一種基于CPK角色訪問控制的方案

陳亞茹

(河南工業(yè)貿(mào)易職業(yè)學(xué)院信息工程系 鄭州 450012)

(642200814@qq.com)

移動辦公用戶接入到WiFi通過服務(wù)器身份認(rèn)證成功之后，用戶可以訪問公司內(nèi)網(wǎng)的電子文檔.電子文檔的傳統(tǒng)保護(hù)方法是對文檔進(jìn)行加密存儲，用戶破解密鑰后就擁有訪問電子文檔的所有權(quán)限[1].在訪問過程中非法用戶可以通過拷貝、復(fù)制等方式泄露公司的機(jī)密數(shù)據(jù)，造成公司巨大的經(jīng)濟(jì)損失.因此如何加強(qiáng)對公司內(nèi)部機(jī)密電子文檔的保護(hù)是一個研究重點.

公司內(nèi)部電子文檔從文檔本身加密和分配用戶訪問權(quán)限2個方面進(jìn)行保護(hù)，因此移動辦公用戶訪問公司文檔時需要進(jìn)行身份認(rèn)證、權(quán)限控制、文檔加解密等操作，實現(xiàn)公司內(nèi)部電子文檔的安全訪問[2].文獻(xiàn)[3]提出了基于公鑰基礎(chǔ)設(shè)備(public key infrastructure, PKI)的數(shù)字簽名方案，在一定程度上實現(xiàn)電子文檔的傳輸數(shù)據(jù)安全，但是存在CA權(quán)威和信任度缺陷的問題.針對文獻(xiàn)[3]存在CA權(quán)威和信任度缺陷的問題，文獻(xiàn)[4]提出了基于組合公鑰(combined public key)的電子文檔保護(hù)方案，實現(xiàn)接收方直接通過解密電子文檔就可以擁有全部權(quán)限的功能，但是存在權(quán)限不明確的問題.針對文獻(xiàn)[4]存在權(quán)限不明確的問題,文獻(xiàn)[5]提出了CPK與自主訪問控制(DAC)相結(jié)合的保護(hù)方案,根據(jù)用戶而不是角色來授權(quán)電子文檔的操作權(quán)限，但是存在難以有效地控制自主授權(quán)方式,出現(xiàn)重復(fù)授權(quán)等情況，不利于管理.針對文獻(xiàn)[5]存在重復(fù)授權(quán)的問題,文獻(xiàn)[6]提出角色訪問控制電子文檔管理的方案，解決了重復(fù)授權(quán)的問題，但是沒有解決權(quán)限細(xì)化的問題.針對權(quán)限細(xì)化的問題，即隨著訪問者數(shù)量的增加，不同的角色需要訪問不同的資源,基于角色訪問控制(role-based access control, RBAC)的模型應(yīng)運而生[7].隨著用戶的增加，基于RBAC訪問策略控制模型出現(xiàn)了許多問題[8]，特別是在面對多層次用戶的訪問環(huán)境時，傳統(tǒng)的基于角色訪問控制技術(shù)不能完全展現(xiàn)自身優(yōu)勢.針對RBAC訪問策略控制模型出現(xiàn)的問題，人們提出了RBAC95模型[9]和RBAC96模型[10].其中RBAC95模型存在不支持細(xì)粒度訪問控制的問題，RBAC96模型中存在角色權(quán)限及其繼承關(guān)系復(fù)雜性、不支持多用戶訪問控制環(huán)境的問題.文獻(xiàn)[11]針對角色訪問策略模型存在的問題，提出改進(jìn)的多層次訪問策略，但是增加了整個體系管理成本.隨著組合公鑰的提出和深入研究，文獻(xiàn)[12]提出了CPK與RBAC訪問策略結(jié)合的方案.文獻(xiàn)[13]把CPK與RBAC訪問策略結(jié)合的方案應(yīng)用到實際中，指出CPK-RBAC是解決身份認(rèn)證的安全問題和細(xì)粒度保護(hù)措施的基礎(chǔ).文獻(xiàn)[14]指出文獻(xiàn)[12]僅提出了權(quán)限集、會話集，在約束集上沒有解決的措施.針對約束集上的問題，文獻(xiàn)[14]提出了一種CPK與RBAC96模型相融合的方案，采用繼承和約束的關(guān)鍵技術(shù)對訪問控制進(jìn)一步細(xì)分，解決了訪問控制中權(quán)限沖突等問題，進(jìn)一步實現(xiàn)了訪問的安全，但是在移動辦公中增加了管理員管理的負(fù)擔(dān).

基于此，針對移動辦公過程中限制訪問者權(quán)限目前需要滿足下面2個條件：

1) 授權(quán)終端用戶ID，分配給用戶一定權(quán)限訪問公司內(nèi)部數(shù)據(jù)；

2) 給用戶分配不同的角色，使得用戶不可以越權(quán)訪問公司內(nèi)部數(shù)據(jù).

通過以上分析，本文提出了CPK和角色訪問控制相結(jié)合的改進(jìn)模型CPK-RBAC.該模型的思想是在保留RBAC96中繼承約束關(guān)系的基礎(chǔ)上，去除RBAC97模型中繼承關(guān)系的復(fù)雜度，引入用戶組并通過密鑰加密文檔，每個密鑰代表不同的權(quán)限，同時對密鑰賦予相應(yīng)的用戶.不同密鑰保護(hù)不同的文檔，不同用戶分配不同的密鑰，合法用戶只有根據(jù)自己密鑰權(quán)限才可以解密相應(yīng)的文檔，保證了公司文檔的安全.

1 基于CPK角色訪問控制的設(shè)計

1.1 基于CPK角色訪問控制的目標(biāo)

本文的總體思路是CPK和角色訪問控制相結(jié)合，把用戶標(biāo)識(用戶標(biāo)識信息、安全級別)貫穿到身份認(rèn)證和訪問控制中.首先，CPK服務(wù)器為每一個用戶分配一個安全級別和用戶擁有該級別的安全級別密鑰，并引入用戶組來實現(xiàn)角色為核心的訪問控制；其次，根據(jù)用戶的操作行為劃分成不同的用戶等級，每個等級具有相同的密鑰，用戶在執(zhí)行訪問操作之前，進(jìn)行身份權(quán)限的檢查；最后，判斷用戶是否有權(quán)限進(jìn)行這個操作，若有這個權(quán)限，允許用戶執(zhí)行相應(yīng)密鑰的授權(quán)人員才能解密文檔，否則拒絕非法用戶的訪問.

1.2 基于CPK角色訪問控制模型

訪問控制是先確定訪問者身份，之后根據(jù)身份進(jìn)行權(quán)限分配.RBAC模型根據(jù)權(quán)限實現(xiàn)用戶和權(quán)限的分離，本文從下面幾個方面對RBAC模型進(jìn)行改進(jìn)：

1) 引入了用戶組的概念.改進(jìn)的模型支持對用戶組和用戶的授權(quán)，每一個分組授予不同的角色,每個角色擁有不同的權(quán)限，用戶組授權(quán)使授權(quán)工作進(jìn)一步簡化，可以把傳統(tǒng)管理員進(jìn)一步細(xì)分成系統(tǒng)管理員、審計管理員、安全保密員.其中對用戶的授權(quán)由系統(tǒng)管理員來實現(xiàn)，改變了傳統(tǒng)上全部工作由管理員來完成的任務(wù)，用戶劃分為高層用戶、中層用戶、一般用戶和低級用戶；

2) 為每個用戶分配一個安全級別且用戶擁有安全級別對應(yīng)的密鑰.通過密鑰加密文檔，每個密鑰代表不同的權(quán)限，同時密鑰賦予相應(yīng)的用戶.不同密鑰保護(hù)不同的文檔，合法用戶只有根據(jù)自己密鑰權(quán)限才可以解密相應(yīng)的文檔.文檔解密后，通過服務(wù)器計算公鑰，進(jìn)一步檢測文檔的完整性.客戶端通過該方式訪問公司內(nèi)部文檔，保證了公司文檔的安全.

CPK與角色訪問控制模型(RBAC)的結(jié)合方式如圖1所示：

圖1 CPK與RBAC訪問策略結(jié)合方式

1) 符號的含義

CPK KMC：CPK的密鑰管理中心；U:用戶集；R：角色集；P：權(quán)限集；S：會話集；C：用戶組.描述如下：

PA∈p×R，表示多對多的權(quán)限與用戶分配關(guān)系，PA∈{(r,p)|r∈R,p∈P}P×R;

UA?U×R，表示多對多的用戶與角色的分配關(guān)系，UA={(u,r)|u∈U}U×R;

US:S→U,表示會話到用戶集的映射，每個會話對應(yīng)單個用戶；

SR:S→R,表示會話集到角色集的映射函數(shù)；

RH?R×R，表示角色集R的關(guān)系；

UC:U→C，表示給用戶指定用戶組；

CA:C→A，表示對指定的用戶組授權(quán)；

UA:U→A，表示對用戶直接授權(quán).

綜上所述，CPK和RBAC模型是通過用戶ID標(biāo)識聯(lián)系在一起.在CPK系統(tǒng)中，終端用戶向CPK密鑰注冊中心(RMC)申請用戶注冊，在經(jīng)過密鑰注冊中心的核審后把標(biāo)識發(fā)送給密鑰管理中心(KMC)，密鑰生成中心(KPC)生成用戶ID返回給用戶.訪問控制根據(jù)用戶標(biāo)識分配角色，并根據(jù)角色為用戶分配相應(yīng)級別的權(quán)限.通過增加支持用戶和用戶組授權(quán)，對用戶的權(quán)限和授權(quán)部門進(jìn)一步細(xì)化，使管理員授權(quán)用戶角色更加方便.

2) CPK ID證書

嵌套CPK ID證書的CPK TF卡由CPK密鑰管理中心生成，經(jīng)過密鑰注冊中心分發(fā)到用戶終端.CPK TF卡中存放的內(nèi)容包括以下幾項.

① CPK TF卡公開的信息：用戶姓名、年齡等.

② 頒發(fā)機(jī)構(gòu)的信息.

③ 用戶標(biāo)識：姓名、單位名稱、電話、郵件、賬號等.

④ 權(quán)限(等級)密鑰kp：在公司內(nèi)網(wǎng)中，為了保護(hù)文件的信息，需要對文件進(jìn)行強(qiáng)制密級劃分，并為移動辦公用戶分配相應(yīng)的權(quán)限密鑰.權(quán)限密鑰kp采用對稱密鑰AES算法加密，在口令pwd加密下存放：Epwd(kp).相同權(quán)限用戶的級別密鑰是相同的，高級別權(quán)限的用戶擁有比自己級別低的權(quán)限密鑰.例如：假定機(jī)密權(quán)限等級高于秘密和公開的權(quán)限，那么擁有機(jī)密權(quán)限的用戶，也同時擁有秘密和公開的權(quán)限密鑰.其中，公司內(nèi)部文檔分為4個等級：絕密、機(jī)密、秘密、內(nèi)部.

⑤ 級別(角色)密鑰kc：在多個領(lǐng)域中，需要對用戶進(jìn)行不同級別的劃分，這個級別通過對稱密鑰實現(xiàn).kc在口令pwd加密下存放：Epwd(kc).級別相同的用戶具有相同級別密鑰.

⑥ 應(yīng)用環(huán)境參數(shù)：不同領(lǐng)域的用戶標(biāo)識是不同的，比如電子郵件需要郵件標(biāo)識、辦公用戶需要用戶名等.

⑦ 私鑰SSK:SSK由密鑰管理中心生成，并用隨機(jī)數(shù)加密私鑰，防止私鑰的泄露，即Er(SSKn).其中不同用戶隨機(jī)數(shù)是不同的，用戶自己保存隨機(jī)數(shù)，防止CPK TF丟失，造成信息泄露的問題.

⑧ 公鑰矩陣PSK.

3) 用戶權(quán)限和用戶角色

根據(jù)ID證書可以確定用戶角色和設(shè)置用戶權(quán)限.用戶角色劃分如圖2所示：

圖2 用戶角色劃分示意圖

① 確定用戶角色

角色等級由管理員和用戶等級2部分組成.管理員分為系統(tǒng)管理員、審計管理員、安全保密員3種級別，不同管理員對系統(tǒng)分別進(jìn)行管理；根據(jù)用戶訪問文檔角色等級，系統(tǒng)管理員把用戶劃分為高層用戶、中層用戶、一般用戶、低級用戶.系統(tǒng)管理員管理用戶級別并為其發(fā)放ID證書，不同級別用戶擁有不同的權(quán)限.

② 設(shè)置用戶權(quán)限

根據(jù)用戶角色進(jìn)行相應(yīng)的權(quán)限設(shè)置.若用戶是高層用戶，則其證書具有絕密、機(jī)密、秘密、公開的對稱密鑰，若用戶是中層用戶則具有3個密鑰，一般用戶具有2個密鑰，低級用戶具有2個密鑰.

當(dāng)終端用戶登錄到CPK服務(wù)器時，CPK服務(wù)器根據(jù)用戶名和PIN碼來獲得用戶的基本信息，查詢用戶屬于哪個用戶組，可以對應(yīng)訪問等級密鑰.

2 基于CPK角色訪問控制的實現(xiàn)

基于CPK-RBAC的訪問控制設(shè)計主要采用下面3個算法實現(xiàn)，分別是配置密鑰、文檔加密和解密過程.

2.1 配置密鑰

配置密鑰包括文件密鑰配置、角色密鑰配置和等級(權(quán)限)密鑰配置.配置密鑰過程如下：

1) 文件密鑰配置

① 絕密級別密鑰變量key1；

② 機(jī)密級別密鑰變量key2；

③ 秘密級別密鑰變量key3；

④ 公開級別密鑰變量key4.

2) 角色密鑰配置

① 系統(tǒng)管理員密鑰變量c_key1;

② 高層用戶密鑰變量c_key2;

③ 中層用戶密鑰變量c_key3;

④ 一般用戶密鑰變量c_key4;

⑤ 低級用戶密鑰變量c_key5.

3) 等級密鑰配置

① 機(jī)器產(chǎn)生隨機(jī)密鑰：Ran_key=256 b，每一臺機(jī)器產(chǎn)生不同的密鑰；

② 定義初值：data=256 b，采用口令pwd輸入；

③ 采用AES加密，計算：

ERan_key(data)=data1;

Edata(data1)=data2;

Edata1(data2)=data3;

Edata1(data3)=data4.

④ 若用戶是高層用戶，把data1,data2,data3,data4寫入等級密鑰區(qū)；

若用戶是中層用戶，把data2,data3,data4寫入等級密鑰區(qū)；

若用戶是一般用戶，把data3,data4寫入等級密鑰區(qū)；

若用戶是低級用戶，把data4寫入等級密鑰區(qū).

把用戶ID標(biāo)識、角色密鑰、等級密鑰、私鑰、公鑰矩陣、時間戳等寫入ID證書.

2.2 文檔加密過程

服務(wù)器產(chǎn)生隨機(jī)數(shù)Ran，利用等級密鑰對文檔加密.

ERan⊕c_keyn⊕keyn(data)=coded_text;
EPK(Ran)=coded_key.

服務(wù)器先把文檔分成不同的等級，后用文件對應(yīng)的等級密鑰加密文檔.用戶根據(jù)CPK ID證書中用戶級別進(jìn)行文檔訪問，級別高的用戶可以訪問級別低的用戶.

2.3 文檔解密過程

文檔收到服務(wù)器發(fā)送的信息，利用等級密鑰進(jìn)行解密.

DSK(coded_key)=Ran;
DRan⊕c_keyn⊕keyn(coded_text)=data.

首先檢測用戶級別是否大于文檔級別，若用戶擁有權(quán)限，用ID證書中對應(yīng)的文件等級密鑰解密文檔.

綜上所述，基于CPK-RBAC的訪問控制流程如圖3所示：

圖3 CPK-RBAC訪問控制流程圖

1) 系統(tǒng)為每個用戶劃分一個等級， CPK管理中心基于這個等級生成并分發(fā)ID證書.終端用戶插入CPK TF卡向CPK服務(wù)器發(fā)送登錄請求，CPK服務(wù)器根據(jù)強(qiáng)身份認(rèn)證(PIN碼和用戶密碼)對用戶進(jìn)行身份認(rèn)證；

2) 當(dāng)終端身份認(rèn)證通過之后，用戶提出訪問公司內(nèi)部某級別文件時，服務(wù)器首先查看電子文檔的說明(級別等)，之后提取用戶ID標(biāo)識，終端訪問公司內(nèi)部文件服務(wù)器獲取用戶的信息，并查詢用戶屬于哪個用戶組，并獲得用戶安全級別，當(dāng)用戶的安全級別高于該文件的級別時，允許用戶繼續(xù)進(jìn)行步驟3)，否則訪問結(jié)束；

3) 用戶訪問的文檔是加密后的密文，用戶利用等級密鑰解密文檔，之后再利用對方公鑰進(jìn)行數(shù)字簽名驗證來檢測文檔的完整性，如果文檔完整允許繼續(xù)進(jìn)行步驟4);

4) 查看用戶訪問文檔的具體權(quán)限，進(jìn)行只讀、只寫，完成對文檔的操作.

系統(tǒng)基于ID標(biāo)識為用戶分配一個安全級別且用戶擁有該級別的安全密鑰，實現(xiàn)不同級別用戶對不同文件進(jìn)行操作，若用戶越權(quán)使用文檔，則服務(wù)器采取措施阻止非法用戶的訪問.

3 系統(tǒng)測試

圖4 身份認(rèn)證

本方案配置Windows系統(tǒng)中安裝虛擬機(jī)VM，在虛擬機(jī)上安裝了Windows Server2003,Windows Server2003作為服務(wù)器.其中服務(wù)器端含有CPK算法模塊，終端含有CPK算法模塊的ID標(biāo)識.采用Java語言對訪問的文檔進(jìn)行測試.實驗包括2個部分：一是根據(jù)CPK ID標(biāo)識測試終端的合法身份；二是測試用戶根據(jù)權(quán)限對文檔的訪問操作.用戶登錄進(jìn)行身份認(rèn)證如圖4所示，文檔訪問如圖5所示：

圖5 文件訪問

身份認(rèn)證測試結(jié)果表明，系統(tǒng)對用戶身份認(rèn)證成功之后，根據(jù)CPK ID標(biāo)識把權(quán)限準(zhǔn)確細(xì)分給用戶，用戶根據(jù)自己的權(quán)限密鑰訪問對應(yīng)的等級密鑰文檔，防止用戶越權(quán)訪問文檔，實現(xiàn)公司內(nèi)部數(shù)據(jù)的安全.

4 結(jié)束語

本文設(shè)計了一種基于CPK的角色訪問控制方案.從CPK、訪問控制等方面，在保留RBAC96中繼承約束關(guān)系的基礎(chǔ)上，去除RBAC97模型中繼承關(guān)系的復(fù)雜度，通過密鑰加密文檔，不同密鑰保護(hù)不同的文檔，不同用戶分配不同的密鑰，合法用戶只有根據(jù)自己密鑰權(quán)限才可以解密相應(yīng)的文檔，防止非法用戶越權(quán)訪問.