劉思聰，鄭日忠，張啟坤，蔡增玉，甘 勇

(1.鄭州輕工業(yè)學(xué)院 計(jì)算機(jī)與通信工程學(xué)院，河南 鄭州 450001；2.河南建筑職業(yè)技術(shù)學(xué)院，河南 鄭州 450064)

0 引 言

訪問控制研究是信息安全領(lǐng)域一項(xiàng)十分重要的應(yīng)用基礎(chǔ)研究。訪問控制是信息系統(tǒng)安全的核心策略之一，它與身份認(rèn)證、入侵檢測(cè)、安全審計(jì)、信息加密、系統(tǒng)恢復(fù)、安全保障和風(fēng)險(xiǎn)分析等理論和技術(shù)有機(jī)結(jié)合，構(gòu)成信息安全的基礎(chǔ)設(shè)施，實(shí)現(xiàn)信息系統(tǒng)的信息存儲(chǔ)訪問和安全傳輸信息的可靠性，防止非授權(quán)訪問信息和信息泄密，以確保國(guó)家政治軍事和經(jīng)濟(jì)以及個(gè)人隱私的信息安全性。

自20世紀(jì)70年代以來(lái)，研究者提出了包括自主訪問控制[1]、強(qiáng)制訪問控制[2]、基于角色的訪問控制[3]、基于任務(wù)的訪問控制[4]、基于行為的訪問控制[5]等大量的訪問控制模型。然而，現(xiàn)有方案僅針對(duì)單一具體計(jì)算模式或應(yīng)用場(chǎng)景，難以實(shí)現(xiàn)跨平臺(tái)跨系統(tǒng)的細(xì)粒度、自適應(yīng)的訪問控制。

云計(jì)算、大數(shù)據(jù)計(jì)算等新型計(jì)算技術(shù)的迅猛發(fā)展與移動(dòng)通信、網(wǎng)絡(luò)通信等通信手段的逐步交融不斷推進(jìn)著泛在網(wǎng)絡(luò)的發(fā)展。借助泛在網(wǎng)絡(luò)，通過“人”、“機(jī)”、“物”間的廣泛互聯(lián)互通，信息的計(jì)算與傳播不再局限于單一的封閉環(huán)境，而是可以依據(jù)自身需求在任何時(shí)間、任何地點(diǎn)，使用任意終端設(shè)備、通過任意渠道接入任何網(wǎng)絡(luò)獲取相應(yīng)的數(shù)據(jù)服務(wù)。多域訪問控制應(yīng)運(yùn)而生，其研究主要集中在多域訪問控制系統(tǒng)建模和系統(tǒng)安全策略管理上。在多域訪問控制系統(tǒng)建模上，主要通過安全協(xié)商來(lái)實(shí)現(xiàn)安全域間的信任關(guān)系，通過角色映射來(lái)建立安全域間的安全互操作。安全協(xié)商是角色映射的基礎(chǔ)和前提。角色映射是域間互訪的中介和紐帶。因此，安全協(xié)商和角色映射成為多域訪問控制系統(tǒng)建模的重要研究?jī)?nèi)容。JOSHI等在研究角色映射方面做了很多開創(chuàng)性的工作，提出了基于策略合并建立多域網(wǎng)絡(luò)訪問控制模型的方法[6]，利用角色映射實(shí)現(xiàn)策略合并，構(gòu)建全局的訪問控制策略?；诓呗院喜⒌慕７椒ㄒ髤⑴c合并的安全域角色系統(tǒng)具有透明性、穩(wěn)定性和一致性的特點(diǎn)，但是，由于分布式環(huán)境的復(fù)雜性和動(dòng)態(tài)性，這種建模方法不能滿足多域多應(yīng)用的動(dòng)態(tài)需求。彭維平等[7]對(duì)多域環(huán)境下基于屬性的訪問控制模型存在的敏感屬性泄露等問題，提出了基于信任度的跨域安全訪問控制模型，但系統(tǒng)初始化時(shí)效率較低。在考慮應(yīng)用環(huán)境中的不同要素(如時(shí)空位置、用戶屬性、用戶行為等)對(duì)訪問控制的影響的基礎(chǔ)上，研究者提出了基于使用的訪問控制[8]、基于時(shí)空關(guān)聯(lián)的訪問控制[9]、基于量化用戶和服務(wù)的訪問控制[10]、基于屬性的訪問控制[11-13]和基于行為的訪問控制[14]等模型。這些模型為解決復(fù)雜信息系統(tǒng)中的細(xì)粒度訪問控制和大規(guī)模用戶動(dòng)態(tài)擴(kuò)展問題提供了較理想的解決方案。李鳳華等[15]提出一種面向網(wǎng)絡(luò)空間的訪問控制模型，記為CoAC。該模型涵蓋了訪問請(qǐng)求實(shí)體、廣義時(shí)態(tài)、接入點(diǎn)、訪問設(shè)備、網(wǎng)絡(luò)、資源、網(wǎng)絡(luò)交互圖和資源傳播鏈等要素，可有效防止由于數(shù)據(jù)所有權(quán)與管理權(quán)分離、信息二次/多次轉(zhuǎn)發(fā)等帶來(lái)的安全問題。史姣麗等[16-17]在保證數(shù)據(jù)機(jī)密性、防止共謀攻擊的前提下，基于CP-ABE方法，在云存儲(chǔ)環(huán)境中嘗試設(shè)計(jì)多用戶協(xié)作訪問控制方案。

文中提出了一種基于信任堆結(jié)構(gòu)的訪問控制模型，在傳統(tǒng)訪問控制研究基礎(chǔ)上，采用改進(jìn)貝葉斯算法建立一種信任體制。通過調(diào)整貝葉斯概率參數(shù)提高信任度收斂速度及準(zhǔn)確度，通過域內(nèi)及域外信任權(quán)值建立堆結(jié)構(gòu)模型，進(jìn)而通過信任堆的性質(zhì)進(jìn)行有效的資源訪問權(quán)限控制。

1 改進(jìn)貝葉斯信任度計(jì)算

1.1 貝葉斯決策理論

假設(shè)總體的概率分布為f(x,θ)，其中θ為未知參數(shù)，從整體抽出的樣本為X1,X2,…,Xn，用這些樣本及其分布概率密度函數(shù)對(duì)參數(shù)θ進(jìn)行參數(shù)估計(jì)。

(1)把未知參數(shù)θ看作是一個(gè)隨機(jī)變量(或隨機(jī)向量)，且在抽樣之前，對(duì)θ有一定的相關(guān)信息，稱事先得到的這些信息為先驗(yàn)知識(shí)。用θ的某種概率分布來(lái)表示這種先驗(yàn)知識(shí)，記為h(θ)，稱概率分布為θ的“先驗(yàn)分布”。該分布反映了在實(shí)驗(yàn)之前對(duì)未知參數(shù)θ所獲得的信息的概率分布。

(2)根據(jù)貝葉斯理論，在給定X1,X2,…,Xn的條件下，θ的條件概率密度為：

(1)

稱該公式為θ的“后驗(yàn)概率密度”。這個(gè)條件概率密度表示在有樣本X1,X2,…,Xn后對(duì)θ的知識(shí)概率分布，綜合反映了θ的先驗(yàn)分布h(θ)與由樣本帶來(lái)的信息。

(3)利用后驗(yàn)分布h(θ|X1,X2,…,Xn)對(duì)θ進(jìn)行推斷。

1.2 域信任度計(jì)算

(2)

則節(jié)點(diǎn)域i可以對(duì)節(jié)點(diǎn)域j的交互成功概率p做出評(píng)估推測(cè)。

隨著節(jié)點(diǎn)域i對(duì)節(jié)點(diǎn)域j的評(píng)價(jià)增多，即Xij和Yij的值不斷增加，對(duì)節(jié)點(diǎn)域j就更加了解，使得對(duì)p的估計(jì)較為準(zhǔn)確。

節(jié)點(diǎn)信任評(píng)估的最終目標(biāo)是檢測(cè)出網(wǎng)絡(luò)中的惡意節(jié)點(diǎn)并將其進(jìn)行隔離，因而檢測(cè)率、誤檢率及漏檢率是衡量一個(gè)信任評(píng)估模型的重要指標(biāo)。一般來(lái)說(shuō)，檢測(cè)率越高，誤檢率越低，信任評(píng)估模型就越可靠。然而，原有的基于Beta分布的信任評(píng)估方案忽略了非入侵因素帶來(lái)的不合作影響，即由于網(wǎng)絡(luò)自身故障所帶來(lái)的節(jié)點(diǎn)異常行為或惡意評(píng)估等可能會(huì)造成較大的誤檢率。為此，引入異常衰減因子的概念。異常衰減因子記為γ，表示網(wǎng)絡(luò)中節(jié)點(diǎn)行為異常行為造成的概率。

(3)

直接信任度計(jì)算：令Zij和Fij分別表示節(jié)點(diǎn)域i對(duì)節(jié)點(diǎn)域j的評(píng)價(jià)序列ESij中的積極評(píng)價(jià)次數(shù)和消極評(píng)價(jià)次數(shù)，α=Xij+1和β=Yij+1。p和q為節(jié)點(diǎn)域i對(duì)節(jié)點(diǎn)域j完成任務(wù)成功和失敗的概率，E(h(p|α,β))，E(h(q|α,β))分別表示Bayesian估計(jì)的數(shù)學(xué)期望。那么節(jié)點(diǎn)域i對(duì)節(jié)點(diǎn)域j的信任度的計(jì)算為：

DTVij=

(4)

2 基于堆結(jié)構(gòu)的訪問控制

堆結(jié)構(gòu)是一種重要的集合型數(shù)據(jù)結(jié)構(gòu)，采用完全二叉樹的形式存儲(chǔ)可比較的數(shù)據(jù)，滿足如下性質(zhì)：

(1)大根性：令數(shù)據(jù)節(jié)點(diǎn)n所對(duì)應(yīng)的數(shù)據(jù)權(quán)值為f(n)，則對(duì)于?n'∈ancestor(n)，滿足f(n')≥f(n)，任何從低層次節(jié)點(diǎn)到高層次節(jié)點(diǎn)都要經(jīng)過一條不減路徑，樹根的權(quán)值為整個(gè)堆的最大權(quán)值。

(2)路徑長(zhǎng)度有界性：由于堆采用完全二叉樹來(lái)存儲(chǔ)數(shù)據(jù)，因此對(duì)于有n個(gè)數(shù)據(jù)節(jié)點(diǎn)的堆，從堆底(葉節(jié)點(diǎn))到堆頂(根節(jié)點(diǎn))的路徑長(zhǎng)度不會(huì)超過log(n+1)，為對(duì)數(shù)級(jí)，因此隨數(shù)據(jù)量的增長(zhǎng)而增長(zhǎng)緩慢。這一特性使得堆結(jié)構(gòu)為數(shù)據(jù)集合的排序(反復(fù)摘頂)、插入、修改、刪除算法提供了良好的高效率支持，使得對(duì)n個(gè)節(jié)點(diǎn)的數(shù)據(jù)集合排序的算法復(fù)雜度能夠穩(wěn)定在O(nlogn)，插入、刪除、修改的復(fù)雜度均穩(wěn)定在O(logn)。

2.1 基于堆結(jié)構(gòu)的信任訪問控制模型

在本模型中，根據(jù)貝葉斯決策理論建立各域的信任度，將網(wǎng)絡(luò)中多個(gè)域按照可信度的高低順序組合成一個(gè)大根堆，使得可信度越高的域離堆頂越近，堆頂對(duì)應(yīng)于可信度最高的域。此時(shí)，對(duì)于每個(gè)域，其相對(duì)可信度區(qū)間為[0,1]。為方便計(jì)算，本模型定義該信任度區(qū)間為[0,10]，模型結(jié)構(gòu)如圖1所示。其中的空心箭頭描述了請(qǐng)求的傳遞路徑，而灰色箭頭描述了令牌的傳遞路徑。Wi(i=A,B,C,D,E)分別表示域內(nèi)節(jié)點(diǎn)A,B,C,D,E的權(quán)值；ASi(i=1,2,…,5)表示域i的授權(quán)服務(wù)器，用于接收用戶的權(quán)限請(qǐng)求，并根據(jù)該請(qǐng)求計(jì)算出所需的最小角色；SrcID表示域身份信息；Token表示令牌，用于將用戶的請(qǐng)求信息、身份信息和角色信息封裝為請(qǐng)求，并沿堆層次向上傳遞；DV表示域信任度；RSV表示請(qǐng)求資源權(quán)值；ASV表示訪問資源權(quán)值。

圖1 基于堆結(jié)構(gòu)的訪問

2.2 資源訪問控制過程

如圖1所示，當(dāng)域3中具有角色E的用戶請(qǐng)求訪問域5中的資源B時(shí)，模型的工作流程如下：

(1)路徑探查：域3中的用戶U將請(qǐng)求發(fā)送至路徑計(jì)算模塊，該模塊為其計(jì)算出從U所在的域到目標(biāo)資源所在的域的堆路徑，返回給U，由樹節(jié)點(diǎn)間路徑的唯一性可知，該路徑是唯一的。

(2)請(qǐng)求發(fā)送：域3中具有角色E的用戶將其身份信息、角色信息以及請(qǐng)求的權(quán)限按照該路徑傳遞給域5的授權(quán)服務(wù)器。

(3)最小角色獲?。河?的授權(quán)服務(wù)器(Authority Server)根據(jù)用戶請(qǐng)求和自身的角色層次結(jié)構(gòu)計(jì)算出角色B為包含用戶請(qǐng)求權(quán)限的最小角色。

(4)域3中的令牌生成模塊為用戶創(chuàng)建一個(gè)令牌，將其角色權(quán)值及域信任度寫入其中，并沿堆路徑向其祖先域傳遞，直到傳遞到域1，也即域3和域5在堆中的最小公共祖先域，域1根據(jù)對(duì)域3的信任程度，在令牌中寫入一個(gè)相對(duì)可信值。

(5)與步驟(4)類似，域5的令牌生成模塊為B創(chuàng)建一個(gè)令牌，同樣逐層向上傳遞，直至傳遞到域1，每次傳遞中經(jīng)過的域也都向該令牌寫入對(duì)下層域的相對(duì)可信值。

(6)來(lái)自域3和域5的令牌最終都到達(dá)了域1，域1將每個(gè)令牌中的角色權(quán)值和所有經(jīng)過域信任度值相乘，并按信任值上界，假設(shè)為10，進(jìn)行歸一化處理，最終得出域3用戶的資源請(qǐng)求值RSV=8*9/10=7.2，域5中角色B的資源訪問權(quán)值A(chǔ)SV=(7*6*9)/10/10=3.78，由于RSV>ASV，因此判定該用戶有權(quán)獲得角色B的資源。域5的授權(quán)服務(wù)器向其簽發(fā)角色證書，并開啟一個(gè)新的會(huì)話。

(7)在域3中的用戶對(duì)域5中的資源進(jìn)行訪問時(shí)，域5的授權(quán)服務(wù)器對(duì)其行為進(jìn)行監(jiān)控，如果該用戶有嚴(yán)重威脅該域資源安全的行為，則可將其角色證書撤銷，并沿著步驟(1)中的路徑中由域3到域1的部分路徑發(fā)送遣控令牌(Assent Token)，該路徑中的所有域都會(huì)接收到該令牌。

(8)當(dāng)一個(gè)域接收到過多的遣控令牌后，該域的信任值會(huì)自動(dòng)下降，此時(shí)可通過堆調(diào)整或刪除操作來(lái)重新調(diào)整堆結(jié)構(gòu)。

(9)當(dāng)用戶對(duì)資源的訪問結(jié)束后，會(huì)話被終止，該用戶的角色證書也隨即被撤銷。域5的管理員可以寫入一些審計(jì)信息。

代碼框架如下：

requestPrim(target){

path=askForPath(target); //計(jì)算堆路徑

createRequest(priv); //創(chuàng)建對(duì)特定權(quán)限的請(qǐng)求

createToken(credentials);//根據(jù)自身角色證書初始化令牌

primeToken(path, LCA(this,target)); //沿路徑向上傳遞令牌

}

requestHandle(request,path){

mini_role=calculate_mini_role(request);//根據(jù)請(qǐng)求和自身角色層次結(jié)構(gòu)計(jì)算出可能的最小角色映射

createToken(mini_role); //根據(jù)該角色生成一個(gè)角色令牌

primeToken(path, LCA(this,request.source));//沿路徑向上傳遞令牌

}

writeCredential(token){

write(token, this, token.source); //向令牌中寫入對(duì)子域的信任評(píng)價(jià)值

}

tokenJustify(tokenSource,tokenTarget){

src=calculateTokenCredential(tokenSource);

dst=calculateToken(Credential(tokenTarget); //計(jì)算兩個(gè)令牌的歸一化信任評(píng)價(jià)值

if(src>=dst){allow access;}

else{deny access;} //如果源令牌的信任評(píng)價(jià)值高于目的角色令牌，則允許訪問，否則拒絕訪問

}

3 實(shí)驗(yàn)與分析

實(shí)驗(yàn)中構(gòu)建60個(gè)實(shí)體域，誠(chéng)實(shí)數(shù)量和不誠(chéng)實(shí)數(shù)量各占50%，觀察隨著實(shí)體間交互次數(shù)的不斷增加，信任模型中某一節(jié)點(diǎn)域i對(duì)誠(chéng)實(shí)實(shí)體域j和不誠(chéng)實(shí)實(shí)體域k的信任度的變化情況,仿真實(shí)驗(yàn)參數(shù)如表1所示。

表1 實(shí)驗(yàn)參數(shù)表

域?qū)嶓w數(shù)誠(chéng)實(shí)實(shí)體不誠(chéng)實(shí)實(shí)體初始信任度信任度閾值取值6050%50%0.50.40.9

圖2中顯示的是隨著訪問次數(shù)的增多，節(jié)點(diǎn)i對(duì)誠(chéng)實(shí)節(jié)點(diǎn)j和不誠(chéng)實(shí)節(jié)點(diǎn)k的信任度的變化趨勢(shì)。由于初始信任度為0.5，滿足實(shí)體間相互訪問的閾值為0.4的要求，所以在一開始，各個(gè)實(shí)體是能夠相互訪問的。

圖2 隨著交互次數(shù)增加節(jié)點(diǎn)i對(duì)兩類節(jié)點(diǎn)的信任度的變化曲線

從圖2中可以看出，隨著訪問次數(shù)的增多，被訪問節(jié)點(diǎn)對(duì)誠(chéng)實(shí)節(jié)點(diǎn)的信任度逐漸升高，而對(duì)不誠(chéng)實(shí)節(jié)點(diǎn)的信任度逐漸降低。由此，在以后的訪問中，被訪問的節(jié)點(diǎn)就可以預(yù)先識(shí)別出訪問節(jié)點(diǎn)是否誠(chéng)實(shí)，從而預(yù)先做出允許訪問還是拒絕訪問的判斷。

圖3 兩種模型惡意行為檢測(cè)準(zhǔn)確率對(duì)比曲線

觀察隨著實(shí)體間交互次數(shù)的不斷增加，文中提出的信任度模型和采用EigenTrust模型檢測(cè)出惡意行為的準(zhǔn)確率的變化情況。實(shí)驗(yàn)參數(shù)的設(shè)置與實(shí)驗(yàn)1相同，結(jié)果如圖3所示。

由圖3可見，采用提出的信任度模型預(yù)測(cè)不誠(chéng)實(shí)實(shí)體的準(zhǔn)確率比EigenTrust信任度模型收斂的速度快。

4 結(jié)束語(yǔ)

分析了現(xiàn)有訪問控制模型，在已有研究的基礎(chǔ)上提出改進(jìn)貝葉斯信任度計(jì)算及對(duì)模型構(gòu)建域間訪問控制模型。信任度計(jì)算方法有所改進(jìn)，一定程度上提高了檢測(cè)的收斂速度，有利于根據(jù)信任度的變化進(jìn)行模型的調(diào)整和重構(gòu)，具有效率高、速度快的特點(diǎn)。

[1] 張 宏,賀也平,石志國(guó).基于周期時(shí)間限制的自主訪問控制委托模型[J].計(jì)算機(jī)學(xué)報(bào),2006,29(8):1427-1437.

[2] 陳俊欣,張鳳荔,劉 淵.基于角色的空間信息強(qiáng)制訪問控制模型研究[J].計(jì)算機(jī)應(yīng)用研究,2016,33(7):2170-2174.

[3] 熊厚仁,陳性元,杜學(xué)繪,等.基于角色的訪問控制模型安全性分析研究綜述[J].計(jì)算機(jī)應(yīng)用研究,2015,32(11):3201-3208.

[4] 鄧集波,洪 帆.基于任務(wù)的訪問控制模型[J].軟件學(xué)報(bào),2003,14(1):76-82.

[5] 熊金波,姚志強(qiáng),馬建峰,等.基于行為的結(jié)構(gòu)化文檔多級(jí)訪問控制[J].計(jì)算機(jī)研究與發(fā)展,2013,50(7):1399-1408.

[6] JOSHI J B D.A generalized temporal role based access control model for developing secure systems[D].USA:Purdue University,2013.

[7] 彭維平,劉雪貞,郭海儒,等.基于信任度的跨域安全訪問控制模型研究[J].計(jì)算機(jī)應(yīng)用研究,2016,33(6):1797-1796.

[8] KATT B,ZHANG X W,BREU R,et al.A general obligation model and continuity:enhanced policy enforcement engine for usage control[C]//ACM symposium on access control models and technologies.Estes Park,CO,USA:ACM,2008:683-695.

[9] 王小明,趙宗濤.基于角色的時(shí)態(tài)對(duì)象存取控制模型[J].電子學(xué)報(bào),2005,33(9):1634-1638.

[10] 劉慶云,沙泓州,李世明,等.一種基于量化用戶和服務(wù)的大規(guī)模網(wǎng)絡(luò)訪問控制方法[J].計(jì)算機(jī)學(xué)報(bào),2014,37(5):1195-1205.

[11] YUAN E,TONG J.Attributed based access control (ABAC) for Web services[C]//IEEE international conference on web services.FL,USA:IEEE,2005:561-569.

[12] 房 梁,殷麗華,郭云川,等.基于屬性的訪問控制關(guān)鍵技術(shù)研究綜述[J].計(jì)算機(jī)學(xué)報(bào),2017,40(7):1680-1698.

[13] 黃保華,賈豐瑋,王添晶.云存儲(chǔ)平臺(tái)下基于屬性的數(shù)據(jù)庫(kù)訪問控制策略[J].計(jì)算機(jī)科學(xué),2016,43(3):167-173.

[14] 李鳳華,王 巍,馬建峰,等.基于行為的訪問控制模型及其行為管理[J].電子學(xué)報(bào),2008,36(10):1881-1890.

[15] 李鳳華,王彥超,殷麗華,等.面向網(wǎng)絡(luò)空間的訪問控制模型[J].通信學(xué)報(bào),2016，37(5):9-20.

[16] 史姣麗,黃傳河,王 晶,等.云存儲(chǔ)下多用戶協(xié)同訪問控制方案[J].通信學(xué)報(bào),2016,37(1):88-99.

[17] 王 晶,黃傳河,王金海.一種面向云存儲(chǔ)的動(dòng)態(tài)授權(quán)訪問控制機(jī)制[J].計(jì)算機(jī)研究與發(fā)展,2016,53(4):904-920.