林果園，賀珊，黃皓，吳吉義，陳偉

（1.中國礦業(yè)大學(xué) 計(jì)算機(jī)學(xué)院，江蘇 徐州 221116；2. 南京大學(xué) 計(jì)算機(jī)系，江蘇 南京 210093；3. 杭州師范大學(xué) 杭州市電子商務(wù)與信息安全重點(diǎn)實(shí)驗(yàn)室，浙江 杭州 310036）

1 引言

云計(jì)算是一種新興的計(jì)算模式，它是一種分布式計(jì)算，是在網(wǎng)格計(jì)算的基礎(chǔ)上發(fā)展而來的[1]，它體現(xiàn)了“網(wǎng)絡(luò)就是計(jì)算機(jī)”的思想，將網(wǎng)絡(luò)大量計(jì)算資源、存儲(chǔ)資源與軟件資源鏈接在一起，形成巨大規(guī)模的共享虛擬資源池，為遠(yuǎn)程計(jì)算機(jī)用戶提供服務(wù)。

云計(jì)算以動(dòng)態(tài)的服務(wù)計(jì)算為主要技術(shù)特征,以靈活的“服務(wù)合約”為核心商業(yè)特征[2]。在云計(jì)算環(huán)境中，數(shù)據(jù)存儲(chǔ)方式打破傳統(tǒng)模式，所有數(shù)據(jù)以托管的方式存儲(chǔ)在云端服務(wù)器中，用戶只需利用云服務(wù)商提供的API（應(yīng)用程序編程接口），通過瀏覽器就可以隨時(shí)隨地獲取所需要的數(shù)據(jù)和服務(wù)。服務(wù)模式的改變也帶來了諸多云計(jì)算信息系統(tǒng)的安全問題，例如開放的接口為非法訪問提供了可能，非法用戶會(huì)進(jìn)入信息系統(tǒng)竊取企業(yè)和用戶機(jī)密數(shù)據(jù)，因此數(shù)據(jù)完整性和保密性受到巨大威脅。

目前，云計(jì)算安全所面臨的3大安全問題主要體現(xiàn)在身份與權(quán)限控制、Web安全防護(hù)和虛擬化安全方面等。在云計(jì)算時(shí)代，安全設(shè)備和安全措施的部署位置有所不同，安全責(zé)任的主體發(fā)生了變化。目前，常用的解決云計(jì)算安全問題的辦法主要有數(shù)據(jù)備份、建立企業(yè)私有云、數(shù)據(jù)加密后放到云端保存，但這并不能從根本上解決云計(jì)算所面臨的安全問題。云計(jì)算已成為一種嶄新的服務(wù)模式，針對(duì)云端服務(wù)器中數(shù)據(jù)完整性和保密性的問題，需要符合自身特點(diǎn)的安全模型。

2 相關(guān)研究

圍繞遠(yuǎn)端用戶對(duì)云資源進(jìn)行訪問時(shí)，如何保證數(shù)據(jù)的完整性和保密性展開研究是目前云計(jì)算安全研究的一個(gè)重要方向[2]。

有些學(xué)者結(jié)合云計(jì)算的特點(diǎn)提出了相應(yīng)的訪問控制方法，但是沒有綜合考慮數(shù)據(jù)的完整性和保密性。文獻(xiàn)[3]認(rèn)為API是云服務(wù)提供者和使用者之間的橋梁，云計(jì)算的安全很大程度上依賴API的安全，提出了云計(jì)算環(huán)境下 API層面的一種基于RBAC的兩階段訪問控制機(jī)制。但是該訪問機(jī)制只允許白名單中的用戶進(jìn)行訪問，與云計(jì)算的開放性不相符。Li等人[4]提出了適于SaaS系統(tǒng)的S-RBAC訪問控制模型，解決了 SaaS系統(tǒng)中的一些訪問控制問題，但是對(duì)于一些權(quán)限許可缺少時(shí)間約束。文獻(xiàn)[5]在分析云計(jì)算環(huán)境的特點(diǎn)和安全現(xiàn)狀的基礎(chǔ)上，介紹了一種安全訪問控制服務(wù)（SACS, security access control service）的概念，基于SACS提出了一種層次化的云安全模型，但是描述過于簡(jiǎn)化，沒有指出如何保證完整性或者保密性。

20世紀(jì)70年代，保護(hù)數(shù)據(jù)完整性或保密性的安全模型被提出。BLP模型是由 El-liott Bell 和Leonard J La Padula 于1973 年創(chuàng)立的一種模擬符合軍事安全策略的計(jì)算機(jī)操作的模型[6,7]。在 BLP模型中允許下讀、上寫2個(gè)安全特性，這2個(gè)特性保證了信息的單向流動(dòng)，即信息只能向高安全屬性的方向流動(dòng)，BLP模型就是通過信息的單向流動(dòng)來防止信息的擴(kuò)散，抵御特洛伊木馬對(duì)系統(tǒng)機(jī)密信息的攻擊。BLP 模型的不足[8]之處在于對(duì)完整性控制不夠?？赡艹霈F(xiàn)的情況是，已授權(quán)的用戶對(duì)數(shù)據(jù)進(jìn)行非法的修改。BLP模型通過提供保證數(shù)據(jù)保密性的安全策略來保證系統(tǒng)的安全，但它不能有力地保證數(shù)據(jù)的完整性。因此，20世紀(jì)70年代，Ken Biba等人提出了Biba訪問控制模型[9]，該模型對(duì)數(shù)據(jù)提供了分級(jí)別的完整性保證，類似于 BLP保密性模型，Biba模型也使用強(qiáng)制訪問控制系統(tǒng)。Biba模型是和 BLP模型相對(duì)立的模型，Biba模型改正了被BLP模型所忽略的信息完整性問題，但在一定程度上卻忽視了保密性。

針對(duì)傳統(tǒng)安全模型中完整性與保密性相沖突的問題，有些學(xué)者提出了相應(yīng)的解決方案，但是沒有深入云計(jì)算環(huán)境的特點(diǎn)進(jìn)行展開。李益發(fā)[10]提出將BLP模型和Biba模型結(jié)合建立操作系統(tǒng)安全模型。由于該模型基于一個(gè)特殊可信主體，使得其實(shí)用性受到限制。周正等人[11]提出了兼顧保密性與完整性的安全策略，并且為避免通過交互訪問操作以及多角色主客體存在造成的泄密與完整性破壞事件提供了理論基礎(chǔ)。但沒有解釋在具體信息系統(tǒng)環(huán)境中如何對(duì)主客體密級(jí)以及安全級(jí)進(jìn)行合理確定。文獻(xiàn)[12]針對(duì)Sandhu 等人提出模型的基礎(chǔ)上，引入了輔助角色層次, 加強(qiáng)了角色間關(guān)系并提供了對(duì)可信主體概念的支持，在RBAC 中實(shí)施了經(jīng)典的BLP模型及其變種模型。但該文獻(xiàn)僅停留在理論證明層面，如何在商業(yè)系統(tǒng)中以較小的代價(jià)引入強(qiáng)制訪問控制并沒有詳細(xì)論述。李鳳華等[13]結(jié)合角色、時(shí)態(tài)和環(huán)境的概念, 給出了行為的定義。然后介紹了行為、時(shí)態(tài)狀態(tài)和環(huán)境狀態(tài)的層次結(jié)構(gòu), 提出了基于行為的訪問控制(ABAC, action based access control)模型。與已有其他模型相比，ABAC模型更加適用于解決網(wǎng)絡(luò)環(huán)境下支持移動(dòng)計(jì)算的信息系統(tǒng)中的訪問控制問題。

本文吸收這些文獻(xiàn)的技術(shù)成果，以BLP模型和Biba模型為基礎(chǔ)，借鑒有關(guān)行為定義的思想，結(jié)合云計(jì)算環(huán)境的特點(diǎn)，用行為綜合角色、時(shí)態(tài)和環(huán)境狀態(tài)的相關(guān)安全信息，通過基于行為的訪問控制技術(shù)將 BLP和 Biba模型相結(jié)合，并做了一定的取舍與擴(kuò)充，提出了CCACSM。通過該模型，力求解決云計(jì)算環(huán)境下的完整性與保密性的問題。

3 CCACSM

將BLP模型與Biba模型通過訪問控制有機(jī)結(jié)合，各取其優(yōu)點(diǎn)，提出了一種保護(hù)云端服務(wù)器中數(shù)據(jù)的保密性和完整性的云計(jì)算訪問控制安全模型(CCACSM, cloud computing access control security model)。該模型主要繼承了BLP模型的簡(jiǎn)單安全屬性和*屬性公理，以此加強(qiáng)了數(shù)據(jù)的保密性，并且結(jié)合了Biba模型的嚴(yán)格完整性策略，以此保證了數(shù)據(jù)的完整性。

3.1 CCACSM的組成部分

CCACSM需要刻畫用戶、服務(wù)器及其訪問權(quán)限和行為所處的時(shí)態(tài)和環(huán)境等，有多個(gè)元素、相應(yīng)關(guān)系和規(guī)則構(gòu)成。

1) 元素

為了方便模型的形式化描述，將模型中涉及到的元素進(jìn)行了數(shù)學(xué)形式的定義，如表1所示。

模型中的環(huán)境即用戶訪問系統(tǒng)時(shí)的客觀因素，例如平臺(tái)（硬件平臺(tái)、軟件平臺(tái)等）、位置（場(chǎng)所物理位置、網(wǎng)絡(luò)位置等），還有其他與訪問控制相關(guān)的外部客觀信息等。云計(jì)算系統(tǒng)可以使用與安全相關(guān)的環(huán)境信息來限制對(duì)系統(tǒng)資源的訪問。環(huán)境狀態(tài)對(duì)云用戶在何種外部客觀因素下的權(quán)限進(jìn)行約束，將環(huán)境狀態(tài)的集合通常記為E。

2) 時(shí)態(tài)、環(huán)境和行為的關(guān)系

定義 1 對(duì)于相同的環(huán)境狀態(tài)，若 Ti、Tj是 T中的元素，角色r在時(shí)態(tài)Ti中得到的權(quán)限為Di滿足Di∈Dj，則稱 Ti為 Tj的子時(shí)態(tài)狀態(tài)，記為 Ti≤Tj。

定義2 對(duì)于相同的時(shí)態(tài)狀態(tài)，若Ei、Ej是E中的元素，角色r在環(huán)境Ei中得到的權(quán)限為Di滿足Di∈Dj，則稱 Ei為 Ej的子環(huán)境狀態(tài)，記為 Ei≤Ej。

定義3 將行為集合記為A，行為層次結(jié)構(gòu)AH∈A×A是行為集合 A上的偏序關(guān)系。當(dāng)且僅當(dāng)Ti≤Tj、Ei≤Ej、Di≤Dj同時(shí)成立，對(duì)于任意的Ai={ Di,Ti,Ei}, Aj={ Dj,Tj,Ej}∈A，(Ai,Aj) ∈AH。如果(Ai,Aj) ∈AH成立，則稱Ai是Aj的低級(jí)行為，Aj是Ai的高級(jí)行為。

3) 狀態(tài)轉(zhuǎn)換規(guī)則

狀態(tài)轉(zhuǎn)換規(guī)則主要是用來保證系統(tǒng)的每一個(gè)狀態(tài)都是安全狀態(tài)。除了保證初始狀態(tài)是安全的，還要保證系統(tǒng)的每一次轉(zhuǎn)換都從一個(gè)安全狀態(tài)轉(zhuǎn)移到另一個(gè)安全狀態(tài)。在CCACSM中的狀態(tài)轉(zhuǎn)換主要包括以下5個(gè)規(guī)則。

規(guī)則1 get-read規(guī)則，用于云用戶集合對(duì)云端服務(wù)器集合請(qǐng)求只讀訪問。

當(dāng)云用戶 Si可以對(duì)云端服務(wù)器 Oj進(jìn)行只讀訪問時(shí)，需滿足以下條件：

1) Si的行為集合中有對(duì)Oj的只讀權(quán)限；

2) Si的安全等級(jí)支配Oj的安全等級(jí)；

3) Si是可信云用戶或云用戶的當(dāng)前安全等級(jí)與云端服務(wù)器Oj的安全等級(jí)相同。

規(guī)則 2 get-execute規(guī)則，用于云用戶對(duì)云端服務(wù)器請(qǐng)求執(zhí)行訪問。

當(dāng)云用戶 Si可以對(duì)云端服務(wù)器 Oj進(jìn)行執(zhí)行訪問時(shí)，需滿足：Si的行為集合中有對(duì)Oj的執(zhí)行權(quán)限，要完成執(zhí)行操作還必須有讀寫權(quán)限。

規(guī)則 3 get-append規(guī)則，用于云用戶對(duì)云端服務(wù)器請(qǐng)求讀寫訪問。

當(dāng)云用戶 Si可以對(duì)云端服務(wù)器 Oj進(jìn)行讀寫訪問時(shí)，需滿足以下條件：

1) Si的行為集合中有對(duì)Oj的讀寫權(quán)限；

2) Si的安全等級(jí)支配Oj的安全等級(jí)；

3) Si是可信云用戶或云用戶當(dāng)前的安全等級(jí)支配Oj的安全等級(jí)。

規(guī)則4 change-subject-current-security-level規(guī)則，用于云用戶請(qǐng)求改變當(dāng)前的安全等級(jí)。

當(dāng) Si可以改變其當(dāng)前 Oj的安全等級(jí)至 fo時(shí)，需滿足以下條件。

1) Si是可信云用戶或它的安全等級(jí)被改變?yōu)閒o并且導(dǎo)致的狀態(tài)滿足*屬性；

表1 CCACSM的組成元素

2) Si的安全等級(jí)支配fo。

規(guī)則5 resolve-conflict規(guī)則，用于云端數(shù)據(jù)的機(jī)密性與完整性產(chǎn)生沖突時(shí)的處理機(jī)制。

當(dāng)云用戶Si可以對(duì)云端服務(wù)器Oj進(jìn)行訪問，機(jī)密性與完整性發(fā)生沖突時(shí)，需滿足以下條件：

Si的行為集合中有對(duì) Oj的 Ai權(quán)限，Oj的行為集合中包括Aj權(quán)限；

當(dāng)且僅當(dāng)(Ai,Aj) ∈AH時(shí)，即Aj是Ai的高級(jí)行為時(shí)，滿足簡(jiǎn)單安全屬性和*屬性公理；

當(dāng)且僅當(dāng)(Aj,Ai) ∈AH時(shí)，即Ai是Aj的高級(jí)行為時(shí)，滿足嚴(yán)格完整性策略。

CCACSM 側(cè)重于更強(qiáng)的完整性和保密性同時(shí)滿足，如圖1所示，其訪問控制分為2個(gè)層次。

1) 權(quán)限層次：訪問規(guī)則——允許同級(jí)別的云用戶對(duì)云端服務(wù)器數(shù)據(jù)有只讀權(quán)限，高級(jí)別云用戶對(duì)低級(jí)別云端服務(wù)器數(shù)據(jù)有所有權(quán)限，低級(jí)別云用戶對(duì)高于自己級(jí)別的云端服務(wù)器數(shù)據(jù)只具有最小權(quán)限（即只可以讀取云端服務(wù)器中的部分共享的數(shù)據(jù)）。

2) 行為層次：行為層次包括時(shí)態(tài)層和環(huán)境層，行為的狀態(tài)隨著角色、時(shí)態(tài)和環(huán)境的不同而動(dòng)態(tài)變化，其中，環(huán)境狀態(tài)和時(shí)態(tài)狀態(tài)對(duì)角色所能享有的權(quán)限具有直接影響，如不同的物理位置、網(wǎng)絡(luò)位置、軟件平臺(tái)等外部環(huán)境可以對(duì)角色產(chǎn)生影響，同時(shí)不同的時(shí)態(tài)狀態(tài)如事件發(fā)生的起始時(shí)間、終止時(shí)間、持續(xù)時(shí)間等也會(huì)對(duì)角色產(chǎn)生影響。

3.2 CCACSM的安全定理

定理1 CCACSM滿足經(jīng)典BLP模型的簡(jiǎn)單安全屬性和*屬性公理。

證明 假設(shè)≤BLP和≥BLP都表示偏序關(guān)系，Lw為相應(yīng)于≥BLP的最低安全等級(jí)的寫權(quán)限，fo對(duì)應(yīng)o的當(dāng)前安全等級(jí)，T對(duì)應(yīng)云用戶S的時(shí)態(tài)，E對(duì)應(yīng)S所處的環(huán)境。

1) 對(duì)于非可信云用戶S

? o∈O , x =F(o)；

?s∈S, 令 s的讀權(quán)限集為 Drs，寫權(quán)限集為Dws，行為集為As；

設(shè)s具有的訪問權(quán)限為f’e、fr和fw，即D (s) ={f’e,fr, fw}，As={D(s),T,E}，那么有：

Ars= { (o, r) |?for≤fr [ (( o, r) , for )∈D]}；

Aws= { (o, w) |?fow≤fw[ (( o, w) , fow)∈D]},

又因?yàn)槊總€(gè)云端服務(wù)器o的訪問權(quán)限被精確地分配給了角色F(x)r和F(x)w，即：

即 D={((o, r), f’(o)r),((o, w), f’(o)w)}; A={D,T,E}。

推理得：Ars={ ( o, r) |?for≤fr[fo= f’(o) ]}

= { ( o, r) | f’(o)r≤fr}

= { ( o, r) | f’(o)≤BLP f}；

Aws= { ( o, w) |?fow≤fw[fo=f’(o) ]}

= { ( o, w) | f(o)w≤fw}

= { ( o, w)| f’(o)≥BLP f}。

若 s 能讀訪問 o,即(o, r)∈Drs，必有 f’(o)≤BLP f= f(s)，即滿足*屬性。

圖1 CCACSM的訪問控制規(guī)則

又因?yàn)?f≤BLP f’ =f’(s)，所以 f’(o)≤BLP f’(s)，即滿足簡(jiǎn)單安全屬性。

若 s 能寫訪問 o，即(o , w)∈Aws，必有 f’(o)≥BLPf = f(s)，即滿足*屬性。

又因?yàn)楹?jiǎn)單安全屬性并不約束只寫操作, 所以也滿足簡(jiǎn)單安全屬性。

2) 對(duì)于可信云用戶S’

?o∈O , x = F(o)，? s∈S’，令 s的讀權(quán)限集為Drs，寫權(quán)限集為Dws，行為集為As。

設(shè) s具有的權(quán)限為 f’e，fr和 Lw，即 F(s) ={ f’e,fr, Lw}，與上同理，有 Ars = { (o, r) | f’(o)≤BLP f}，Aws = { ( o, w) | f’(o)≥BLP f }。

若s 能讀訪問o，即(o,r) ∈Drs，必有f’(o)≤BLP f= f(s)。又因?yàn)?f≤BLP f’= f’(s)，所以 f’(o)≤BLP f’(s)，滿足簡(jiǎn)單安全屬性。

對(duì)于可信云用戶，*屬性對(duì)其訪問無任何約束，自然被滿足。

綜上所述，CCACSM模型保證了系統(tǒng)的保密性。 證畢。

定理2 CCACSM滿足Biba模型的嚴(yán)格完整性策略。

嚴(yán)格完整性策略主要防止信息從低完整性級(jí)別客體向高完整性級(jí)別客體傳遞，即對(duì)于任意的云用戶 s，若(Drs,To1,E)∈A, (DWs,To2,E)∈A，則有fo1≤fo2。

證明 假設(shè)L為完整性標(biāo)識(shí)，Lr為完整性標(biāo)識(shí)范圍，Dxs={Dx1s, Dx2s,…,Dxns}為云用戶s對(duì)云端服務(wù)器o的訪問權(quán)限集合并且Dx1s﹤Dx2s…﹤Dxns（表示訪問權(quán)限依次增大）。

假設(shè)當(dāng)前的 A集合存在訪問權(quán)限 Ar=(Drs,To1,E), Ax1s=(Dx1s,To2,E), Ax2s=(Dx2s,To3,E)…Axns= (Dxns,Ton,E)

經(jīng)過Ar訪問后變?yōu)?，?jīng)過Ax1s訪問后變?yōu)椋?jīng)過 Ax2s訪問后變?yōu)椤?jīng)過 Axns訪問后變?yōu)?，又因?yàn)?Dx1s﹤Dx2s…﹤Dxns???? …。

綜上所述，CCACSM滿足Biba模型的嚴(yán)格完整性策略。 證畢。

CCACSM中，簡(jiǎn)單安全屬性要求對(duì)模型的所有云用戶都成立，是為了防止云用戶寫入安全等級(jí)比其當(dāng)前安全級(jí)別高的云端服務(wù)器中的信息，并且防止云用戶直接從不允許其存取的級(jí)別的云端服務(wù)器中存取信息。而*屬性公理僅要求對(duì)非可信云用戶成立，此屬性防止了云用戶有意或無意地把高密級(jí)信息寫入低密級(jí)云端服務(wù)器中，從而造成秘密的泄露。定理2防止了信息從低級(jí)別向高級(jí)別云端服務(wù)器中傳遞，保證了信息的完整性。

3.3 CCACSM的實(shí)現(xiàn)過程

假設(shè)在該模型中系統(tǒng)管理員為系統(tǒng)定義k個(gè)安全等級(jí)（1,2,3,…,k），安全等級(jí)由高向低排列，其中1代表最高安全等級(jí)，k代表最低安全等級(jí)。系統(tǒng)中云端服務(wù)器 o擁有其中某一個(gè)安全等級(jí) f(o)(1≤f(o)≤k)，把云用戶 s劃分為幾個(gè)類型 z，每個(gè)云用戶屬于一種類型，假設(shè)每個(gè)類型對(duì)應(yīng)某個(gè)安全等級(jí) f(z)(1≤f(z)≤k)，則屬于該類型的某云用戶 s的安全等級(jí)f(s)=f(z)。任務(wù)T’與云用戶s之間形成一一對(duì)應(yīng)關(guān)系。假設(shè)某任務(wù)T’對(duì)應(yīng)某云用戶s，云用戶s的安全等級(jí)f(s)=n，1≤n≤k，把任務(wù)劃分為子任務(wù) T’(i)以后，T’={T’(i)，1≤i≤n 且 n≥1},完成該任務(wù)T’的云端服務(wù)器集合O={Oi，1≤i≤n且n≥1}，某云端服務(wù)器的安全等級(jí)為 f(Oi)，則可用如表2所示的M矩陣表示當(dāng)o對(duì)s的行為是A時(shí)，f(s)和f(Oi)之間應(yīng)有的關(guān)系。

表2 M矩陣

該模型的總體架構(gòu)如圖2所示，其基本實(shí)現(xiàn)過程由以下幾個(gè)步驟組成。

1) 第一次訪問云端服務(wù)器的云用戶需進(jìn)行以下幾個(gè)步驟。

Step1 每個(gè)申請(qǐng)?jiān)L問云端服務(wù)器的云用戶 Si都要進(jìn)行用戶注冊(cè)。

Step2 用戶注冊(cè)完畢后要進(jìn)行系統(tǒng)認(rèn)證。

Step3 沒有通過認(rèn)證的用戶被強(qiáng)制退出；通過認(rèn)證的云用戶，系統(tǒng)要再次對(duì)其進(jìn)行行為的判斷，判斷此云用戶的時(shí)態(tài)T以及所處環(huán)境E。環(huán)境可以分為內(nèi)部網(wǎng)絡(luò)E1和外部網(wǎng)絡(luò)E2；時(shí)態(tài)T可以分為工作時(shí)間T1和休息時(shí)間T2。此時(shí)，系統(tǒng)根據(jù)E-T的不同對(duì)云用戶分配相應(yīng)的權(quán)限行為A。

圖2 CCACSM完整性和保密性規(guī)則模型

Step4 判斷完云用戶的行為訪問規(guī)則后，要進(jìn)行相應(yīng)狀態(tài)轉(zhuǎn)換。

Step5 經(jīng)過狀態(tài)轉(zhuǎn)換后的云用戶被授權(quán)，即被賦予相應(yīng)的權(quán)限，即A= type(o, s)。例如，用戶1的行為狀態(tài)為E1-T2，那么它對(duì)云端服務(wù)器的數(shù)據(jù)集具有規(guī)則1的只讀權(quán)限A=get-read(o, s)；用戶2的行為狀態(tài)為E2-T2，那么它對(duì)云端服務(wù)器的數(shù)據(jù)集具有規(guī)則2的執(zhí)行權(quán)限A=get-execute(o,s)；用戶3的行為狀態(tài)為E1-T1，那么它對(duì)云端服務(wù)器的數(shù)據(jù)集具有規(guī)則3的讀寫權(quán)限A=get-append(o,s)；用戶4的行為狀態(tài)為E2-T1，那么它對(duì)云端服務(wù)器的數(shù)據(jù)集具有規(guī)則4的請(qǐng)求改變當(dāng)前的安全等級(jí)的權(quán)限A=change-subject-current-security-level(o, s)。其中，所有的云用戶在進(jìn)行云端服務(wù)器數(shù)據(jù)集訪問之前都要經(jīng)過定理1簡(jiǎn)單安全屬性與*屬性的驗(yàn)證，這一步保證了數(shù)據(jù)的保密性；而被賦予規(guī)則2、規(guī)則3和規(guī)則4的云用戶在進(jìn)行云端服務(wù)器數(shù)據(jù)集訪問之前都要經(jīng)過定理2完整性驗(yàn)證，這一步確保了數(shù)據(jù)的完整性。

Step6 云端服務(wù)器的數(shù)據(jù)都要經(jīng)過完整性驗(yàn)證返回給云用戶。

2) 已經(jīng)注冊(cè)的云用戶再次登錄系統(tǒng)時(shí)，直接跳過上述步驟的Step1與Step2進(jìn)行行為的判斷與狀態(tài)轉(zhuǎn)換等。

3.4 在云計(jì)算環(huán)境中應(yīng)用CCACSM

Hadoop是Apache軟件基金會(huì)組織下的一個(gè)開源項(xiàng)目，提供了分布式計(jì)算環(huán)境下的可靠和可擴(kuò)展軟件?；贖adoop框架的Distributed File System和 Map/Reduce Engine子系統(tǒng)，本文構(gòu)建了一個(gè)云計(jì)算實(shí)驗(yàn)平臺(tái)，在此平臺(tái)下對(duì)CCACSM進(jìn)行了應(yīng)用。該平臺(tái)以校園網(wǎng)絡(luò)中的用戶使用環(huán)境為背景，假設(shè)云用戶訪問某學(xué)校服務(wù)器端的數(shù)據(jù)信息，云用戶所處的環(huán)境E可以分為學(xué)校內(nèi)部網(wǎng)絡(luò)E1和學(xué)校外部網(wǎng)絡(luò)E2；時(shí)態(tài)T可以分為上班時(shí)間T1和下班時(shí)間T2，以2種訪問行為（E2-T1，E1-T1）為例進(jìn)行說明。

從以上分析中可以看出：當(dāng)s是可信云用戶，且 s對(duì) o有讀訪問權(quán)限，即(o, r)∈Drs，必有f’(o)≤BLP f= f(s)，又因?yàn)?f≤BLP f’= f’(s)，所以f’(o)≤BLP f’(s)，滿足簡(jiǎn)單安全屬性；對(duì)于可信云用戶，*屬性是自然被滿足的。

當(dāng)s是非可信云用戶，且s對(duì)o有讀訪問權(quán)限，即(o, r)∈Drs，必有 f’(o)≤BLP f= f(s)，即滿足*屬性，又因?yàn)?f≤BLP f’ =f’(s)，所以 f’(o)≤BLP f’(s)，即滿足簡(jiǎn)單安全屬性。

當(dāng)s是非可信云用戶，且s對(duì)o有寫訪問權(quán)限，即(o , w)∈Aws，必有 f’(o)≥BLPf = f(s)，即滿足*屬性，又因?yàn)楹?jiǎn)單安全屬性并不約束只寫操作, 所以也滿足簡(jiǎn)單安全屬性。

4 結(jié)束語

云計(jì)算的安全問題是云計(jì)算中的核心問題之一。本文結(jié)合云計(jì)算時(shí)代所面臨的安全問題，提出了CCACSM，并闡述了該模型的組成部分、安全定理以及典型的實(shí)現(xiàn)過程。該模型的優(yōu)點(diǎn)在于其不僅繼承了 BLP模型嚴(yán)格保密性的特點(diǎn)，而且具備了Biba模型保證數(shù)據(jù)完整性的特點(diǎn)。為了適應(yīng)云計(jì)算用戶位置可變性這一特點(diǎn)，模型還引進(jìn)了基于行為的訪問控制技術(shù)。針對(duì)CCACSM的進(jìn)一步研究主要是改進(jìn)該模型的“下讀，上寫”特性，提高系統(tǒng)的可用性。

[1] MILLER M. Cloud Computing: Web-Based Applications That Change the Way You Work and Collaborate Online[M]. Que Print Publication, 2008.

[2] 馮登國, 張敏, 張妍等. 云計(jì)算安全研究[J]. 軟件學(xué)報(bào). 2011, 22(1),71-83.FENG D G, ZHANG M, ZHANG Y, et al. Study on cloud computing security[J]. Journal of Software, 2011 22(1):71-83.

[3] SIRISHA A, GEETHAKUMARI G. API access control in cloud using the role based access control model[A]. Trendz in Information Sciences and Computing-TISC2010[C]. 2010.

[4] LI D, LIU C, WEI Q, et al. RBAC-Based access control for SaaS systems[A]. 2010 2nd International Conference on Information Engineering and Computer Science (ICIECS)[C]. 2010.

[5] XUE J, ZHANG J J. A brief survey on the security model of cloud computing[A]. 2010 Ninth International Symposium on Distributed Computing and Applications to Business Engineering and Science(DCABES)[C]. 2010.

[6] Nat’l Computer Security Center. Trusted network interpretation of the trusted computer system evaluation criteria[A]. NCSC-TG2005[C].1987.

[7] BELL D E, LAPADULA L J. Secure Computer Systems: Mathematical Foundations[R]. The MITRE Corporation, Bedford, Massachussetts, 1973.

[8] LIN T, BELL Y, AXIOMS L. A “new” paradigm for an “old”model[A]. Proc 1992 ACM SIGSAC New Security Paradigms Workshop[C]. 1992.

[9] BIBA K J. Integrity Considerations for Secure Computer Systems[R] .Bedford: ESD-TR-76-732, 1977.

[10] 李益發(fā), 沈昌祥. 一種新的操作系統(tǒng)安全模型[J]. 中國科學(xué) E輯(信息科學(xué)), 2006, 36(4): 347-356.LI Y F, SHEN C X, A new operating system security model[J]. Science in China, Series E, Information Sciences. 2006, 36(4): 347-356

[11] 周正, 劉毅, 沈昌祥.一種新的保密性與完整性統(tǒng)一安全策略[J].計(jì)算機(jī)工程與應(yīng)用, 2007, 43(34):1-2.ZHOU Z, LIU Y, SHEN C X. New kind of secrecy/integrity union policy[J]. Computer Engineering and Applications, 2007, 43(34):1-2.

[12] 梁彬,孫玉芳,石文昌等. 一種改進(jìn)的以基于角色的訪問控制實(shí)施

BLP模型及其變種的方法[J].計(jì)算機(jī)學(xué)報(bào). 2004,15(5): 636-644.

LIANG B, SUN Y F, SHI W C, et al. An improved method to enforce BLP model and its variations in role-based access control[J]. Journal of Computer, 2004, 15(5): 636-644.

[13] 李鳳華, 王巍, 馬建峰等. 基于行為的訪問控制模型及其行為管理[J].電子學(xué)報(bào), 2008,3(10):1881-1890.LI F H, WANG W, MA J f. et al. Action-based access control model and administration of actions[J]. Acta Electronica Sinica. 2008. 36(10):1881-1890.