趙 斌，何涇沙，張伊璇，及歆榮

（1.北京工業(yè)大學(xué)軟件學(xué)院，北京100124；2.濟寧學(xué)院計算機科學(xué)系，山東 曲阜273155）

1 引言

訪問控制技術(shù)是網(wǎng)絡(luò)信息系統(tǒng)安全的核心技術(shù)之一，開放式網(wǎng)絡(luò)環(huán)境下資源共享和安全訪問的需求并存，對多網(wǎng)絡(luò)系統(tǒng)的訪問控制中訪問主體權(quán)限進行統(tǒng)一的管理是十分必要的。為了解決訪問控制中授權(quán)問題，研究者們進行了大量的研究。

訪問控制作為解決云安全問題的關(guān)鍵技術(shù)，文獻［1］分析了云計算環(huán)境下的訪問控制體系架構(gòu)，從訪問控制模型、訪問控制技術(shù)和授權(quán)問題等方面進行了綜述。文獻［2］通過比較分析已有的訪問控制模型中關(guān)鍵技術(shù)，研究了開放式網(wǎng)絡(luò)中訪問主體和訪問客體交互過程中，客體資源管理的重要性，指出客體資源管理是開放式網(wǎng)絡(luò)環(huán)境中實現(xiàn)統(tǒng)一授權(quán)管理的基礎(chǔ)。為了降低訪問控制中安全管理的復(fù)雜性，文獻［3］提出了在概念格的基礎(chǔ)上的RBAC（Role Based Access Control）模型角色最小化問題及算法，發(fā)現(xiàn)滿足概念格上最小權(quán)限原則的最小化角色集合?；谪惾~斯決策理論，文獻［4］提出最小風(fēng)險的本體映射模型，將映射發(fā)現(xiàn)問題轉(zhuǎn)換成風(fēng)險最小化問題，提供了一個多策略的本體映射方法。文獻［5］從任務(wù)的角度來建立安全模型和實現(xiàn)安全機制，在任務(wù)處理的過程中提供了動態(tài)實時的安全管理。Ardagna C在文獻［6］提出的基于位置的訪問控制模型LBAC（Location Based Access Control）將位置信息整合到普通的訪問控制模型中，在進行訪問授權(quán)時能夠考慮用戶的位置因素。針對開放式網(wǎng)絡(luò)環(huán)境用戶和資源的高流動性，在傳統(tǒng)RBAC的基礎(chǔ)上，文獻［7］提出了一種基于信任度的強性RBAC 模型，為用戶分配合理的角色和權(quán)限，保證安全性授權(quán)。為解決訪問控制中信任等級的細(xì)粒度區(qū)分，文獻［8］提出了一個帶屬性策略的RBAC 權(quán)限訪問控制模型，實現(xiàn)多方精確訪問控制，保證了動態(tài)權(quán)限變化的適應(yīng)能力及多方訪問的權(quán)限控制能力。文獻［9］采用本體映射技術(shù)提出了一種基于本體映射處理推薦信任信息的模型，實現(xiàn)開放分布式的網(wǎng)絡(luò)環(huán)境中基于不同信任本體的各實體間的有效交互，滿足實體間推薦信任信息的共享和交流。結(jié)合位置與身份分離映射理論，在分析了位置與身份分離協(xié)議中可能存在的映射欺騙威脅所帶來的安全隱患的情況下，文獻［10］提出了一種基于信任度模型的新型映射機制。為滿足新興的多媒體社交網(wǎng)絡(luò)中訪問控制問題，文獻［11］提出了面向多媒體社交網(wǎng)絡(luò)的訪問控制模型，基于用戶間的關(guān)系類型和信任度等因素，對用戶請求進行授權(quán)的評估決策?；诮巧脑L問控制模型的基礎(chǔ)上，文獻［12］提出了多維動態(tài)權(quán)限控制模型RDRBAC，解決RBAC 中權(quán)限動態(tài)定制、冗余等問題?？紤]普適計算環(huán)境下上下文對訪問控制的影響，通過對傳統(tǒng)的ECA 規(guī)則擴展，文獻［13］提出了基于模糊理論ECA 規(guī)則的訪問控制方法，解決授權(quán)和訪問控制的自適性。文獻［14］提出了基于屬性的授權(quán)和訪問控制機制，證明了它在開放式網(wǎng)絡(luò)環(huán)境中的適應(yīng)性，并給出了實現(xiàn)框架、屬性管理和授權(quán)機制等。文獻［15］提出了一個基于屬性的ABAC（Attribute Based Access Control）模型，分析了模型中訪問請求、屬性權(quán)威、策略和判定過程之間的關(guān)系，并給出了一個訪問控制判定過程可終止的一種特定條件。Bhatele A 等人在文獻［16，17］中提出了一個基于多種啟發(fā)式算法的并行程序自動映射框架。該框架通過程序剖面技術(shù)獲取通信模式，然后分析通信模式并將其歸類，最后根據(jù)通信模式的種類動態(tài)選擇不同的啟發(fā)式算法尋找最優(yōu)進程拓?fù)溆成洹?/p>

信任量化與評估是實施訪問控制的基礎(chǔ)，信任與權(quán)限的映射是有效進行訪問控制授權(quán)的關(guān)鍵。針對開放式網(wǎng)絡(luò)下基于信任訪問控制TBAC（Trust－Based Access Control）問題中的授權(quán)需求，依據(jù)粗糙集理論和最小風(fēng)險貝葉斯決策理論，本文提出了基于知識發(fā)現(xiàn)的風(fēng)險最小化授權(quán)（信任－權(quán)限）模型RMAM－KD（Risk Minimization Authorization Model based on Knowledge Discovery），對模型元素、關(guān)系、約束和規(guī)則、授權(quán)策略進行了形式化定義。

2 RMAM－KD 授權(quán)模型構(gòu)建及形式化描述

2.1 RMAM－KD授權(quán)模型構(gòu)建

RMAM－KD 授權(quán) 模 型 是 在TBAC 的 基 礎(chǔ) 上引入信任和風(fēng)險的概念，將交互中涉及到的屬性及其信任值和風(fēng)險值作為授權(quán)判斷的重要參考依據(jù)?；谥R發(fā)現(xiàn)風(fēng)險最小化授權(quán)（信任－權(quán)限）模型如圖1所示?；诖植诩闹R發(fā)現(xiàn)，綜合利用所有交互屬性（實體屬性和網(wǎng)絡(luò)屬性）進行授權(quán)映射的知識發(fā)現(xiàn)（映射發(fā)現(xiàn)），依據(jù)貝葉斯決策理論將信任與權(quán)限映射問題轉(zhuǎn)換成風(fēng)險最小化問題。該模型在基于信任的訪問控制實體交互過程中涉及到訪問控制授權(quán)策略中的客體屬性和其它相關(guān)屬性及其關(guān)系的描述，依據(jù)屬性及其信任決定訪問主體的訪問權(quán)限。屬性描述及屬性信任值是基于信任的訪問控制中表達和實施訪問控制策略的必要依據(jù)，授權(quán)策略基于主、客體的屬性，同時還受到信任和最小風(fēng)險等條件的約束。其主要思想：

（1）當(dāng)網(wǎng)絡(luò)中實體發(fā)生交互時，訪問客體根據(jù)訪問主體的請求，獲取當(dāng)前交互涉及的網(wǎng)絡(luò)環(huán)境屬性、訪問主體屬性等相關(guān)屬性及其信任值。

（2）在訪問主體請求訪問客體時，將請求的權(quán)限分解為原子權(quán)限，從信任－權(quán)限數(shù)據(jù)表中進行原子權(quán)限與屬性及其信任值的映射知識發(fā)現(xiàn)，根據(jù)映射規(guī)則，獲得預(yù)測映射關(guān)系。

Figure 1 Risk minimization authorization（trust－permission）model based on knowledge discovery圖1 基于知識發(fā)現(xiàn)風(fēng)險最小化授權(quán)（信任－權(quán)限）模型

（3）首先，對預(yù)測映射關(guān)系中屬性組合和其信任值等進行判斷，當(dāng)所有屬性及其信任滿足授權(quán)條件時，依據(jù)信任－權(quán)限策略，對訪問主體進行預(yù)授權(quán)，若該預(yù)測映射關(guān)系中屬性組合和其信任值等信息不成立，則主體和客體可以通過協(xié)商方式獲得授權(quán)所需條件，直到預(yù)授權(quán)或拒絕。

（4）依次進行權(quán)限組合，由原子權(quán)限通過組合獲得組合權(quán)限，從信任－權(quán)限數(shù)據(jù)表中進行組合權(quán)限與屬性及其信任值的映射知識發(fā)現(xiàn)，根據(jù)映射規(guī)則，獲得預(yù)測映射關(guān)系，轉(zhuǎn)到（3）。

（5）通過授權(quán)約束對所有預(yù)先授權(quán)進行評估，依據(jù)授權(quán)約束策略實體間的關(guān)系，通過風(fēng)險最小化下映射的優(yōu)化策略進行最優(yōu)綜合授權(quán)決策。給出本次交互的最終授權(quán)。

（6）在主體訪問客體的過程中，通過對相關(guān)屬性和主體行為進行周期性的監(jiān)控，實時、動態(tài)發(fā)現(xiàn)、獲取屬性和行為的變化情況，并進行量化和評估，從而動態(tài)調(diào)整客體對主體的授權(quán)，從而有效抑制主體的非法操作和惡意行為。

在特定的授權(quán)過程中，將信任引入到交互實體的授權(quán)中來，客體獲得主體準(zhǔn)確、客觀的信任信息，將會提高授權(quán)的準(zhǔn)確性。信任是客體對主體及其相互之間在多個評價指標(biāo)的綜合量化與評估，是由直接信任和間接信任進行融合得到的。信任的評估與量化機制在文獻［18］中進行了詳細(xì)的分析和介紹。

2.2 RMAM－KD授權(quán)模型形式化描述

2.2.1 模型的基本元素

（1）主體集S：S表示訪問主體集合，s表示訪問主體（s∈S）；s是交互行為的發(fā)起者，通常是指用戶、進程或代理等。

（2）客體集O：O表示訪問客體集合，o表示訪問客體（o∈O）；o是交互行為的承受者，通常是指信息、資源和服務(wù)等。

（3）權(quán)限集P：P表示客體對主體的權(quán)限許可集合，p表示某一操作的權(quán)限許可（p∈P），通常是指讀、寫、刪等執(zhí)行操作。

（4）屬性集A：A表示交互中涉及實體及其交互網(wǎng)絡(luò)環(huán)境的特征，a表示某一實體屬性（a∈A），包括 主 體（A（S））、客 體（A（O））和 網(wǎng) 絡(luò) 環(huán) 境（A（E））及其屬性，A＝A（S）∪A（O）∪A（E）。

（5）信任集T：T表示實體及其屬性的可信程度，t表示某一實體及其屬性的信任（t∈T），包括主體、客體和網(wǎng)絡(luò)環(huán)境及其屬性的信任。

（6）約束集C：C表示交互過程中對授權(quán)涉及到的元素的約束集合，c表示某一約束（c∈C），包括預(yù)先授權(quán)約束、屬性約束、信任約束、時間約束、一致性約束、靜態(tài)職責(zé)分離約束、動態(tài)職責(zé)分離約束等。

（7）策略集Poli：Poli表示實體應(yīng)滿足的授權(quán)條件集合，poli表示某一授權(quán)條件（poli∈Poli），包括授權(quán)策略、屬性－權(quán)限策略、信任－權(quán)限策略、風(fēng)險－映射的優(yōu)化策略。

2.2.2 關(guān)系

（1）實體與屬性的關(guān)系：是多對多的關(guān)系，表示為EAR?Entity×A，一個實體可以對應(yīng)多個屬性，一個屬性也可對應(yīng)多個實體。形式化表示為：

①EAR＿Entity（a）＝｛entity∈Entity｜（entity，a）∈EAR｝，a∈A。表示返回的是擁有屬性所有實體的集合。

②EAR＿Attribute（entity）＝｛a∈A｜（entity，a）∈EAR｝，entity∈Entity。表示返回的是實體擁有所有屬性的集合。

（2）權(quán)限與屬性的關(guān)系：是多對多的關(guān)系，表示為PAR?P×A，一個權(quán)限或權(quán)限組合可以有多個屬性及屬性組合，一個屬性及屬性組合也可對應(yīng)多個權(quán)限或權(quán)限組合，形式化表示為：

①PAR＿Perm（a）＝｛p∈P｜（p，a）∈PAR｝，a∈A。表示返回的是關(guān)聯(lián)屬性所有權(quán)限許可的集合。

②PAR＿Attribute（p）＝｛a∈A｜（p，a）∈PAR｝，p∈P。表示返回的是權(quán)限許可關(guān)聯(lián)到的所有屬性的集合。

（3）屬性與信任的關(guān)系：是多對多的關(guān)系，表示為ATR?P×A，屬性在不同的交互過程中對應(yīng)的信任是不同的，因此屬性可以在不同的交互場景中有不同的信任。形式化表示為：

①ATR＿Attribute（t）＝｛a∈A｜（t，a）∈ATR｝，t∈T。表示返回的是信任關(guān)聯(lián)到的所有屬性的集合。

②ATR＿Trust（a）＝｛t∈T｜（t，a）∈ATR｝，a∈A。表示返回的是關(guān)聯(lián)屬性所有信任的集合。

（4）權(quán)限與信任的關(guān)系：是多對多的關(guān)系，表示為PTR?P×A，權(quán)限許可可以對應(yīng)不同的信任組合。形式化表示為：

①PTR＿Perm（t）＝｛p∈P｜（t，a）∈PTR｝，t∈T。表示返回的是與信任相關(guān)聯(lián)的所有權(quán)限許可的集合。

②PTR＿Trust（p）＝｛t∈T｜（t，a）∈PTR｝，p∈P。表示返回的是與權(quán)限許可相關(guān)聯(lián)的所有信任的集合。

（5）主體、權(quán)限、客體間的關(guān)系：是由主體、客體、屬性和信任決定，表示為SPOR?S×P×O×A×T。形式化表示為：∪｛p∈P｜s∈S，o∈O，t∈T，（（s，a）∧（o，a）∈EAR）∧（（p，a）∈PAR）∧（（a，t）∈ATR）∧（（p，t）∈PTR）｝

2.2.3 約束與規(guī)則

約束是授權(quán)的前提條件，在客體對主體授權(quán)過程中有著重要的先決作用。主要用于防止惡意實體節(jié)點的不誠信訪問行為（實體間的聯(lián)合欺詐、越權(quán)訪問等）造成的不當(dāng)授權(quán)。同樣，在一個訪問控制系統(tǒng)中，權(quán)限、實體等之間存在發(fā)生沖突的可能性。RMAM－KD 模型涉及到的約束主要有：預(yù)先授權(quán)約束、屬性約束、信任約束、時間約束、一致性約束、靜態(tài)職責(zé)分離約束、動態(tài)職責(zé)分離約束等。在RMAM－KD 模型中加入這些約束條件對實施安全有效的訪問控制起決定作用，因此在RMAMKD 模型需要加入相關(guān)的約束條件來提高系統(tǒng)的安全性。

規(guī)則是約束的抽象表示和描述。沖突的類型有如下分類：

（1）實體沖突。若兩個實體擁有相沖突的權(quán)限許可，則稱為兩個實體沖突；若實體間存在不誠信的訪問行為影響信任的評估的真實性，則稱為該實體沖突，由發(fā)生沖突的實體組成的集合是沖突實體集CES。

（2）信任沖突。若一次有效交互中，同一屬性存在不同的信任，稱為信任沖突；若兩個沖突屬性在交互環(huán)境下所評估出的兩個信任，由于信任與屬性的直接依賴關(guān)系而造成信任之間間接的依賴關(guān)系，導(dǎo)致信任沖突。信任沖突構(gòu)成的相應(yīng)集合稱為沖突信任集CTS。

（3）權(quán)限沖突。若同一個實體執(zhí)行兩個權(quán)限操作存在風(fēng)險（如聯(lián)合欺詐等）或許可沖突，則稱為權(quán)限沖突。由沖突權(quán)限組成的集合是沖突權(quán)限集合CPS。

（4）屬性沖突。若同一實體的兩個屬性會造成該實體獲得相沖突的權(quán)限許可，則稱為這兩個屬性沖突。若兩個屬性有沖突的信任，也稱為兩個屬性沖突；由沖突屬性組成的集合是沖突屬性集合CAS。

下面給出KAAM－RS模型中與授權(quán)相關(guān)的約束規(guī)則的定義。

定義1 實體間關(guān)系：

實體相容：如果entity1，entity2∈Entity，p∈P，若實體entity1和entity2在交互中可以同時擁有p權(quán)限許可，則稱實體entity1和entity2相容；

實體相斥：如果entity1，entity2∈Entity，p∈P，若實體entity1和entity2在交互中不能同時擁有p權(quán)限許可，則稱實體entity1和entity2相斥。

定義2 屬性間關(guān)系：

屬性相容：如果a1，a2∈A，p∈P，若屬性a1和a2在交互中可以能夠同時與權(quán)限許可p關(guān)聯(lián)，則稱a1和a2相容；

屬性相斥：如果a1，a2∈A，p∈P，若屬性a1和a2在交互中不能夠同時與權(quán)限許可p關(guān)聯(lián)，則稱a1和a2相斥。

定義3 權(quán)限間關(guān)系：

權(quán)限相容：如果p1，p2∈P，entity∈Entity，若許可p1和p2在交互中可以能夠同時被實體entity擁有，則稱p1和p2相容；

權(quán)限相斥：如果p1，p2∈P，entity∈Entity，若許可p1和p2在交互中不能夠同時被實體entity擁有，則稱p1和p2相斥。

根據(jù)上述定義對KAAM－RS模型中需要的約束進行形式化描述如下：

（1）預(yù)先授權(quán)約束規(guī)則。

在交互過程中，當(dāng)所有屬性a及其信任t滿足授權(quán)條件為true時，客體o賦予主體s訪問預(yù)先權(quán)限P。描述如下：

Pro＿assigned＿Perm（s，o，P）＝true∧（?p1∈P，p2∈P，﹁（p1∈CPS∧p2∈CPS））

（2）屬性約束規(guī)則。

在交互過程中，當(dāng)所有授權(quán)相關(guān)的條件為true時，假設(shè)屬性a1和a2是授權(quán)決策相關(guān)聯(lián)的兩個屬性，則屬性a1和a2不能屬于同一沖突屬性集合。描述如下：

Assigned＿Attr（s，o，A）＝true∧（?a1∈A，a2∈A，﹁（a1∈CAS∧a2∈CAS））

（3）信任約束規(guī)則。

在交互過程中，在所有授權(quán)相關(guān)的條件為true的情況下，客體在對主體進行信任量化和評估時，所涉及到的實體不能是沖突實體集中的實體，同一個屬性不能同時擁有不同的信任。描述如下：

Assigned＿Eval（s，o，T，Entity）＝true∧（?t1∈T，t2∈T，﹁（t1∈CTS∧t2∈CTS））∧（?entity1∈Entity，entity2∈Entity，﹁（entity1∈CES∧entity2∈CES））

（4）時間約束規(guī)則。

在交互過程中，在所有授權(quán)相關(guān)的條件為true的情況下，當(dāng)客體對主體進行信任量化與評估涉及到的實體的最近最久訪問時間窗口wtime不能超過系統(tǒng)設(shè)置值Wtime，主體對客體授權(quán)的擁有時間OwnTime（P）不能超過系統(tǒng)設(shè)定的最大時間周期PTime。描述如下：

Assigned＿TimeCons（s，o，wtime，ptime，P）＝ture∧（?wtime∈Wtime）∧?ptime∈PTime，ptime?PTime

（5）一致性約束規(guī)則。

一致性約束是指保證在一次有效的交互監(jiān)控周期內(nèi)，屬性、信任和授權(quán)的一致性。即每隔一定的時間間隔或一次新交互開始時，客體根據(jù)主體訪問請求進行一次對主體的重新評估，這樣即有效控制了授權(quán)的風(fēng)險，又實現(xiàn)了動態(tài)合理的授權(quán)。ai→t表示屬性ai對應(yīng)的信任t。描述如下：

?i，j，i≠j，p＿i≠p＿j；?i，j，i＝j(luò)，p＿i＝p＿j；

?i，j，i≠j，a＿i≠a＿j；?i，j，i＝j(luò)，a＿i＝a＿j；

?i，j，i＝j(luò)，a＿i→t＝a＿j→t

（6）靜態(tài)職責(zé)分離約束規(guī)則。

靜態(tài)職責(zé)分離是在建模時就確定的約束（預(yù)先授權(quán)約束），靜態(tài)職責(zé)分離是在時間上對最小特權(quán)原則的擴展，強化對主體權(quán)限許可的限制，一個主體不能分配二個互斥的權(quán)限，在為實體靜態(tài)關(guān)聯(lián)相關(guān)的屬性及其信任時，不能夠?qū)_突的屬性關(guān)聯(lián)。

（7）動態(tài)職責(zé)分離約束規(guī)則。

動態(tài)職責(zé)分離在交互周期內(nèi)用于限制實體屬性，沖突的屬性在同一交互中不能同時被關(guān)聯(lián)，實體及其屬性信任的量化和評估在有效的時間約束內(nèi)進行。動態(tài)職責(zé)分離是在交互進行時，根據(jù)交互環(huán)境實時判斷實體權(quán)限許可的合法性。

2.2.4 授權(quán)策略

訪問控制中授權(quán)策略是準(zhǔn)確授權(quán)決策的基本依據(jù)，訪問控制策略是授權(quán)的重要依據(jù)。在實體交互過程中，在遵守各種約束和規(guī)則的前提下，客體通過各種策略的優(yōu)化匹配、評估和選擇，給予主體準(zhǔn)確授權(quán)。從授權(quán)策略的實施過程可以分為權(quán)限－屬性策略、信任－權(quán)限策略和風(fēng)險最小化下映射的優(yōu)化策略三個階段。權(quán)限－屬性策略和信任－權(quán)限策略作為訪問控制策略的基本策略，在訪問控制過程中起到了決定作用，風(fēng)險最小化下映射的優(yōu)化策略通過對授權(quán)的風(fēng)險評估，將客體對主體的授權(quán)風(fēng)險降到最低。

（1）權(quán)限－屬性策略。

權(quán)限－屬性策略是定義從主體的訪問請求中解析出權(quán)限許可與決策屬性之間的映射關(guān)系。在實體交互過程中，權(quán)限－屬性策略是客體對主體進行權(quán)限許可的前提條件。

Γ（pi｜pi∈P）→?！洌╝i｜ai∈A）；

consi＝true；

p1∪p2∪…∪pj∈P；

a1∪a2∪…∪aj∈A

pi作為原子權(quán)限或組合權(quán)限，且?i，j，i≠j，pi≠pj；ai作為原子權(quán)限或組合權(quán)限在權(quán)限－屬性映射表中對應(yīng)的屬性及屬性組合；consi表示該映射對應(yīng)的相關(guān)權(quán)限、屬性等約束和規(guī)則。

當(dāng)實體發(fā)生交互時，客體通過解析主體的訪問請求信息獲取與授權(quán)相關(guān)的主體屬性、環(huán)境屬性以及客體屬性等決策信息，經(jīng)過信任的量化與評估機制對主體及其相關(guān)屬性進行量化，最終客體對主體授權(quán)的所依據(jù)的信任關(guān)系都必須是以上信息相關(guān)信任關(guān)系的子集。

（2）信任－權(quán)限策略。

信任－權(quán)限策略是客體依據(jù)主體及其屬性的信任對主體進行預(yù)授權(quán)的條件。在實體交互過程中或交互過程后，信任－權(quán)限策略是客體對主體權(quán)限許可更細(xì)粒度控制的基本依據(jù)。

客體在獲得授權(quán)相關(guān)信任信息后，通過信任－權(quán)限的信任條件滿足情況判斷是否對主體進行預(yù)授權(quán)；當(dāng)主體及其相關(guān)屬性的信任不足以滿足授權(quán)的信任條件時，拒絕預(yù)授權(quán)，當(dāng)主體及其相關(guān)屬性的信任可以滿足授權(quán)的信任條件時，進行預(yù)授權(quán)操作。

（3）風(fēng)險最小化下映射的優(yōu)化策略。

在實體交互過程中，我們?nèi)绻麑⑿湃巫鳛榭腕w對主體授權(quán)的第一道過濾機制，那么，可以將風(fēng)險最小化下映射的優(yōu)化策略作為客體對主體進行的第二道過濾機制。風(fēng)險最小化下映射的優(yōu)化策略為每個滿足信任－權(quán)限的授權(quán)映射策略提供一個風(fēng)險函數(shù)。風(fēng)險函數(shù)的作用：一是選擇成功通過信任－權(quán)限的授權(quán)映射作為最終的授權(quán)許可映射；二是如果成功通過信任－權(quán)限的授權(quán)映射均低于設(shè)定的風(fēng)險閾值，則主體將不能獲得資源客體的最終權(quán)限許可。

MiniRisk（）表示最小化的風(fēng)險函數(shù)，是指發(fā)現(xiàn)具有風(fēng)險最小化的授權(quán)決策行為；作為原子權(quán)限或組合權(quán)限對應(yīng)的屬性信任的量化和評估結(jié)果；pi作為原子權(quán)限或組合權(quán)限，且?i，j，i≠j，pi≠pj；consi表示該映射對應(yīng)的相關(guān)權(quán)限、屬性、信任等授權(quán)約束和規(guī)則。

3 應(yīng)用實例和安全性分析

3.1 授權(quán)策略的應(yīng)用實例

在一個開放性的社交網(wǎng)絡(luò)中，存在三個網(wǎng)絡(luò)用戶實體E1、E2、E3，假設(shè)實體間所有的交互行為都發(fā)生在有效的時間窗口內(nèi)，實體E1和E2作為訪問主體，同時發(fā)出對實體E3交互請求p1和p2，實體E3作為訪問客體，對實體E1和E2提交的訪問請求p1和p2進行判斷，作出授權(quán)決策。系統(tǒng)風(fēng)險閾值ε＝0.7，實體在交互期間滿足約束條件的情況下無沖突發(fā)生。

訪問授權(quán)規(guī)則如表1所示，通過基于粗糙集的授權(quán)規(guī)則的知識發(fā)現(xiàn)算法得到的預(yù)授權(quán)規(guī)則為表2所示，依據(jù)最小風(fēng)險貝葉斯決策理論，實體E3對訪問實體E1和E2的訪問請求p1和p2通過進行風(fēng)險函數(shù)的計算，分別得到風(fēng)險值為（1.1，0.82）、（0.68，1.88），因此，實體E3對實體E2訪問請求進行授權(quán)許可。因此可見，通過約束策略將風(fēng)險最小化下映射的優(yōu)化策略分析應(yīng)用于信任到權(quán)限的映射問題，可以有效提高授權(quán)的安全性。

Table 1 Access permission decision（decision attribute－access permission）表1 訪問許可決策（決策屬性－權(quán)限許可）表

Table 2 Knowledge rules of authorization based on rough sets表2 基于粗糙集方法提取的授權(quán)知識規(guī)則

表1中，U＝3表示信任未知，T＝4表示信任，GT＝5 表示比較信任，BT＝6 表示非常信任，F(xiàn)T＝7表示完全信任；Si表示對DA的訪問控制策略規(guī)則。Y代表賦權(quán)，N代表拒絕。

3.2 RMAM－KD特點及安全性分析

（1）最小特權(quán)原則。

RMAM－KD 模型支持最小特權(quán)原則，在RMAM－KD 模型中，實體與屬性相對應(yīng)，當(dāng)實體及其屬性的信任符合授權(quán)策略時，主體才擁有對客體的訪問許可。所以，最小特權(quán)原則就細(xì)化到屬性信任一級。由于主體對客體的訪問許可是按最小特權(quán)原則來指定的，所以，客體只要賦予主體執(zhí)行的權(quán)限許可，主體就應(yīng)該擁有權(quán)限所需要屬性信任，否則，就不能保證主體對客體資源的正常訪問，主體的訪問權(quán)限就會被撤消。

（2）職責(zé)分離原則。

職責(zé)分離原則沿用NIST RBAC 模型中的定義［19］，靜態(tài)職責(zé)分離是在建模時就確定的約束（預(yù)先授權(quán)約束），動態(tài)職責(zé)分離是在交互進行時，根據(jù)交互環(huán)境實時判斷實體權(quán)限許可的合法性。在職責(zé)分離原則的應(yīng)用中，靜態(tài)職責(zé)分離不如動態(tài)職責(zé)分離靈活，動態(tài)職責(zé)分離增加了系統(tǒng)開銷（實現(xiàn)的復(fù)雜度、支行負(fù)載等），但二者的共同協(xié)作達到了RMAM－KD 模型中的安全授權(quán)目的。

（3）安全性分析。

在RMAM－KD 模型中，引入屬性－信任對權(quán)限進行細(xì)粒度劃分，提高了授權(quán)的精度和安全性；同時引入授權(quán)的風(fēng)險函數(shù)為客體對主體的授權(quán)又添加了一層安全保護，有效地保證對客體資源的安全訪問，加入訪問時間約束限制能夠更好地支持動態(tài)的授權(quán)機制。RMAM－KD 模型的安全性是保證安全有效實施訪問控制授權(quán)的前提，為保證實體間正確授權(quán)的實施，對RMAM－KD 模型的安全性進行理論分析。

借助于 有 限 狀 態(tài) 機FSM（Finite State Machine）［20］模擬該系統(tǒng)，將RMAM－KD 模型系統(tǒng)定義為 九 元 組RMAM－KD（S，O，P，A，Poli，C，Risk，V，F(xiàn)）。其中，V為模型系統(tǒng)的有限狀態(tài)集，F(xiàn)為狀態(tài)轉(zhuǎn)換函數(shù)，其余狀態(tài)變量定義同上。

（1）定義安全狀態(tài)v。系統(tǒng)狀態(tài)的安全性取決于當(dāng)前狀態(tài)下訪問控制中的授權(quán)策略Poli和約束規(guī)則C是否得到滿足。如果，?v∈V是安全的，則模型系統(tǒng)是安全的。

（2）定義狀態(tài)轉(zhuǎn)換函數(shù)F。狀態(tài)轉(zhuǎn)換函數(shù)F的轉(zhuǎn)換是由當(dāng)前執(zhí)行的操作和授權(quán)約束決定的，如果，?v∈V是安全的，在此狀態(tài)的授權(quán)約束下的一系列操作也是安全的，則狀態(tài)轉(zhuǎn)換函數(shù)決定進入系統(tǒng)的下一個狀態(tài)F′也是安全的。

因此，當(dāng)且僅當(dāng)?v∈V是安全的，則F→F′也是安全的；如果F→F′是安全的，當(dāng)前授權(quán)操作的約束規(guī)則得到滿足，則進入的下一個系統(tǒng)狀態(tài)也是安全的。所以，RMAM－KD 模型系統(tǒng)是安全的。

最后，將提出的RMAM－KD 授權(quán)模型從功能特點和安全機制等方面與傳統(tǒng)、典型的訪問控制授權(quán)策略進行比對分析，如表3所示。

傳統(tǒng)、典型的訪問控制授權(quán)多數(shù)選擇靜態(tài)、粗粒度的授權(quán)策略，缺少對實體和網(wǎng)絡(luò)屬性的分析與評價，無法滿足開放式網(wǎng)絡(luò)環(huán)境下隨著網(wǎng)絡(luò)環(huán)境的變化對實體動態(tài)授權(quán)的安全需求。RMAM－KD 授權(quán)模型考慮了現(xiàn)有授權(quán)模型的不足，引入信任和風(fēng)險的概念，基于粗糙集理論和最小風(fēng)險貝葉斯決策理論構(gòu)建了一個動態(tài)的、自適的、細(xì)粒度的訪問控制授權(quán)模型，消除各種沖突的情況下，有效保證了授權(quán)的安全性。

4 結(jié)束語

訪問控制問題是網(wǎng)絡(luò)安全研究中需要解決的一個重要問題，作為網(wǎng)絡(luò)安全的一個重要研究內(nèi)容，網(wǎng)絡(luò)中對用戶的合理授權(quán)管理在保證網(wǎng)絡(luò)資源合法使用方面起重要作用，是網(wǎng)絡(luò)安全研究的關(guān)鍵問題之一。

Table 3 Authorization policy comparison of the RMAM－KD and the typical and traditional access control model表3 RMAM－KD與傳統(tǒng)、典型的訪問控制授權(quán)策略進行比對分析

訪問控制授權(quán)策略包含三個基本要素：訪問主體、客體和訪問權(quán)限。本文提出在基于信任的訪問控制中基于知識發(fā)現(xiàn)的最小風(fēng)險授權(quán)模型，給出了授權(quán)映射模型的組成元素概念、關(guān)系、授權(quán)約束及其規(guī)則、相關(guān)操作及模型的安全性分析。該模型在基于信任的訪問控制實體交互過程中涉及到訪問控制授權(quán)策略中的客體屬性和其它相關(guān)屬性及其關(guān)系的描述，依據(jù)屬性及其信任決定訪問主體的訪問權(quán)限。屬性描述及屬性信任值是基于信任的訪問控制中表達和實施訪問控制策略的必要依據(jù)，授權(quán)策略基于主、客體的屬性，同時還受到信任和最小風(fēng)險等條件的約束。引入屬性－信任對權(quán)限進行細(xì)粒度劃分，提高了授權(quán)的精度和安全性；同時引入授權(quán)的風(fēng)險函數(shù)為客體對主體的授權(quán)又添加了一層安全保護，有效地保證對客體資源的安全訪問，加入訪問時間約束限制能夠更好地支持動態(tài)的授權(quán)機制。

信任作為對實體進行可信程度評價的標(biāo)準(zhǔn)，將信任引入授權(quán)管理，根據(jù)信任的動態(tài)變化而動態(tài)地（自適應(yīng)）調(diào)整其訪問權(quán)限，對于確保網(wǎng)絡(luò)安全具有重要現(xiàn)實意義。

［1］ Wang Yu－ding，Yang Jia－h(huán)ai，Xu Cong，et al.Survey on access control technologies for cloud computing［J］.Journal of Software，2015，26（5）：1129－1150.（in Chinese）

［2］ Wang Ting，Chen Xing－yuan，Zhang Bin，et al.Research of resource management in authorization and access control technology［J］.Journal of Chinese Computer Systems，2011，32（4）：619－625.（in Chinese）

［3］ Zhang Lei，Zhang Hong－li，Han Dao－jun，et al.Theory and algorithm for roles minimization problem in RBAC based on concept lattice［J］.Acta Electronica Sinica，2014，42（12）：2371－2378.（in Chinese）

［4］ Tang Jie，Liang Bang－yong，Li Juan－zi，et al.Automatic ontology mapping in semantic web［J］.Chinese Journal of Computers，2006，29（11）：1956－1976.（in Chinese）

［5］ Thomas R，Sandhu R.Task－based authorization controls（TBAC）：A Family of models for active and enterprise oriented authorization management［C］∥Proc of the 11th IFIP WG11.3Conference on Database Security，1997：166－181.

［6］ Ardagna C，Cremonini M，Damiani E，et al.Supporting location－based conditions in access control policies［C］∥Proc of the 2006ACM Symposium on Information，Computer and Communications Security（ASIACCS’06），2006：212－222.

［7］ Deng Wen－yang，Zhou Zhou－yi，Lin Si－ming，et al.An RBAC model based on trust degree in open environment［J］.Computer Engineering，2013，39（2）：112－118.（in Chinese）

［8］ Li Wei－guan，Zhao Feng－yu.RABC permission access control model with attribute policy［J］.Journal of Chinese Computer Systems，2013，34（2）：328－331.（in Chinese）

［9］ Bao Yi－ping，Zhang Wei－ming，Yao Li.Model for processing recommendatory trust information based on ontology mapping［J］.Computer Science，2009，36（6）：185－187.（in Chinese）

［10］ Wan Ming，Liu Ying，Zhang Hong－ke.New mapping approach based on reputation model underlocator/ID separation protocol［J］.Journal on Communications，2011，32（7）：133－145.（in Chinese）

［11］ Chen Qing－li，Zhang Zhi－yong，Xiang Fei，et al.Research on the access control model for multimedia social networks［J］.Journal of Xidian University，2014，41（6）：181－187.（in Chinese）

［12］ Zhang Zhu，Zhang Bo－feng，Zheng Jian－xing.Access control model RDRBAC based on dynamic policy［J］.Computer Engineering and Applications，2015，51（9）：103－106.（in Chinese）

［13］ Zhang Li－chen，Wang Xiao－ming，Dou Wen－yang，et al.Access control method based on fuzzy ECA rules for pervasive computing environments［J］.Computer Science，2013，40（2）：78－83.（in Chinese）

［14］ Shen Hai－bo，Hong Fan.Research on attribute－based authorization and access control［J］.Computer Applications，2007，27（1）：114－117.（in Chinese）

［15］ Li Xiao－feng，F(xiàn)eng Deng－guo，Chen Zhao－wu，et al.Model for attribute based access control［J］.Journal on Communications，2008，29（4）：90－98.（in Chinese）

［16］ Bhatele A.Automating topology aware mapping for supercomputers［D］.Illinois：Deparment of Computer Science，University of Illinois，2010.

［17］ Bhatele A，KaléL V.An evaluative study on the effect of contention on message latencies in large supercomputers［C］∥Proc of the 23th IEEE International Parallel ＆Distributed Processing Symposium（IPDPS），2009：1－8.

［18］ Zhao Bin，He Jing－sha，Zhang Yi－xuan，et al.Scheme for dynamic access control based on trust［J］.Journal of Beijing University of Technology，2014，40（9）：1422－1427.（in Chinese）

［19］ Ravi S，David F，Richard K.The NIST model for rolebased access control towards a unified standard［C］∥Proc of the 5th ACM Workshop on Role－based Access Control，2000：47－63.

［20］ Klimowicz A S，Solov’ev V V.Structural models of finitestate machines for their implementation on programmable logic devices and systems on chip［J］.Journal of Computer and Systems Sciences International，2015，54（2）：230－242.

附中文參考文獻：

［1］ 王于丁，楊家海，徐聰，等.云計算訪問控制技術(shù)研究綜述［J］.軟件學(xué)報，2015，26（5）：1129－1150.

［2］ 王婷，陳性元，張斌，等.授權(quán)與訪問控制中的資源管理技術(shù)研究綜述［J］.小型微型計算機系統(tǒng)，2011，32（4）：619－625.

［3］ 張磊，張宏莉，韓道軍，等.基于概念格的RBAC 模型中角色最小化問題的理論與算法［J］.電子學(xué)報，2014，42（12）：2371－2378.

［4］ 唐杰，梁邦勇，李涓子，等.語義Web中的本體自動映射［J］.計算機學(xué)報，2006，29（11）：1956－1976.

［7］ 鄧文洋，周洲儀，林思明，等.開放式環(huán)境下一種基于信任度的RBAC模型［J］.計算機工程，2013，39（2）：112－118.

［8］ 李唯冠，趙逢禹.帶屬性策略的RBAC 權(quán)限訪問控制模型［J］.小型微型計算機系統(tǒng)，2013，34（2）：328－331.

［9］ 鮑翊平，張維明，姚莉.一種基于本體映射處理推薦信任信息的模型［J］.計算機科學(xué)，2009，36（6）：185－187.

［10］ 萬明，劉穎，張宏科.位置與身份分離協(xié)議下一種基于信任度模型的新型映射機制［J］.通信學(xué)報，2011，32（7）：133－145.

［11］ 陳慶麗，張志勇，向菲，等.面向多媒體社交網(wǎng)絡(luò)的訪問控制模型［J］.西安電子科技大學(xué)學(xué)報（自然科學(xué)版），2014，41（6）：181－187.

［12］ 張柱，張博鋒，鄭建興.基于動態(tài)策略的RDRBAC權(quán)限訪問控制模型［J］.計算機工程與應(yīng)用，2015，51（9）：103－106.

［13］ 張立臣，王小明，竇文陽，等.普適計算環(huán)境下基于模糊ECA 規(guī)則的訪問控制方法［J］.計算機科學(xué)，2013，40（2）：78－83.

［14］ 沈海波，洪帆.基于屬性的授權(quán)和訪問控制研究［J］.計算機應(yīng)用，2007，27（1）：114－117.

［15］ 李曉峰，馮登國，陳朝武，等.基于屬性的訪問控制模型［J］.通信學(xué)報，2008，29（4）：90－98.

［18］ 趙斌，何涇沙，張伊璇，等.基于信任的動態(tài)訪問控制方案研究［J］.北京工業(yè)大學(xué)學(xué)報，2014，40（9）：1422－1427.