风险自适应PBCUC研究*

罗霄峰，罗万伯

（1.四川大学 锦江学院，四川 成都 610065；2.四川大学 计算机学院，四川 成都 610065）

风险自适应PBCUC研究*

罗霄峰1，罗万伯2

（1.四川大学 锦江学院，四川 成都 610065；2.四川大学 计算机学院，四川 成都 610065）

针对现有RAdAC研究中并不完全满足NSA提议的现状，介绍这种访问控制模型及风险，并在分析、归纳RAdAC核心特征的基础上，提出了RAdAC的抽象模型。此模型不但在策略、输入元素等方面更准确和精细，功能上也有利于知识沉淀与启发调整策略和优化决策，以及实时、交互管理策略。此外，设计RAdAC抽象模型与PBCUC结合的RAdPBCUC模型，从而对决策和执行的全过程都进行控制，使决策和执行都能适应风险。

访问控制；安全风险；风险自适应；安全策略

0 引 言

“需要共享（need to share）”的理念将允许那些需要信息的人在他们需要的时候访问它们。

信息系统资产对组织业务运行非常重要。这些对组织有价值的资产如硬件、软件、通信、服务，尤其是信息体等，可能存在风险，如信息的未授权泄漏、修改、抵赖，信息或服务的不可用或丧失。因此，在资产的使用过程中必须充分认识到这一问题。访问控制是资产使用和管理中重要的安全技术之一，毫无疑问也应该充分考虑风险问题。而考虑风险情况下的访问控制问题，极具挑战性。

1 现状及问题的提出

现存系统信息传播以“需要知道”理念为主导思想，对信息的访问控制机制缺乏灵活性。它们限制信息交流，只有能够证明需要信息的实体才能共享信息。此外，决策进行上也缺乏支持信息共享这一目标的基础。网格计算、泛在计算、云计算等技术的进展和应用，使传统访问控制系统的不足更加突出。大数据、云计算等需要大量的连接性，以及需要支持很多完全不相关的任务。这很自然地迫使我们在信息传播理念上不得不做出改变。换言之，在信息交流上需要从“需要知道”到“需要共享”的转变。例如，在现实世界中经常需要做出决定，如是否允许战地的指挥官在不够理想的安全条件下获取以及共享机密信息。这些决定是由情境因素和业务需要来驱动的，而决策时遵循的信念是，信息共享的业务好处超过了因共享所造成的潜在的安全风险。这实际上是一场安全风险的博弈。

既然现在广泛采用的访问控制系统缺乏支持动态改变控制策略的能力，那么就需要新的访问控制模型。能适应风险的访问控制（Risk-Adaptable Access Control，简称RAdAC，读作/ Raid-ack)/）就是在这样的情况下提出的，并将其构想应用于美国国防部的GIG（Global Information Grid，全球信息网格）中[1]。GIG系统的愿景目标是全球连接，端到端的信息能力设置以按需收集、处理、存储、散播和管理信息。同一时期的MITRE公司报告也指出，风险可以用于访问控制，并给出了风险量化和风险配额概念[2]。

NSA（National Security Agency，美国安全局）官员McGraw在2009年NIST Privilege（Access）Management Workshop上，比较完整地介绍了RAdAC的主要概念。McGraw将RAdAC描述为：访问控制不仅仅取决于主体、资源和行动等是否满足要求，还取决于业务需要（Operational Need）和安全风险（Security Risk）。并且，在必要时候，业务需要的重要性可能超过安全风险。换言之，即使有安全风险，也应允许访问[3]。

围绕RAdAC进行的研究涉及模型、机制、关键技术、实现和应用等方面[4-10]。Choudhary针对美国安全局RAdAC模型提出了一种基于策略的实现[4]。其中，不少工作围绕现有访问控制模型进行。Cheng等人介绍了一种用来量化与信息访问相关联的风险的方法，并给出了用来实现多级安全访问控制模型的例子[5]。Kandala等人在归纳基于属性的访问控制风险自适应的若干特点基础上，提出了一种抽象的框架，并应用于表示UCON（Usage Control Model，使用控制模型）[6]。文献[7]则把风险和信任一起用在RBAC（Role-Based Access Control，基于角色的访问控制）策略中。文献[8]提出一种在云环境中用XACML实现基于风险的访问控制，包括风险引擎（Risk Engine）、风险量化Web服务（Risk Quantification Web Services）和风险策略（Risk Policies）3个组件。其中，风险策略定义资源的风险估值指标和参数，用于访问控制请求决策中。文献[9]提出的RAdAC模型则使用信息熵和EM算法来量化医生侵犯隐私造成的风险，以监控对于医疗记录的过度访问以及特殊情况下的访问请求。文献[10]分析了从业务系统的访问控制到基于风险的访问控制的必要和困难，提出采用动态对策对付随时间变化的资源风险级别，从而用通用算法寻找到最好的对策集，实现资源保护，而允许或拒绝访问则取决于一组特定安全控制。

严格地说，现有RAdAC研究中并不完全满足NSA提议。一些文献中用Risk-Based或Risk-Aware等代替Risk-Adaptable或Risk-Adaptive[5,8-10]，实际上已经有不同程度的区别。由于RAdAC的挑战性，人们还需要进行大量研究工作。

本文将结合一种称为PBCUC（Policy-Based Contextual UCON）[11]的访问控制模型来进行这方面研究。文章的组织架构安排为：首先介绍这种访问控制模型及风险，然后给出一个RAdAC抽象模型，并在此基础上，结合PBCUC模型，设计RAdPBCUC模型。最后总结全文。

2 抽象模型

2.1 安全风险

英语“risk”来源于法语“risqué”，意大利语“risco”、“rischio”。ISO 31000将风险定义为“不确定性对目标的影响（effect of uncertainty on objectives）”[12]。影响可能是正面的，也可能是负面的。在现代历史上，风险概念的第一个主要用途是，1953年在数学家David Van Dantzig援助下，荷兰防洪计划Delta Works规划中进行第一次风险分析。

信息安全中强调的安全风险，是指“可能发生的危险”及“损失或伤害的可能性”[13]。本文也持这样的观点。

安全风险的决定取决于多种因素。信息系统使用IT（Information Technology，信息技术）组件并控制要共享的信息对象，而这些组件连接在一起会形成一个更大的模块或子系统，它们可能还要连接或使用其他的IT组件。这些组件部署在具体的物理位置，其所处的环境可能受到敌对威胁。人的诚信度、IT组件的保护能力和顽健性以及环境的威胁等级等，与被访问的信息对象的价值和历史结合在一起。这一切都影响到安全风险。

2.2 RAdAC核心特征

RAdAC的核心特征可归纳为五个方面。

（1）业务需要

用户进行访问的理由是业务需要。在一定条件下，在确定访问的过程中，业务需要可以优先于安全风险要求。在访问控制决策中，用户在一定社团、群组中的位置或成员关系，都可能粗略地用来证明其访问请求是否是业务需要。而用户是一个主管，或者其他审批机关证明用户需要访问特定的信息，也可以允许访问。业务需要这一特征意味着，确定访问决策需要一些可量化的尺度。

（2）安全风险

此特征指的是实时地确定风险概率。它应从各种因素计算得到，如用户可信度、IT组件的保护功能和顽健性、对环境的威胁程度以及访问历史等。安全风险评估应测定与每一样因素所关联的风险以及它们的组合风险。使用这种基于风险的方法，就能使系统从容面对各种业务情况。

（3）周境因素

访问决策所处的周境（context）也是一个重要因素。周境，又称为“（事物等发生的）来龙去脉”，包括环境和行为态势的信息，如地点、时间、设备、行为发生、发展、存在与变化的条件，影响与制约行为发生、发展、存在与变化的因素等。国际的、全国性的、企业的或区域的态势，都可以影响访问决策。恐怖威胁等级、企业正面临信息空间攻击的迹象，都可能使访问规则更严格或宽松。例如，在部队遭到敌人严重的火力攻击情况下，在进行访问控制决策时，可能需要重新评价业务需要与安全风险孰重孰轻。这种情况下很有可能的是，不管风险如何，包括这些信息可能遭到破坏，更迫切和必要的是给予部队某些信息。因此，这样的情况或条件可以规定为业务需要能够超越安全风险，而不必考虑安全风险的严重性。在访问控制决策时，要将周境因素与操作需要、安全风险共同考虑。

（4）访问控制基于策略

访问控制策略规定不同条件下访问各种信息对象的规则。它既支持常规意义的访问决策，也支持通过计算业务要求、风险因素和周境因素，自动或半自动地调整风险等级来提供对资源的访问。

（5）启发式

历史和知识可以沉淀和升华。启发式可以用来帮助调整访问控制策略和改进未来的访问决策。例如，历史访问控制决策结果及知识能够被用来开发更好的确定风险和业务需要的算法，帮助优化访问控制策略，从而提高访问控制的正确率。

2.3 模型

访问控制使用属性和策略表示访问控制模型是访问控制的发展方向，RAdAC也遵循此方向。基于属性和策略的RAdAC抽象模型见图1。

图1 RAdAC抽象模型

RAdAC的输入包括：（1）人用户的特征；（2）IT组件的特征；（3）资源对象的特征；（4）周境因素；（5）属性，即访问控制涉及的主体（subjects）、客体（objects）、行为（actions）和条件（conditions）等的属性（attributes）；（6）启发知识；（7）访问控制策略；（8）风险适应策略；（9）访问请求。

RAdAC的输出只有一个，即访问决策输出。其输出的是对访问请求的决策和决策的理由。

RAdAC模型由访问决策、业务要求测定、安全风险度量、策略交互管理以及决策后处理等5个模块组成。下面对它们的功能做简单说明。

2.3.1 访问决策模块

输入包括：RAdAC输入第（5）至第（9）项，业务要求测定模块的输出和安全风险度量模块的输出。

输出：访问请求决策结果和决策理由。

处理过程包括如下步骤。

第1步：常规访问控制决策。访问请求启动访问控制处理，第1步是调用常规访问控制过程进行判决。如果常规访问控制决策为真，则允许访问；否则，进入第2步。

第2步：策略是否允许业务要求超越常规访问控制决定。常规访问控制决策确定为拒绝访问，但策略明确指明业务要求可以超越常规访问控制决定，则进入第5步评估业务要求处理；否则，进入第3步安全风险计算。

第3步：获取安全风险度量模块计算的风险等级值。

第4步：安全风险是否可接受。将第3步获取的“安全风险度量模块”的安全风险结果与风险适应策略进行比较，如果在策略可接受范围，则进入第5步过程；否则，拒绝其访问。

第5步：策略是否需要验证业务要求。在这一步，给予访问的安全风险已经确定，但该请求者可能没有访问资源的业务要求。这一步将检查是否有策略规定需要验证业务要求。如果是，则进入“评估业务需要”过程；否则，直接允许其访问。

第6步：业务要求评估。获取业务要求测定模块的输出，检查业务要求的所有评估项是否都像策略所规定的那样得到了满足。如果满足，给予所要求的访问；否则，拒绝。

2.3.2 决策后处理模块

访问决策模块的输出除用于决策的执行外，同时也输入到决策后处理模块记录下来，并分析处理。经处理后，可能形成启发知识。

2.3.3 业务要求测定模块

输入：RAdAC输入第（1）至第（6）项。

输出：测定结果。

功能：通过验证多种因素，确定请求者有没有访问客体的业务要求。

2.3.4 安全风险度量模块

输入：RAdAC输入第（1）至第（6）项。

输出：测定结果。

在验证若干外部因素的基础上，实时确定如果准予所要求的访问，其关联的安全风险等级或大小。

2.3.5 策略交互管理模块

输入：RAdAC输入第（6）项。

策略交互管理模块为管理员提供友好的交互环境，以管理访问控制策略和风险适应策略。

与NSA的RAdAC概念模型[3]相比，我们的模型增加了决策后处理模块和策略交互管理模块。前者有利于知识沉淀和启发，后者可方便管理员实时、交互管理策略，更能适应风险。此外，在策略以及输入元素等方面也更准确和精细。这些也体现在与文献[4,6-7]等的区别上。

3 风险自适应的PBCUC

3.1 PBCUC

UCON提供了一种现代的可行方法，在开放的、分布式、异构和网络连接的计算机环境中进行访问控制，是继RBAC之后的又一重要访问控制模型。但是，它在抓住态势、反映动态性等方面存在不足。CUC（Contextual UCON，周境相关使用控制）用周境（Context）代替UCON的一般化系统和环境，解决了后者的动态性不足，并引入管理功能，使管理与控制在一定程度上结合起来[14]。PBCUC将安全策略注入CUC模型，使其访问控制策略可方便管理，更灵活和可扩展[11]。

3.2 RAdPBCUC

本节将第2章的RAdAC抽象模型与PBCUC结合在一起，简称为RAdPBCUC（Risk Adaptable PBCUC），实现方案的决策点-策略实施点动作图见图2。

图2 RAdPBCUC的决策点-策略实施点动作

PBCUC的基本组件包括：主体集（S），客体集（O），周境集（X），权限集（R），策略集（P），授权集（A），义务（职责）集（B），管理集（M），以及风险自适应组件。其中，主体集、客体集和周境集都具有属性。策略集包括访问控制策略和风险自适应策略两大子集。风险自适应部分的主要部件包括在如图2所示的虚线框内。注意，虚线框里的态势因素代替了图1抽象模型中的周境因素，因为PBCUC中的周境已经包括了其他因素。

在功能上，管理集用于主体属性、客体属性、周境属性管理以及策略管理；决策后处理把实际的决策、决策的基本原由以及其他有关信息进行分析并存储下来，形成启发知识。管理集和决策后处理部分称为管理块。其余部分包括权限集、策略集、授权集、义务集、授权行为、用权行为、决策后处理以及风险自适应部分，用于访问控制本身，称为控制块。

授权集和职责集的输入是下述两类参数：

（1）PBCUC决策参数，是主体集、客体集、周境集、权限集和策略集的集合。

（2）基于安全风险的决策参数，是安全风险度量和业务需要测定的组合。

访问控制过程由授权行为（Authorization）和用权行为（Application of right）两阶段完成。授权阶段的任务是授权决策，用权阶段的任务是执行决策。RAdPBCUC对决策和执行的全过程都进行控制，更好地保证决策和执行都能适应风险。这是它的特点，也是与现有文献[4-10]不同的地方。

4 结 语

现在广泛采用的访问控制系统缺乏支持动态改变控制策略的能力，因此需要新的访问控制模型。访问控制中应该考虑业务要求和安全风险。美国国防部在实施网络为中心的运行环境计划过程中提出概念，而被美国国防部和国家安全局采纳的RAdAC就是在这样的环境下提出的。

在研究现有文献基础上，归纳RAdAC在业务要求、安全风险、周境因素、访问控制策略及启发知识等方面的特征，提出了由访问决策模块、业务要求测定模块、安全风险度量模块、策略交互管理模块和决策后处理模块等5个模块组成的RAdAC抽象模型，并说明了该模型的决策处理步骤。此模型比NSA的RAdAC概念模型增加了策略交互管理和决策后处理两个模块，有利于知识沉淀与启发调整策略和优化决策，以及实时、交互管理策略，更能适应风险。此外，在策略以及输入元素等方面，也更准确和精细。同时，给出了RAdAC抽象模型与我们提出的PBCUC结合的实现——RAdPBCUC，给出它的决策点-策略实施点动作图。与现有研究成果相比，它对决策和执行的全过程都进行控制，使决策和执行都能适应风险。

目前，RAdAC的研究仍然任重道远，给出的RAdPBCUC只是一个框架。下阶段计划从应用的角度，继续研究安全风险计算、做出决策的问题、试验系统开发和过程实现正确性验证等。

[1] McGrawR W.Securing Content in the Department of Defense's Global Information Grid[M].Buffalo:Secure Knowledge Management Workshop,2004:1-11.

[2] Jason Program Office.Horizontal Integration:Broader Access Models for Realizing Information Dominance[R]. Bedford:The MITRE Corporation,2004.

[3] McGrawR W.Risk-Adaptable Access Control (RAdAC) [M].Gaithersburg:NIST Privilege (Access) Management Workshop,2009:1-10.

[4] Rahim Choudhary.A Policy based Architecture for NSA RAdAC Model[C].Proceedings of the 2005 IEEE Workshop on Information Assurance and Security,2005:295-301.

[5] ChengP C,Rohatgi P,Keser C.Fuzzy MLS:An Experiment on Quantified Risk-Adaptive Access Control[C].2007 IEEE Symposium on Security and Privacy,2007:222-230.

[6] Kandala S,Sandhu R,Bhamidipati V.An Attribute based Framework for Risk-Adaptive Access Control Models[C].2011 Sixth International Conference on Availability,Reliability and Security(ARES),2011:22-26.

[7] BIJON K Z,KRISHNAN R,SANDHU R.A Framework for Risk-aware Role based Access Control[C]. Proceedings of the 6th Symposium on Security Analytics and Automation,2013:462-469.

[8] Dos SantosD R,WestphallC M,WestphallC B.A Dynamic Risk-based Access Control Architecture for Cloud Computing[C].Network Operations and Management Symposium(NOMS),2014:1-9.

[9] 惠榛,李昊,张敏等.面向医疗大数据的风险自适应的访问控制模型[J].通信学报,2015,36(12):190-199. HUI Zhen,LI Hao,ZHANG Min,et al.Risk-adaptive Access Control Model for Big Data in Healthcare[J]. Journal on Communications,2015,36(12):190-199.

[10] Díaz-LópezD,Dólera-TormoG,Gómez-MármolF,et al. Dynamic Counter-measures for Riskbased Access Control Systems:An Evolutive Approach[J]. Future Generation Computer Systems,2016(55):321-345.

[11] 罗霄峰,罗万伯.基于策略的CUC研究[J].通信技术,2016,49(06):767-773. LUO Xiao-feng,LUO Wan-bo.The Study of Policy-Based CUC [J].Communications Technology,2016,49(06):767-773.

[12] ISO 31000:2009 Risk management–Principles and guidelines[S].ISO,2009.

[13] 戴宗坤,刘永澄,罗万伯等.英汉网络信息安全辞典[M]. 北京:电子工业出版社,2003:888. DAI Zong-kun,LIU Yong-chen,LUO Wan-bo,et al.English-Chinese Dictionary of Network Information Security[M].Bejing:Publishing House of Electronics Industry,2003:888.

[14] LUO Xiao-feng,LI Lin,LUO Wan-bo.A Contextual Usage Control Model[J].Technical Gazette,2014,21(01):35-41.

罗霄峰（1974—），男，博士，讲师，主要研究方向为信息安全；

罗万伯（1946—），男，硕士，教授，主要研究方向为信息安全，计算机应用。

Study of Risk-Adaptable PBCUC

LUO Xiao-feng1, LUO Wan-bo2
(1.School of Jinjiang, Sichuan University, Chengdu Sichuan 610065, China; 2. School of Computer Science, Sichuan University, Chengdu Sichuan 610065, China)

In view of the present situation that existing RAdAC research could not completely meet the NSA proposal, the access control model and risk is given, and based on analysis and induction of the core features of RAdAC, the abstract model of RAdAC is proposed. This model is more accurate and precise in access control policies and input elements, and also beneficial to getting the knowledge from the past access control decisions and inspiration, making it a more inspiring guide to adjust and optimize policies and access control decisions, and managing policies in real time and interactively. In addition, the RAdPBCUC model, integrated with the abstract model and the PBCUC, is designed to control the whole process of decision making and execution, and also to adapt the risk of decision making and execution.

access control; security risk; risk adaptable; security policy

TP309；TP391

A

1002-0802(2016)-07-0890-06

10.3969/j.issn.1002-0802.2016.07.019

2016-03-17;

2016-06-15 Received date:2016-03-17;Revised date:2016-06-15