首先,我們使用FMECA 將系統相關操作權限加以分析評估,根據其影響結 果 決 定 該 權 限 的 安 全 等 級 跟 具 備 使 用 能 力 的 相 關 主 體 。 接 著 將 針 對 GEO-SAT-RBAC 中存在的各個使用者與其所具備角色的關聯性做一完整性的 檢討,以確保系統本身讓所有相關權限、主體及使用者皆能在系統監控下正常 運作,才能保證系統獲得最高的安全性與穩定度。
二、 存取控制機制
其次,就存取控制而言,本研究主要目的在於提出一個適用於衛星通訊環境 下、對資源有效控管的存取控制架構,而這樣的架構必須能達成下列的目的:具 備目前已知的存取控制模式以上的控管能力;考量衛星通訊環境下可能比一般環 境更易受到攻擊,因此,加上所在位置的安全等級作為安全性控管的參考依據,
稱為GEO-SAT-RBAC (Geographical Satellite RBAC, GSR);另外為了使這樣的存 取控制架構除了具備嚴密控管的能力之外,還需要能兼顧彈性以備不時之需,因 此加入條件式作為彈性控管之標準。以下我們將說明本研究所提出的存取控制架 構之核心概念、設計方法與應用情境來闡述整個架構的運作方式。
GEO-RBAC 這個觀念是由 Bertino 等人於 2005 年所提出[1],我們將此觀念 導引至衛星通訊的存取控制機制的部份架構,藉由此想法說明如何訂定合適的角 色供衛星通訊使用。原始的GEO-RBAC 存取控制模式最大的問題在於當使用者 申請角色時缺乏彈性與可能給予過多的權限。所謂缺乏彈性是指在相同角色 (Role)下,不能同時存在不同的角色綱要(Role Schema),也就是相同角色下所獲 得的權限均一致,沒辦法依據使用者的位置不同而做出不同的彈性處置;同時因 為只要申請相同的角色,即使地點不同也無法做出相對應的限制措施如減少該角 色之權限。在GSR 中,我們提出了一個方式針對 GEO-RBAC 缺乏彈性該缺點作 改進,能夠配合使用者在申請角色實體時做出相對應並且適當的措施,以達到系 統安全與存取控管之目的。
因此,GEO-SAT-RBAC 負責制定各個角色以及其所對應的資源權限,包括 使用者在申請角色實體時的必須一併記錄該使用者目前的位置資訊,以及該角色 所屬的安全層級。如此一來,一方面是作為指派角色的依據,另一方面則是用來 計算當有使用者扮演著某種角色時,必須根據其位置和能力來計算安全層級,之 後才會讓該使用者存取屬於該角色且符合安全層級中的資源。而在位置的考量 上,為滿足衛星的特性,我們用地面接收站作為固定的使用者使用,以及該使用 者現在所在的NCC 作為存取控制機制使用。最後,考量到實際應用層面,我們 針對例外的部份加入了安全性政策機制,以滿足在實際使用中偶發的例外狀況,
下圖 9 即為本論文之流程圖,圖中的 NCC 為衛星通訊網路中的網路控制中心 (Network Control Center),存有使用者本身資訊及權限列表。
圖 9:GEO-SAT-RBAC 結合憑證鏈的存取控制演算法
我們在評估 GEO-SAT-RBAC 中的安全性時,看到 GEO-RBAC 雖然有針對 使用者的空間資訊決定是否允許使用者申請特定角色,我們認為這部份仍然有可 能出現缺失或漏洞,因此我們加入憑證鏈(Certificate Chain)的概念,藉由使用者 本身的位置資訊跟轉送使用的接收站資訊,例如頻段,再根據預先定義於系統中 的各區域信賴度加以計算評估,最後決定該使用者能夠存取的安全等級之物件。
如此,可以防止任何合法使用者在非安全區域存取同等於原註冊區域的安全層級 資訊,以增加整個系統的安全性。
(一)
憑證鏈(Certificate Chain)首先我們介紹憑證鏈的概念,藉由此特性我們可以算出使用者所在位置的安 全等級。當使用者透過衛星通訊網路申請網路時,勢必經過數個接收站跟衛 星轉傳後才能回到使用者原註冊位置,使用者不但需要經過認證以確保是本 人申請角色實體,我們也要確保該使用者所使用的路徑是足夠安全的,若不 是安全的,就必須將原本屬於該角色的部分重要權限拿掉,以避免在傳遞過 程中不小心被他人竊取機密資料。那麼我們如何判定一條路徑是足夠安全 的?故我們將引進憑證鏈的觀念。而憑證鏈的概念可用下圖10 來說明:
U1 U2 U3 U4 U5
Name=“Tom”
Confidence=0.8
Bob
Name=“Charles”Alice?
Confidence=0.9
Name=“William”
Confidence=1.0
Name=“Alice”
Confidence=0.8
U1 U2 U3 U4 U5
Name=“Tom”
Confidence=0.8
Bob
Name=“Charles”Alice?
Confidence=0.9
Name=“William”
Confidence=1.0
Name=“Alice”
Confidence=0.8
圖 10:憑證鏈的概念
假設 U1(Bob)要將某些資訊傳給 U5(Alice)時存在這樣一條路徑,那麼 Bob 將資訊傳到 Alice 手上時可以信賴這條路徑的程度就是這條路徑(憑證鏈)的 信賴度。憑證鏈的信賴度應要大於我們在這條憑證鏈上能傳送資料的機密 度,我們才能相信這條傳送路徑在傳送這些機密資料時被竊取的機率會低過 其他路徑。而在本計畫中由於衛星傳送之特性,我們可將每個衛星轉傳所使 用的接收站當作上圖中的 U2~U4,設定每個接收站都具有各自的信賴度,
而當我們使用衛星網路時會根據使用者與傳送的路徑決定該條路徑的信賴 度,接著對照信賴度與安全層級,決定該路徑上能傳送的機密資料有哪些。
在本研究中,我們定義 GSR 的憑證鏈,指的是地面接收站彼此會建立一個
相互信賴關係,而之間的信賴度是以百分比來定義,百分比越高代表相互信 賴程度越高,百分比越低表示相互信賴程度越低。當整條鏈路經由計算後發 現百分比過低,代表整個通信鏈路極不安全,此時使用者所具有的存取權限 不應與在原註冊位置所具有的存取權限一樣,應該要更低以滿足安全性政策 的定義。因此,故使用者可以透過此定義方式,產生更有彈性的 GSR。下 面兩張示意圖,圖11 及圖 12,分別說明 Stationary User 跟 Mobile User 在建 立憑證鏈的示意圖,其中紅色的地面接收站代表使用者連回原註冊地點所使 用的地面接收站:
User apply role Stationary
User
Encode its location information
Building certificate chain Building certificate chain 圖 11:Stationary 使用者的憑證鏈
Encode its location information
Building certificate chain
Mobile User
Mobile device User apply role
Encode its location information
Building certificate chain Building certificate chain
Mobile User
Mobile device User apply role
圖 12:Mobile 使用者的憑證鏈
定義憑證鏈上各個地面接收站的信賴度,我們認為可以採用目前已經提出的 一些風險管理分析模式針對各個地面接收站作資訊風險評估報告,再根據它 們的風險值決定它們在憑證鏈上的信賴度。風險值越高者代表該地面接收站 越容易洩露機密資訊,因此我們可以將該信賴度調低;反之風險值越低代表 機密資料越不容易洩露,該接收站也越可靠,故信賴度將會設定很高。下為 GEO-SAT-RBAC 結合憑證鏈方式的存取控制機制。所謂憑證鏈,指的是地 面接收站彼此會建立一個相互信賴關係,而之間的信賴度是以百分比來定 義,百分比越高代表相互信賴程度越高,百分比越低表示相互信賴程度越 低。當整條鏈路經由計算後發現百分比過低,代表整個通信鏈路極不安全,
此時使用者所具有的存取權限不應與在原註冊位置所具有的存取權限一 樣,應該要更低,以滿足安全性政策的定義。因此,故使用者可以透過此定 義方式,產生更有彈性的GEO-SAT-RBAC 機制。
(二)
GEO-SAT-RBAC, GSR接著,在本研究中我們將 GSR 分成兩部份,包括:Phase1-使用者申請角
色實體和 Phase2-使用者存取資源。Phase1 使用者申請角色實體是當使用 者建立連線時,我們可以根據他的帳號以及他所申請的角色、位置建立安全 層級,對其要求的角色判斷使用者是否可以申請該角色,並且修改原本角色 的權限,使其符合安全層級的標準,保證系統安全性;Phase2 使用者存取資 源則是當使用者提出存取某些資源的要求時,我們根據之前建立的安全層級 評斷這樣的要求是否允許,若允許則直接完成該次要求。另外為了突顯GSR 比GEO-RBAC 所具備的彈性,我們準備例外機制以滿足不被允許的要求,
如此一來跟原本GEO-RBAC 存取控制模型相較起來,GSR 在一般狀況下顯 得更嚴格卻能在小地方不失彈性。
整個系統架構所組成的元件如下:
¾ 角色系統資料庫(Role Database)-本系統主要資料庫,存放使用者帳號
,供申請之角色、和各角色之權限。使用者必須在一開始先透過衛星網 路連線到此資料庫通過帳號認證以及申請進入系統之角色。
¾ 區域安全層級資料庫(Security Level Database)-記載著各區域所涵蓋之 範圍、區域安全之等級、各衛星與接收站之信賴度。當使用者登入系統 後須立刻比對該使用者所傳遞的位置參數跟計算所通過接收站憑證鏈 之信賴度,根據信賴度及使用者之角色決定需要取消哪些存取權限,以 保障系統安全。
¾ 衝突規則資料庫(Conflict Rules Database)-記載各種存取控制之規則,
如使用者帳號與申請角色實體之衝突、角色降低權限後造成原本可使用 資源無法使用之衝突、以及角色申請暫時恢復原本權限的請求等。
¾ 衛星接收站跟使用者通訊設備-使用者直(間)接與衛星通訊時必須傳 遞自身位置之資訊,而接收站在轉送訊號時也必須將自己的識別碼或頻 段傳回給角色系統資料庫所在之系統,以判斷使用者是處在何種安全層
級環境之下,以及需要調降至何種安全層級。
¾ 轉傳衛星-由於本計畫預計使用之衛星為 GEO 衛星,且目前衛星上鮮 少具有處理能力,故我們假設衛星只有提供轉傳功能。
Phase1-使用者登入與申請角色實體(Role Instance)
Phase1 演算法如下所述:
Phase1 演算法如下所述: