許浩海，于 炯,+，卞 琛，魯 亮，金 亮

(1.新疆大學(xué) 軟件學(xué)院，新疆 烏魯木齊 830008； 2.新疆大學(xué) 信息科學(xué)與工程學(xué)院，新疆 烏魯木齊 830046)

0 引 言

隨著互聯(lián)網(wǎng)系統(tǒng)分布式開放系統(tǒng)的發(fā)展，傳統(tǒng)的訪問控制[1]模型也暴露出了許多問題，例如自主訪問控制中的權(quán)限傳遞問題和強(qiáng)制訪問控制中的逆向訪問信道難以去除的問題等，這些模型的局限性使得迫切需要尋找新的訪問控制策略解決方案，以達(dá)到動(dòng)態(tài)授權(quán)的需求[2]?；诮巧脑L問控制在20世紀(jì)90年代迅速發(fā)展，形成的RBAC模型也成為了ANSI標(biāo)準(zhǔn)，角色是一組權(quán)限的集合，雖然RBAC模型獲得了廣泛的認(rèn)可，但是其難以實(shí)現(xiàn)個(gè)體的差異性，無法滿足分布式系統(tǒng)發(fā)展的需求[3]。近年來，出現(xiàn)了基于可信度計(jì)算的訪問模型[4]，可以在改進(jìn)RBAC模型的基礎(chǔ)上實(shí)現(xiàn)個(gè)體的差異訪問控制，建立信譽(yù)體系，其中最重要的衡量標(biāo)準(zhǔn)就是信譽(yù)值，信譽(yù)值的準(zhǔn)確度決定了個(gè)性化訪問控制需求的符合度。

1 相關(guān)研究

在分布式系統(tǒng)安全中，訪問控制技術(shù)可以在一定層面上保證系統(tǒng)主體的合法接入，確保不同角色的資源信息互不干擾；同時(shí)，系統(tǒng)中數(shù)據(jù)保護(hù)也越來越受人重視，人們也在不斷研究數(shù)據(jù)隱私保護(hù)，對(duì)如何在訪問控制過程中合理訪問隱私數(shù)據(jù)進(jìn)行了深入探討。訪問控制是通過某種途徑顯式地準(zhǔn)許或限制主體對(duì)客體訪問能力及范圍的一種方法，其核心機(jī)制是授權(quán)策略。從傳統(tǒng)的訪問控制技術(shù)延伸出基于角色訪問的靜態(tài)訪問控制和基于任務(wù)和工作流的動(dòng)態(tài)訪問控制等[5]。雷蕾等[6]在加密的基礎(chǔ)上通過訪問控制策略隱藏機(jī)制生成密鑰推導(dǎo)圖來分發(fā)密鑰，提高了密鑰獲取的計(jì)算速度。高訓(xùn)兵等[7]在屬性加密算法基礎(chǔ)上引入代理服務(wù)器，建立權(quán)限分析方案，實(shí)現(xiàn)訪問權(quán)限的傳遞。劉慶云等[8]在量化用戶和服務(wù)的基礎(chǔ)上提出一種靈活粒度的訪問控制機(jī)制，既能支持權(quán)限動(dòng)態(tài)調(diào)整又能支持條件角色遷移，另外該機(jī)制還提高了訪問控制的可管理性。張伊璇等[9]利用博弈論原理建立隱私訪問者和保護(hù)者之間的博弈模型，該模型從收益的角度出發(fā)再結(jié)合歷史信息分析隱私訪問者和保護(hù)者之間的博弈策略所對(duì)應(yīng)的收益繼而起到阻止隱私保護(hù)者不希望訪問者訪問隱私的作用。Chebotko A等[10]針對(duì)云環(huán)境的特點(diǎn)，在云計(jì)算中通過改進(jìn)的RBAC模型實(shí)現(xiàn)訪問控制的優(yōu)化。Sabrina D等[11]針對(duì)特定用戶訪問的數(shù)據(jù)進(jìn)行選擇性的加密來提高效率，保護(hù)數(shù)據(jù)安全。

從整體來看，訪問控制領(lǐng)域的研究較為成熟，但是針對(duì)不同的應(yīng)用背景，設(shè)計(jì)出特定約束的解決方案成為了新的熱點(diǎn)，例如文獻(xiàn)[12,13]，針對(duì)特定數(shù)據(jù)進(jìn)行加密處理來達(dá)到安全訪問控制的目的。本文針對(duì)擴(kuò)展的RBAC模型，基于用戶可信度訪問控制模型上，在可信度的計(jì)算上進(jìn)行進(jìn)一步的加強(qiáng)，從系統(tǒng)的整體出發(fā)，在系統(tǒng)不斷運(yùn)行中智能化達(dá)應(yīng)變，滿足初步開放式的要求，針對(duì)系統(tǒng)每一項(xiàng)訪問內(nèi)容設(shè)置訪問門檻，根據(jù)訪問者的可信度來決定是否授予訪問權(quán)限。同時(shí)實(shí)現(xiàn)了相同角色的用戶，可以擁有不同的組權(quán)限。

2 UCBAC算法詳述

總體上說，UCBAC(基于用戶信譽(yù)值的訪問控制)大致可分為以下4個(gè)模型：基本信譽(yù)值計(jì)算模型、關(guān)聯(lián)信譽(yù)值統(tǒng)計(jì)模型、信譽(yù)值累積模型、信譽(yù)值懲罰模型。

屬性：對(duì)主體某一特征的描述，所有的屬性集合構(gòu)成了主體，例如：編號(hào)、姓名、頭像、住址，電話等。

屬性私密度：表示了該屬性對(duì)主體的私密程度，對(duì)于個(gè)性化的隱私來說，不同主體的相同屬性也存在不同程度的私密度，主體可以根據(jù)屬性對(duì)自身的影響程度來定義不同級(jí)別的屬性私密度。私密度越高，意味著發(fā)生惡意泄露造成的影響就越大。

系統(tǒng)的核心思想是通過把結(jié)構(gòu)化數(shù)據(jù)根據(jù)屬性私密度進(jìn)行等級(jí)劃分，各個(gè)等級(jí)設(shè)定最低信譽(yù)值訪問標(biāo)準(zhǔn)，然后針對(duì)系統(tǒng)中的每個(gè)主體進(jìn)行信譽(yù)值的計(jì)算，進(jìn)而判斷是否可以訪問相應(yīng)的數(shù)據(jù)。

2.1 基本信譽(yù)值計(jì)算模型

用戶訪問系統(tǒng)時(shí)會(huì)攜帶環(huán)境信息(包括IP地址、MAC地址、訪問來源、用戶系統(tǒng)類型等)，同時(shí)在進(jìn)入系統(tǒng)時(shí)會(huì)提供用戶身份信息(包括登陸令牌、證書、密鑰等)。系統(tǒng)安全模塊根據(jù)制定的系統(tǒng)安全策略或規(guī)則，根據(jù)每項(xiàng)信息的重要程度來制定每項(xiàng)的權(quán)重w和基本分值SC，那么基本信譽(yù)值就是根據(jù)權(quán)重累加的基本分值總和，如式(1)所示

(1)

其中，m表示項(xiàng)信息。

2.2 關(guān)聯(lián)信譽(yù)值統(tǒng)計(jì)模型

關(guān)聯(lián)信譽(yù)值是通過側(cè)面衡量該用戶的信譽(yù)值，系統(tǒng)中的主體既是數(shù)據(jù)訪問者，同時(shí)也是數(shù)據(jù)提供者，在交互過程中形成相互的信譽(yù)值，信譽(yù)值不具有傳遞性，但是通過聽取其它主體意見，從側(cè)面調(diào)整信譽(yù)值，使得信譽(yù)值更加符合實(shí)際情況。例如，在某一系統(tǒng)環(huán)境下，訪問者主體A訪問數(shù)據(jù)提供者主體B提供的數(shù)據(jù)，主體B需要評(píng)估主體A的關(guān)聯(lián)信譽(yù)值，那么主體B就需要獲取從其它主體Ei對(duì)主體A的信譽(yù)值ECi。這里還要評(píng)估主體B對(duì)其它主體E提供的信譽(yù)值。這里不使用主體B對(duì)主體Ei的信譽(yù)值作為權(quán)重依據(jù)，因?yàn)槿绻黧w存在Ei對(duì)A有較高的信譽(yù)值，主體B對(duì)Ei也存在較高的信譽(yù)值，那么主體B對(duì)A的信譽(yù)值也會(huì)比較高，如此循環(huán)，主體A在整個(gè)系統(tǒng)的信譽(yù)值會(huì)被迅速拉高，事實(shí)上，有可能A只是在這個(gè)局部信譽(yù)值較高，而在整個(gè)系統(tǒng)中的整體信譽(yù)值較低，這顯然不是我們想看到的情況。所以可以根據(jù)PageRank算法的思想，我們可以得出每個(gè)主體的整體排名，以排名作為權(quán)重依據(jù)，通過PageRank算法的思想來計(jì)算關(guān)聯(lián)信譽(yù)值。

冪法計(jì)算PageRank值，其算法如下：

輸入：系統(tǒng)信譽(yù)值圖G，阻尼系數(shù)a，兩次迭代距離不大于Δd，表示收斂。

輸出：系統(tǒng)中所有主體的PageRank向量。

(1)n; /*主體數(shù)量*/

(2)Et; /* n 維的全1行矩陣*/

(3)Q0←random(n);

/*初始化隨機(jī)生成每個(gè)主體的

PageRank值向量*/

(4)P←G; /*通過信譽(yù)值圖得出的概率轉(zhuǎn)移矩陣*/

(5)S=a*P+((1-a)*/n)*Et;

/*初始的PageRank矩陣*/

(6)i=0;

(7)whiledistance(Qi,Qi-1)>Δddo

(8)i++;

(9)Qi=S*Qi-1;

(10)end wile;

(11)returnQi;

算法中(1)～(2)行為初始化數(shù)據(jù)，第(3)行隨機(jī)給每個(gè)主體生成初始的PageRank值，并組成矩陣，第(4)行為通過系統(tǒng)的信譽(yù)值連接圖統(tǒng)計(jì)出的連接概率矩陣的轉(zhuǎn)置矩陣，也就是概率轉(zhuǎn)移矩陣，第(5)行計(jì)算初始的PageRank矩陣，第(6)～(10)迭代計(jì)算PageRank值向量，直到兩次相鄰迭代距離小于Δd，表示已經(jīng)收斂，第(11)行結(jié)束返回最后收斂的PageRank向量值。

根據(jù)PageRank值的占比進(jìn)行累加每個(gè)關(guān)聯(lián)的主體的信譽(yù)值得到當(dāng)前主體的關(guān)聯(lián)信譽(yù)值。

2.3 信譽(yù)值累積模型

信譽(yù)值的累積必然是一個(gè)慢增長(zhǎng)的過程，但是前期會(huì)有一個(gè)較快的增長(zhǎng)，然后增長(zhǎng)速度一直遞減，達(dá)到一個(gè)平緩的信譽(yù)值，那么，增長(zhǎng)的度必然是跟現(xiàn)有歷史信譽(yù)值呈反比，最后增加一個(gè)調(diào)節(jié)參數(shù)a(其中0

(2)

很明顯，式(2)的趨近值是fmax，這是一個(gè)直觀的理論公式，由式(2)可以得出計(jì)算公式，那么第x次的信譽(yù)值計(jì)算公式

(3)

其中，x表示第x次累積過程，a為調(diào)節(jié)參數(shù)，調(diào)節(jié)增長(zhǎng)的速度，增加值會(huì)隨著次數(shù)增加而減少，可根據(jù)第一次的增加值設(shè)置增加速度，a的取值范圍為0

2.4 信譽(yù)值懲罰模型

系統(tǒng)中用戶的每一次數(shù)據(jù)訪問記錄都算作一次系統(tǒng)行為，根據(jù)系統(tǒng)制定規(guī)則和反饋將系統(tǒng)行為分為正向行為和負(fù)向行為，符合系統(tǒng)規(guī)則，數(shù)據(jù)使用的反饋良好即為正向行為，反之則為負(fù)向行為。數(shù)據(jù)私密度是對(duì)數(shù)據(jù)的重要程度的量化指標(biāo)，對(duì)于違反系統(tǒng)安全規(guī)則的數(shù)據(jù)訪問請(qǐng)求，并利用數(shù)據(jù)產(chǎn)生的負(fù)向系統(tǒng)行為就意味著數(shù)據(jù)的泄露，根據(jù)數(shù)據(jù)私密度計(jì)算數(shù)據(jù)泄露程度

(4)

其中，N=[1,2,3,…,n]表示數(shù)據(jù)主體的屬性序號(hào)，Si為第i個(gè)屬性數(shù)據(jù)的私密度，當(dāng)i的取值從1到n時(shí)，數(shù)據(jù)私密度G等于1，表示該主體的全量屬性數(shù)據(jù)的私密度，意味著所有屬性數(shù)據(jù)可能造成泄露，這時(shí)候信譽(yù)值直接減少到0。

懲罰過程對(duì)n調(diào)整到以前的狀態(tài)，也就是根據(jù)泄露程度對(duì)參與累積計(jì)算的次數(shù)進(jìn)行調(diào)整，使得信譽(yù)值回到以前的指定水平

(5)

根據(jù)新的次數(shù)對(duì)累積信譽(yù)值重新進(jìn)行調(diào)整，計(jì)算新的信譽(yù)值

SCnew=f(g(n))

(6)

3 實(shí)驗(yàn)評(píng)估與分析

信譽(yù)值累積模型中a的取值影響信譽(yù)值的累積速度，不同a值的累積信譽(yù)值趨勢(shì)如下：

根據(jù)圖1可以看出整體的信譽(yù)值累積速度呈現(xiàn)遞減趨勢(shì)，同時(shí)a值越小，累積速度越慢，所以實(shí)際中可以根據(jù)不同需求設(shè)定合適的a值，a值的選定可以依據(jù)大致一定信譽(yù)值的累積次數(shù)來確定。

圖1 不同a值對(duì)累積速度的影響

以下面表1中數(shù)據(jù)訪問所需信譽(yù)值來比較。

表1 數(shù)據(jù)與信譽(yù)值訪問對(duì)照

實(shí)驗(yàn)中以20個(gè)主體進(jìn)行測(cè)試，系統(tǒng)中主體i對(duì)主體j一次有效地訪問表示主休i對(duì)主體j有指向，主體的關(guān)系如圖2所示。

圖2 主體間訪問記錄

在實(shí)驗(yàn)過程中，初始化a=0.2，初始信譽(yù)值f1=30，最大信譽(yù)值fmax=100，圖3是20個(gè)主體對(duì)應(yīng)累積信譽(yù)值。

圖3 累積信譽(yù)值分布

圖3顯示了基本信譽(yù)值的累積過程，主體在每個(gè)累積次數(shù)對(duì)應(yīng)的基本信譽(yù)值。

圖4 PageRank值分布

PageRank值分布，如圖4所示。通過計(jì)算每個(gè)主體的PageRank值，以PageRank值所占比計(jì)算得到的關(guān)聯(lián)信譽(yù)值，最后計(jì)算最終的信譽(yù)值結(jié)果。

最終的信譽(yù)值是基本信譽(yù)值、累積信譽(yù)值、關(guān)聯(lián)信譽(yù)值按一定占比得到的最終結(jié)果，圖5中可以看出主體15的PageRank值較低，最終的信譽(yù)值有一個(gè)明顯的減少，這也符合了此模型信譽(yù)值的計(jì)算，那么最終主體15可以訪問的數(shù)據(jù)也會(huì)減少。

圖5 累積信譽(yù)值、關(guān)聯(lián)信譽(yù)值、最終信譽(yù)值分布

4 結(jié)束語

在基于信譽(yù)值的細(xì)粒度訪問控制中，信譽(yù)值的評(píng)估越全面越能達(dá)到系統(tǒng)的要求。UCBAC從系統(tǒng)的幾個(gè)重要層面計(jì)算信譽(yù)值，并通過對(duì)數(shù)據(jù)劃分等級(jí)來判斷主體可訪問的數(shù)據(jù)的方式來進(jìn)行訪問控制。而且，針對(duì)隱私程度劃分的數(shù)據(jù)也可以在用戶隱私保護(hù)方面，為訪問者提供合適隱私性的數(shù)據(jù)來達(dá)到數(shù)據(jù)開放性的要求。

在未來的研究中，結(jié)合數(shù)據(jù)發(fā)布要求，面向不同權(quán)限主體對(duì)系統(tǒng)重要數(shù)據(jù)進(jìn)行不同程度的保護(hù)處理措施，比如不同程度的匿名化處理，滿足系統(tǒng)對(duì)開放式的要求。針對(duì)安全系統(tǒng)中，如何對(duì)重要隱私數(shù)據(jù)進(jìn)行有效的保護(hù)，防止數(shù)據(jù)在系統(tǒng)內(nèi)部泄露導(dǎo)致的數(shù)據(jù)安全問題也是研究的重點(diǎn)。