傳統上憑證鏈之信賴度區間介在-1(完全不可信賴)到 1(完全信賴)之間,每 經過一個node 後會乘以信賴參數後調整原本之信賴度,但在本計劃中,對 於非可信賴之個體都不應接觸到非其所屬之權限或物件;另外為了簡化系 統複雜度、加強可用性的情況下,我們將憑證鏈之信賴度區間設定成0(完 全不信賴)到 1(完全可信賴)。在 Deutsch 的假說中提到,若任一個體對於某 件事情屬於有益(Va+)或有害(Va-)之集合裡,其信賴之抉擇會出現在「已知 Va-所造成的影響大於 Va+,要使得 (Va+) * 有益之主觀機率值 > (Va-) * 有害之主觀機率值 + 安全層級」,其中主觀機率值與安全層級都會因每個 人的情況而不同。因此本方法中角色的安全層級以及憑證鏈的信賴度在做 計算時會跟系統預先定義在資料庫中的使用者起始信賴度、各區域的劃分 跟區域的安全層級依據FMECA 評估方法有關,另系統管理者們也可以根
據本身需求決定設定這些起始值。本論文中所提到之憑證鏈計算所使用到 的使用者起始信賴度、各區域的劃分還有區域的安全層級僅作為範例之參 考。
我們沿用第三章中的圖15 與圖 16 的情形作為範例,分別定義出三個位置 Location1(
l
1)、Location2(l
2)跟 Location3(l ),角色概要也分別有三個-Role
3 Schem1(RS
1)、Role Scheme2(RS
2)與 Role Scheme3(RS )供使用者申請角色
3Very Minor Minor Very Low
Low Moderate
High Very High
Hazardous with Warning Hazardous without Warning
High
Very Minor Minor Very Low
Low Moderate
High Very High
Hazardous with Warning Hazardous without Warning
High
(1)Case 1-使用者不需經過轉傳即可到達 NCC
Moderate
立虛擬私人網路(Virtual Private Network, VPN),如此一來即使經過轉傳,也 不會增加任何被竊聽之風險,故可以將憑證鏈上所經過的全部區域之信賴度 都設定成1,亦即使用者可以不受轉傳的影響,獲得原本被系統取消之權 限。但是一旦建立VPN 後,就如第二章所述 PEP 功能無法使用,因此 PEP 的加速功能將喪失,而衛星通訊將會由於VPN 的關係,延遲時間將會變得 更長。伍、結論與未來研究方向
未來通訊環境,將由陸上行動通訊結合衛星通訊,以達到全球無縫隙的傳輸 環境,而衛星通訊更是未來通訊服務的重要一環。為了達到在此通訊環境的通訊 安全要求,存取控制機制的設計就成為重要的議題。
一個好的存取控制模式,除了要能保證可使通過授權的使用者存取所被授予 權限範圍內的資料,又不能讓使用者獲得不需要或者有機會造成問題的權限。因 此事前的風險管理分析就在這邊彰顯出它的重要性,因為透過風險管理分析我們 才能清楚詳細的知道哪些行為屬於哪些權限跟角色集合,而這些權限跟角色集合 又與哪些使用者有所關聯。若在系統設計與開發階段就導入風險管理分析的方 法,找出上述的關係,將有助於整個存取控制模式運作時更有效率及更加安全。
又本研究動態指派權限之存取控制的觀念,是以地理位置為基礎結合憑證鏈 的觀念,再導入風險分析與管理,使得本研究所提的存取控制機制未來在實務應 用上更為安全可行,並且具備一定程度上的彈性,讓使用者可以在嚴格的控制條 件下,只要滿足系統提高安全性的要求時就不會受到原先安全性過低的影響,因 此更能適用於衛星通訊如此開放的環境。
本論文未來的研究方向,將針對各個風險管理分析模式應用在存取控制模式 之適用性分析;以及考量未來衛星它是可能具備可以線上處理能力(On-line Based Processing)的條件下探討安全性問題;另外也可以針對風險分析評估與信賴度之 計算公式加以改善。
參考文獻
[1] J.O. Aagedal, F.D. Braber, T. Dimitrakos, B.A. Gran, D. Raptis, and K. Stolen,
“Model-based Risk Assessment to Improvement Enterprise Security,”
Proceedings Sixth International Enterprise Distributed Object Computing Conference (EDOC’02), 17-20 Sept. 2002, pp.51-62.
[2] E. Bertino, B. Catania, M. L. Damiani, and P. Perlasca, “GEO-RBAC: A Spatially Aware RBAC,” In Proc. Of the 10th ACM Symp. On Access Control Models and Technologies (SACMAT05), pp.29-37.
[3] Rebecca S. Diercks, “3G Technology As A Fixed Wireless Solution”, May 2000 [4] Peter Fenelon, Barry Hebbron, “Applying HAZOP to Software Engineering
Models”
[5] Jose Antonio Bogarin Geymayr, Nelson Francisco Favilla Ebecken, “Fault-Tree Analysis: A Knowledge-Engineering Approach”, IEEE Transactions on Reliability, vol 44, NO.1, 1995 March
[6] Frode Hansen and Vladimir Oleshchuk, “SRBAC: A Spatial Role-Based Access Control Model for Mobile Systems”,
[7] T. Jaeger and J. Tidswell, “Practical Safety in Flexible Access Control Models,”
ACM Transactions on Information and System Security, Vol.4, No.2, 2001, pp.158-190.
[8] Pradip Lamsal, Understanding Trust and Security, October 2001
[9] Minsoo Lee, Jintaek Kim, Sehyun Park, Ohyoung Song, and Sungik Jun, “A Location-Aware Secure Interworking Architecture Between 3GPP and WLAN System
[10] Ilari Lehti and Pekka Nikander, “Certifying Trust”
[11] Stephen Paul Marsh, “Formalising Trust as a Computational Concept”, April 1994
[12] Gary Stonebuner, Alice Goguen, and Alexis Feringa, “Risk Management Guide for information technology system”, NIST Special Publication 800-30, July 2002 [13] Nimal Nissanke and Etienne J. Khayat, “Risk Based Security Analysis of
Permissions in RBAC”
[14] Tero Ojanperä, Ramjee Prasad, “An Overview of Third-Generation Wireless Personal Communications: A European Perspective”
[15] R. Sandhu, E.J. Coyne, and C.E. Youman, “Role-based Access Models,” IEEE Computer, Vol.29, No.2, Feb. 1996, pp. 38-47.
[16] K. Stolen, F.D. Brber, T. Dimitrakos, R. Fredriksen, B.A. Gran, S.H. Houmb, M.S. Lund, Y.C. Stamatiou, and J.O. Aagedal, “Model-based risk assessment – the CORAS approach”, 2003.
[17] Jianyun Zhou, Tor Stålhane, “Using FMEA for early robustness analysis of Web-based systems”, Computer Software and Applications Conference, 2004.
COMPSAC 2004. Proceedings of the 28th Annual International
[18] MIL-STD-1629A, “Procedures for Performing a Failure Mode Effects and Criticality Analysis. U.S. Department of Defense,” Washington, D.C., November 28, 1984.
[19] ACUTech, “The HAZOP (Hazard and Operability) Method”, http://www.acu
safe.com/Hazard_Analysis/HAZOP_Technique.pdf
[20] Packeteer, Inc., “Accelerating Application Delivery For Satellite Networks”,
http://www.sonet.at/dsdsl-vpn/dsdsl-vpn.htm
[21] 王秀文,一個針對共通作業環境中資訊資產風險評估模式,國立交通大學資 訊管理研究所碩士論文,民92 年。
[22] 林千代,可攜性 RBAC 資訊系統架構之研究,朝陽科技大學資訊管理系碩 士論文,民92 年。
[23] 曾俊豪,以角色為基礎作網頁伺服器的存取控制之系統設計與實作, 國立台 灣大學資訊工程研究所碩士論文,民88 年。
附錄 A
虛擬碼(Pseudo Code)
使用者申請角色實體部分:
Build session
Receive user apply role (u, r, l, p)
If ( UserApplyR ole
u(r
)={u
∈USERS
|(u
,r
)∈UA
}) Calculate CV
(l
)→SecurityLV
(l
)For each permission of the role which user required
If ( PRMSAss
p(r
,l
)={p
∈PRMS
|(p
,r
,l
)∈PA
}AND
)}
( )
(
|
| {
) ,
(
l p l LOC p PRMS SecurityLV l SecurityLV p
PRMSEnable
= ∈ ∈ ≥)
Assign the permission to the role
Else
Remove the permission from the role
End If
Send the role to the user
Else
Drop the user’s request
Terminate session
End If
End Procedure
使用者存取資源部分:
Receive user request resource (r, p, l)
If ( p
⊇PRMS
(r
)×SecurityLV
(l
)) Request granted
Processing the request operation
Return the result to the user
Else If ( CFT
(p
,l
)∈CFTRULES ) Enter exception handling
Ask the user enforce environment security
Rebuild session
If ( p
⊆PRMS
(r
)×SecurityLV
'(l
))
Resend the updated role instance to the user
Else
Drop the request
End If
Close exception handling
Else
Drop the request
End If
End Procedure