復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問(wèn)控制機(jī)制

李鳳華，陳天柱，王震，張林杰，史國(guó)振，郭云川

?

復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問(wèn)控制機(jī)制

李鳳華1,2，陳天柱1,2，王震3，張林杰4，史國(guó)振5，郭云川1

（1. 中國(guó)科學(xué)院信息工程研究所信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室，北京 100093；2. 中國(guó)科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100049；3. 杭州電子科技大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，浙江 杭州 310018；4. 中國(guó)電子科技集團(tuán)公司第五十四研究所，河北 石家莊 050081；5. 北京電子科技學(xué)院信息安全系，北京 100070）

以天地一體化網(wǎng)絡(luò)、物聯(lián)網(wǎng)和復(fù)雜專用網(wǎng)絡(luò)為代表的復(fù)雜網(wǎng)絡(luò)環(huán)境（CNN, complex network environment）具有設(shè)備動(dòng)態(tài)接入，網(wǎng)絡(luò)異構(gòu)、眾多和信息跨網(wǎng)流動(dòng)頻繁等特點(diǎn)。上述特點(diǎn)給復(fù)雜網(wǎng)絡(luò)環(huán)境下的訪問(wèn)控制技術(shù)帶來(lái)細(xì)粒度控制、策略跟隨和策略語(yǔ)義歸一化等一系列新需求。針對(duì)這些需求，將面向網(wǎng)絡(luò)空間的訪問(wèn)控制機(jī)制映射到復(fù)雜網(wǎng)絡(luò)環(huán)境中。首先展示訪問(wèn)控制機(jī)制的具體映射過(guò)程，其次提出相應(yīng)的訪問(wèn)控制管理模型，并用Z符號(hào)形式化地描述管理模型中的管理函數(shù)。實(shí)例分析表明，該訪問(wèn)控制機(jī)制可滿足上述一系列新需求。

復(fù)雜網(wǎng)絡(luò)環(huán)境；跨網(wǎng)；天地一體化網(wǎng)絡(luò)；訪問(wèn)控制機(jī)制；管理模型

1 引言

近年來(lái)，以天地一體化網(wǎng)絡(luò)[1]、物聯(lián)網(wǎng)[2]、復(fù)雜專用網(wǎng)絡(luò)為代表的復(fù)雜網(wǎng)絡(luò)環(huán)境快速發(fā)展。美國(guó)衛(wèi)星工業(yè)協(xié)會(huì)發(fā)布的《2016年衛(wèi)星產(chǎn)業(yè)狀況報(bào)告》調(diào)查表明，從2006年到2015年全球衛(wèi)星工業(yè)產(chǎn)值平均每年呈現(xiàn)9%以上的增長(zhǎng)率[3]；Gartner預(yù)測(cè)物聯(lián)網(wǎng)設(shè)備在2015年達(dá)到50億臺(tái)，2020年將達(dá)到250億臺(tái)。復(fù)雜網(wǎng)絡(luò)環(huán)境的快速發(fā)展給人們的日常生活帶來(lái)了巨大便利，同時(shí)也產(chǎn)生了大量的安全問(wèn)題，尤其是數(shù)據(jù)安全問(wèn)題。因此，作為保護(hù)數(shù)據(jù)被合法訪問(wèn)的先進(jìn)技術(shù)，研究復(fù)雜網(wǎng)絡(luò)環(huán)境下的訪問(wèn)控制技術(shù)顯得尤為必要。

復(fù)雜網(wǎng)絡(luò)環(huán)境具有設(shè)備動(dòng)態(tài)接入、網(wǎng)絡(luò)異構(gòu)、眾多和信息跨網(wǎng)流動(dòng)頻繁等特點(diǎn)。例如，天地一體化網(wǎng)絡(luò)由天基骨干網(wǎng)、天基接入網(wǎng)、地基節(jié)點(diǎn)網(wǎng)、地面互聯(lián)網(wǎng)和移動(dòng)通信網(wǎng)等異構(gòu)網(wǎng)絡(luò)組成。在該網(wǎng)絡(luò)中，海量地面用戶頻繁動(dòng)態(tài)接入，天基接入網(wǎng)獲取的地面實(shí)時(shí)信息經(jīng)由天基骨干網(wǎng)流向地基節(jié)點(diǎn)網(wǎng)。上述特點(diǎn)給復(fù)雜網(wǎng)絡(luò)環(huán)境訪問(wèn)控制技術(shù)帶來(lái)諸多新需求。1) 細(xì)粒度控制：復(fù)雜網(wǎng)絡(luò)環(huán)境具有海量信息，不同用戶對(duì)這些信息具有不同的使用權(quán)限，粗粒度控制會(huì)帶來(lái)大量安全問(wèn)題。2) 策略跟隨：數(shù)據(jù)信息在網(wǎng)間頻繁流動(dòng)，其相應(yīng)的控制策略未跟隨數(shù)據(jù)信息本體到新網(wǎng)時(shí)會(huì)造成用戶失去對(duì)數(shù)據(jù)的控制。3) 策略語(yǔ)義歸一化：數(shù)據(jù)信息在流動(dòng)過(guò)程中跨越不同網(wǎng)絡(luò)，網(wǎng)絡(luò)間策略語(yǔ)言的不一致性可能會(huì)造成策略在網(wǎng)間轉(zhuǎn)化時(shí)出現(xiàn)錯(cuò)誤。

研究者們基于傳統(tǒng)訪問(wèn)控制模型，針對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境的某些特點(diǎn)，提出了不同的訪問(wèn)控制機(jī)制。針對(duì)物聯(lián)網(wǎng)設(shè)備動(dòng)態(tài)接入特點(diǎn)，文獻(xiàn)[4~6]基于訪問(wèn)控制列表[7]提出基于Capability的訪問(wèn)控制模型。在該模型中，組織或個(gè)人可對(duì)訪問(wèn)設(shè)備進(jìn)行細(xì)粒度管理。針對(duì)智能電網(wǎng)跨安全網(wǎng)特點(diǎn)，文獻(xiàn)[8]將角色[9]定義范圍從局部微電網(wǎng)擴(kuò)展到局部交互微電網(wǎng)和遠(yuǎn)程微電網(wǎng)。針對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)異構(gòu)和信息頻繁流動(dòng)的特點(diǎn)，文獻(xiàn)[10]擴(kuò)展可信[11]的概念，提出了終端到終端的安全交流和訪問(wèn)機(jī)制。針對(duì)天地一體化網(wǎng)絡(luò)的動(dòng)態(tài)性特點(diǎn)，文獻(xiàn)[12]融合角色安全性和可用性、屬性[13]靈活性等優(yōu)勢(shì)提出一種分布式的訪問(wèn)控制框架。文獻(xiàn)[14]基于角色、上下文[15]和動(dòng)態(tài)的偏好知識(shí)，提出一種用戶可連續(xù)訪問(wèn)的控制模型。然而，上述基于傳統(tǒng)訪問(wèn)控制模型提出的方案很難解決復(fù)雜網(wǎng)絡(luò)環(huán)境下信息流跨網(wǎng)問(wèn)題，例如，基于Capability的訪問(wèn)控制模型無(wú)法對(duì)流出該網(wǎng)的數(shù)據(jù)進(jìn)行控制，新網(wǎng)中可能不存在與源網(wǎng)中該數(shù)據(jù)對(duì)應(yīng)的角色，進(jìn)而失去該數(shù)據(jù)原本的訪問(wèn)策略。

文獻(xiàn)[16]提出了面向網(wǎng)絡(luò)空間的訪問(wèn)控制機(jī)制（CoAC, cyberspace-oriented access control model）。該機(jī)制使用設(shè)備、接入點(diǎn)、時(shí)間、網(wǎng)絡(luò)以及相關(guān)屬性因素描述策略，實(shí)現(xiàn)了網(wǎng)絡(luò)空間對(duì)細(xì)粒度控制、策略跟隨和策略語(yǔ)義一致性等訪問(wèn)控制需求。本文將面向網(wǎng)絡(luò)空間的訪問(wèn)控制機(jī)制映射到復(fù)雜網(wǎng)絡(luò)環(huán)境上，呈現(xiàn)復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問(wèn)控制機(jī)制（CACCN, cross-network access control mechanism for complex network environment）。天地一體化網(wǎng)絡(luò)具有“節(jié)點(diǎn)海量、多異構(gòu)網(wǎng)融合、信息跨網(wǎng)流動(dòng)頻繁”等特點(diǎn)，是一種典型的復(fù)雜網(wǎng)絡(luò)環(huán)境。因此，本文以天地一體化網(wǎng)絡(luò)為例，具體展示映射過(guò)程，主要貢獻(xiàn)如下。

1) 針對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境對(duì)細(xì)粒度控制、策略跟隨和策略語(yǔ)義歸一化等需求，通過(guò)映射面向網(wǎng)絡(luò)空間的訪問(wèn)控制機(jī)制，提出了面向復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問(wèn)控制機(jī)制，實(shí)現(xiàn)對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境信息流跨網(wǎng)控制。實(shí)例分析表明，所提出的訪問(wèn)控制機(jī)制可解決上述需求。

2) 針對(duì)訪問(wèn)控制管理的復(fù)雜性，給出了訪問(wèn)控制管理模型，并用Z符號(hào)[17]形式化地描述了管理模型中的管理函數(shù)和管理方法。

2 基于CoAC的復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問(wèn)控制

本節(jié)首先呈現(xiàn)從CoAC到CACCN的映射過(guò)程，然后詳細(xì)給出CACCN的實(shí)施機(jī)制并分析其滿足的安全需求。

2.1 從CoAC到CACCN的映射

下面，以天地一體化網(wǎng)絡(luò)為例，具體展示從CoAC到CACCN的映射過(guò)程。該映射是由8個(gè)映射函數(shù)組成，每個(gè)映射函數(shù)的原像與像的主要區(qū)別在于訪問(wèn)控制屬性。

訪問(wèn)控制屬性是指訪問(wèn)請(qǐng)求實(shí)體通過(guò)網(wǎng)絡(luò)對(duì)資源訪問(wèn)時(shí)所涉及的所有與權(quán)限分配相關(guān)的特征，分為2類：與安全相關(guān)的所有屬性（）和與安全不相關(guān)的通用屬性（）。一般地，和可用向量表示，向量中的分量表示一種屬性。例如，加密方式是的分量，傳輸帶寬是的分量。

映射1 訪問(wèn)請(qǐng)求實(shí)體映射。在天地一體化網(wǎng)絡(luò)中，訪問(wèn)請(qǐng)求實(shí)體包括2類：用戶和訪問(wèn)代理，記為=<,>，其中，用戶包括3類，空基用戶、?；脩艉完懟脩簦槐硎静渴鹪诘孛骊P(guān)口站、衛(wèi)星和終端中的訪問(wèn)代理，可以是一個(gè)裝置或進(jìn)程；表示所有的請(qǐng)求實(shí)體集。

映射2 接入點(diǎn)映射。類似于CoAC，接入點(diǎn)（AP, access point）是指資源訪問(wèn)請(qǐng)求實(shí)體首次接入天地一體化網(wǎng)絡(luò)時(shí)路由網(wǎng)絡(luò)首跳點(diǎn)所在的空間位置（space location）或網(wǎng)絡(luò)標(biāo)識(shí)（network identity）。

天地一體化網(wǎng)絡(luò)接入點(diǎn)的通用屬性包括接入速率（）、接入類型（）、接入策略（）、接入?yún)f(xié)議（）、通信頻段（）、支持的用戶數(shù)量（）、接入總帶寬（）等；安全屬性與CoAC中接入點(diǎn)的安全屬性相同，包括加密類型（）、安全傳輸協(xié)議（）等。接入點(diǎn)的通用屬性（和安全屬性（）可分別表示為

=<,,,,,,, …>

=<,, …>

其中，包括光接入、微波接入和有線接入等；包括控制信道接入和業(yè)務(wù)信道接入；接入?yún)f(xié)議集合包括FDMA、TDMA、CDMA和OFDMA等；接入頻段集合包括L頻段和S頻段等。

映射3 資源映射。資源是指天地一體化網(wǎng)絡(luò)中訪問(wèn)請(qǐng)求實(shí)體訪問(wèn)的對(duì)象，如密碼資源、偵查監(jiān)視衛(wèi)星和對(duì)地監(jiān)測(cè)衛(wèi)星所獲得的數(shù)據(jù)等。資源（）可用二元組<,>表示，其中，表示的唯一標(biāo)識(shí)，表示的內(nèi)容。

資源的通用屬性包括資源擁有者（）、資源類型（）、資源訪問(wèn)策略（）、資源大?。ǎ?、資源是否在國(guó)土可見范圍（）、存儲(chǔ)地點(diǎn)（）。資源的安全屬性包括安全等級(jí)（）、被允許操作（）、加密方式（）等。的通用屬性（）和安全屬性（）可分別表示為

=<,,,,,, …>

=<,,,…>

其中，包括管理類數(shù)據(jù)（）和應(yīng)用類數(shù)據(jù)（）。包括測(cè)控?cái)?shù)據(jù)、位置數(shù)據(jù)、狀態(tài)數(shù)據(jù)、申請(qǐng)數(shù)據(jù)、廣播數(shù)據(jù)和網(wǎng)管數(shù)據(jù)等。按照流動(dòng)方向，可劃分為前向數(shù)據(jù)和返向數(shù)據(jù)；按照內(nèi)容，可劃分為文本、圖片、語(yǔ)音和視頻等。

映射4 訪問(wèn)設(shè)備映射。訪問(wèn)設(shè)備（）是指天地一體化網(wǎng)絡(luò)中訪問(wèn)請(qǐng)求實(shí)體訪問(wèn)資源時(shí)所使用的設(shè)備，主要包括高速航天器終端、天基骨干網(wǎng)地面終端、Ka大容量寬帶便攜/固定終端、高軌衛(wèi)星移動(dòng)軍用手持/民用車載終端、低軌星座手持/車載終端、Ku（FDMA）便攜/固定終端、Ku（TDMA）便攜/固定終端等。

設(shè)備的通用屬性（）包括設(shè)備空間位置（）、設(shè)備移動(dòng)速度（）、設(shè)備移動(dòng)方向（）、通信頻段（）、通信帶寬（）、接入優(yōu)先級(jí)（）等；設(shè)備安全屬性包括加密機(jī)制（）、安全等級(jí)（）等。資源（）的通用屬性（）和安全屬性（）可分別表示為

=<,,,,,,…>

=<,, …>，

設(shè)備可用三元組<,,>表示，其中，表示設(shè)備ID。

映射5 網(wǎng)絡(luò)—天基骨干網(wǎng)絡(luò)映射。天基骨干網(wǎng)絡(luò)（SBN, space backbone network）是位于地球同步軌道的若干天基骨干節(jié)點(diǎn)（SBNO, space backbone node）通過(guò)激光通信或微波通信連接而成的網(wǎng)絡(luò)，天基骨干節(jié)點(diǎn)是數(shù)據(jù)中繼、路由交換、信息存儲(chǔ)、處理融合的載體。天基骨干網(wǎng)絡(luò)可表示為無(wú)向連通圖SBN=（SBN,SBN），其中，SBN={1, …,sbno}為圖的頂點(diǎn)集，表示天基骨干節(jié)點(diǎn)集，sbno表示第個(gè)天基骨干節(jié)點(diǎn)，1≤≤，≥3；SBN= {<sbno,sbno1>|1≤≤,sbno1=1}為邊集，表示天基骨干節(jié)點(diǎn)間的傳輸鏈路。SBN中任何頂點(diǎn)只與前后2個(gè)頂點(diǎn)相連，其含義是同步軌道上的天基骨干節(jié)點(diǎn)只與前后骨干節(jié)點(diǎn)通信。為了簡(jiǎn)潔，用表示天基骨干網(wǎng)絡(luò)的邊。

天基骨干節(jié)點(diǎn)通用屬性包括控制者（）、關(guān)口站是否可見（）、傳輸協(xié)議（）、計(jì)算能力（）、存儲(chǔ)能力（）、功能（）、空閑信道數(shù)量（）等。天基骨干節(jié)點(diǎn)安全屬性包括加密方式（）、所支持的安全傳輸協(xié)議（）等。其中，表示骨干節(jié)點(diǎn)由誰(shuí)控制，包括受低軌衛(wèi)星控制或受地面控制，包括衛(wèi)星傳輸協(xié)議（STP, satellite transport protocol）等，包括數(shù)據(jù)中繼、路由交換、信息存儲(chǔ)、處理融合等。頂點(diǎn)的通用屬性（）和安全屬性（）分別表示為

=<,,,,,,, …>

=<,, …>

天基骨干網(wǎng)絡(luò)邊的通用屬性（）包括通道類型（）、通信帶寬（）、服務(wù)質(zhì)量（）、物理鏈路層協(xié)議（）、路由協(xié)議（）、網(wǎng)絡(luò)層協(xié)議（）、傳輸層協(xié)議（）和通信頻段（）等；天基骨干網(wǎng)傳輸?shù)陌踩珜傩园ò踩燃?jí)（）、加密類型（）、所支持的安全傳輸協(xié)議（）等。邊的通用屬性（）和安全屬性（）分別表示為

=<,,,,,,,, …>

={<,,,…>

其中，包括2類：通信信道（）和控制信道（），包括Laor和Dra等，包括IP和DTN等，包括HQRP（hierarchical QoS routing protocol）和LAOR（location-assisted on demand）協(xié)議等，包括TCP和UDP等，包括L頻段和S頻段等。

映射7 網(wǎng)絡(luò)—地基節(jié)點(diǎn)網(wǎng)絡(luò)映射。地基節(jié)點(diǎn)網(wǎng)絡(luò)（GNN, ground node network）是由多個(gè)地面互連的地基骨干節(jié)點(diǎn)（GBN, ground backbone node）、Ku寬帶衛(wèi)星關(guān)口站（KUG, Ku bandwidth satellite gateway）、Ka大容量寬帶衛(wèi)星關(guān)口站（KAG, Ka satellite gateway）和S衛(wèi)星關(guān)口站（SS, S satellite gateway）通過(guò)地面高速骨干網(wǎng)絡(luò)等方式連接而成的網(wǎng)絡(luò)，地基骨干節(jié)點(diǎn)包括關(guān)口站和信息港，主要完成網(wǎng)絡(luò)控制、資源管理、協(xié)議轉(zhuǎn)換、信息處理、融合共享等功能，并實(shí)現(xiàn)與其他地面系統(tǒng)的互聯(lián)互通。

地基節(jié)點(diǎn)網(wǎng)絡(luò)可用無(wú)向圖GNN(GNN,GNN)表示，其中，GNN=GBN∪KUG∪KAG∪SS為圖的頂點(diǎn)集，GBNKUG、KAG、SS分別表示地基骨干節(jié)點(diǎn)、Ku寬帶衛(wèi)星關(guān)口站、Ka大容量寬帶衛(wèi)星關(guān)口站、S衛(wèi)星關(guān)口站的對(duì)應(yīng)節(jié)點(diǎn)。GNN為GNN所構(gòu)成完全圖的邊集，即GNN={, , , , , }, 其中，?{<,>|∈GBN,∈KUG}表示地基骨干節(jié)點(diǎn)和Ku寬帶衛(wèi)星關(guān)口站相連，由此類推，可得等的含義。

地基節(jié)點(diǎn)網(wǎng)絡(luò)頂點(diǎn)和邊的屬性類型與天基骨干網(wǎng)絡(luò)相同，但屬性值存在差別，這里不再贅述屬性類型。

映射8 網(wǎng)絡(luò)映射。天地一體化網(wǎng)絡(luò)（SGIN, space-ground integrated network）是信息傳播的載體，是所有信息傳播通道的集合。宏觀上，整個(gè)天地一體化網(wǎng)絡(luò)可用無(wú)向圖SGIN=(SGIN,SGIN)表示，該網(wǎng)絡(luò)的頂點(diǎn)包括天基骨干子網(wǎng)SBN、天基接入子網(wǎng)SAN和地基節(jié)點(diǎn)子網(wǎng)GNN，邊是由SBN、SAN和GNN組成，即

SGIN=SBN∪SAN∪GNN

SGIN=SBN∪SAN∪GNN∪{<sbno,san>| 1≤≤, 1≤≤Q, 1≤≤, 天基骨干節(jié)點(diǎn)sbno和天基接入節(jié)點(diǎn)san可連}∪{<sbno,>|∈GNN,天基骨干節(jié)點(diǎn)sbno與地基節(jié)點(diǎn)可見}∪{< san,>|∈GNN，1≤≤Q, 1≤≤，san關(guān)口站和相連}

天地一體化網(wǎng)絡(luò)中頂點(diǎn)屬性為圖SBN、圖SAN和圖GNN中所有頂點(diǎn)屬性的并集，邊屬性為圖SBN、圖SAN和圖GNN中所有邊屬性的并集。

2.2 CACCN實(shí)施機(jī)制

訪問(wèn)控制的一個(gè)核心問(wèn)題是如何高效地分配和撤銷訪問(wèn)權(quán)限，為了解決此問(wèn)題，本文借鑒CoAC中的權(quán)限管理方式，通過(guò)場(chǎng)景來(lái)分配和撤銷權(quán)限。場(chǎng)景由廣義時(shí)態(tài)、接入點(diǎn)、設(shè)備、網(wǎng)絡(luò)構(gòu)成，在權(quán)限分配時(shí)，預(yù)先設(shè)定何種場(chǎng)景對(duì)何種客體能執(zhí)行何種操作（即進(jìn)行“場(chǎng)景—權(quán)限”分配）；當(dāng)用戶對(duì)客體執(zhí)行某種操作時(shí)，權(quán)限決策點(diǎn)首先判定用戶所在場(chǎng)景（即“用戶—場(chǎng)景”判定），基于“用戶—場(chǎng)景”和“場(chǎng)景—權(quán)限”，權(quán)限決策點(diǎn)判定用戶是否具有對(duì)客體執(zhí)行該操作的權(quán)限。關(guān)于基于場(chǎng)景的訪問(wèn)控制的形式定義，請(qǐng)參考文獻(xiàn)[2]。圖1詳細(xì)給出了復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問(wèn)控制機(jī)制。為了準(zhǔn)確實(shí)施CACCN，本文定義CACCN相關(guān)核心實(shí)施函數(shù)如下。

1):(,,.,.,,)→∪為屬性選擇函數(shù)，用來(lái)確定哪些屬性可用作權(quán)限分配的依據(jù)。設(shè)備、資源和復(fù)雜網(wǎng)絡(luò)環(huán)境均擁有大量的安全屬性或通用屬性，設(shè)計(jì)此函數(shù)是為了提高策略決策時(shí)的效率，需要依據(jù)控制需求選擇其中部分安全屬性或通用屬性作為決策依據(jù)。

2):(,,.,.,,,)→{true,false}為屬性檢查函數(shù)，其中，表示所有屬性值的集合。

3)()→為訪問(wèn)請(qǐng)求實(shí)體—場(chǎng)景檢查函數(shù)，用于檢查訪問(wèn)請(qǐng)求實(shí)體所在的場(chǎng)景。

4)(,) →{true,false}為場(chǎng)景—權(quán)限分配函數(shù)，用于分配給定場(chǎng)景所用于的權(quán)限，其中，和分別表示所有場(chǎng)景的集合和所有權(quán)限的集合。返回結(jié)果為true表示分配成功，否則，分配失敗。

圖1 復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問(wèn)控制機(jī)制

5)(,) →{true, false}為場(chǎng)景—權(quán)限吊銷函數(shù)，用于吊銷分配給定場(chǎng)景的指定權(quán)限。

2.3 CACCN分析

下面分析CACCN如何滿足引言部分所提出的訪問(wèn)控制需求以及其他需求。

1) 支持細(xì)粒度控制。資源以及場(chǎng)景中的接入點(diǎn)、網(wǎng)絡(luò)等都包含大量細(xì)粒度的安全屬性和通用屬性，并且可依據(jù)需求擴(kuò)展這些屬性。

在實(shí)際應(yīng)用中可預(yù)先定義或?qū)崟r(shí)獲取這些屬性的動(dòng)態(tài)變化值，因此，所提訪問(wèn)控制機(jī)制是細(xì)粒度的，可對(duì)訪問(wèn)過(guò)程作精準(zhǔn)控制。

2) 支持策略跟隨。由于資源通用屬性作為控制因素包含在訪問(wèn)策略中，同時(shí)資源在流動(dòng)過(guò)程中該屬性始終伴隨資源，因而該機(jī)制支持策略跟隨。

3) 支持策略語(yǔ)義歸一化處理。該機(jī)制定義大量共有屬性，采用該機(jī)制的不同機(jī)構(gòu)或組織均能理解這些屬性。采用這些共有屬性控制信息流動(dòng)時(shí)可實(shí)現(xiàn)策略語(yǔ)義歸一化處理。

本文所提訪問(wèn)控制機(jī)制除了支持這3種核心需求外，還能有效確保機(jī)密性和支持策略自定義。機(jī)密性方面，在設(shè)備、資源和網(wǎng)絡(luò)的通用屬性、安全屬性中定義安全等級(jí)和加密算法，該安全等級(jí)包含了設(shè)備、資源和傳輸通道的密級(jí)，通過(guò)實(shí)施策略可確保涉密信息只能在低于其密級(jí)的傳輸信道中傳輸，并且只能被具有相應(yīng)角色的用戶所接收，從而保障機(jī)密性。策略自定義方面，資源的通用屬性中包含了資源擁有者的資源訪問(wèn)策略，因此，除了采用場(chǎng)景進(jìn)行中心化訪問(wèn)控制授權(quán)之外，每個(gè)組織或機(jī)構(gòu)可依據(jù)自身情況自定義對(duì)該資源的訪問(wèn)控制策略。

3 復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問(wèn)控制管理

在復(fù)雜網(wǎng)絡(luò)環(huán)境中設(shè)備動(dòng)態(tài)接入，異構(gòu)網(wǎng)絡(luò)彼此連接，海量信息頻繁跨網(wǎng)流動(dòng)，這使復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問(wèn)控制機(jī)制異常復(fù)雜，因此，需要設(shè)計(jì)一套相應(yīng)的管理模型[18]和管理函數(shù)，確保復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問(wèn)控制系統(tǒng)能高效安全運(yùn)行。為確保管理函數(shù)語(yǔ)義準(zhǔn)確，本文使用Z符號(hào)[17]描述管理函數(shù)。

3.1 復(fù)雜網(wǎng)絡(luò)環(huán)境管理模型

在復(fù)雜網(wǎng)絡(luò)環(huán)境中，管理員通過(guò)網(wǎng)絡(luò)服務(wù)系統(tǒng)和運(yùn)維管理系統(tǒng)在給定的時(shí)間段內(nèi)利用特定的設(shè)備、特定網(wǎng)絡(luò)對(duì)訪問(wèn)請(qǐng)求實(shí)體分配、撤銷和更新特定資源的訪問(wèn)權(quán)限。由此可知，管理者通過(guò)特定的場(chǎng)景實(shí)現(xiàn)對(duì)訪問(wèn)控制的管理，簡(jiǎn)稱為管理場(chǎng)景。

定義1 管理場(chǎng)景（ADSC, administration scene）。定義為四元組（,,,），表示管理者在時(shí)間利用設(shè)備在這個(gè)訪問(wèn)點(diǎn)通過(guò)網(wǎng)絡(luò)對(duì)管理對(duì)象進(jìn)行管理。

圖2 復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問(wèn)控制管理模型

復(fù)雜網(wǎng)絡(luò)環(huán)境管理者通過(guò)管理場(chǎng)景對(duì)訪問(wèn)過(guò)程進(jìn)行管理，其管理流程如下。超級(jí)管理員為管理者分配、撤銷管理場(chǎng)景，并維護(hù)管理場(chǎng)景對(duì)應(yīng)的權(quán)限。管理者通過(guò)管理場(chǎng)景更新、刪除和修改場(chǎng)景，選取設(shè)備、網(wǎng)絡(luò)、資源的通用屬性和安全屬性。另外，管理者需要日常維護(hù)場(chǎng)景、會(huì)話對(duì)應(yīng)的權(quán)限，檢測(cè)場(chǎng)景的權(quán)限是否存在沖突。訪問(wèn)請(qǐng)求實(shí)體以某一時(shí)間點(diǎn)、接入點(diǎn)、設(shè)備、網(wǎng)絡(luò)申請(qǐng)對(duì)資源的某一訪問(wèn)權(quán)限時(shí)，管理模型認(rèn)證其身份，認(rèn)證通過(guò)后為其分配會(huì)話，并激活會(huì)話對(duì)應(yīng)的場(chǎng)景進(jìn)而激活該權(quán)限對(duì)應(yīng)的場(chǎng)景。管理模型檢測(cè)訪問(wèn)請(qǐng)求實(shí)體的訪問(wèn)場(chǎng)景是否滿足該權(quán)限對(duì)應(yīng)的場(chǎng)景，如果滿足則具有權(quán)限，反之不具有權(quán)限。圖2詳細(xì)給出了復(fù)雜網(wǎng)絡(luò)環(huán)境下跨網(wǎng)訪問(wèn)控制管理模型。

根據(jù)管理流程，管理對(duì)象包括：1) 訪問(wèn)請(qǐng)求實(shí)體身份、場(chǎng)景中的相關(guān)元素及屬性、資源及屬性和權(quán)限；2) 訪問(wèn)請(qǐng)求實(shí)體的場(chǎng)景分配、給當(dāng)前訪問(wèn)請(qǐng)求實(shí)體分配會(huì)話、給當(dāng)前會(huì)話分配場(chǎng)景、場(chǎng)景與權(quán)限的映射。

基于管理場(chǎng)景，可定義管理模型。由于本文所提模式是文獻(xiàn)[2]的實(shí)例化，根據(jù)文獻(xiàn)[2]和圖2所示的管理模型，很容易定義管理模型組件，本文不再給出管理模型組件的定義。

在復(fù)雜網(wǎng)絡(luò)環(huán)境中，不同管理者存在不同的管理權(quán)限，如超級(jí)管理員能夠撤銷所有管理員的權(quán)限。下面定義4個(gè)與場(chǎng)景相關(guān)的分配與撤銷函數(shù)。

1):××2→{true, false}為用戶—場(chǎng)景分配函數(shù)，其中，表示能夠獲得管理場(chǎng)景的先決條件。函數(shù)can_assignUS (,,)為真時(shí)分配中的管理場(chǎng)景。注意：場(chǎng)景最低的管理員不能為其他管理員分配任何場(chǎng)景。

2):×2{superADSC}→{true, false}為用戶—場(chǎng)景撤銷函數(shù)，,)表示具有管理場(chǎng)景的管理者能夠撤銷分配某個(gè)用戶的中的管理場(chǎng)景。注意：超級(jí)管理場(chǎng)景是分配其他管理場(chǎng)景的最初入口，是不能撤銷的；另外，場(chǎng)景最低的管理員不能撤銷其他管理員分配任何場(chǎng)景。

3):××2→{true, false}為場(chǎng)景—權(quán)限分配函數(shù)，其中，表示能夠獲得管理權(quán)限的先決條件，表示所有管理權(quán)限的集合。函數(shù)(,,)為真表示具有管理場(chǎng)景的管理者能對(duì)滿足條件的場(chǎng)景分配中的管理權(quán)限。

4):×2→{true, false}為場(chǎng)景—權(quán)限撤銷函數(shù)，(,)表示具有管理場(chǎng)景的管理者能夠撤銷分配某個(gè)場(chǎng)景的管理權(quán)限。

3.2 復(fù)雜網(wǎng)絡(luò)環(huán)境管理函數(shù)

為了能夠準(zhǔn)確地管理訪問(wèn)控制過(guò)程，需要定義管理函數(shù)。本文將管理函數(shù)劃分為6種：請(qǐng)求實(shí)體—場(chǎng)景管理、場(chǎng)景—權(quán)限管理、場(chǎng)景管理、會(huì)話管理、屬性管理、認(rèn)證管理。由復(fù)雜網(wǎng)絡(luò)環(huán)境管理模型定義的4個(gè)管理函數(shù)以及與活動(dòng)數(shù)量相關(guān)的管理函數(shù)（包括用戶當(dāng)前活動(dòng)場(chǎng)景數(shù)量函數(shù)、用戶活動(dòng)場(chǎng)景數(shù)量上限函數(shù)、擁有當(dāng)前權(quán)限的場(chǎng)景數(shù)量函數(shù)和給定權(quán)限所允許的活動(dòng)場(chǎng)景數(shù)量上限函數(shù)）[2]。下面詳細(xì)給出相應(yīng)的管理函數(shù)。

在請(qǐng)求實(shí)體—場(chǎng)景管理中，相應(yīng)的管理函數(shù)為、，如表1所示，其功能分別是為管理者分配管理場(chǎng)景、撤銷管理者具有的管理場(chǎng)景。

表1 請(qǐng)求實(shí)體—場(chǎng)景管理類

在場(chǎng)景—權(quán)限管理中，管理函數(shù)為、、、，如表2所示，其功能分別是為管理場(chǎng)景分配權(quán)限、撤銷管理場(chǎng)景的權(quán)限、修改管理場(chǎng)景的權(quán)限、保證高場(chǎng)景繼承低場(chǎng)景的權(quán)限。

表2 場(chǎng)景—權(quán)限管理類

注： 函數(shù)((,))表示將權(quán)限賦予管理場(chǎng)景的管理員所在的場(chǎng)景，()表示執(zhí)行當(dāng)前操作的管理者所在的場(chǎng)景。

在場(chǎng)景管理中，管理函數(shù)為、、、、、，如表3所示，、、、的功能分別是修改場(chǎng)景時(shí)間、接入點(diǎn)、設(shè)備、網(wǎng)絡(luò)因素，的功能是檢測(cè)是否存在與該場(chǎng)景沖突的場(chǎng)景，功能是檢查場(chǎng)景。

在會(huì)話管理中，管理函數(shù)為、，如表4所示，其功能分別是為訪問(wèn)請(qǐng)求實(shí)體分配會(huì)話、為會(huì)話分配場(chǎng)景。

表3 場(chǎng)景管理類

表4 會(huì)話管理類

在認(rèn)證管理中，管理函數(shù)為、，如表5所示，其功能分別是選擇通用屬性、安全屬性作為控制要素。

在認(rèn)證管理中，管理函數(shù)為、、、，如表6所示，其功能分別是檢查時(shí)間、設(shè)備、接入點(diǎn)、網(wǎng)絡(luò)因素是否在允許的范圍內(nèi)。

表5 屬性管理類

表6 認(rèn)證管理類

注： 函數(shù)allowedValue()表示通用屬性中各個(gè)分量所允許的值；對(duì)∈進(jìn)行了重載，本文不再定義。

4 結(jié)束語(yǔ)

復(fù)雜網(wǎng)絡(luò)環(huán)境具有設(shè)備動(dòng)態(tài)接入，網(wǎng)絡(luò)異構(gòu)、眾多和信息跨網(wǎng)流動(dòng)頻繁等特點(diǎn)，上述特點(diǎn)對(duì)訪問(wèn)控制技術(shù)帶來(lái)細(xì)粒度控制、策略跟隨和策略語(yǔ)義歸一化等需求。針對(duì)上述需求，本文以天地一體化網(wǎng)絡(luò)為例，通過(guò)映射面向網(wǎng)絡(luò)空間的訪問(wèn)控制機(jī)制，提出了面向復(fù)雜網(wǎng)絡(luò)環(huán)境的訪問(wèn)控制機(jī)制，實(shí)現(xiàn)了對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境信息流的跨網(wǎng)控制。該機(jī)制滿足復(fù)雜網(wǎng)絡(luò)環(huán)境下細(xì)粒度控制、策略跟隨和策略語(yǔ)義歸一化處理等一系列需求。針對(duì)訪問(wèn)控制管理的復(fù)雜性，給出了訪問(wèn)控制管理模型，并用Z符號(hào)形式化地描述了管理模型中的管理函數(shù)和管理方法。

[1] 沈榮駿. 我國(guó)天地一體化航天互聯(lián)網(wǎng)構(gòu)想[J]. 中國(guó)工程科學(xué), 2006, 8(10): 19-30.

SHEN R J. Some thoughts of (Chinese) integrated space-ground network system[J]. Engineering Science, 2006, 8(10): 19-30.

[2] GUBBI J, BUYYA R, MARUSIC S, et al. Internet of things (IoT): a vision, architectural elements, and future directions[J]. Future Generation Computer Systems, 2013, 29(7): 1645-1660.

[3] 張蓉, 徐曄, 閔小峰. 美協(xié)會(huì)發(fā)表2016年衛(wèi)星產(chǎn)業(yè)狀況報(bào)告[J].中國(guó)航天, 2016, 8: 38-44.

ZHANG R, XU Y, MIN X F. 2016 SIA state of the satellite industry report[J]. Aerospace China, 2016, 8: 38-44.

[4] ANGGOROJATI B, MAHALLE P, PRASAO N R, et al. Capability-based access control delegation model on the federated IoT network[C]//Symposium on Wireless Personal Multimedia Communications. 2012: 604-608.

[5] GUSMEROLI S, PICCIONE S, ROTONDI D. IoT access control issues: a capability based approach[C]//The IEEE International Conference on Innovative Mobile and Internet Services in Ubiquitous Computing. 2012: 787-792.

[6] GUSMEROLI S, PICCIONE S, ROTONDI D. A capability-based security approach to manage access control in the internet of things[J]. Mathematical and Computer Modelling, 2013, 58(5): 1189-1205.

[7] SAMARATI P, VIMERCATI S D C D. Access control: policies, models, and mechanisms[C]//International School on Foundations of Security Analysis and Design. 2000: 137-196.

[8] CHEUNG H, YANG C, et al. New smart-grid operation-based network access control[C]//The IEEE International Conference on Energy Conversion Congress and Exposition. 2015: 1203-1207.

[9] FERRAIOLO D F, SANDHU R, GAVRILA S, et al. Proposed NIST standard for role-based access control[J]. ACM Transactions on Information and System Security, 2001, 4(3): 224-274.

[10] BERNABE B, RAMOS J, GOMEZ A F S, et al. TACIoT: multidimensional trust-aware access control system for the Internet of Things[J]. Soft Computing, 2016, 20(5): 1763-1779.

[11] GRANDISON T, SLOMAN M. A survey of trust in internet applications[J]. IEEE Communications Surveys & Tutorials, 2000, 3(4): 2-16.

[12] 封孝生, 劉德生, 樂(lè)俊, 等. 臨近空間信息資源訪問(wèn)控制策略初探[J]. 計(jì)算機(jī)應(yīng)用研究, 2008, 25(12): 3702-3704.

FENG X S, LIU D S, YUE J, et al. Exploration on access control to near space information resources[J]. Application Research of Computers, 2008, 25(12): 3702-3704.

[13] HUR J, NOH D K. Attribute-based access control with efficient revocation in data outsourcing systems[J]. IEEE Transactions on Parallel and Distributed Systems, 2011, 22(7): 1214-1221.

[14] QI H, MA H, LI J, et al. Access control model based on role and attribute and its applications on space-ground integration networks[C]//The IEEE International Conference on Computer Science and Network Technology. 2015: 1118-1122.

[15] KULKARNI D, TRIPATHI A. Context-aware role-based access control in pervasive computing systems[C]//The ACM Symposium on Access Control Models and Technologies. 2008: 113-122.

[16] 李鳳華, 王彥超, 殷麗華, 等. 面向網(wǎng)絡(luò)空間的訪問(wèn)控制模型[J]. 通信學(xué)報(bào), 2016, 37(5): 9-20.

LI F H, WANG Y C, YIN L H, et al. Novel cyberspace-oriented access control model[J]. Journal on Communications, 2016, 37(5): 9-20.

[17] DORNYEI Z. Motivational strategies in the language classroom[M]. Cambridge: Cambridge University Press, 2001.

[18] SANDHU R S, COYNE E J. Role-based access control models[J]. Computer, 1996, 29(2): 38-47.

Cross-network access control mechanism forcomplex network environment

LI Fenghua1,2, CHEN Tianzhu1,2, WANG Zhen3, ZHANG Linjie4, SHI Guozhen5, GUO Yunchuan1

1. The State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China 2. School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049, China 3. School of Cyberspace, Hangzhou Dianzi University, Hangzhou 310018, China 4. The 54th Research Institute of China Electronics Technology Group Corporation 54, Shijiazhuang 050081, China 5. Department of Information Security, Beijing Electronic Science and Technology Institute, Beijing 100070, China

Complex network environments, such as space-ground integrated networks, internet of things and complex private networks, have some typical characteristics, e.g., integration of multi-network and information flow in cross-network. These characteristics bring access control for complex network environment the new requirement of coarse-grained control, sticky policies and inconsistent operation semantics. To satisfy these requirements, cross-network access control mechanism in complex network environments (CACCN) was designed by mapping the cyberspace-oriented access control. First of all, the process of mapping was illustrated using the example of space-ground integrated networks. Next, a management model was proposed to manage the control elements in CACCN and a series of management functions were designed by using Z-notation. The analysis on practical example demonstrates that the mechanism can satisfy a series of access control requirements.

complex network environment, cross-network, space-ground integrated network, access control, management model

TP302

A

10.11959/j.issn.1000-436x.2018019

2017-10-28；

2018-01-09

郭云川，guoyunchuan@iie.ac.cn

國(guó)家重點(diǎn)研發(fā)計(jì)劃基金資助項(xiàng)目（No.2016YFB0801001）；國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61672515）

The National Key R&D Program of China（No.2016YFB0801001）, The National Natural Science Foundation of China (No.61672515)

李鳳華（1966-），男，湖北浠水人，博士，中國(guó)科學(xué)院信息工程研究所副總工程師、研究員、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全、信息保護(hù)、隱私計(jì)算。

陳天柱（1987-），男，河北秦皇島人，中國(guó)科學(xué)院信息工程研究所博士生，主要研究方向?yàn)樾畔踩?/p>

王震（1984-），男，山東聊城人，博士，杭州電子科技大學(xué)副研究員、碩士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全、博弈論。

張林杰（1972-），女，河北樂(lè)亭人，中國(guó)電子科技集團(tuán)公司第五十四研究所研究員，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、通信網(wǎng)絡(luò)與系統(tǒng)。

史國(guó)振（1974-），男，河南濟(jì)源人，博士，北京電子科技學(xué)院副教授、碩士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、嵌入式系統(tǒng)、訪問(wèn)控制。

郭云川（1977-），男，四川營(yíng)山人，博士，中國(guó)科學(xué)院信息工程研究所副研究員，主要研究方向?yàn)槲锫?lián)網(wǎng)安全、形式化方法。