一种面向人机物融合空间的自适应访问控制安全执行方法
文献发布时间:2023-06-19 13:49:36
技术领域
本发明属于信息安全访问控制技术领域,涉及一种面向人机物融合空间的自适应访问控制安全执行方法。
背景技术
人机物融合空间通过构建信息空间、物理空间和社会空间中信息资源、物理实体、环境信息、人等要素的相互映射和适时交互,致力于为用户提供一个智能互联的工作环境,如智慧城市、智能建筑等都属于人机物融合空间的范畴。在人机物融合空间中,业务过程的完成离不开对信息资源、物理资源和社会资源的访问和协调管理,与此同时,也对人机物融合空间的安全性提出了挑战。一方面,物理空间和社会空间的信息化,使得信息技术更加无处不在,产生了大量与用户紧密相关的数据。另一方面,三空间的融合,对任一空间的攻击所产生的后果,有可能涉及其它两个空间,对人们的现实生活产生直接的影响。因此,在支撑业务过程完成的同时实现安全、可控的资源流通和共享是人机物融合空间得到发展和普及所面临的核心科学问题。
作为保护数据安全的重要手段,访问控制技术通过对用户权限进行管理,使合法用户只能依照其所拥有的权限访问系统内相应数据,禁止用户对数据的非法授权访问,从而保障数据安全和业务系统的正常运转。在人机物融合空间中,访问控制技术仍将作为保护资源安全、可控共享的重要手段。但是,由于人机物系统的“开放性”、“融合交互性”特征,使得现有的访问控制方法无法适用,具体分析如下:1)“开放性”挑战:人机物融合空间是一个开放的环境,用户和客体不断的加入和退出,导致系统无法提前精确定义用户-权限关系。2)“融合交互”挑战:三空间的融合和交互使得访问请求的判决需要同时考虑信息空间、物理空间以及社会空间的场景状态,能够根据系统所处场景不同,动态调整访问授权。现有的访问控制模型一方面多是静态模型无法应对用户和客体集合的动态变化,二是场景知识的构建都未同时考虑三空间的上下文信息。
访问控制策略的安全性分析一直是安全领域研究的热点和难点。在大型企业中,大约有50%至90%的员工存在过度授权的问题,成为了潜在的内部攻击者。美国国家标准技术研究院(National Institute of Standards and Technology,NIST)在2017年发布的NIST 800-192标准中明确指出访问控制策略是否精确授权相比加密协议的构建对系统安全性的危害更具普遍性。而人机物融合空间中三空间的交互访问,使得策略的安全性分析显得更为重要,访问所带来的危害很可能直接作用于人们生活的物理世界,因此,面向人机物融合空间的访问控制策略具有“高安全性”特征。而现有的访问控制策略安全性分析方法多是在设计阶段进行静态分析,通过构建全局的标号变迁系统实现违反状态的检测,无法应对人机物融合空间的开放性所带来的挑战。
发明内容
本发明为解决上述问题,目的是提出一种面向人机物融合空间的自适应访问控制安全执行方法,通过三元空间感知访问控制模型规约面向人机物融合空间访问控制策略的表达,基于模型检测技术分析策略执行过程中可能引发的危机状态,通过访问控制策略调整实现危机态的解除,从而实现对客体资源的持续性保护。
为实现上述目的,本发明采用如下技术方案:
一种面向人机物融合空间的自适应访问控制安全执行方法,包括建立客户端服务器、策略管理服务器、策略控制服务器和策略调整服务器,各服务器间通过互联网相互通信。
客户端服务器用于获取系统当前社会空间的社会关系信息以及信息物理空间的单元构成信息;
策略管理服务器基于三元空间感知访问控制模型生成三元空间感知访问控制策略集合并对该集合进行有效管理;
策略控制服务器根据三元空间感知访问控制策略,构建三元空间感知访问控制策略的部分标号变迁系统,并基于模型检测技术分析和验证安全需求在标号变迁系统中的满足性,对访问控制策略执行的安全性进行分析,最终给出允许或者拒绝的判定结果;
策略调整服务器根据安全性的分析结果,对危机状态进行分析,制定解决危机态的策略调整方案,实现对系统资源持续性保护。
优选的,所述客户端服务器获取的社会空间的社会关系信息包括当前系统中主体的社交关系、主体-属性关系和客体-属性关系,所述信息物理空间的单元构成信息包括当前系统的主体-位置关系、资源-位置关系、物理区域可达关系、实体连接关系。
优选的,所述策略管理服务器基于三元空间感知访问控制模型生成三元空间感知访问控制策略集合,并实现对三元空间感知访问控制策略的管理,包括响应策略控制服务器对策略的查询,依据策略调整服务器制定的策略调整方案对访问控制策略的添加、删除和更改等;
步骤3-1:三元空间感知访问控制模型构建;
步骤3-1-1:获取社会空间的社会关系信息,建立六元组的社会关系模型SM:
SM={U,O,R,UA,OA,UU};
其中:
U表示主体集合,U={u
O表示客体集合,O={o
R表示社交关系集合,R={r
UU表示主体间的社交关系集合,UU={u
UA表示主体-属性关系集合,US={p
OA表示客体-属性关系集合,OA={q
步骤3-2-2:利用形式化方法偶图建模信息物理空间的拓扑关系,拓扑关系到偶图的映射步骤如下:
步骤S1:主体、资源、物理区域映射为节点;
步骤S2:物理区域的可达关系、资源-位置关系、主体-位置关系映射为节点嵌套关系,即通过偶图位置图表示;
步骤S3:主体和资源间的访问关系映射为实体间连接关系,通过偶图连接图表示;
步骤3-3-3:基于社会关系模型SM和拓扑关系偶图模型,构建三元空间感知访问控制模型AC:
AC= 其中,AC为五元组;userattribute表示访问主体的主体属性集; userattribute={x x action表示访问行为集合; objectattribute表示被访问客体的属性集;objectattribute={y y spacecondition表示空间环境属性,为一个析取范式: spacecondition=E 其中,E E 其中,C effect∈{permit,deny}是允许或者拒绝的判定结果; 步骤3-2:基于三元空间感知访问控制模型和具体的应用安全需求,生成三元空间感知访问控制策略集合; 步骤3-3:对三元空间感知访问控制策略集合进行管理,包括增加、删除、修改和查询。 优选的,策略控制服务器对访问控制策略执行的安全性进行分析,具体包括如下步骤: 步骤4-1:安全需求的形式化表示,包括对社交关系安全需求、拓扑关系安全需求、主客体属性安全需求,以及由以上安全需求复合形成的复合安全需求的形式化表示,安全需求的形式化定义如下:
其中, 步骤4-2:基于安全属性对访问控制策略进行约简,选取与安全属性相关的访问控制策略集合,包括如下步骤: 步骤4-2-1:基于社会关系模型SM选取与待验证的安全属性直接相关或者间接相关的主体集合U1; 步骤4-2-2:根据集合U1删减访问控制策略集合ACS,得到删减后策略集合Q; 步骤4-2-3:根据删减后策略集合Q的环境约束,基于社会关系模型SM选取与访问控制策略直接相关或者间接相关的主体集合U2; 步骤4-2-4:扩展策略集合Q使其包含集合{U2-U1}中相关主体的策略; 步骤4-2-5:返回策略集合Q; 步骤4-3:构建访问控制策略标注转移边的标号变迁系统,通过标号变迁系统描述访问行为导致的系统状态变迁过程,具体包括如下步骤: 步骤4-3-1:利用形式化方法偶图建模系统当前环境知识,也就是初始状态格局;利用偶图反应规则建模动态访问行为,也就是导致状态格局变迁的要素; 步骤4-3-2:构建初始标号变迁系统: 标号变迁系统为一个四元组<S,S 初始标号变迁系统G=<S,S 步骤4-4:基于模型检测技术验证安全需求在标号变迁系统中的满足性; 设定t表示预测步数,队列B用于存储每一步预测中产生的新的状态点,队列Q用于存储每一步预测中产生的新的状态点且该状态点不在节点集合S中,初始状态格局S 步骤4-4-1:状态格局出队,记为ω; 步骤4-4-2:对于每一个访问控制策略对应的反应规则m 步骤4-4-3:对于集合B中的每一个状态格局b,检测该格局在G中是否存在:若存在,增加从状态格局ω到格局b的一条边,并由生成格局b的反应规则m 步骤4-4-4:检测状态格局ω是否满足安全属性p,如果满足,转步骤4-4-2;如果不满足,生成从状态格局ω至初始状态的反例路径; 步骤4-4-5:重复执行步骤4-4-1到步骤4-4-4,直至达到预测步数t。 优选的,策略调整服务器对危机状态的分析,制定解决危机态的策略调整方案,具体步骤包括: 步骤5-1:策略权限的更改,包括根据面向策略执行序列带来的危机态和面向危机行为执行带来的危机态对访问控制策略进行调整; 步骤5-2:通知权限被更改主体执行危机态消除行为; 步骤5-3:系统退出危机态后,对访问控制策略进行回滚,使其调整至危机态发生前状态,包括根据面向策略执行序列带来的危机态和面向危机行为执行带来的危机态进行策略回滚。 本发明的有益效果: 本发明提出的三元空间感知访问控制模型具有“一体化”特征,同时考虑信息空间、物理空间和社会空间的上下文知识;该模型具有“自适应”特征,能够根据人机物三空间场景知识的不同,自适应调整访问权限;该模型具有“动态性”特征,能够应对主客体集合元素的动态变化。本发明提出的三元空间感知访问控制执行方法具有“高安全性”特征,一方面提出了三元空间感知访问控制策略执行安全分析方法,实现策略的边执行边分析,从而获取策略执行可能导致的系统危机状态。另一方面提出了危机态下的访问控制策略调整方案,避免系统进入危机状态或消除危机态所带来的风险。 附图说明 图1为本发明的研究框架图; 图2为实施例中人机物融合智能医院案例; 图3为实施例中社交关系图; 具体实施例方式 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。 如图1-图3所述的一种面向人机物融合空间的自适应访问控制安全执行方法,其特征在于:包括建立客户端服务器、策略管理服务器、策略控制服务器和策略调整服务器,各服务器间通过互联网相互通信。 客户端服务器用于获取系统当前社会空间的社会关系信息以及信息物理空间的单元构成信息; 策略管理服务器基于三元空间感知访问控制模型生成三元空间感知访问控制策略集合并对该集合进行有效管理; 策略控制服务器根据三元空间感知访问控制策略,构建三元空间感知访问控制策略的部分标号变迁系统,并基于模型检测技术分析和验证安全需求在标号变迁系统中的满足性,对访问控制策略执行的安全性进行分析,最终给出允许或者拒绝的判定结果; 策略调整服务器根据安全性的分析结果,对危机状态进行分析,制定解决危机态的策略调整方案,实现对系统资源持续性保护。 优选的,所述客户端服务器获取的社会空间的社会关系信息包括当前系统中主体的社交关系、主体-属性关系和客体-属性关系,所述信息物理空间的单元构成信息包括当前系统的主体-位置关系、资源-位置关系、物理区域可达关系、实体连接关系。 优选的,所述策略管理服务器基于三元空间感知访问控制模型生成三元空间感知访问控制策略集合,并实现对三元空间感知访问控制策略的管理,包括响应策略控制服务器对策略的查询,依据策略调整服务器制定的策略调整方案对访问控制策略的添加、删除和更改等; 步骤3-1:三元空间感知访问控制模型构建; 步骤3-1-1:获取社会空间的社会关系信息,建立六元组的社会关系模型SM: SM={U,O,R,UA,OA,UU}; 其中: U表示主体集合,U={u O表示客体集合,O={o R表示社交关系集合,R={r UU表示主体间的社交关系集合,UU={u UA表示主体-属性关系集合,UA={p OA表示客体-属性关系集合,OA={q 步骤3-2-2:利用形式化方法偶图建模信息物理空间的拓扑关系,拓扑关系到偶图的映射步骤如下: 步骤S1:主体、资源、物理区域映射为节点; 步骤S2:物理区域的可达关系、资源-位置关系、主体-位置关系映射为节点嵌套关系,即通过偶图位置图表示; 步骤S3:主体和资源间的访问关系映射为实体间连接关系,通过偶图连接图表示; 步骤3-3-3:基于社会关系模型SM和拓扑关系偶图模型,构建三元空间感知访问控制模型AC: AC=<userattribute,action,objectattribute,spacecondition,effect>; 其中,AC为五元组;userattribute表示访问主体的主体属性集;userattribute={x action表示访问行为集合; objectattribute表示被访问客体的属性集;objectattribute={y y spacecondition表示空间环境属性,为一个析取范式: spacecondition=E 其中,E E 其中,C effect∈{permit,deny}是允许或者拒绝的判定结果; 步骤3-2:基于三元空间感知访问控制模型和具体的应用安全需求,生成三元空间感知访问控制策略集合; 步骤3-3:对三元空间感知访问控制策略集合进行管理,包括增加、删除、修改和查询。 优选的,策略控制服务器对访问控制策略执行的安全性进行分析,具体包括如下步骤: 步骤4-1:安全需求的形式化表示,包括对社交关系安全需求、拓扑关系安全需求、主客体属性安全需求,以及由以上安全需求复合形成的复合安全需求的形式化表示,安全需求的形式化定义如下:
其中, 步骤4-2:基于安全属性对访问控制策略进行约简,选取与安全属性相关的访问控制策略集合,包括如下步骤: 步骤4-2-1:基于社会关系模型SM选取与待验证的安全属性直接相关或者间接相关的主体集合U1; 步骤4-2-2:根据集合U1删减访问控制策略集合ACS,得到删减后策略集合Q; 步骤4-2-3:根据删减后策略集合Q的环境约束,基于社会关系模型SM选取与访问控制策略直接相关或者间接相关的主体集合U2; 步骤4-2-4:扩展策略集合Q使其包含集合{U2-U1}中相关主体的策略; 步骤4-2-5:返回策略集合Q; 步骤4-3:构建访问控制策略标注转移边的标号变迁系统,通过标号变迁系统描述访问行为导致的系统状态变迁过程,具体包括如下步骤: 步骤4-3-1:利用形式化方法偶图建模系统当前环境知识,也就是初始状态格局;利用偶图反应规则建模动态访问行为,也就是导致状态格局变迁的要素; 步骤4-3-2:构建初始标号变迁系统: 标号变迁系统为一个四元组<S,S 初始标号变迁系统G=<S,S 步骤4-4:基于模型检测技术验证安全需求在标号变迁系统中的满足性; 设定t表示预测步数,队列B用于存储每一步预测中产生的新的状态点,队列Q用于存储每一步预测中产生的新的状态点且该状态点不在节点集合S中,初始状态格局S 步骤4-4-1:状态格局出队,记为ω; 步骤4-4-2:对于每一个访问控制策略对应的反应规则m 步骤4-4-3:对于集合B中的每一个状态格局b,检测该格局在G中是否存在:若存在,增加从状态格局ω到格局b的一条边,并由生成格局b的反应规则m 步骤4-4-4:检测状态格局ω是否满足安全属性p,如果满足,转步骤4-4-2;如果不满足,生成从状态格局ω至初始状态的反例路径; 步骤4-4-5:重复执行步骤4-4-1到步骤4-4-4,直至达到预测步数t。 优选的,策略调整服务器对危机状态的分析,制定解决危机态的策略调整方案,具体步骤包括: 步骤5-1:策略权限的更改,包括根据面向策略执行序列带来的危机态和面向危机行为执行带来的危机态对访问控制策略进行调整; 步骤5-2:通知权限被更改主体执行危机态消除行为; 步骤5-3:系统退出危机态后,对访问控制策略进行回滚,使其调整至危机态发生前状态,包括根据面向策略执行序列带来的危机态和面向危机行为执行带来的危机态进行策略回滚。 本实施例是在智能医院场景中的应用,智能医院拓扑关系如图2所示。医院中主体分为两个部门,一是医疗部门,包括医生、护士和病人。二是行政部门,包括财务人员,药物分配人员,信息技术人员。 本实施例中,客户端服务器获取的系统当前的主体社交关系如图3所示,主体-属性关系UA和客体-属性关系OA如表1和表2所示。
表1
表2 客户端服务器获取图2的当前信息物理空间拓扑关系。物理区域可达关系:其他区域都是从走廊corridor可达的;主体-位置关系:Bob位于financeoffice、Alice,Jack位于ward、John位于doctoroffice、Tom位于nurseoffice、Jane,Angela位于Pharmacy,Clark位于corridor;资源-位置关系:safe位于financeoffice内,server位于serverroom内,病人相关文件位于server内;实体连接关系:Bob登陆了服务器server。 本实施例中,策略管理服务器基于三元空间感知访问控制模型和智能医院安全需求得到智能医院的策略条数为84条,以下抽取四条策略,用于说明三元空间感知访问控制策略的表示方法。 策略1:当医生位于医生办公室时,病人才可以进入该区域。 (<u ∧sr=DoctorPatient(u 策略2:财务人员可在财务室登录服务器。 (<u permit) 策略3:护士和药物分配人员在护士办公室根据用药指南共同记录药物使用情况。 (<u lr=nurseoffice(u _record[i,j]|$1)∧ar=(u (<u lr=nurseoffice(u record[i,j]|$1)∧ar=(u 策略4:医务人员不能进入财务室。 (<u 优选的,策略控制服务器对访问控制策略执行的安全性进行分析。 本实施案例中,策略控制服务器实现对访问控制策略执行的安全性进行分析和验证。 假设智能医院需要满足以下需求: 安全需求1:“仅有财务人员位于财务室时,财务人员才能打开保险柜”,安全需求的形式化表示: 安全需求2:“当医生正在读取病人B的病历时,除B之外的其他病人不能进入医生办公室”,安全需求的形式化表示:
为提高验证效率,选取与安全属性相关的访问控制策略集合。安全属性1中涉及所有的主体,相关的访问控制策略条数为84条。安全属性2中涉及的主体包括医生John和病人Alice,Jack,相关的访问控制策略条数为30条。 验证安全属性1,需要考虑84条访问控制策略,预测步数、预测步数约束的部分标号变迁系统中状态数以及建模时间如表3所示。
表3 验证安全属性2,需要考虑30条访问控制策略,预测步数、预测步数约束的部分标号变迁系统中状态数以及建模时间如表4所示。
表4 基于模型检测技术验证安全需求在预测步数约束的标号变迁系统中的满足性。 安全属性1在预测步数为4的标号变迁系统中被违反,Jane exits form thepharmacy,Jane enters the finance office,Bob opens the safe访问行为的执行,使系统进入危机状态。 安全属性2在预测步数为5的标号变迁系统中被违反,Jack exits from theward,Jace enters the doctor office,John logs in the server,John reads themedical record of the patient Alice访问行为的执行,使系统进入危机状态。 优选的,策略调整服务器对危机状态进行分析,制定解决危机态的策略调整方案。 在本实施案例中,设 设系统为进入警戒状态后进行策略调整,为保证安全属性1得到满足,策略更改如下: ChangeACL((<u (safe[b]),permit),(<u office(safe[b]$0),deny)) 也就是说,将财务人员打开保险柜的权限取消。 为保证安全属性2得到满足,策略更改如下: ChangACL((<u lr=doctoroffice(u medical_record>,lr=doctoroffice(u 也就是说,将医生读取Alice病历的权限取消。 通知权限被更改主体,InformSubjects(Bob,p 面向危机态的策略回滚方案如下: ChangeACL((<u (safe[b]|$0),deny),(<u (safe[b]),permit)) 也就是说:将财务人员拒绝打开保险柜权限撤销。 ChangACL((<u lr=doctoroffice(u medical_record>,lr=doctoroffice(ur|$0),permit)) 也就是说:将医生拒绝读取Alice病历的权限撤销 本发明提出的三元空间感知访问控制模型具有“一体化”特征,同时考虑信息空间、物理空间和社会空间的上下文知识;该模型具有“自适应”特征,能够根据人机物三空间场景知识的不同,自适应调整访问权限;该模型具有“动态性”特征,能够应对主客体集合元素的动态变化。本发明提出的三元空间感知访问控制执行方法具有“高安全性”特征,一方面提出了三元空间感知访问控制策略执行安全分析方法,实现策略的边执行边分析,从而获取策略执行可能导致的系统危机状态。另一方面提出了危机态下的访问控制策略调整方案,避免系统进入危机状态或消除危机态所带来的风险。