基于無(wú)證書(shū)公鑰密碼的鐵路通信網(wǎng)訪問(wèn)控制方案研究

尹 虹，田 濤

（1.中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司 電子計(jì)算技術(shù)研究所，北京 100081；2.中國(guó)國(guó)家鐵路集團(tuán)有限公司 辦公廳，北京 100844）

隨著鐵路運(yùn)輸能力和水平的提高，其發(fā)揮的作用越來(lái)越重要。鐵路運(yùn)輸所依賴的基石—鐵路通信網(wǎng)承擔(dān)著鐵路信息化的重任。網(wǎng)絡(luò)是連接數(shù)據(jù)的橋梁，保證網(wǎng)絡(luò)中數(shù)據(jù)的安全，是確保鐵路通信網(wǎng)有效運(yùn)行的重中之重。

由于鐵路通信網(wǎng)對(duì)外敞開(kāi)通信網(wǎng)的大門，因此，身份認(rèn)證顯得尤為重要。

無(wú)證書(shū)公鑰密碼（CL-PKC，Certificateless Public Key Cryptography）技術(shù)[1]舍棄了之前的證書(shū)訪問(wèn)模式，不需要通過(guò)一系列證書(shū)發(fā)布、證書(shū)認(rèn)證、證書(shū)使用等繁瑣操作，就能保證加密信息的公鑰的真實(shí)性，提高了效率。

本文不單純研究使用CL-PKC技術(shù)，而是將它與基于角色的訪問(wèn)控制相結(jié)合，應(yīng)用于鐵路通信網(wǎng)，此結(jié)合能充分發(fā)揮二者的長(zhǎng)處，對(duì)訪問(wèn)控制信息提供高效率的密碼技術(shù)保護(hù)。此外，由于使用的是基于角色的訪問(wèn)控制，相比單獨(dú)的訪問(wèn)控制，能進(jìn)一步提升響應(yīng)速度，滿足鐵路通信網(wǎng)內(nèi)大量高性能、高安全防護(hù)系統(tǒng)的需要。

本文將密碼技術(shù)應(yīng)用于鐵路通信網(wǎng)的訪問(wèn)控制，可以快速地進(jìn)行身份認(rèn)證及訪問(wèn)權(quán)限控制，為探索密碼技術(shù)在傳統(tǒng)訪問(wèn)控制領(lǐng)域的安全、高效應(yīng)用積累經(jīng)驗(yàn)。

1 無(wú)證書(shū)公鑰密碼體制

1.1 公鑰密碼學(xué)的發(fā)展

1986年，Diffie和Hellman提出了公共密鑰加密技術(shù)[2]。公共密鑰為加解密雙方都知曉，而它的真實(shí)性如果不通過(guò)額外的策略，是無(wú)從保證的。有3種額外的策略：（1）沿用傳統(tǒng)的公鑰密碼技術(shù)；（2）使用帶有身份信息的公鑰密碼技術(shù)；（3）本文采用的不使用證書(shū)的公鑰密碼技術(shù)[3]。

1.1.1 傳統(tǒng)公鑰密碼體制

在20世紀(jì)80年代，提出了公鑰基礎(chǔ)設(shè)施（PKI，Public Key Infrastructure），它是密碼技術(shù)領(lǐng)域的突破和創(chuàng)新[4]。它提供數(shù)據(jù)加密、證書(shū)認(rèn)證、數(shù)字簽名和密鑰管理等服務(wù)，構(gòu)建鐵路行業(yè)密碼應(yīng)用的基礎(chǔ)。但目前的PKI技術(shù)還有一定的缺陷，如證書(shū)的時(shí)效性在部分方案中不能滿足要求，證書(shū)管理會(huì)占用大量的系統(tǒng)資源。

1.1.2 基于身份的公鑰密碼體制

Shamir提出了帶有身份信息的公共密鑰技術(shù)[5]，可解決證書(shū)的管理開(kāi)銷和時(shí)效問(wèn)題。但是其可信度高度依賴可信的第三方（PKG），高負(fù)荷環(huán)境將導(dǎo)致唯一的可信第三方承受負(fù)擔(dān)過(guò)重。如果系統(tǒng)的主密鑰泄露，整個(gè)機(jī)制就會(huì)瓦解，保護(hù)措施形同虛設(shè)。為了攻克這個(gè)問(wèn)題，產(chǎn)生了一項(xiàng)重大成果即CL-PKC技術(shù)[6]，在這項(xiàng)技術(shù)中，公共密鑰的產(chǎn)生、認(rèn)證和使用將不依賴于證書(shū)。

——推動(dòng)工會(huì)改革創(chuàng)新。習(xí)近平總書(shū)記要求：“時(shí)代在發(fā)展，事業(yè)在創(chuàng)新，工會(huì)工作也要發(fā)展，也要?jiǎng)?chuàng)新?！薄肮?huì)組織要增強(qiáng)自我革新的勇氣，堅(jiān)持眼睛向下、面向基層，改革和改進(jìn)機(jī)關(guān)機(jī)構(gòu)設(shè)置、管理模式、運(yùn)行機(jī)制，堅(jiān)持力量配備、服務(wù)資源向基層傾斜，創(chuàng)新工作體制機(jī)制和方式方法，自覺(jué)運(yùn)用改革精神謀劃工會(huì)工作，推動(dòng)工會(huì)工作再上新臺(tái)階?！?/p>

1.1.3 基于無(wú)證書(shū)的公鑰密碼體制

本世紀(jì)初，Al-Riyami、Paterson發(fā)明了CLPKC技術(shù)，此技術(shù)在管控公共密鑰時(shí)，不使用證書(shū)。如果PKG[7]中的私鑰被不相關(guān)人員所獲得，那么不相關(guān)人員只是得到了私鑰的一部分，整個(gè)私鑰對(duì)于不相關(guān)人員仍然是不可見(jiàn)和不可用的狀態(tài)。無(wú)需證書(shū)即可認(rèn)證公鑰真實(shí)性，降低系統(tǒng)的開(kāi)銷，從根本上消除了以上2種密碼體制所存在的問(wèn)題。

1.2 無(wú)證書(shū)認(rèn)證密鑰協(xié)商（CL-AK）協(xié)議

會(huì)話密鑰的確定需要加解密雙方都知曉并同意，過(guò)程無(wú)需依附于可信第三方密鑰管理中心（KCG），可獨(dú)立運(yùn)用。參與成員在協(xié)議結(jié)束后可共享密鑰，除參與成員以外的其他任何人均不能獲取此密鑰。有一類協(xié)議被稱為AKAP[8]，它能夠幫助參與成員確認(rèn)其他參與成員的身份。

2 基于角色的訪問(wèn)控制理論

2.1 訪問(wèn)控制基礎(chǔ)

2.1.1 自主訪問(wèn)控制

自主訪問(wèn)控制（DAC，Discretionary Access Control）是操作方自己決定自己可控客體的操作者及其可執(zhí)行的某些操作。

2.1.2 強(qiáng)制訪問(wèn)控制

強(qiáng)制訪問(wèn)控制（MAC，Mandatory Access Control）[9]，這種方式不是由操作方自己決定，而是系統(tǒng)來(lái)決定某些人可以執(zhí)行某些操作，除此之外一律禁止。主體和客體各自具有一組安全屬性。每當(dāng)主體嘗試訪問(wèn)客體或?qū)腕w進(jìn)行某種操作時(shí)，系統(tǒng)都會(huì)強(qiáng)制施行授權(quán)規(guī)則的檢查，即檢查安全屬性，根據(jù)安全屬性決定是否可進(jìn)行訪問(wèn)或操作。根據(jù)一組授權(quán)規(guī)則（也稱策略）檢查任何主體對(duì)任何客體進(jìn)行的任何操作，這組授權(quán)規(guī)則決定操作是否允許。

2.1.3 基于角色的訪問(wèn)控制

基于角色的訪問(wèn)控制（RBAC，Role-Based Access Control）不是針對(duì)單個(gè)主體，而是將主體納入一個(gè)集合，可執(zhí)行的操作納入另一個(gè)集合，所有的限制是在兩個(gè)集合中執(zhí)行。每一種角色對(duì)應(yīng)一組相應(yīng)的權(quán)限。主體屬于某種角色，角色的權(quán)限就給與了這個(gè)主體。這個(gè)角色可以執(zhí)行某類操作，被賦予這個(gè)角色的主體就能執(zhí)行某類操作。

2.2 角色管理模型

角色管理的模型（ARBAC97，Administrative RBAC97）[10]，結(jié)構(gòu)組成，如圖1所示。

ARBAC97模型包含3個(gè)部分。

（1）用戶-角色指派模型：決定用戶是否屬于某類角色，可以將用戶加入某類角色集合，也可將用戶從某類角色集合中移除。

（2）權(quán)限-角色指派模型：決定角色是否擁有某類權(quán)限，可以讓角色擁有某類權(quán)限，也可將某類權(quán)限從角色中剝奪。

（3）角色-角色指派模型：管理角色與角色之間的繼承關(guān)系。

圖1 ARBAC97模型

3 鐵路通信網(wǎng)訪問(wèn)控制方案研究

3.1 訪問(wèn)控制方案流程

鐵路通信網(wǎng)訪問(wèn)控制方案需要完成以下2項(xiàng)功能：

（1）設(shè)備身份認(rèn)證：防止非法設(shè)備接入，實(shí)現(xiàn)雙向認(rèn)證。

（2）設(shè)備權(quán)限控制：設(shè)定設(shè)備訪問(wèn)的權(quán)限，明確指明某些設(shè)備可以進(jìn)行某些操作，除此之外的設(shè)備一律阻止。

鐵路通信網(wǎng)訪問(wèn)控制方案采用無(wú)證書(shū)公鑰密碼技術(shù)，包含鐵路通信網(wǎng)身份認(rèn)證和權(quán)限分配，具體流程，如圖2所示。

（1）鐵路行業(yè)權(quán)威源（SOA）發(fā)布角色權(quán)限集到服務(wù)器，將密鑰信息發(fā)布給客戶端和服務(wù)器。（2）服務(wù)器用收到的密碼信息，判斷客戶端是否被允許訪問(wèn)。（3）客戶端用收到的密碼信息，判斷服務(wù)器是否被允許訪問(wèn)，兩者都得到角色的權(quán)限集合。

圖2 訪問(wèn)控制方案流程

3.2 訪問(wèn)控制方案系統(tǒng)結(jié)構(gòu)

SOA將IDwRC信息發(fā)送給主站，子站從主站獲取信息，從可信任的密鑰生成中心（KGC）獲取部分私鑰；輕量目錄訪問(wèn)協(xié)議（LDAP）服務(wù)器從子站獲取角色權(quán)限。系統(tǒng)結(jié)構(gòu)，如圖3所示。

圖3 訪問(wèn)控制方案系統(tǒng)結(jié)構(gòu)

3.3 訪問(wèn)控制方案總體框架

采用CL-PKC和RBAC等技術(shù)的身份認(rèn)證和權(quán)限分配功能，實(shí)現(xiàn)了鐵路通信網(wǎng)統(tǒng)一訪問(wèn)控制的目的，其總體框架模型，如圖4所示。

（1）身份認(rèn)證子系統(tǒng)從子站LDAP服務(wù)器獲取角色身份，終端通過(guò)此系統(tǒng)得到角色身份。（2）權(quán)限分配子系統(tǒng)從子站LDAP服務(wù)器獲取權(quán)限信息傳遞給終端，從而實(shí)現(xiàn)終端對(duì)應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)的可控訪問(wèn)，實(shí)現(xiàn)權(quán)限分配和權(quán)限驗(yàn)證。

圖4 訪問(wèn)控制方案總體框架

4 結(jié)束語(yǔ)

鐵路通信網(wǎng)是鐵路運(yùn)輸系統(tǒng)的基石，密碼技術(shù)應(yīng)用在鐵路通信網(wǎng)，能最大限度地保障網(wǎng)內(nèi)信息的安全。本文對(duì)鐵路通信網(wǎng)的訪問(wèn)控制展開(kāi)了深入地學(xué)習(xí)和研究，針對(duì)集中式鐵路通信網(wǎng)訪問(wèn)控制安全性要求高、響應(yīng)速度要求快的特點(diǎn)，將無(wú)繁瑣證書(shū)認(rèn)證機(jī)制的無(wú)證書(shū)公鑰密碼技術(shù)與RBAC相結(jié)合，應(yīng)用于鐵路通信網(wǎng)，降低了計(jì)算所需付出的時(shí)間代價(jià)，避免了PKI的認(rèn)證系統(tǒng)龐大和低效的缺點(diǎn)，保證網(wǎng)內(nèi)信息的真實(shí)性。