楊新民

隨著信息化在各行各業(yè)的不斷深入應(yīng)用，未來人類的生活將越來越依賴信息化。我國信息化建設(shè)雖然后期發(fā)展迅猛，但信息安全基礎(chǔ)設(shè)施薄弱，信息安全技術(shù)能力亟待提高，尤其是在緊密聯(lián)系著國計民生的政府、金融、通信、交通、能源、軍事等行業(yè)領(lǐng)域信息風(fēng)險較為突出。這些領(lǐng)域的信息系統(tǒng)中數(shù)據(jù)信息巨大，并且這些信息系統(tǒng)大量整合了政府、金融機構(gòu)、醫(yī)院、運營商、企業(yè)等多方面的信息資源，往往涉及到政務(wù)、商業(yè)、生活、個人隱私等方方面面，而接口、隱蔽通道眾多，容易出現(xiàn)連鎖反應(yīng)。一旦出現(xiàn)信息泄露，將導(dǎo)致發(fā)生重大的安全事件，后果不堪設(shè)想。

同時隨著信息技術(shù)的普及，信息系統(tǒng)的管理者眾多，使用者更是不計其數(shù)，安全威脅源越來越寬泛。因此，基于可信計算通過發(fā)放和維護身份認證信息來建立一套信任網(wǎng)絡(luò)，并對這些不同身份信息的人賦予不同的資源訪問權(quán)限，匹配不同的訪問控制策略，來進行資源訪問的強制控制，從而實現(xiàn)可信的訪問控制，是未來信息安全建設(shè)的重中之重，甚至可以說將來會是影響到所有行業(yè)信息安全發(fā)展的基石。而要做到可信的訪問控制，關(guān)鍵有兩點：身份可信和訪問控制。

身份，可信訪問的核心

可信的核心是身份的可信。只有實現(xiàn)身份的可信，才能實現(xiàn)給不同的身份進行授權(quán)和審計。要想實現(xiàn)身份的可信，防止身份被盜用，就需要對所有的身份都分別賦予一個唯一的標識，標識是實體身份的一種計算機表達，每個實體與計算機內(nèi)部的一個身份表達綁定，并且設(shè)定標識的有效期和權(quán)限范圍，當主體發(fā)起一個客體訪問時，會首先對該主體的身份標識進行認證，進而匹配不同的訪問控制策略。

通過身份標識和認證可以實現(xiàn)兩個目的，一是對身份進行授權(quán)控制，二是可以跟蹤所有操作的參與者，同時參與者的任何操作都能被明確地標識出來。因此身份標識認證技術(shù)可以從運營、管理、規(guī)范、法律、人員等多個角度來解決網(wǎng)絡(luò)信任問題。

控制，可信訪問的實現(xiàn)

訪問控制主要從物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)等層面實現(xiàn)對非授權(quán)訪問的控制。訪問控制機制的目的是為了保證系統(tǒng)中的數(shù)據(jù)只能被有權(quán)限的人訪問，未經(jīng)授權(quán)的人則無法訪問到數(shù)據(jù)。訪問控制的核心是控制未授權(quán)的訪問。未授權(quán)訪問指的是未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。這里又包含兩個方面：一個是非法用戶對系統(tǒng)資源的使用，另一個是合法用戶對系統(tǒng)資源的非法使用。因此，要實現(xiàn)訪問控制，第一步是鑒別主體的合法身份，第二步是授權(quán)或限制用戶對資源的訪問權(quán)限。

常規(guī)的訪問控制模型中，訪問可以對一個系統(tǒng)或在一個系統(tǒng)內(nèi)部進行。訪問控制框架主要涉及三方面：提交訪問請求、訪問控制以及提出訪問請求。其中，主要包含主體、客體、訪問控制實施模塊和訪問控制策略模塊。訪問控制的實施模塊是執(zhí)行訪問控制的機制，根據(jù)主體提出的訪問請求和訪問控制策略的決策規(guī)則對訪問請求進行分析處理，在授權(quán)范圍內(nèi)，允許主體對客體進行有限的訪問；訪問控制策略模塊表示一組訪問控制規(guī)則和策略，控制著主體的訪問許可。

常見的訪問控制模型有Bell-La Padula模型、Biba模型、Clark-Wilson模型、Chinese Wall模型等。每個模型雖然采用了不同的控制策略和機制，但是其實質(zhì)都是通過控制主體的訪問許可，根據(jù)訪問控制策略，有效實現(xiàn)控制主體的訪問對象、范圍、權(quán)限等。而不管是哪種訪問控制模型，由于其無法對身份進行標識和驗證，一旦主體的身份被盜用或者身份鑒別信息被篡改，訪問控制策略將被輕易繞過，形同虛設(shè)。因此只有結(jié)合身份認證技術(shù)，解決了身份的可信問題，才能實現(xiàn)真正意義上的可信訪問控制。

基于身份的可信訪問

訪問控制模型是針對信息的安全保護提出的，具有很好的安全性。而基于身份的可信訪問控制模型，是針對控制策略的靈活與管理的方便而提出的。為了得到更加安全且使用靈活的訪問控制模型，需要找到兩種模型的結(jié)合點。在現(xiàn)有的訪問控制模型基礎(chǔ)上，結(jié)合身份標識認證技術(shù)，即可形成基于身份的可信訪問控制模型，如下圖所示。

當然該模型不是在常見的訪問控制模型中簡單的插入身份標識認證技術(shù)，而是通過調(diào)整不同模塊的功用和位置，將訪問控制模型和身份標識認證二者有機結(jié)合在一起，形成該模型的核心部分——基于身份的可信訪問控制決策模塊，該模塊通過對不同用戶的角色授權(quán)，來實現(xiàn)可信的訪問控制。

基于身份的可信訪問控制決策模塊由身份標識集和訪問控制策略集兩部分構(gòu)成，不同的用戶在發(fā)起一個訪問請求的時候，首先需要到“基于身份的訪問控制決策模塊”中的“身份標識集”中請求一個身份標識，“身份標識集”通過密碼算法會根據(jù)用戶的角色賦予其一個唯一的合法身份標識（如證書等），然后身份認證模塊會對用戶的標識進行認證、鑒別。只有在身份認證獲得通過后，才會給訪問控制實施模塊發(fā)出一個該身份的訪問請求。訪問控制實施模塊會向訪問控制決策模塊中的“訪問控制策略集”請求基于該身份的訪問控制策略，訪問控制策略集收到請求后會先向“用戶標識集”獲取用戶的角色、安全等級等信息，從而明確該身份的訪問對象、范圍、周期等訪問控制策略，然后該訪問控制策略將發(fā)送到訪問控制實施模塊，實施模塊會根據(jù)該訪問控制策略對不同的客體發(fā)送不同的訪問請求（如：讀、寫、執(zhí)行等），從而形成對該用戶身份的完整訪問控制。

（作者單位：國家林業(yè)局信息中心）endprint