柯昌博 黃志球

1(南京郵電大學(xué)計(jì)算機(jī)學(xué)院 江蘇 南京 210003)2(南京航空航天大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 江蘇 南京 210016)

0 引 言

基于Web的協(xié)同是指多個域內(nèi)自治組織允許其合作者、用戶和職員通過本地或遠(yuǎn)程連接來共同完成某項(xiàng)任務(wù)的系統(tǒng)。在云計(jì)算中，軟件及服務(wù)SaaS(Software as a Service)是一種典型的在線協(xié)同系統(tǒng)[1]。許多的軟件決策者根據(jù)經(jīng)濟(jì)和性能評估，都愿意將自己的協(xié)同任務(wù)加載到第三方協(xié)同平臺[2-3]。但是隨著用戶數(shù)量的增加，協(xié)同平臺是否會被域內(nèi)用戶惡意操作，從而帶來安全威脅，得到了廣大學(xué)者的關(guān)注[4-5]。目前，請求認(rèn)證和授權(quán)是保證協(xié)同平臺安全的主要技術(shù)，其利用OAuth2.0來歸約訪問令牌，并利用訪問控制列表作為安全服務(wù)器中的認(rèn)證模塊[6-7]。當(dāng)服務(wù)請求者訪問對象時，利用帶有對象哈希碼的令牌向安全服務(wù)發(fā)出訪問請求，當(dāng)安全服務(wù)收到訪問請求時，將其請求轉(zhuǎn)發(fā)給認(rèn)證模塊，認(rèn)證模塊讀取訪問控制列表的策略，決定對訪問請求進(jìn)行授權(quán)或者拒絕[8]。

然而，基于令牌的授權(quán)與認(rèn)證在令牌發(fā)出和請求者實(shí)際使用令牌時間之間，沒有形式定義服務(wù)請求者的行為[9]。訪問請求被授權(quán)僅僅基于請求者的身份和令牌的驗(yàn)證。保證已經(jīng)獲取有效令牌并被授權(quán)的用戶對平臺數(shù)據(jù)的安全訪問或操作是域內(nèi)攻擊研究的重點(diǎn)[10-11]。下面我們用醫(yī)療云中的一個實(shí)例來說明所研究的問題。

在遠(yuǎn)程醫(yī)療中，利用可穿戴的傳感器收集病人的生理數(shù)據(jù)。醫(yī)療云提供者可以對病人的電子醫(yī)療記錄(Electronic Health Record，EHR)進(jìn)行存儲、處理和分析，為醫(yī)生診斷提供依據(jù)。假設(shè)某個醫(yī)院H1通過使用醫(yī)療云輔助主治醫(yī)生M為病人進(jìn)行診斷，而病人P購買了保險(xiǎn)公司I的醫(yī)療保險(xiǎn)。醫(yī)護(hù)人員通過可穿戴的設(shè)備為病人收集相關(guān)的生理參數(shù)，包括心跳、血壓、血糖、體溫和尿量等，并且將這些數(shù)據(jù)托管給遠(yuǎn)程醫(yī)療云C進(jìn)行管理。醫(yī)院作為病人生理數(shù)據(jù)的擁有者，可以分配給醫(yī)護(hù)人員和醫(yī)生M操作權(quán)限。醫(yī)療云通過使用基于令牌的訪問控制來執(zhí)行不同請求者的認(rèn)證與授權(quán)，同時，也可以允許另一個醫(yī)院H2的醫(yī)療專家訪問病人的EHR。

當(dāng)開始診斷時，首先由醫(yī)護(hù)人員通過智能電話中的APP向醫(yī)療云C發(fā)出請求，并檢索病人P當(dāng)前的身體狀態(tài)。在醫(yī)護(hù)人員向醫(yī)療云C發(fā)出請求，并認(rèn)證與授權(quán)的過程中，會出現(xiàn)如下幾個方面的安全問題：

(1)H1和H2的醫(yī)生或其他職員向醫(yī)療云C發(fā)送請求，企圖進(jìn)行惡意操作或篡改用戶的生理數(shù)據(jù)。

(2)H1和H2的醫(yī)生或其他職員將病人P的生理健康數(shù)據(jù)EHR暴露給保險(xiǎn)公司I，保險(xiǎn)公司則可以根據(jù)病人的身體狀態(tài)在后續(xù)的保險(xiǎn)中提高價(jià)格。

所以，基于令牌的身份認(rèn)證與授權(quán)機(jī)制很難防止來自內(nèi)部人員對數(shù)據(jù)的威脅。防止域內(nèi)請求者惡意操作或暴露用戶數(shù)據(jù)是訪問控制問題中的挑戰(zhàn)。

針對域內(nèi)攻擊，需要在授權(quán)與認(rèn)證的基礎(chǔ)上，對已被認(rèn)證的用戶操作進(jìn)行評估，獲取惡意操作與篡改的證據(jù)，降低惡意操作人員的訪問等級或者拒絕此類人員的訪問，從而保證用戶數(shù)據(jù)的安全與隱私。文獻(xiàn)[6]提出了一種多層級的安全訪問控制模型，利用未授權(quán)暴露的概率和被暴露信息的價(jià)值來評估訪問風(fēng)險(xiǎn)，將主體和客體的安全許可等級抽象成請求者的誘惑指數(shù)來定義暴露概率。文獻(xiàn)[12]將資源劃分為不同的風(fēng)險(xiǎn)等級，不同風(fēng)險(xiǎn)等級的資源對應(yīng)不同的訪問控制策略，當(dāng)請求者對某一資源發(fā)出訪問請求時，可以根據(jù)資源的不同進(jìn)行自適應(yīng)對其進(jìn)行授權(quán)或拒絕其訪問。文獻(xiàn)[13]提出一種基于故障樹分析法構(gòu)建信息安全風(fēng)險(xiǎn)評估模型，通過定性與定量分析找到影響風(fēng)險(xiǎn)評估的主要因素。文獻(xiàn)[14]分析了云計(jì)算的特征，綜述了安全相關(guān)的技術(shù)，并分析其在云計(jì)算中的應(yīng)用。其中風(fēng)險(xiǎn)評估作為可信訪問中的技術(shù)可以對云服務(wù)訪問提供安全支持。文獻(xiàn)[15]提出了一種基于貝葉斯攻擊圖的動態(tài)風(fēng)險(xiǎn)評估模型，運(yùn)用貝葉斯推理方法對單步攻擊行為的后驗(yàn)概率進(jìn)行動態(tài)更新,最終實(shí)現(xiàn)對目標(biāo)網(wǎng)絡(luò)整體安全性的評估。本文的主要創(chuàng)新點(diǎn)如下：

(1) 提出了風(fēng)險(xiǎn)評估模型，對已被授權(quán)與認(rèn)證的用戶對數(shù)據(jù)對象的訪問進(jìn)行風(fēng)險(xiǎn)評估，從而降低了惡意用戶對數(shù)據(jù)的篡改、竊取或暴露。

(2) 給出了風(fēng)險(xiǎn)評估框架，描述了風(fēng)險(xiǎn)評估模型中的數(shù)學(xué)模型之間的調(diào)用關(guān)系。

(3) 對風(fēng)險(xiǎn)評估模型進(jìn)行了模擬實(shí)驗(yàn)，說明了此方法的可用性與合理性。

本文主要是對風(fēng)險(xiǎn)評估進(jìn)行建模，以獲取風(fēng)險(xiǎn)值供認(rèn)證與授權(quán)服務(wù)器參考，決定是否對請求者授權(quán)。如果請求風(fēng)險(xiǎn)高于某個閾值，則拒絕請求。

1 基于Web協(xié)同平臺框架

根據(jù)請求的域的不同，基于Web的協(xié)同平臺包含兩種請求方式，即本地請求和遠(yuǎn)程請求。本地請求是指在數(shù)據(jù)上傳時，由數(shù)據(jù)的擁有者(數(shù)據(jù)服務(wù)器管理員)設(shè)定并分配給指定用戶的權(quán)限，而這些特定用戶的請求，稱為本地請求，如實(shí)例中H1的醫(yī)護(hù)人員或主治醫(yī)生。遠(yuǎn)程請求是指將數(shù)據(jù)對象以共享的方式提供給特定用戶的訪問，如實(shí)例中H2的主治醫(yī)生。如圖1所示，風(fēng)險(xiǎn)評估框架包括以下參與者：

(1) 數(shù)據(jù)對象的擁有者OWi(Object Owner)：OWi是本地域用戶，他們可以設(shè)置數(shù)據(jù)對象的訪問等級(圖1中的第1步和第2步)，通常等級分為三級，即可讀(view)、可寫(edit)、可執(zhí)行(execute)。在完成協(xié)同操作后，將反饋發(fā)送給風(fēng)險(xiǎn)評估服務(wù)(圖1中的第3步)。

(2) 共享的數(shù)據(jù)對象Oi(Share Object)：Oi是被對象擁有者在協(xié)同平臺上共享的實(shí)體，包括文本、圖像等。每個Oi都有相應(yīng)的敏感度，可以用一個偏序關(guān)系表示，即：To-SecretSecretConfidentialUnclassified。

(3) 請求者(Requester)：請求者是來自本地或遠(yuǎn)程的用戶，在初始狀態(tài)需要從認(rèn)證與授權(quán)服務(wù)器獲取有效的令牌(圖1的第4步)。如果請求者獲取了令牌，并通過了認(rèn)證服務(wù)器對其訪問策略的驗(yàn)證，則可以帶著令牌訪問被OWi共享的Oi。也有可能發(fā)現(xiàn)請求者的訪問風(fēng)險(xiǎn)(圖1的第10步)。任何用戶都有對應(yīng)的信譽(yù)值和安全等級，根據(jù)信譽(yù)度可以將用戶分為三級：誠實(shí)(honest)、自私(selfish)和惡意(malicious)，即：honestselfishmalicious。

(4) 認(rèn)證與授權(quán)服務(wù)器(Authentication and Authorization Server)：OWi可以在認(rèn)證與授權(quán)服務(wù)器定義Oi的訪問策略，并根據(jù)此策略授予或拒絕請求者(圖1的第5步和第9步)。

(5) RM Web服務(wù)(RM Web service)：這是本文所提出的請求風(fēng)險(xiǎn)評估服務(wù)，被認(rèn)證與授權(quán)服務(wù)器所調(diào)用，通過RM服務(wù)獲取請求者的請求風(fēng)險(xiǎn)值，認(rèn)證與授權(quán)服務(wù)器通過風(fēng)險(xiǎn)值決定是否對訪問請求者授權(quán)(圖1的第7步和第8步)。也可能收到對象擁有者OWi的反饋(圖1的第3步)。

圖1 基于Web的協(xié)同平臺架構(gòu)

2 可預(yù)測的風(fēng)險(xiǎn)評估服務(wù)模型

2.1 風(fēng)險(xiǎn)評估模型

定義1訪問請求(Access Request):我們可以用一個五元組來表示，即(UID,Ul,A_M,OBp,OBt)。其中：UID表示請求者ID；Ul表示請求者的安全等級；OBp表示對象，其包括三種屬性O(shè)Bp={C,I,A}，C表示機(jī)密性(Confidentiality)，I表示完整性(Integrity)，A表示可用性(Availability)；而對象OBt包括4種類型OBt={Top secret,Confidentiality,Sensitive,Non-sensitive}；A_M表示訪問模式，A_M={VIEW,EDIT,EXECUTE}。不同的訪問模式對不同類型的對象進(jìn)行訪問，對其威脅也不同，舉例說明如表1所示。

表1 訪問模式對對象屬性的影響

我們對權(quán)值回歸模型對風(fēng)險(xiǎn)值進(jìn)行建模，即：

R=ws×s+wl×l

(1)

式中：ws表示對象敏感度的權(quán)值；s表示對象敏感度；wl表示請求者安全等級權(quán)值；l表示請求者的安全等級。ws和wl可以表示：

(2)

式中：ws可以利用訪問請求者對訪問模式誤操作的效用值來表示；υ表示風(fēng)險(xiǎn)容忍參數(shù)，取值在[0,1]之間；-cj表示訪問請求可能對數(shù)據(jù)對象造成的損害，可以通過歷史數(shù)據(jù)中的訪問模式發(fā)生的概率計(jì)算得到。cj的計(jì)算公式如下：

cj=(C×paj)+(I×paj)+(A×paj)

(3)

式中：C、I和A分別表示訪問對象的機(jī)密性、完整性和可用性；paj表示歷史數(shù)據(jù)中的訪問模式發(fā)生的概率。

(4)

式中：λ表示對協(xié)同平臺主觀的衰減率(Uncertainty Parameter)，取值范圍為[0,1]；ρTk表示請求者信譽(yù)度。我們利用Inverse Gompertz函數(shù)對請求者的信譽(yù)度ρTk建模。在初始化時，給每個請求者最大的信譽(yù)度，根據(jù)訪問策略，使其能夠訪問各個敏感層級的數(shù)據(jù)。當(dāng)發(fā)現(xiàn)請求者惡意交互時，其信譽(yù)度的值就會下降，直到信譽(yù)度為0，并收回訪問令牌。因此，請求者信譽(yù)度可以表示為：

ρTk=1-A·e-B·e-C.Tr

(5)

式中：Tk表示請求者惡意操作的次數(shù)；A表示信譽(yù)值的上漸近線，取A=1；B為正常數(shù)，是控制信譽(yù)值的置換；C調(diào)節(jié)衰減率，A、B和C表示Gompertz參數(shù)。

綜合式(1)-式(5)可以得到風(fēng)險(xiǎn)值的計(jì)算模型為：

(6)

2.2 風(fēng)險(xiǎn)評估框架

由圖1可知，當(dāng)請求用戶向數(shù)據(jù)對象發(fā)送請求時，首先向認(rèn)證與授權(quán)服務(wù)器請求，獲得認(rèn)證并得到有效的令牌。這時，授權(quán)與認(rèn)證服務(wù)器向風(fēng)險(xiǎn)評估服務(wù)發(fā)出請求，得到請求用戶的風(fēng)險(xiǎn)值。

在這個過程當(dāng)中，首先認(rèn)證與授權(quán)服務(wù)器將請求發(fā)送給請求處理器，請求處理器分別調(diào)用Uncertainly函數(shù)獲得ws的值，調(diào)用Utility函數(shù)得到wl，并通過對象數(shù)據(jù)庫得到對象的敏感度，同時通過信譽(yù)計(jì)算模塊得到請求用戶的信譽(yù)值。利用前期得到的ws、wl、l和s值，通過權(quán)值線性回歸函數(shù)獲取訪問請求的風(fēng)險(xiǎn)值，并將訪問請求的風(fēng)險(xiǎn)值返回給認(rèn)證與授權(quán)服務(wù)器。認(rèn)證與授權(quán)服務(wù)器根據(jù)風(fēng)險(xiǎn)值決定是給予該請求者授權(quán)，還是拒絕此次服務(wù)。

具體的調(diào)用過程如圖2所示。

圖2 風(fēng)險(xiǎn)評估框架

3 風(fēng)險(xiǎn)評估模擬實(shí)驗(yàn)

我們通過模擬實(shí)驗(yàn)獲取權(quán)值回歸中權(quán)值其及參與之間的關(guān)系，模擬實(shí)驗(yàn)參數(shù)取值如表2所示。

表2 模擬實(shí)驗(yàn)參數(shù)值

圖3表示模擬ws曲線，其中橫軸表示訪問請求可能對數(shù)據(jù)對象造成的損害(Expected Damage)-Δcj，縱軸表示效用ws。圖3顯示了潛在的惡意請求者通過惡意操作獲取不同敏感度的共享對象的效用(Utility)，風(fēng)險(xiǎn)容忍參數(shù)(Risk Tolerance Parameter)υ控制效用增長率。對于較低的風(fēng)險(xiǎn)容忍度，協(xié)同平臺可能會選擇敏感度較低的對象向請求者共享。但是對于關(guān)鍵操作，需要將風(fēng)險(xiǎn)容忍參數(shù)調(diào)高，以保證遠(yuǎn)程用戶可以訪問到敏感數(shù)據(jù)對象。

圖3 ws的模擬曲線

圖4表示wl的模擬曲線，其中縱軸表示wl，橫軸表示信譽(yù)度的值。可以看出，隨著信譽(yù)度值的減少，其wl值也在減少。當(dāng)C=0.7，λ=0.25時，w2衰減得最快；當(dāng)C=0.7，λ=0.65時，wl衰減得最慢；當(dāng)C=0.7，λ=0.45時，wl衰減的速度介于C=0.7，λ=0.65和C=0.7，λ=0.45之間。

圖4 wl的模擬曲線

我們在3種不同的訪問模式下，計(jì)算平均風(fēng)險(xiǎn)值并對其進(jìn)行模擬，如圖5所示。

圖5 訪問模式所對應(yīng)的風(fēng)險(xiǎn)值

例如，訪問模式為EIDT和EXECUTE的風(fēng)險(xiǎn)值始終高于訪問模式VIEW的風(fēng)險(xiǎn)。因此，由訪問模式為VIEW對共享對象所造成的破壞比其他兩種訪問模式要低，協(xié)同平臺可能會將高敏感度的數(shù)據(jù)對象授權(quán)給訪問模式為VIEW的訪問請求者。

4 結(jié) 語

面向Web協(xié)同的授權(quán)系統(tǒng)，基于域內(nèi)攻擊，提出了一種風(fēng)險(xiǎn)評估方法，可以通過訪問客體的敏感度和訪問主體的安全水平，計(jì)算訪問請求的風(fēng)險(xiǎn)值。授權(quán)與認(rèn)證服務(wù)器可以通過對風(fēng)險(xiǎn)值的判定，決定是否授權(quán)給請求者訪問數(shù)據(jù)對象，從而達(dá)到保護(hù)數(shù)據(jù)對象免受域內(nèi)請求的惡意破壞或轉(zhuǎn)發(fā)，避免給對象擁有者造成經(jīng)濟(jì)損失，降低隱私暴露風(fēng)險(xiǎn)。

下一步工作，將定義約束或規(guī)則與域內(nèi)請求者簽訂對象數(shù)據(jù)的保護(hù)合同，將約束條款與請求者的行為進(jìn)行匹配，并通過驗(yàn)證的方式獲取請求惡意交互的證據(jù)，跟蹤請求的操作行為，將其以日志的方式存入日志服務(wù)器，通過請求者的歷史行為很準(zhǔn)確地計(jì)算出請求用戶的信譽(yù)值。通過這些方法進(jìn)一步約束域內(nèi)請求者的行為，降低域內(nèi)請求風(fēng)險(xiǎn)。