王 偉,杜 靜,周子琛

(1.武警工程大學 電子技術(shù)系, 西安710086;2.武警政治學院 指揮系,上海200435)

1 引 言

近年來,軍隊加大了信息化建設力度,指揮自動化網(wǎng)絡體系已基本建成,以數(shù)字證書管理中心為代表的網(wǎng)絡安全基礎設施也已投入使用。同時,軍隊各業(yè)務部門構(gòu)建了大量信息管理系統(tǒng),逐步實現(xiàn)了部隊作戰(zhàn)、政工、后勤等業(yè)務數(shù)據(jù)的網(wǎng)絡傳遞、存儲、遠程查詢和管理,有效提高了信息化條件下的軍隊整體防衛(wèi)作戰(zhàn)能力。

網(wǎng)絡時代的電子軍務系統(tǒng)不再是孤立的單機版系統(tǒng),而是基于開放網(wǎng)絡協(xié)議標準,運行于軍隊內(nèi)聯(lián)網(wǎng)上的分布式、綜合性、實時信息管理系統(tǒng)。然而,網(wǎng)絡的開放性、復雜性和擴展性導致系統(tǒng)安全漏洞增多,使電子軍務系統(tǒng)面臨日益嚴重的安全威脅。因此,研究和應用符合軍隊特殊工作環(huán)境的安全機制,確保系統(tǒng)、人員編制、業(yè)務數(shù)據(jù)的安全,已成為構(gòu)建電子軍務系統(tǒng)時首要關(guān)注的問題。

在當前電子軍務系統(tǒng)面臨的各種威脅中,破壞認證和會話管理、破壞訪問控制兩種安全漏洞威脅最大。一方面,一些軍務系統(tǒng)僅采用了簡單的口令鑒別機制;另一方面,盡管傳統(tǒng)的訪問控制策略,如強制訪問控制(Mandatory Access Control,MAC)、基于角色的訪問控制(Role Based Access Control,RBAC)、基于任務的訪問控制(Task Based Access Control,TBAC)機制已經(jīng)廣泛使用, 并且有一些適應性改進[1-2],但都不能很好地適應部隊的特殊需要。針對軍用訪問控制模型的相關(guān)研究[3-4]在與實際應用環(huán)境結(jié)合方面有所不足。

針對上述兩種主要的安全威脅,本文探討了將權(quán)限控制與業(yè)務部門的人員編制、任務分工和工作流程相結(jié)合保護系統(tǒng)與數(shù)據(jù)安全的方法,并利用公開密鑰基礎設施[5](Public Key Infrastructure,PKI)和輕量級目錄訪問協(xié)議[6](Lightweight Directory Access Protocol,LDAP)實現(xiàn)了基于數(shù)字證書的統(tǒng)一認證以及基于任務和角色的訪問控制(Task-Role Based Access Control,T-RBAC)安全組件。在司政后多種軍務系統(tǒng)中的實際應用結(jié)果顯示,安全組件能夠?qū)τ脩粼L問和操作權(quán)限進行嚴格、規(guī)范和靈活地控制,有效保證系統(tǒng)、工作流和數(shù)據(jù)的安全。

2 電子軍務系統(tǒng)的安全需求及對策

部隊作戰(zhàn)、政工、后勤業(yè)務系統(tǒng)運行于內(nèi)部開放的網(wǎng)絡環(huán)境中,所面臨的安全威脅既可能來自于非授權(quán)用戶的各種惡意滲透行為,也可能是授權(quán)用戶的故意或者誤操作[7]。其中,政工業(yè)務系統(tǒng)由于既要向普通用戶開放,又要保護關(guān)鍵數(shù)據(jù),因此安全風險最大。現(xiàn)以人民武警報社投稿和編審系統(tǒng)為例,分析電子軍務系統(tǒng)安全需求。

(1)各級官兵均可通過內(nèi)聯(lián)網(wǎng)訪問該系統(tǒng)投稿、查稿,用戶的復雜性導致可能存在惡意攻擊行為,因此需要依托指揮自動化網(wǎng)安全基礎設施,建立統(tǒng)一的用戶認證機制。

(2)編審人員處理稿件的流程比較規(guī)范,稿件按編、審、定、發(fā)的工作模式流轉(zhuǎn),一般不允許編者有跨越編審步驟和超出職責范圍的行為,更不允許稿件作者介入編審流程。

(3)業(yè)務人員編制級別不同,各司其職,下級只對直接上級負責,上級對下級有監(jiān)督管理權(quán),這使得系統(tǒng)含有多類具有不同角色和等級的用戶。

(4)業(yè)務部門希望部分工作流程能夠人為控制,從而獲得更好的靈活性,以便能應對突發(fā)事件。

可見,《人民武警報》編審系統(tǒng)的需求涉及到用戶群、人員編制、任務分工、業(yè)務流程等多個方面,其面對的安全問題可以推廣到網(wǎng)絡環(huán)境下的多種電子軍務系統(tǒng)。因此,需要將權(quán)限控制與業(yè)務工作流、部門編制、人員職務和角色分工緊密結(jié)合在一起,把以角色為基礎的訪問控制模型和以任務為基礎的授權(quán)控制模型結(jié)合在一起,實現(xiàn)以任務為中心的認證與訪問控制,保護系統(tǒng)和數(shù)據(jù)的安全。

3 T-RBAC 訪問控制策略基本原理

3.1 基于角色的訪問控制

RBAC 的基本思想是:將系統(tǒng)資源的訪問權(quán)限,包括對處理功能的使用權(quán)和對數(shù)據(jù)的讀寫、搜索、比較等操作權(quán),進行分組、歸類或建立層次性關(guān)系,抽象為“角色”,再根據(jù)安全策略為用戶指派角色,從而實現(xiàn)用戶和權(quán)限之間的靈活對應關(guān)系(一對一、一對多或多對一)。角色是一個邏輯意義上的概念,它在實際中可以映射為一個主體的集合,同時角色又對應為一個權(quán)限的集合,因此,角色表現(xiàn)為一個將主體和權(quán)限聯(lián)系起來的紐帶。RBAC[8]訪問控制模型如圖1 所示。

圖1 RBAC 模型Fig.1 RBAC model

基于角色的訪問控制策略本質(zhì)上屬于強制訪問控制的擴展,其用戶與訪問權(quán)限隔離的特性減少了授權(quán)管理的負擔。RBAC 允許靈活地定義角色之間的關(guān)系,容易實現(xiàn)最小權(quán)限分配,能夠適應范圍廣泛的安全策略,極大地簡化權(quán)限管理,因此是目前最流行的訪問控制策略。

3.2 基于任務的訪問控制

TBAC[9]有兩點含義:首先,它在工作流的環(huán)境中考慮對信息的保護問題,是一種上下文相關(guān)的訪問控制模型。在工作流環(huán)境中,每一步對數(shù)據(jù)的處理都與以前的處理相關(guān),相應的訪問控制也是這樣。因而TBAC 中的許可不是一個固定的狀態(tài),授權(quán)和許可等行為都在被不斷地監(jiān)控,許可狀態(tài)也隨著不斷地變化。其次,它不僅能對不同工作流實行不同的訪問控制策略,而且還能對同一工作流的不同任務實例實行不同的訪問控制策略。它能抽象出任務之間的一些訪問/授權(quán)關(guān)聯(lián)關(guān)系,包括順序依賴、失敗依賴、分權(quán)依賴和代理依賴等。比如,順序依賴表示只有當任務A 被授權(quán)訪問后,任務B 才能被授權(quán)訪問。TBAC 授權(quán)模型[10]如圖2 所示。

圖2 TBAC 模型Fig.2 TBAC model

TBAC 采用“面向任務”的觀點,從任務角度來建立安全模型和實現(xiàn)安全機制,在任務處理的過程中提供動態(tài)實時的安全管理。它能夠很好地適應工作流、分布式處理以及交易管理等系統(tǒng)中的分布式計算和多點訪問、控制和決策的信息處理任務。

3.3 基于任務-角色的訪問控制策略

RBAC 根據(jù)任務職責設置角色,可以在人員職務變動的時候方便地分配新角色,然而RBAC 在權(quán)限的動態(tài)管理方面顯得力不從心,仍然無法勝任對分布性、協(xié)作性和實時性要求較高的應用領域。解決方法就是在RBAC 的框架下再加入任務的概念,結(jié)合基于角色和基于任務策略的優(yōu)點,利用任務來動態(tài)管理權(quán)限,這就是基于任務-角色的訪問控制。

T-RBAC 模型[11]在RBAC 的角色和權(quán)限之間加入了任務層,模型的核心已經(jīng)不是角色而是任務。模型將權(quán)限直接與任務連接起來,角色只有通過執(zhí)行任務才能獲得權(quán)限,實際上,角色只是用來限制可執(zhí)行任務的一個途徑。任務是一個動態(tài)的概念,動態(tài)產(chǎn)生,動態(tài)分配權(quán)限,這樣就實現(xiàn)了動態(tài)授權(quán)和最小權(quán)限限制。T-RBAC 模型如圖3 所示。

圖3 T-RBAC 模型Fig.3 T-RBAC model

T-RBAC 具有RBAC 和TBAC 兩者的優(yōu)點。在T-RBAC 中,工作流中的每一步操作在執(zhí)行之前都會檢查操作者是否具有權(quán)限,這樣就能在任務級別上免除軍務系統(tǒng)受惡意操作和非授權(quán)使用數(shù)據(jù)的威脅。同時,每個任務都是一個獨立的活動單位,因此任務之間可以相互協(xié)作,并根據(jù)上下文環(huán)境控制任務的各種狀態(tài),解決了RBAC 在靈活性以及實時性應用環(huán)境中的不足。

4 認證與訪問控制安全組件的設計與實現(xiàn)

基于上述思想,本文將RBAC 訪問控制策略與業(yè)務流程結(jié)合在一起,設計并實現(xiàn)了基于T -RBAC的安全控制組件。以《人民武警報》投稿編審系統(tǒng)為例,在嵌入認證與訪問控制安全機制后,系統(tǒng)能夠在確保數(shù)據(jù)與操作安全的前提下,支持用戶在線投稿、編輯在線審稿、稿件管理等功能。本節(jié)介紹基于LDAP 和PKI 的身份認證、基于RABC 的訪問控制以及它們與報社編審工作流綁定的實現(xiàn)方法。

4.1 基于LDAP 和PKI 的身份認證

由于LDAP 服務器可以用于存儲各種不同的數(shù)據(jù)類型,本文采用LDAP 數(shù)據(jù)庫服務器作為認證系統(tǒng)的核心,將其與PKI 結(jié)合起來,使用LDAP 作為數(shù)字證書庫的存儲和備份系統(tǒng),實現(xiàn)了基于LDAP 和PKI 的身份認證構(gòu)件[12]。

LDAP 用于存儲當前網(wǎng)絡環(huán)境中所有資源的信息,包括基本的個人賬戶信息和各種系統(tǒng)服務。如圖4 所示,在LDAP 目錄樹中設定了以下組織單元,分別是用戶person、用戶組group、應用系統(tǒng)對象service、角色role、數(shù)字證書Certificate。這樣,每個用戶的安全信息,包括PKI 提供的數(shù)字證書、用戶對系統(tǒng)資源的訪問權(quán)限,都被保存在活動目錄中。編審系統(tǒng)通過活動目錄控制用戶的登錄,用戶對系統(tǒng)資源的訪問也受到活動目錄控制。

圖4 自定義LDAP 的目錄信息樹Fig.4 The defined LDAP directory tree

4.2 基于RBAC 的訪問控制

系統(tǒng)基于RBAC 模型對用戶訪問和操作數(shù)據(jù)的權(quán)限進行控制[13-14]。

(1)用戶

根據(jù)武警部隊的編制,在LDAP 中建立一個全局的部門目錄樹,所有投稿和編審用戶都可表示為目錄樹上的結(jié)點。例如,從結(jié)點的區(qū)別名(Distinguished Name,DN)“userUid=llx, ou=newspaper, dc=apf, dc=cn”可唯一定位到報社編審用戶llx。利用JNDI(Java Naming Directory Interface),能夠?qū)δ夸洏溥M行AUID(add/update/insert/delete)操作,這樣就同時實現(xiàn)了對用戶和部門的管理。

(2)角色

系統(tǒng)中的用戶根據(jù)功能被分為8 類角色,即通信員、管理員、編輯、副主任、主任、副社長、社長、主編,這些角色與編審工作流相關(guān)聯(lián),具有不同的職務和職責。在T-RBAC 模型定義中,表現(xiàn)為他們所擁有的對文稿(OBS)和操作(OPS)的權(quán)限各不相同。

(3)文稿

首先根據(jù)報紙的結(jié)構(gòu)定義一個版面與欄目樹,文稿被劃分到相應欄目分支下。用戶通過角色與許可的綁定,能夠獲得對文稿的訪問權(quán)。目錄結(jié)構(gòu)樹允許通過AUID 進行操作,這使系統(tǒng)具有了針對突發(fā)事件增加臨時版或?qū)０娴撵`活性。

(4)許可

許可用于限定一個角色可以訪問報紙哪些版面和文稿,以及可以執(zhí)行哪些操作。用戶首先被賦予角色,然后再與文稿類型以及刪除、提交、返修、錄用等各種操作相關(guān)聯(lián)。

在將用戶、角色和許可進行綁定之后,用戶就獲得了在系統(tǒng)中訪問文稿、進行操作的權(quán)限。用戶登錄時,系統(tǒng)首先訪問LDAP 驗證用戶身份,然后根據(jù)用戶的角色顯示不同的操作功能列表,包括公共操作和由角色控制的操作。用戶的操作權(quán)限如圖5 所示。

圖5 在線投稿編審系統(tǒng)中用戶的操作權(quán)限Fig.5 User′s operation permission in the online manuscript collecting and editing system

可見,在同一應用環(huán)境下,不同角色的用戶除具有公共操作項目外,還可得到特殊的操作權(quán)限。例如,編輯可將誤投給自己的稿件轉(zhuǎn)投其他編輯;主任享有查看本處所有稿件、對稿件進行重分配的權(quán)限;主編有錄用稿件、安排版面、查看所有稿件的權(quán)限;社長則監(jiān)督全局、處置突發(fā)事件。

4.3 基于T-RBAC的工作流控制

工作流是工作流程的計算模型,它是整體或部分業(yè)務過程的自動化,其間文檔、信息或者任務按照一套程序規(guī)則,從一個參與者到另一參與者進行處理。在報社編審系統(tǒng)中,首先將編審流程分解為由多個操作任務構(gòu)成的具有時間約束的任務集合,再將任務集關(guān)聯(lián)到用戶角色集和許可集,就實現(xiàn)了基于任務-角色相結(jié)合的工作流控制。

系統(tǒng)對業(yè)務工作流的管理任務主要體現(xiàn)在如何控制報社人員對稿件的訪問、編審、管理等工作。報社編審流程實行四審制,即編輯初審、主任復審、社長審定、主編組版。因此,可將與編審相關(guān)的用戶劃分為6 類角色:編輯、副主任、主任、副社長、社長、主編,每種角色在工作流程中可以對稿件執(zhí)行不同權(quán)限的操作(OPS),每個操作動作都會改變稿件的狀態(tài)。

編審過程的狀態(tài)轉(zhuǎn)換過程如圖6 所示,審稿工作是由多個并發(fā)的編審任務構(gòu)成的。一個稿件的編審過程,是一個稿件由新稿到編輯、審定、終審、錄用等各個狀態(tài)的轉(zhuǎn)換過程。每個用戶的角色將他限制于四審制流程的某一個位置。當具有不同角色和權(quán)限的用戶登錄時,系統(tǒng)篩選出的稿件將會因用戶的工作職責(編輯、主任等角色)的不同,對數(shù)據(jù)的訪問權(quán)(所負責的欄目)不同而不同。當用戶完成所負責的編審任務并“提交”稿件時,會改變該稿件的狀態(tài),使稿件進入流程的下一階段,并顯示在流程中具有更高層次角色用戶的任務列表中。通過這樣逐步的編審和提交,就能完成對稿件的編審工作。同時,在稿件編審過程中,可以選擇“返修”、“淘汰”等提交動作,使該稿件的狀態(tài)轉(zhuǎn)換回退或終止,支持更復雜和靈活的編審任務。

圖6 稿件編審狀態(tài)轉(zhuǎn)換圖Fig.6 The state-transition diagram of manuscript-edit-workflow

4.4 系統(tǒng)測試與改進

我們對所實現(xiàn)的《人民武警報》投稿編審系統(tǒng)在實際工作環(huán)境中進行了測試。以2011 年3 月數(shù)據(jù)為例,系統(tǒng)管理報社編審用戶47 人,各類通信員773人;處理文稿5 328件,錄用稿件1 484篇,平均狀態(tài)轉(zhuǎn)換4.2 次,無惡意操作與數(shù)據(jù)安全問題發(fā)生。應用測試結(jié)果顯示,在嵌入安全組件后,系統(tǒng)能夠?qū)崿F(xiàn)對用戶權(quán)限和編審業(yè)務流程嚴格、規(guī)范和靈活地控制,有效地提高了報紙新聞的時效性、報刊信息處理的集成度、網(wǎng)絡化和自動化。

在測試中發(fā)現(xiàn),編審系統(tǒng)中的訪問控制組件與業(yè)務功能關(guān)聯(lián)比較緊密,不利于組件的移植。為了進一步提高所實現(xiàn)安全組件對多種電子軍務系統(tǒng)的適用性,對組件進行了兩方面改進:首先,對代碼進行了封裝和優(yōu)化,將組件與業(yè)務流程進行了分離,減小了安全機制與業(yè)務功能之間的耦合度;其次,為用戶提供了業(yè)務流程編制接口和權(quán)限配置管理接口,使操作和訪問權(quán)限與業(yè)務流的結(jié)合變得更加靈活。

我們將改進后的安全組件分別嵌入到作戰(zhàn)公文處理系統(tǒng)和后勤經(jīng)費管理系統(tǒng)中。在用戶和角色管理方面,只需經(jīng)過少量編程和設置即可完成。而在操作權(quán)限、工作流程管理方面,通過分析作戰(zhàn)系統(tǒng)中公文的撰寫、提交、審核、簽發(fā)等流轉(zhuǎn)過程,以及經(jīng)費管理系統(tǒng)中的預算、申請、審批、核算等執(zhí)行流程,并將操作權(quán)限與流程進行編程綁定后,系統(tǒng)能夠正常運轉(zhuǎn)。整體來看,該安全組件具有較好的擴展性和可移植性。

5 結(jié)束語

針對電子軍務系統(tǒng)的數(shù)據(jù)與操作安全問題,本文提出基于業(yè)務工作流,結(jié)合部門編制、人員職務和角色分工,以任務為中心進行認證與訪問控制,從而保護系統(tǒng)操作和數(shù)據(jù)安全的思想。

本文實現(xiàn)的基于PKI 和LADP 的統(tǒng)一認證以及任務與角色結(jié)合的T -RBAC 訪問控制組件適用于司、政、后多種業(yè)務系統(tǒng)。實際工作中的應用效果顯示,基于PKI 和LADP 的認證組件嚴格限定只有合法用戶才能登錄系統(tǒng),防止了非授權(quán)用戶的惡意滲透攻擊;基于T-RBAC 的工作流控制組件確保了業(yè)務流程中的操作和數(shù)據(jù)安全。在未來工作中,我們將進一步提高安全組件的完備性和易用性。

[1] 于小兵,郭順生,楊明忠.擴展RBAC 模型及其在ERP 系統(tǒng)中的應用[J] .計算機工程,2009,35(24):165-167.

YU Xiao-bing, GUO Shun-sheng, YANG Ming-zhong.Extended RBAC Model and Its Application in ERP System[ J] .Computer Engineering,2009,35(24):165-167.(in Chinese)

[2] 周建美, 徐慧.TRBAC 模型在工作流系統(tǒng)中的研究與實現(xiàn)[J] .微型機與應用,2010,29(15):4-5,9.

ZHOU Jian-mei, XU Hui.Research and Implementation of Task-role based Access Control Model on Workflow System[J] .Microcomputer&Its Applications, 2010, 29(15):4-5,9.(in Chinese)

[3] 韓若飛,汪厚祥,杜輝,等.一種軍用的基于任務-角色的訪問控制模型[J] .計算機工程,2006,32(23):165-167.

HAN Ruo-fei, WANG Hou-xiang, DU Hui, et al.Taskrole-based Access Control Model for Military Use[ J] .Computer Engineering, 2006, 32(23):165-167.(in Chinese)

[4] 徐宇茹, 李瑛, 郭天杰.基于TRBAC 的分布式指揮系統(tǒng)訪問控制建模[ J] .海軍航空工程學院學報, 2010,25(4):407-410.

XU Yu -ru, LI Ying, GUO Tian-jie.Model Design of Task-Role-Based Access Control in Distributed Command System[ J] .Journal of Naval Aeronautical and Astronautical University, 2010, 25(4):407-410.(in Chinese)

[ 5] RFC 3280.2002, Internet X.509 Pub lic Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile[ S] .

[ 6] RFC 4523.2006, Lightweight Directory Access Protocol(LDAP)Schema Definitions for X.509 Certificates[ S] .

[ 7] Mike Maschino.Access Control within Military C4ISR Systems[ C]//Proceedings of SPIE.Orlando, FL, USA:IEEE,2003:1-5.

[ 8] FerraioloD F, Sandhu R, Gavrila S.Proposed NIST Standard for Role-based Access Control[ J] .ACM Transactions on Information and System Security, 2001, 4(3):224-274.

[ 9] Thomas R K, Sandhu RS.Task-based Authentication Controls(TABC):a Family of Models for Active and Enterprise-oriented Authentication Management[ C]//Proceedings of the IFIP WG1113 Workshop on Database Security.London:Chapman Hall,1997:166-181.

[ 10] 鄧集波, 洪帆.基于任務的訪問控制模型[ J] .軟件學報, 2003, 14(1):76-82.

DENG Ji-bo, HONG Fan.Task-Based Access Control Model[J] .Journal of Software,2003,14(1):76-82.(in Chinese)

[ 11] Han R F, Wang H X.An Access Control Model with High Security for Distributed Workflow and Real-time Application[C]//Proceedings of SPIE-The International Society for Optical Engineering.Bellingham,WA ,USA:IEEE,2007:6784 3E.

[ 12] 于華, 蔡海濱, 劉良旭.基于LDAP 和PKI 的Intranet統(tǒng)一身份認證系統(tǒng)研究[ J] .計算機工程與設計,2006, 27(10):1863-1866.

YU Hua, CAI Hai-bin, LIU Liang-xu.Study of Intranet Single User Authentication System based on LDAP and PKI Technology[J] .Computer Engineering and Design, 2006,27(10), 1863-1866.(in Chinese)

[13] Park J, Sandhu R.Toward Usage Control Models:Beyond Traditional Access Control[C]//Proceedings of the 7th ACM Symposium on Access Control Models and Technologies.Monterey, CA,USA:2002:57-64.

[14] Sylvia L Osborn, Ravi S Sandhu, Qamar Munawer.Configuring Role-Based Access Control to Enforce Mandatory and Discretionary Access Control Policies[ J] .ACM Transactions on Information and System Security, 2000, 3(2):85-106.