无人机网络中基于状态迁移的访问控制模型
2018-12-07马卓然马建峰苗银宾
马卓然,马建峰,,苗银宾,孙 聪
(1. 西安电子科技大学 计算机学院,陕西 西安 710071;2. 西安电子科技大学 网络与信息安全学院,陕西 西安 710071)
随着无人机(Unmanned Aerial Vehicle, UAV)的快速发展,无人机网络安全得到了学术界和企业界的广泛关注. 在无人机网络中,UAV节点包含飞行控制器、声纳传感器、红外线传感器和相机等众多资源模块[1-3],而其中不同类型资源模块的访问控制需求各不相同,如图1所示. 传感器数据允许多个请求者同时访问;相机资源禁止多个请求者在同一时间内访问;而飞行控制器为了完成对紧急情况的及时处理,必须保证时刻被主体访问[4]. 同时由于无人机网络资源的请求者众多,比如,地面控制站终端和UAV自身的应用程序[5],在完成飞行任务的过程中,请求者会产生不同紧急程度的请求. 此外,无人机网络具有高速移动的特点[6],随着UAV的位置移动,授权者权限会发生改变.而且为了延长UAV的任务执行时间,UAV之间存在任务转移. 面对无人机网络复杂的访问控制环境,传统的访问控制方法无法针对众多资源类型与权限变更而提供弹性的权限管理. 因此,无人机网络亟需一种灵活且细粒度的访问控制方案.
图1 无人机网络结构图
在已有的访问控制方案中,文献[7]在无人机群体中通过UAV位置信息与手势识别技术提出基于身份的访问控制(Identity-Based Access Control, IBAC)方案,用户根据手势识别实现对UAV飞行控制模块的安全访问,但无法应对无人机网络众多资源类型与授权者发生变更的情况; 文献[8]在多用户访问多UAV的背景下提出具有独占性的基于角色的访问控制(Role-Based Access Control, RBAC)方案,克服了其他RBAC方案中因多个用户同时访问同一资源而引发的操作混乱问题,但RBAC方案未考虑UAV资源完整性的特点,而不能及时为此类资源分配权限,易导致完整性资源模块不能及时得到监控处理而威胁UAV的安全; 文献[9]提出在多无人机系统中基于任务的访问控制(Task-Based Access Control,TBAC)方案,通过中央任务管理器将任务分配到具体的UAV,方案中将访问权限与任务相结合,每个任务都被看作主体使用权限访问资源的过程,根据任务的紧急程度实现了主体的优先级划分,但未解决无人机网络资源具有多种访问控制需求的问题. 在其他领域的访问控制中,文献[10-11]根据资源被用户访问的情况而提出基于状态的访问控制模型(State-Based Access Control Model, SBACM),但该方案针对单一类型的资源,不能满足无人机网络资源类型复杂的实际场景. 为了解决以上问题,笔者提出一种基于状态迁移的访问控制模型(State Transition-Based Access Control Model,STBACM),实现对无人机网络多种类型资源的安全访问,而且确保了主体优先级访问控制. 表1给出该方案与其他方案的功能比较.
表1 不同方案的功能比较
1 预备知识
在介绍文中方案之前,首先给出主体、客体、请求、权限、状态以及状态迁移6个术语的定义.
定义1 主体:系统中请求者的集合S. 其中S∈S,S= {Sid,Sp},S指系统中一个可以独立访问无人机网络资源的主体,其由主体身份Sid和主体优先级Sp组成.
定义2 客体:系统中可被请求者访问的资源集合O. 其中O∈O,O= {Oid,A},客体O是由客体身份Oid和客体属性集A= {A1,A2}构成.A1表示资源的访问性质,A2= {con,uncon},表示主体被访问的情况(con表示客体已有主体访问,uncon表示客体未被主体访问).
定义3 请求: 系统为了变更权限而发起请求,请求集合R=RA×S×O. 授予或撤销权限是由操作模式RA= {add,delete}所决定.r= {ra,S,O},表示r是由主体S发出的对客体O进行ra权限操作的请求,其中r∈R且ra∈RA.
定义4 权限: 权限P=S×O,是系统中的主体对客体进行访问的许可. 其中,P∈P,P= (S,O),表示主体S访问客体O的权限.
定义5 状态: 某个时间点内系统中客体被系统主体授权的情况通过状态表示,状态集合表示为V. 其中,V∈V,V= {O,So},So表示系统当前授权访问O的主体集,So⊆S.
根据系统中客体类型,定义了4条访问性质,当且仅当客体满足至少一条访问性质时为安全状态:
(1) 共享性访问性质(Shared Access Property, SAP): 共享性客体可被多个主体同时访问且不发生访问控制冲突. 共享性客体O∈O,O的状态V= {O,So}满足SAP. SAP表示如下:
SAP⟺V∈V,∀S,S′∈S,S≠S′⟹S∈So∧S′∈So.
(2) 独占性访问性质(Exclusive Access Property, EAP): 独占性客体至多被一个主体所访问. 独占性客体O∈O,O的状态V= {O,So}满足EAP,EAP表示如下:
EAP⟺V∈V,∀S,S′∈S,S≠S′⟹S∈So∧S′∉So∪S∉So∧S′∈So.
(3) 完整性访问性质(Completeness Access Property,CAP): 完整性客体必须保证至少被一个主体访问. 当完整性客体出现没有主体访问的情况时,将被授权到默认主体Sd. 完整性客体O∈O,O的状态V= {O,So}满足CAP,CAP表示如下:
CAP⟺Ø∉So.
(4) 非完整性访问性质(Incompleteness Access Property,IAP): 非完整性客体不需要保证始终被主体访问.非完整性客体O∈O,O的状态V= {O,So}满足IAP,IAP表示如下:
IAP⟺Ø∈So.
定义6 状态迁移: trans:V×R→V,表示在请求触发下客体从一个状态到另一个状态的迁移函数.
图2 系统模型
2 系统模型
针对无人机网络复杂的访问控制情况[12],笔者提出基于状态迁移的访问控制模型,系统模型结构如图2所示,模型由主体、客体资源与访问控制层组成. 其中系统通过主体发出请求的执行次序满足了主体优先级,并根据客体访问性质实现对客体的分类,而且访问控制层根据状态迁移规则限制主体对资源的访问. 模型在访问控制层中引入访问控制管理器(Access Control Manager, ACM)集中管理所有权限. 当请求出现异常时,ACM拒绝请求;否则,ACM将执行状态迁移,对请求进行处理. 由于主体和资源之间没有静态映射,该映射由ACM执行. 在主体允许访问一个资源模块之前,需要在ACM中存储相对应的权限. 模型中各模块的作用将于下文中介绍.
2.1 主体优先级
在系统模型中,访问控制的主体为请求者,其可以是地面控制站终端或UAV自身的应用程序[13-14],根据请求的紧急程度和重要程度对主体进行优先级划分. 主体可以发送访问请求到ACM,在资源权限请求过程中,主体间可能会发生资源竞争. 此时,ACM根据主体优先级决定执行请求的次序,在主体间优先级相同的情况下,将按照主体间请求发送的先后次序执行请求,即先到先得规则.
图3 无人机网络资源性质分类图
2.2 客体性质分类
系统模型中的客体为无人机网络的整体资源,根据资源的访问性质,系统对无人机网络的资源进行分类,如图3所示,客体资源分为4种类型.
2.3 状态迁移
在无人机网络执行飞行任务时,由于单个UAV的续航时间有限,为了延长UAV任务执行时间并提供不间断的服务,无人机网络会将飞行任务从一架UAV转交给另一架UAV[9],这个过程伴随着权限转移. 且随着UAV的高速移动,系统中的请求者会发生变更. 如图4所示,在权限转移和授权者变更时将触发一系列的客体状态迁移,比如,系统将撤销已退出系统的授权者的权限,并添加新加入系统的主体的权限. 在状态迁移的过程中将根据客体状态执行访问控制策略.
图4 系统状态迁移图
系统状态迁移如图4所示,生成步骤如下:
步骤1 创建客体的初始状态:将系统客体集合中的一个客体O∈O和访问该客体的主体集So⊆S视为该客体的初始状态V0∈V.
步骤2 触发状态迁移:当无人机网络中授权者发生变更和UAV间出现任务转移时,需要进行一系列的权限变更. 在变更访问客体O的权限时,主体发送的请求r∈R. 当r满足状态迁移规则的条件时,则生成一条由O当前状态Vi∈V指向Vj∈V的有向边trans(Vi,r)=Vj.其表示在请求r的触发下,执行访问控制策略中的状态迁移规则,响应请求r,客体O从状态Vi迁移至状态Vj.
步骤3 生成新状态:执行状态迁移后,访问客体O的主体集发生改变,此时生成新状态,客体状态迁移至新的状态节点Vj.
3 基于状态迁移的访问控制方案
ACM在处理请求和权限更新时需要访问控制策略判断是否接收请求以及如何执行状态迁移. 在STBACM中介绍了访问控制策略中状态迁移规则的具体实现,相关参数的定义见表2.
表2 参数定义表
以下为STBACM的迁移规则,其中规则1定义如何添加共享性客体的权限,规则2定义如何添加独占性客体的权限,规则3定义如何删除非完整性客体的权限,而规则4是对完整性客体的权限撤销的定义,确保完整性客体在撤销权限后的完整性. 当请求r满足状态迁移规则条件时,将ACM按状态迁移规则执行迁移.其中ACM处理请求执行状态迁移规则的流程如图5所示.
图5 ACM处理请求流程图
规则1 添加共享性客体权限.若主体S需要添加共享性客体O的权限,S发送请求r∈R,r= (add,S,O).如果r满足状态迁移规则条件1,ACM将执行状态迁移,调用函数addSAP(S,O)添加权限P= (S,O)到ACM,其中P∈P. 条件1可表示为
(1)
规则2 添加独占性客体权限.若主体S需获得独占性客体O的权限,S发出的请求r∈R,r= (add,S,O).根据客体O的权限是否已授予给其他主体分为以下两种情况:
规则2.1 当独占性资源O尚无其他主体访问时,则调用函数addUncontrolledExclusiveRes(S,O)将O的权限授予给主体S.如果满足条件2.1,它将添加P= (S,O)到ACM,P∈P. 条件2.1可表示为
(2)
规则2.2 独占性客体O此时已被主体S′访问控制;如果S′优先级小于S,则依次调用函数delPermiss(S′,O)和addUnconEAP(S,O),将O的权限授予给优先级高的S,如果满足条件2.2,则它将添加S到O的授权集中; 如果S′优先级不低于S,则根据先到先得的策略,S将无法获得O的权限. 条件2.2可表示为
(3)
规则3 撤销非完整性客体权限.若主体S需要将非完整性客体O的权限进行撤销.这由请求r∈R,r= (delete,S,O)所表示. 在这种情况下,调用一个函数delPermiss(S,O). 如果满足条件3,它将从ACM中移除权限P= (S,O).条件3可表示为
(4)
规则4 撤销完整性客体权限.若主体S需要将完整性客体O的权限进行撤销. 这由请求r∈R,r= (delete,S,O)所表示. 若满足条件4,它将在ACM中移除权限P= (S,O),并将O的权限授予给O默认的主体Sd,保证O的完整性访问性质. 条件4可表示为
(5)
当且仅当主体发送的请求r满足状态迁移规则的条件时,才能够调用相应的函数,触发状态之间的迁移.
4 STBACM方案分析
对STBACM方案的性能进行测试与评估.实验在Eclipse 4.6.1(Windows 8,主频为 2.30 GHz,内存为 4.00 GB) 上计算了STBACM方案在仿真环境下处理请求时执行状态迁移的计算开销. 为了对STBACM方案更好地进行分析,文中将实验方案部署于由多个地面控制终端(Windows 8,主频为 2.30 GHz,内存为 4.00 GB) 和3个无人机(主处理器STM32F427,协处理器STM32F100)组成的无人机网络上,并与RBAC方案进行对比,其中无人机网络采用MAVLink协议[15]. 下面从系统客体和主体两个角度来测试系统在不同数量规模主体|S|与客体|O|情况下的性能,并给出与RBAC方案性能的比较,实验结果如图6所示,其中图6(a)和(b)为仿真环境下的STBACM的迁移规则执行时间,图6(c)和(d)对比了实际无人机网络与仿真环境下STBACM和RBAC两种方案的执行时间. 在图6(a)中发现客体规模 |O|= 50,|S|∈ [10,50]的情况下,规则执行时间随着|S|规模的扩大而增长趋势逐渐变缓,在图6(b)中得知,当主体规模 |S|= 10,|O|∈ [50,250]时,规则执行时间随着|O|规模的变化而呈近似线性的增长. 从图6(a)和(b)中发现STBACM的迁移规则执行时间与系统主体和客体数量规模相关,其随着主体和客体数量规模的增加而增加,且通过对方案中状态迁移规则执行时间的比较中发现,在撤销权限时,规则4由于需要保证客体资源的完整性,因而时间开销高于规则3; 在对独占性资源授权时,规则2.2需要比较主体间的优先级,如果符合条件则执行规则2.1,否则拒绝请求,所以平均执行时间明显低于规则2.1; 规则1对共享性资源进行权限授予,无需比较主体间的优先级,因而计算时间介于规则2.1与规则2.2之间. 在图6(c)和(d)中,STBACM和RBAC均随着主体与客体数量规模的扩大执行时间随之增加.在仿真环境中,当主体 |S|= 10,客体 |O|= 50时,RBAC方案的时间开销为 6.1 ms,STBACM方案的时间开销为 11.5 ms;STBACM执行时间略高于RBAC,这是因为STBACM方案是根据客体状态和主体优先级而进行弹性权限管理,弥补了RBAC方案无法保证客体资源的完整性和独占性的不足,所以时间开销略有增长,该增长可接受. 而且在无人机网络中,当主体 |S|= 10,客体 |O|= 50时,RBAC方案的时间开销为 8.3 ms,STBACM方案的时间开销为 13.6 ms,从中可知,实际无人机网络中方案的执行时间高于仿真环境,其原因是在无人机网络环境中需要通过系统创建阶段为无人机网络创建主体和客体,系统创建阶段存在时间开销和通信延迟. 无人机网络中STBACM方案的时间开销为 13.6 ms,这在实际无人机网络应用场景中可行,因此,文中的STBACM方案在实际无人机网络应用场景中是可行的.
图6 请求执行时间随主体客体规模的变化趋势
5 结 束 语
针对传统访问控制机制不能满足无人机网络中复杂的访问控制环境及权限变更的需求,笔者提出了基于状态迁移的访问控制模型,并确保了细粒度的访问权限管理和主体优先级控制,且实验性能测试表明文中方案在实际无人机网络应用场景中具有可行性. 进一步研究工作将提高方案中迁移规则的执行效率,并结合实际无人机网络的上下文环境对文中方案进行扩展.