1、学术论文DOl:10.12379/j.issn.2096-1057.2024.03.07ResearchPapers基于角色和属性的零信任访问控制模型研究许盛伟田宇”邓烨”刘昌赫”1(北京电子科技学院信息安全研究所北京100070)2(北京电子科技学院网络空间安全系北京100070)3(北京电子科技学院密码科学与技术系北京100070)()Research on Zero Trust Access Control Model Based on Role and Attribute刘家兴”Xu Shengwei,Tian Yu,Deng Ye,Liu Changhe,and Liu Jiaxin
2、g?I(Institute of Information Security,Beijing Electronic Science and Technology Institute,Beijing 100070)2(Department of Cyberspace Security,Beijing Electronic Science and Technology Institute,Beijing 100070)3(Department of Cryptologic Science and Technology,Beijing Electronic Science and Technology
3、 Institute,Beijing100070)Abstract In the face of many security threats in the network,the traditional access control modelis increasingly exposed to the problems of poor dynamics of permission allocation,low sensitivityto new threats,and high complexity of resource allocation.This paper proposed a z
4、ero trust accesscontrol model based on role and attribute to address the above problems.The model used a logisticregression approach to trust assessment of access subjects to achieve access control with highsensitivity to access subject attribute,and adopted a new resource decision tree,which reduce
5、d thetime complexity of resource permission assignment while achieving finer-grained security for accesscontrol.Finally,verifying the model in this paper under typical application scenarios showed thatthe model was significantly better than the traditional access control model in terms of dynamicass
6、ignment of permissions.Key words zero trust;role;attribute;access control;resource decision tree摘要面对网络中大量涌现的安全威胁,传统访问控制模型暴露出权限分配动态性差、面对新威胁敏感度低以及资源分配复杂度高的问题.针对上述问题,提出一种基于角色和属性的零信任访问控制模型,模型使用逻辑回归的方法对访问主体进行信任评估,实现对访问主体属性高敏感度的访问控制,并采用一种全新的资源决策树,在实现访问控制更细粒度安全性的同时,降低了对资源权限分配的时间复杂度.最后,通过在典型应用场景下对模型进行验证,表明该
7、模型在权限动态分配方面明显优于传统访问控制模型.收稿日期:2 0 2 3-0 5-0 9基金项目:国家重点研发计划项目(2 0 2 2 YFB3104402);中央高校基本科研业务费专项资金项目(32 8 2 0 2 2 2 1)通信作者:田宇(92 38 54537 )引用格式:许盛伟,田宇,邓烨,等.基于角色和属性的零信任访问控制模型研究J.信息安全研究,2 0 2 4,10(3):2 41-2 47网址http:/ 1 241信息安全研究第10 卷第3期2 0 2 4年3月Journalot information Security ResearchVol.10No.3Mar.2024关
8、键词零信任;角色;属性;访问控制;资源决策树中图法分类号TP393.08随着信息网络技术的高速发展,传统的基于划分安全区域,在网络边界处部署譬如防火墙、人侵检测系统(IDS)、人侵防御系统(IPS)等安全设备的边界安全理念在面对越来越繁杂的网络基础设施时难以设置边界,同时在面对越来越多来自网络内部的攻击时无能为力.而贯彻“永不信任、始终验证”原则的零信任1-2 模型是解决上述问题的有效手段之一,零信任模型使访问行为得到更细粒度的控制会持续地对访问主体进行身份验证和动态授权,实现对客体资源的细粒度安全访问控制.2010 年,Forrester 的分析师Kindervag3首次提出了“零信任”这一
9、术语,建议对所有的访问请求进行安全控制.之后,谷歌公司在BeyondCorp项目中开始尝试使用零信任安全模型取代传统的基于网络边界的网络安全模型4.目前在零信任架构下的访问控制模型研究发展得较为迅速,但仍存在信任值评估算法不准确、对资源属性的遍历效率不高、无法做到既保证细粒度又保证查询效率等问题.针对以上问题,本文提出一种基于角色和属性的零信任访问控制模型,主要有3个方面的贡献:1)创新性地提出一种资源决策树模型,提高了模型细粒度和查找效率;2)提出一种新的信任度量体系,基于逻辑回归与调和平均数模型对信任值的计算进行优化,依据最小权限原则结合惩罚机制与奖励机制,对访问主体进行持续性的综合信任评
10、估,实现安全、高效、合理的动态访问控制;3)优化零信任架构下的访问控制流程。1方案设计1.1#模型架构零信任访问控制模型主要由资源服务器、权限服务器、信任服务器、决策服务器以及安全网关组成,如图1所示.与传统VPN先连接、后认证的接入方式不同,模型采取先认证、后接入的连接方式,有效减少了模型的暴露面.信任服务器是动态信任评估体系的“核心”,当访问主体进行访问时,信任服务器会根据其属性对其计算信任值,并根据访问主体的信任值为其分配一个角色.资源服务器通过计算资源值量化每项资源的重要性,使用资源哈希值对资源进行标识,同时将资源划分最小单位.权限服务器计算权限值,维护角色链表,生成资源决策树.决策服
11、务器通过访问主体申请产生的资源值、权限值计算决策值,通过访问主体角色(信任值)与决策值的决策服务器决策值计算决策判断PKI安全网关访问主体信任服务器信任值计算权限服务器角色链表权限值计算资源服务器最小资源哈希资源值计算图1零信任访问控制模型架构242学术论文.ResearchPapers对应关系判断访问主体的申请是否通过.1.2资资源决策树模型资源决策树由资源决策点组成,资源决策点包含资源哈希值、权限集合、决策区间以及连接其他资源决策点的左、右指针.当访问主体接人模型后模型会为其分配1个角色,每个角色连接至1个资源决策树的根节点,资源决策树在数据结构上是一个二叉树,如图2 所示.资源决策树的左
12、子树连接同一资源不同权限资源哈希值权限集合决策区间2资源哈希值权限集合决策区间3Hash3左指针(4)右指针的资源决策点,右子树则连接包含不同资源的资源决策点.1个角色所能连接的二叉树中所有节点的决策值相似.本文模型相较于目前主流的链表式模型在计算复杂度上有所改进.当遍历同一角色不同资源决策点时,本文模型的计算复杂度为O(lbn),若采用链式模型,其计算复杂度为O(n).同时,决策树模型在细粒度的控制上更加精细.可以实现权限更细粒度的控制,1个角色对1个资源的权限集之间不存在包含和被包含的关系.Hashi左指针KAi,A2,A3右指针角色Rolei角色Role2角色Role;资源哈希值Hash
13、i左指针(A)右指针权限集合决策区间1资源哈希值Hashi左指针(A2)右指针权限集合决策区间1资源哈希值Hash2左指针(4)右指针权限集合决策区间1资源哈希值Hashi左指针(A3,A4)右指针图2 资源决策树分组成,即历史信任值、实时信任值、惩罚与奖励,2算法计算过程如图3所示.访问主体本次申请访问是否通过主要由实时2.1信任值信任值由信任服务器计算产生,信任值的大小反映了模型对访问主体的信任程度.访问主体接人模型时信任服务器会通过读取身份信息、日志等数据对访问主体进行综合判断.信任值由3个部用户申请接入权限集合决策区间1计算实时信任值TN计算历史信任值TB图3信任值计算过程信任值TN、
14、历史信任值TB所计算出的F(T N,TB)决定.u,为实时信任值TN、历史信任值TB的权重.函数F如式(1)所示:F(TN,TB)=uTN+oTB.若模型判断F(T N,T B)高于访问主体申请计算F(TN,TB)用户访问判断是否同意用户申请计算G(F(TN,TB),TRD)(1)审计计算惩罚与奖励值TRD网址http:/1243信息安全研究第10 卷第3期2 0 2 4年3月Journalotinformatien Security ResearchVol.10No.3Mar.2024产生的决策值,则通过访问主体申请.在访问主体的访问过程中模型信任服务器通过安全网关的流量对访问主体进行审计,
15、直到访问主体结束访问.模型边访问边审计,通过访问主体流量、身份信息计算惩罚与奖励值TRD,如访问主体在访问过程中存在违规行为,安全网关将立刻切断访问主体与资源之间的连接.访问主体访问结束后将F(TN,TB)与TRD的综合计算值存入历史信任行为数组.信任服务器为每个访问主体维护1个历史信任行为数组tnm,tn1即数组第1列记录访问主体历史申请访问后模型所计算的信任值.tn2即数组第2 列记录访问主体单次历史行为参数,存在惩罚记录记为1,无惩罚记录记为0.,为F(T N,T B)、惩罚与奖励值TRD 的权重.式(2)为历史信任值的计算方法:ti1=G(F(TN,TB),TRD)=F(TN,TB)+
16、oTRD,Oin.访问主体第1次接人模型时,信任服务器对访问主体历史信任行为数组赋初始值,访问主体信任值不设下限,设置上限,提升信任值达到一定程度可申请提高信任值上限,信任值上限的提高需经过严格审核。2.1.1庆历史信任值通常情况下,越早的访问记录对当前访问评估的参考性就越弱5.因此,信任值产生的时间越早在整个历史信任值计算中所占的权重应越低.此外,为节省信任服务器的资源,每个访问主体的历史信任行为数组规定行、列为一定值n,m.式(3)为历史信任值衰减系数的计算方法:(1,s=p,A(s)=A(s+1)_n-s入A(s)为历史信任行为数组衰减系数,即访问主体历史信任值的衰减系数,其中s为当前数
17、组元素下标,力为数组最后元素下标.入为历史信任值调整系数.访问主体的历史信任值由历史信任行为数组中的访问主体历史信任值元素与对应衰减系数积的和得到.式(4)为历史信任值的计算方法:2A(i)i1TB=1(2)2A(i)-1当历史信任数组被填满时,即访问主体访问次数达到信任值数组行数n的大小,由于越早的访问记录效力越低,数组将最靠前的个元素进行加权平均,将均值存入数组首位,其余元素位置均向前移动一1,作为访问主体历史信任凭证,如图4所示:(3)(4)t11 x1tx+11x+21x+31tn1t112.1.2实时信任值访问主体接人模型时,信任服务器通过读取访问主体日志、访问行为等信息得到属于访问
18、主体的属性表,其中包含访问主体的各类信息.在计算访问主体信任值时,首先预处理访问主体属性表中的数据,将属性表中的标称属性值进行数值化.由于访问主体属性表中各属性的取值范围不同,取值较大的特征将会降低取值较小特征在计算过程中所起的作用.因此需要对数据进行归一化2441tx1tx+11x+21x+31图4历史信任行为数组处理.将特征的取值转化为0 1区间内的值.f表示访问主体属性集中的基本元素一一单个属性的值,fmin和fmax分别为属性的最小值和最大值.式(5)为属性值标准化计算方法:fold-fminfnew=对访问主体属性数据预处理后得到身份属性值f;,身份属性值组成集合F=(f 1,f 2
19、,,f,),首先将身份属性集合分为l个类,l.ResearchPapersF2U.UFi,FinF2nnF,=O,Fi=(fi,f2,f.),.,F,=fij,fi+1,f,),1ijn.基于逻辑回归的访问主体信任分量的计算方法如式(6)所示:z;=h;(F,)=1+e24x.0i1(6)其中fk为集合F,内第k个属性值,ak为fk这一指标相对应的权重.求出1个信任分量1,2,z 后,对其求加权调和平均数.其中b;为集合F;的权重.访问主体实时信任值的计算方法如式(7)所示:TN=i-12.1.3惩罚与奖励机制通过对访问主体访问行为进行审计,审计结果以惩罚值、奖励值的形式反映到信任值上.惩罚与
20、奖励值 TRD由惩罚值 TD、奖励值 TR 这 2 部分组成.TRD的计算方法如式(8)所示:TRD=TR-TD,TRXTD=O.惩罚值的计算由惩罚值基数g1、惩罚因子i这2 部分组成,TD=f1g1.模型对访问主体的违规行为进行分级,等级越高代表申请行为的危害越大,所得惩罚值基数越大.式(9)为根据访问主体的违规等级给出的惩罚值基数g1的计算方法:g1=sin,2R,其中R为非法操作等级总数,r为当前操作对应的非法等级。式(10)为根据访问主体历史访问记录的惩罚因子f1的计算方法:fi=(Zt订2)其中ki(tn m)为行为数组中最大的连续违规次数,t为违规次数系数.奖励值的计算由奖励值基数
21、g2、奖励因子f2这2 部分组成,TR=f2g2.式(11)为奖励值基数g2的计算方法,为基础奖励系数:(S,行为数组中无违规记录。g2一最近一次TD,行为数组中有违规记录.式(12)给出奖励因子f的计算方法:0,k2(tn2)d,2=k2(tn2)sinn其中k2(tnm)为行为数组中近期连续不违规1的次数,d为预设连续不违规次数.2.2资源值资源值N由资源服务器计算产生,它描述了资源在模型中的重要程度和敏感程度.资源值的大小反映了资源的价值,资源的价值难以量化,因其不仅取决于客观属性因素,也需采纳行业专家的意见,计算可采用基于一致矩阵的模糊层次分析法6,通过层次分解模型和基于模糊数构建的各
22、(7)个证据间重要性的判断矩阵进行计算7。首先将资源各属性分为,这2 个层次,属性被分为类,每类最多有个属性,可获得属性矩阵E=(e i j)x.其次,收集专家意见,得到每个属性评价矩阵M=(mi)x,对矩阵行求和得到ri.k=mi,iEN,k,并通过数学变换对矩1-1阵进行模糊一致性转化8 ,如式(13)所示:(8)rik=rjk+0.5,kResearchPapers记录在案并不进行严厉惩罚;对于明显的违规行为模型则会作出果断严厉的处罚,从而禁止访问主体的访问行为.3)历史信任值数组值测试。采用Carol的访问记录进行测试,历史信任值数组大小设置为5,测试结果如图7 所示.根据结果可以得出
23、,信任值数组值增大到一定值时对信任值的影响趋于稳定,值越小信任值对访问主体行为越敏感。0.90.4-0.1信-0.6上x值:234-1.1112图7 历史信任值数组值测试结果4结语本文给出一种基于角色和属性的零信任访问控制模型.设计了一种全新的身份管理树状模型,提高了对资源决策点检索速度,同时增加了资源划分的细粒度,在资源决策树的基础上,通过引入信任值、资源值、权限值的计算来精确访问控制能力,通过引人调和平均数强化了单一属性极端情况下对访问主体信任值的影响,通过资源值、权限值的计算保证了模型的最小权限原则,最终提高整个模型的安全性,参考文献1张宇,张妍。零信任研究综述J.信息安全研究,2 0
24、2 0,6(7):608-6142诸葛程晨,王群,刘家银,等.零信任网络综述计算机工程与应用,2 0 2 2,58(2 2):12-2 93Kindervag J.Build security into your networks DNA:Thezero trust network architecture EB/OL.(2 0 10-11-0 5)2023-07-18.https:/www.actiac.org/system/files/Forrester_zero_trust_DNA.pdf4Ward R,Beyer B.Beyondcorp:A new approach to enter
25、prisesecurity JJ.USENIX Login,2014,39(6):6-115张刘天,陈丹伟基于零信任的动态访问控制模型研究.信息安全研究,2 0 2 2,8(10):10 0 8-10 176王领元,王晓燕。基于模糊一致矩阵的模糊层次分析法在锚地优选方案中的应用J.中国水运(下半月),2 0 16,16(10):217-2187 余波,台宪青,马治杰。云计算环境下基于属性和信任的RBAC模型研究LJJ.计算机工程与应用,2 0 2 0,56(9):84-928周兴慧,张吉军。模糊矩阵的广义一致性变换及其性质J.模糊系统与数学,2 0 11,2 5(4):137-1429曹利,陈
26、葳葳,张迪,等。一种基于零信任机制的车联网访问控制方法:中国,CN114567473AP.2 0 2 2-0 5-3110李唯冠,赵逢禹.带属性策略的RBAC权限访问控制模型J.小型微型计算机系统,2 0 13,34(2):32 8-33111周超,任志宇.结合属性与角色的访问控制模型综述.小型微型计算机系统,2 0 18,39(4):7 8 2-7 8 612University of New Brunswick,Canadian Institute forCybersecurity.CIC-IDS2017EB/OL.2 0 2 3-0 7-18 .https:/www.unb.ca/cic/datasets/ids-2017.html13访问次数4567许盛伟博士,教授,博士生导师.主要研究方向为大数据安全、网络信任体系、密码应用。田宇硕士研究生主要研究方向为网络安全、密码应用。邓烨硕士研究生.主要研究方向为网络安全、密码应用。刘昌赫硕士研究生.主要研究方向为密码应用、网络安全。刘家兴硕士研究生,主要研究方向为密码应用、网络安全。网址http:/1247
浙ICP备2021020529号-1 | 浙B2-20240490 
