控問題，變電所運維安控系統(tǒng)通過引入基于角色強制訪問擴展模型，實現(xiàn)了變電所機房內(nèi)資源的安全管控和作業(yè)指導(dǎo)書的有效下發(fā)。

角色訪問控制變電所運維安控安全級角色權(quán)限

1 引言

依據(jù)國網(wǎng)公司2012年精神大力推進三集五大體系建設(shè)，實施信息、通信資源整合，加快構(gòu)建信息通信一體化管理、建設(shè)和運維體系，建立縱向貫通、橫向集成、高度共享的統(tǒng)一信息平臺。網(wǎng)的主要支撐點——各種電壓等級的變電站，其機房內(nèi)安置著很多屏柜，每個屏柜內(nèi)安裝著繼保設(shè)備、自動化設(shè)備、信息設(shè)備、通信設(shè)備、電源設(shè)備等，各類設(shè)備各司其職，通過電力管理系統(tǒng)可以實現(xiàn)電網(wǎng)設(shè)備資源的管理，但是一般的權(quán)限及角色控制存在著安全控制和系統(tǒng)可用性之間的矛盾。

基于角色的訪問控制(Role-based Access Control簡稱RBAC)是近年來發(fā)展起來的一種訪問控制模型，它由美國George Mason大學(xué)的Ravi Sandhu等人提出。RBAC的出現(xiàn)，進一步推動了計算機系統(tǒng)安全訪問控制模型的深入研究和發(fā)展，RBAC模型因為具有較好的可用性，已在計算機系統(tǒng)安全和數(shù)據(jù)庫應(yīng)用系統(tǒng)安全中得到廣泛使用。訪問控制是用來保證信息系統(tǒng)中數(shù)據(jù)信息完整性和保密性的一項重要技術(shù)手段和方法，強制訪問控制（Lattice-Based Access Control，簡稱LBAC）是由Bell La padula模型發(fā)展過來的，以其嚴格的安全約束規(guī)則提供了很好的信息保密機制，但損失了相當?shù)南到y(tǒng)可用性。為了解決這個問題，引用了一種改進的ERBMAC（Extended Role-Based Mandatory Access Control）模型,它兼具基于角色訪問控制和強制訪問控制策略的功能特點，更加緊密結(jié)合應(yīng)用系統(tǒng)，易于實施，并且靈活性強。

2 基于角色的訪問模型(RBAC)

在RBAC系統(tǒng)中，權(quán)限與角色相關(guān)聯(lián)，用戶被賦予適當?shù)慕巧珡亩@得角色的權(quán)限，簡化了權(quán)限管理。RBAC96模型是Sandhu等人提出的一個RBAC模型簇，包括四個子模型，圖1表示它們之間的層次結(jié)構(gòu)。RBAC0是基本模型，描述任何支持RBAC的系統(tǒng)的最小要求。RBAC0包括四個基本元素：用戶集合（U）、角色集合（R）、會話集合（S）和權(quán)限集合（P）。用戶在一次會話中激活所屬角色的一個子集，獲得一組訪問權(quán)限，即可對相關(guān)客體執(zhí)行規(guī)定的操作，任何非顯式授予的權(quán)限都是被禁止的。

圖1 RBAC層次結(jié)構(gòu)

RBAC1是對RBAC0的擴充，增加角色等級的概念。實際組織中職權(quán)重疊現(xiàn)象的客觀存在為角色提供了依據(jù)。通過角色等級，上級角色繼承下級角色的訪問權(quán)，再被授予自身特有的權(quán)限構(gòu)成該角色的全部權(quán)限，這極大地方便了權(quán)限管理。RBAC2也是RBAC0的擴充，但與RBAC1不同，RBAC2加進了約束的概念。

RBAC3是RBAC1和RBAC2的結(jié)合。將角色等與約束結(jié)合起來就產(chǎn)生了等級結(jié)構(gòu)上的約束：

（1）等級間的基數(shù)約束。給定角色的父角色或子角色的數(shù)量限制。

（2）等級間的互斥角色。兩個給定的角色是否可以有共同的上級角色或下級角色。特別是兩個互斥角色是否可以有共同的上級角色。

Bell-LaPadula安全模型（簡稱BLP模型）是最早的一種多級安全模型，也是公認的最著名的多級安全模型。BLP模型是一個狀態(tài)機模型，它形式化地定義了系統(tǒng)、系統(tǒng)狀態(tài)以及狀態(tài)間的轉(zhuǎn)換規(guī)則；定義了安全的概念；并制定了一組安全特性，以此對系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換規(guī)則進行限制和約束，使得對于一個系統(tǒng)，如果它的初始狀態(tài)是安全的，并且所經(jīng)過的一系列的規(guī)則都是保持安全的，那么可以證明系統(tǒng)是安全的。

3 變電所運維安控(資源)管理系統(tǒng)

本系統(tǒng)的設(shè)計思路：電力系統(tǒng)通信的實際工作中，當需要操作屏柜內(nèi)設(shè)備時，由開票人員在本系統(tǒng)內(nèi)開出工作票，并手工或自動輔助生成作業(yè)指導(dǎo)書。然后系統(tǒng)激活相應(yīng)屏柜的電子鎖，即工作人員可以使用電子鑰匙打開該屏柜。然后在該屏柜的液晶屏上看到對應(yīng)的作業(yè)指導(dǎo)書。工作人員在按照作業(yè)指導(dǎo)書逐項完成后，提交工作票，即可自動更新操作了的設(shè)備的相關(guān)狀態(tài)屬性，以及屏柜內(nèi)部的具體情況信息，以便下次開票作為參考依據(jù)和以后對工作的責任認定。系統(tǒng)工作原理如圖2所示：

圖2 系統(tǒng)原理圖

管理人員填完工作票和調(diào)用作業(yè)指導(dǎo)書，簽發(fā)。

集控站審核工作票和作業(yè)指導(dǎo)書，確認無誤后許可，系統(tǒng)自動生成對應(yīng)變電所的對應(yīng)工作門禁系統(tǒng)，屏柜門禁激活（處于對應(yīng)工作負責人工作卡開啟門禁）。

工作負責人在工作許可時間段內(nèi)刷卡開啟工作站點門禁和工作屏柜門禁，打開液晶顯示屏，根據(jù)作業(yè)指導(dǎo)書逐步操作，操作一步在作業(yè)指導(dǎo)書提示框確認一步。改變資料在數(shù)據(jù)庫中實時同步更新。

工作完成，與作業(yè)指導(dǎo)書最后項工作結(jié)束確認，工作票流程自動結(jié)束，關(guān)上柜門，在此工作指示燈轉(zhuǎn)成白色正常狀態(tài)。

系統(tǒng)采用符合面向服務(wù)（SOA）架構(gòu)的三層結(jié)構(gòu)，利用前臺管理軟件采用B/S方式供用戶訪問，后臺牽涉到工作站的采用三層架構(gòu)的C/S方式供用戶訪問。系統(tǒng)架構(gòu)如圖3所示：

4 構(gòu)造ERBMAC模型

通過對以上兩種模型的分析可以看出，基于LBAC模型的主體與客體都標有安全標簽，訪問控制嚴格按訪問規(guī)則進行，訪問的保密性與安全性方面較好，而過于嚴格的訪問控制在現(xiàn)實應(yīng)用中很不方便。而RBAC模型權(quán)限被授予角色，管理員通過為用戶設(shè)置特定的角色來授予，簡化了授權(quán)管理。因此考慮與RBAC模型相結(jié)合，在原來的LBAC模型上進行擴展。

關(guān)于LBAC模型如何擴展，Sandhu等人在RBAC模型中模擬實施MAC，并且提出了解決方案。針對Sandhu方法中拒絕服務(wù)和給主體賦予過多權(quán)限等缺陷提出了改進措施。通過角色安全標簽將BLP模型和RBAC模型進行融合，提出了EBLP模型，但存在訪問效率低的缺點。本文提出的ERBMAC模型為了將兩者組合在一起，引入特權(quán)機制對其進行一定的限制，目的是將基于角色的訪問控制模型和改進的強制訪問控制模型兩者結(jié)合，以發(fā)揮兩者的優(yōu)點，彌補各自的不足。

4.1 在RBAC上構(gòu)造LBAC

在LBAC中每個用戶有一個唯一的安全許可證，相應(yīng)地，在RBAC中就要為每個用戶分配四個角色：一個讀角色xR，一個寫角色LW，一個修改角色LU，一個刪除角色LD，x是用戶的安全標簽。一個LBAC的用戶允許以用戶的安全標簽所支配的任何會話進入系統(tǒng)，這要求在RBAC中實現(xiàn)的會話有一個yR角色，一個yW角色，一個yU角色，一個yD角色。條件x≥y表示用戶的安全級要支配任何用戶用來登錄會話的安全級。

對于LBAC中的每一個具有安全標簽為x的客體，在RBAC中分配讀、寫、修改、刪除四個權(quán)限，記作(o，r)、（o，w）、（o，u）和（o，d），分別與一組唯一匹配的角色xR、xW、xU和xD對應(yīng)。下面給出用RBAC構(gòu)造LBAC系統(tǒng)的構(gòu)造方法。

對于給定的安全標記SL——{L1，L2，……，Ln}和一個偏序關(guān)系≥LBAC，針對自由*-規(guī)則的等價的RBAC96系統(tǒng)的基礎(chǔ)上進行構(gòu)造。

構(gòu)造1（自由*-規(guī)則）

（2）RH，由四個不相交的角色層次構(gòu)成：一個“讀”角色{ L1R，L2R，…，LnR}和≥LBAC構(gòu)成，一個“寫”角色{L1W，L2W，…，LnW}和≥LBAC之逆構(gòu)成，一個“修改”角色{L1U，L2U，…，LnU}和≥LBAC之逆構(gòu)成，最后一個“刪除”角色{ L1D，L2D，…，LnD}和≥LBAC之逆構(gòu)成。

（3）P={(o，r)，（o，w），（o，u），（o，d）oO}，其中r表示讀，w表示寫，u表示修改，d表示刪除，O為客體集。

（4）UA約束：為每個用戶精確分配xR、LW、LU和LD四個角色，x為分配給用戶的安全標記，LW、LU和LD為相應(yīng)于≥LBAC的最低安全層次的寫角色、修改角色和刪除角色。

（5）會話約束：每個會話精確地具備yR、yW、yU和yD四個角色。

（6）PA約束：(o，r)被分配給讀角色xR，當且僅當{（o，w），（o，u），（o，d）}中的權(quán)限被分配角色，即具有xW、xU和xD角色的一個或多個時，也具有xR角色；(o，r)僅被精確地分配給一個角色xR，其中x為o的安全標記。

定理1一個由構(gòu)造1定義的RBAC系統(tǒng)滿足簡單安全規(guī)則和自由*-規(guī)則。

證明：

（1）簡單安全規(guī)則：根據(jù)構(gòu)造1，用戶u可以啟動一個會話s，并在會話s中激活某個角色yR（會話s的級別為y）。如果用戶u想要在會話s中讀取對象o，則(o，r)必須直接或間接地位于角色yR的權(quán)限集中。由于(o，r)只被指定給角色xR，因此在角色層次結(jié)構(gòu)中yR必定直接或間接地繼承于角色xR，即yR≥xR。根據(jù)讀角色層次結(jié)構(gòu)，y的安全級必定支配x的安全級，即y≥x，所以簡單安全規(guī)則滿足。

（2）自由*-規(guī)則：這里只證明寫角色滿足該規(guī)則，其它角色的證明方法類似。

根據(jù)構(gòu)造1，每個用戶u都被指定了角色LW，用戶u可以啟動會話s中激活的角色yW（會話s的級別等于y）。如果用戶u想要在會話s中寫對象o，則（o，w）必須直接或間接的位于角色yW的權(quán)限集中。由于（o，w）只被指定給角色xW，因此在角色層次結(jié)構(gòu)中yW必定直接或間接地繼承于xW，即yW≥xW。根據(jù)圖3-4中的寫角色層次結(jié)構(gòu)，y的安全級必定受x的安全級支配，即y≤x，所以自由*-規(guī)則被滿足。

4.2 ERBMAC模型

ERBMAC模型組合了改進的LBAC訪問模型和RBAC模型的特點，能有效地抵制類似特洛伊木馬的攻擊，保證信息從低安全級向高安全級流動，同時在權(quán)限的管理方面又可以使用RBAC方式來管理。ERBMAC模型如圖3所示。

圖3 ERBMAC模型

4.2.1 ERBMAC模型組件

ERBMAC模型由如下元素組成：用戶集合（U），會話集合（S），客體集合（O），角色集合（R），范疇集合（C），安全標簽集合（SL），特權(quán)集合（P），安全約束規(guī)則集合（Rules），系統(tǒng)安全管理員（SSO）。各個元素說明如下：

（1）用戶是訪問系統(tǒng)的一個帳號，每個訪問系統(tǒng)的人有一個相應(yīng)的用戶，用戶認證是訪問系統(tǒng)的第一道屏障。

（2）會話是用戶訪問系統(tǒng)過程中產(chǎn)生的，用戶訪問系統(tǒng)是通過會話來進行的，每個會話有一個相應(yīng)的角色。

（3）客體則是系統(tǒng)中被訪問的對象。

（4）角色代表組織中的一個職能，也是業(yè)務(wù)系統(tǒng)上的一個崗位。

（5）安全標簽由密級與范圍組成，安全標簽集合用SL表示，安全標簽又稱安全級。密級集合用L表示，密級表示數(shù)據(jù)的重要程度。范疇集合用C表示，范疇是密級的作用范圍，通常是一個部門或一個職位。

（6）安全約束規(guī)定ERBMAC模型在訪問中遵守的約束規(guī)則。

（7）特權(quán)權(quán)限由系統(tǒng)安全管理員直接指定給角色權(quán)限，具有特權(quán)的用戶訪問不受安全級的限制。

4.2.2 ERBMAC模型分析

安全標簽SL與客體O是一對多的關(guān)系，每個客體都有一個唯一的安全標簽，表示該客體的信息敏感程度。

安全標簽SL與角色R是多對一的關(guān)系，每個角色只能有一個安全標簽。該模型取消了RBAC96中采用的角色繼承機制，角色的權(quán)限只通過標簽來體現(xiàn)，標簽級別的高低確定角色級別的高低。

用戶U本身沒有等級，用戶訪問系統(tǒng)是通過角色R來實現(xiàn)的，用戶與角色之間的關(guān)系是多對多關(guān)系。

一個會話S是訪問控制的一個單元，每個會話與一個用戶和該用戶訪問系統(tǒng)的角色相關(guān)聯(lián)。SLc代表當前安全標簽，用戶建立會話時，使用用戶角色的安全標簽作為當前會話的安全標簽。每個會話只能與一個用戶相關(guān)聯(lián)，而一個用戶可以同時建立多個會話，可以擁有具有不同的安全標簽的會話。

特權(quán)P是該系統(tǒng)模型的主要特點。在系統(tǒng)操作過程中，一般使用LBAC模型來進行訪問控制，當?shù)图壍闹黧w需要讀寫訪問高級的客體或高級別的主體需要寫低級別的客體，就需要對主體設(shè)置特權(quán)。但特權(quán)與普通權(quán)限不同，特權(quán)是由系統(tǒng)安全管理員來指定的，而普通權(quán)限是通過角色安全級與客體的安全級比較來獲得的。

系統(tǒng)安全員主要負責整個系統(tǒng)的安全管理。具體有：用戶管理、客體管理、角色管理和安全標簽的管理等。

5 ERBMAC模型的應(yīng)用

以ERBMAC模型在變電所運維安控平臺的應(yīng)用為例，模型的實現(xiàn)采用JAVA語言開發(fā)，數(shù)據(jù)庫采用Oracle10g數(shù)據(jù)庫，應(yīng)用服務(wù)器為Tomcat6.0，主要工作模式為B/S，安全管理是以WEB服務(wù)的形式提供的，訪問控制規(guī)則由WEB底層的組件實現(xiàn)。系統(tǒng)開發(fā)采用Struts2框架下的SSI模式，原型系統(tǒng)的功能由模型層實現(xiàn)。

系統(tǒng)采用了數(shù)據(jù)庫安全增強系統(tǒng)來提高數(shù)據(jù)庫系統(tǒng)的安全性，任何對數(shù)據(jù)庫的訪問都必須經(jīng)過該安全管理系統(tǒng)檢查，對應(yīng)用系統(tǒng)在訪問時進行約束和控制，以保護數(shù)據(jù)庫系統(tǒng)的安全，體系結(jié)構(gòu)如圖4所示。

圖4 ERBMAC體系結(jié)構(gòu)

圖5 安全級關(guān)系

圖5表示安全級之間關(guān)系，樹的子節(jié)點安全級支配其父節(jié)點的安全級，處于兩個不同分支的安全級不可比。結(jié)果表明ERBMAC系統(tǒng)通過角色的方式進行權(quán)限管理，提高了權(quán)限管理的方便性和有效性，而且ERBMAC系統(tǒng)可以按照安全級與特權(quán)的設(shè)置進行訪問控制，對變電所資源管理和電子操作票的安全下發(fā)起到很好的控制效果。

6 結(jié)束語

該文在分析各種不同訪問控制模型的基礎(chǔ)上，結(jié)合變電所屏柜資源安全管控的特點和作業(yè)指導(dǎo)書的下發(fā)模式，提出了擴展的基于角色的強制訪問控制模型（ERBMAC模型）。該模型擴展了強制訪問的權(quán)限，由原來的讀與寫權(quán)限擴展成為查詢、插入、修改和刪除權(quán)限，而且兼有強制訪問控制的安全性和角色管理的方便性。最后把該模型應(yīng)用到變電所運維安控系統(tǒng)當中，運行實踐證明，文章提出的方案簡單，靈活性更高，能夠更加強化變電所資源的安全管理和作業(yè)指導(dǎo)書的安全有效下發(fā)。

[1]倪益民,楊松,樊陳.智能變電站合并單元智能終端集成技術(shù)探討[J].電力系統(tǒng)自動化,2004,38(12):95-99.

[2]劉文清,卿斯?jié)h,劉海峰.一個修改BLP安全模型的設(shè)計及在SecLinux上的應(yīng)用[J].軟件學(xué)報,2002,13(4):567-573.

[3]梁彬,孫玉芳,石文昌,等.一種改進的以基于角色的訪問控制實施BLP模型及其變種的方法[J].計算機學(xué)報,2004,27(5): 636-644.

Research on Substation Operation and Maintenance Safety Control Platform Based on Improved Role Mandatory Access Expansion Model

GONG Li-qun,XU Chun-hua,QIU Xiao-jun,YU Bai-hong
(State Grid Zhejiang Cixi City power supply company,Cixi Zhejiang 315300 China)

the substation room placed a lot of cabinet and equipment,thesafety control and operation instruction system of cabinet and equipmenteffectively,is a big problem in electric power resource management system.Mandatory access control model with strict safety rules to provide the confidentiality of information is a good mechanism to solve the problem,the safety control system,substation operation and maintenance system through the introduction of mandatory access control model based on role ofexpansion,the safety control and operation instruction substation roomresources effectively issued.

role based access control of substation operation and maintenance;safety;safety grade;role;privilege

TP309

A

1008-1739（2015）08-45-4

定稿日期：2015-03-26