Page 316 - 《软件学报》2025年第9期
P. 316
韩将 等: 面向跨信任域互联网场景的拜占庭容错访问控制架构 4227
● PEP 节点: 策略执行点, 负责强制执行 PDP 节点所决定的访问策略. PEP 节点与 PDP 节点相对应, 共同构成
一个信任域.
● 待访问资源对象: 系统中的受保护资源, 包括数据、文件、服务等. 每个资源对象都有一个唯一的标识符,
用户可以通过该标识符来请求访问资源.
访问请求 访问资源
1
PEP 0
待访问用户
{R 1 , …, R m }, R [0, K]
能 2
否 决
访 策
问 3
PDP 1
?
参与
PDP 2 请求共识
共识 …
共识 PDP 0
共识结果
PDP 3
干扰 m
共识
…
恶意 … 恶意
PDP n−f 信任域
PDP 1 PDP f
图 2 CBAC 的安全系统模型
在 CBAC 访问控制机制中, 用户的访问权限是由系统中所有 PDP 节点通过网络交互而共同决策的. 具体步骤
如下.
● 用户向 PEP 节点发起访问请求, 同时提供身份证明信息.
● PEP 节点将用户的访问请求和身份证明信息转发给对应的 PDP 节点.
● PDP 节点根据用户的身份和相关策略, 以及系统中其他 PDP 节点传递过来的信息, 共同决定用户的访问
权限.
● PDP 节点将用户的访问权限结果通过网络传递给 PEP 节点.
● PEP 节点根据 PDP 节点的决策结果, 强制执行访问策略, 允许或拒绝用户的访问请求.
CBAC 访问控制机制具有以下优点.
● 安全性高: 通过多个 PDP 节点的共同决策, 可以有效防止恶意用户的攻击和非法访问.
● 灵活性高: 可以灵活地定义和更新访问策略, 适应不同的业务需求和安全场景.
● 效率高: 通过集中式的策略管理和分布式的访问控制, 可以有效地提高系统的性能和效率.
3.2 威胁模型
在 CBAC 访问控制系统中, 我们考虑腐化 PDP 节点和跨信任域通信网络作为安全威胁. 具体而言, PDP 节点
和通信网络的腐化行为可以分别建模如下.
● f-out-of-N 攻击者: 考虑攻击者可以腐化 N 个信任域中的至多 f 个, 并统一控制这 f 个腐化信任域的 PDP 节
点开展任意在多项式时间内可计算的攻击行为. 在本文中, 敌手腐化的 PDP 节点称为恶意节点, 未被敌手腐化的
PDP 节点称为诚实节点.
● 异步的跨信任域通信网络: 为刻画 PDP 节点之间不稳定的广域互联网场景, 采用标准的认证异步网络模型,
即 PDP 节点之间的消息经过认证后无法被网络攻击者篡改, 但可能被网络攻击者长时间延迟, 因此无法估计
PDP 节点间消息传输延迟时间的上界.
