本段主要是探討存取控制之安全性與重要性,為了使存取控制模式中同時具 備安全與彈性,我們選擇 RBAC 作為整個模式的主要核心,故在此將已知的存 取控制模式列出,並且與RBAC 做各種比較與分析。
就存取控制而言,其目的在於確認所有直接存取資源必須為經過認證的,且 經由管理存取動作的控制。有效的存取控制必須具備下列兩項前提:(1)使用者 身份辨識,以確保該系統的確是被合法的使用者所使用,且杜絕非法使用者在該 系統上作任何活動。(2)未經授權的使用者不可更改存取權限,否則使用者將能 無限制的擴大其存取權限,違反管理的意義。目前常用的存取控制機制包括:存 取控制矩陣(Access Control Matrix , ACM)、存取控制串列(Access Control Lists , ACLs)、能力串列(Capability Lists , CLs)及以角色為主存取控制(Role Based
Access Control , RBAC)。其中又以 RBAC 應用較廣,由 Sandhu 等人於 1996 年 提出,它藉由角色指派來分開主受體,使得主體獲得授權以及受體可接受的存取 限制這兩項動作透過角色來完成。其架構如下圖7。
User
Session
Role Permission
RBAC1 User Assign
Role
Role Permission
User
Session
Role Permission
RBAC User Assign
Role
Role Permission
User
Session
Role Permission
RBAC1 User Assign
Role
Role Permission
User
Session
Role Permission
RBAC User Assign
Role
資訊存取權限 用者的存取權 限
指令式 指令式 指令式 語意式
優點 簡單 物件權限管理
較容易
使用者權限管 理較容易
簡化有效管理
提供權限細部描述
職務分工
權限繼承
缺點 量少—浪費空間
量多—不易管理
主體異動頻繁 造成系統負擔
找主體較浪費 時間
更動物件的權 限時耗時
需以兩個資料庫維 護主體與角色、角 色與受體間的權限 關係
主要及維 護對象
人、物件 物件 人 角色
維護成本 高 高 高 低
繼承 無 無 無 有
然而若只是將 RBAC 直接導入衛星通訊環境,它無法滿足涵蓋大範圍且有 行動通訊用戶的要求。因此,我們加入GEO-RBAC 的觀念。
GEO-RBAC 主要是基於 RBAC 所延伸而出的機制,而 GEO-RBAC 遵循原 本 RBAC 的模式並在角色與受體的部份加入了位置的概念,分別成為空間角色 (Spatial role)跟空間感知受體(Spatially aware object),接著再改進原本 RBAC 於空 間資訊上的不足之處,使得GEO-RABC 滿足了空間資訊安全的需要,下圖 8 說 明GEO-RABC 的核心概念跟模組。
圖 8:GEO-RABC 的核心概念跟模組
GEO-RBAC 是從 RBAC 中延伸過來、專門處理有關位置資訊的存取控制模 型,不但兼具原本RBAC 在存取控制模型上的優點,而且對於位置資訊也同樣 具備著相當的彈性,不論是實際位置(如經緯度)或者邏輯位置(如台灣新竹市),
都能根據該資訊決定合適的角色與相對應的權限。
為了使GEO-RBAC 更加安全且不失彈性,我們認為單靠原本 GEO-RBAC 的模型很難達成目標,因此我們在這邊又引入彈性存取控制模型中所提到的限制 式。在傳統的存取控制模型中,因為安全與容易使用這兩個因素往往是互相衝突 的。要使存取控制模型更安全,一般而言有兩種方式,一種是將存取控制模型加 強限制,這樣通常會導致模型被特殊化,只能適用於某些小部份的情形,並不符 合我們的需要;故我們決定採用第二種方式-加入限制式,作為本計畫的一部 分。加入限制式最大的困難就在於制定限制式本身就是一項極為複雜且繁重的工 作,為了簡化這部份,我們採用了Practical Safety in Flexible Access Control Models
該篇文章中的建議,儘可能簡化限制式的比較項目以及比較的種類,以減輕在制 定限制式時將會遭遇到的繁重工作。首先我們先定義所有的限制式均為一個二元 式,其次我們將限制式分為三個步驟:設定變數、選擇輸入項目以及比較輸入項 目,如此一來我們只需數個設定動作即可進行一次限制式的比較。至於如何制定 安全政策,基本上是根據權責分離與利益衝突這兩項因素作為探討基準,下面列 著常見的衝突:
– 使用者衝突User conflicts
– 權限衝突Privilege:privilege conflicts
– 靜態使用者角色衝突Static user:role conflicts – 靜態權責分離Static separation of duty
– 簡單動態權責分離Simple dynamic separation of duty – 連線相依的權責分離Session-dependent separation of duty – 受體導向的權責分離Object-based separation of duty – 操作權責分離Operational separation of duty
– 順序相關的歷史限制式Order-dependent history constraints – 順序獨立的歷史限制式Order-independent history constraints
限制式幫助我們增加存取控制模式的安全性與彈性,我們可以利用限制式控 制GEO-SAT-RBAC 例外狀況,除了能加強原本系統之安全度,也提供未來在管 理上面多出許多彈性。
參、 適用於衛星通訊環境的彈性存取控制演算法
本章節將探討應用於同步衛星通訊環境下存取控制機制,針對同步衛星廣域 傳播的特性跟使用者所處區域的地理資訊,我們設計一個以位置為基底、一開始 不需使用VPN 的 RBAC 演算法(GEO-SAT-RBAC),並將憑證鏈(Certificate-Chain, CC)以及風險管理的觀念引進,增強存取控制的安全性,使得我們所提出的存取 控制演算法於衛星通訊上的應用更加適用與富有彈性。