移动环境多角色安全互斥风险模糊评估.docVIP

移动环境多角色安全互斥风险模糊评估 　　摘 要：传统机制解决移动环境多角色安全互斥问题的效率较低，为此，提出利用多角色综合敏感度评判安全互斥程度的解决方案。系统基于角色内部安全因素模糊评判角色敏感度，再采用补偿竞争算法计算多角色综合敏感度，即对角色敏感度进行海明距离补偿，取补偿后的最大值为多角色综合敏感度，使移动环境多角色系统在安全和效率间取得平衡。最后，分析了算法的复杂度，使用实例论证了算法可以提高角色的执行效率。 关键词：移动计算；安全互斥；模糊评判；敏感度；风险值 中图分类号： TP393.07 文献标志码：A 0 引言 基于角色访问控制（RoleBased Access Cotrol，RBAC）[1]是移动环境（如Ad Hoc）的主要安全策略，角色权限受时态约束，在同时态区间一个角色可能继承或执行多个互斥角色，或多个互斥角色可能动态构成一个交互系统。传统RBAC采取任务分离机制解决互斥问题；通用时态约束基于角色访问控制（Generalized Temporal RoleBased Access Cotrol，GTRBAC）[2]使用强方式和弱方式，强方式中互斥角色完全独立，不利于角色权限灵活变更，弱方式中互斥角色完全包容，不利于角色安全；“中国墙”[3]策略直接将利益冲突双方相互隔离。不管是传统RBAC、GTRBAC，还是“中国墙”，角色互斥关系都是静态的，是“两两”互斥，在判断移动环境多角色互斥关系时具有局限性。虽然RBAC可以对多角色分组，仅使同组角色具有相同权限，但不能决定角色之间的互斥关系。 按照互斥产生的原因，角色互斥可以分为时序互斥、内容互斥和安全互斥。时序互斥指角色具有先后执行时序；内容互斥指角色内容不允许同时执行；时序互斥和内容互斥是显性互斥关系，可以通过改变角色的执行时序解决。安全互斥指角色执行时存在信息安全风险，如石油公司A的客户信息和石油公司B的客户信息存在安全互斥风险。安全互斥需要考虑互斥程度，如石油公司A和B以及电信公司C，因为A和B存在利益冲突，A和B的客户信息安全互斥程度应该大于A和C或者B和C。本文仅涉及安全互斥。 模糊信任和风险评估是分布式RBAC应用的主要安全措施。文献[4]指出安全具有模糊性，使用模糊逻辑描述多级安全策略。信任度或敏感度（Sensitive，Sen）是实现角色任务模糊分离的主要机制。文献[5-7]中信任度或敏感度是静态的，文献[8-10]借用上下文环境使信任度具有动态性。模糊信任是基于上下文环境、用户属性等信息，使用模糊方法计算用户的信任度，并根据信任度或敏感度决定是否给用户授权。因为上下文环境和用户属性等信息的收集有一定局限性，基于信任授权并不能完全防范安全风险，尤其是合法用户的非法行为，如角色误用和滥用等。风险评估对用户访问进行风险分析并给出安全评价。文献[11-12]针对用户信任、访问行为和角色历史等信息对用户访问请求进行风险评估，建立风险自适应的分布式数据库系统RBAC；文献[13]基于RTR实现带风险约束的分布式环境角色授权和委托授权模型，由边风险聚合为路径风险；文献[14]按风险大小将风险图中的角色划分到不同的风险带中，定义了带风险约束的许可分配规则；文献[15]定义了模糊多级安全（Multi_Level Security，MLS），使用Sigmoid函数建立敏感度与信息泄漏风险的关系；文献[16]实现了模糊风险BLP，定义了多风险因素的连接、析取、包含和聚合等操作规则及风险访问控制系统，文献[17]则实现了文献[16]的风险访问控制原型；文献[18]能够对用户的角色需求进行风险预估，通过调整风险门限值既满足用户合适的角色需求，又防止滥用角色权限；文献[19]建立了基于随时间推移的风险值预估信任模型，限制恶意节点的行为。风险技术有两个明显的趋势，一是求角色集合风险值，二是对角色风险进行预估。角色风险值由系统根据上下文环境和用户行为判定，角色集合风险值则是相关角色风险值的和值；风险预估可以控制用户的行为。用户行为易具有欺骗性，判断用户行为特征有一定难度；敏感度给用户、角色和客体三者之间的安全提供被动保护；上下文环境、用户属性和用户行为是角色安全的外因，移动环境角色之间关系随机变化，仅由外因考虑角色安全不太客观，角色安全内部因素是角色安全脆弱性的根本原因，因此角色安全可以通过优化角色内部机制而改进；对于分布式多角色环境，需要考虑角色之间的安全关系，尤其是安全互斥，虽然不同角色之间可以依靠信任链传递信任，但中间环节可能影响可靠性，另外角色集合的风险值与角色的风险值不是线性关系，不能简单地通过求和实现。 本文从角色内部因素判断角色敏感度，即对因为角色内部安全缺陷可能引起的角色信息随机泄漏、角色信息误读和角色信息误写