文 靜，袁家斌，王詩(shī)璇，魏利利

(1.南京航空航天大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 南京 211106；2.淮陰師范學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 淮安 223300； 3.中國(guó)兵器工業(yè)第二〇八研究所，北京 102202)

作為大數(shù)據(jù)的基礎(chǔ)平臺(tái)和支撐技術(shù)的云計(jì)算而言[1-2]，云中的訪問(wèn)控制所涉及的資源可能由于云的分布式特點(diǎn)而位于不同域，這就構(gòu)成了一個(gè)巨大而復(fù)雜的異構(gòu)數(shù)據(jù)環(huán)境[3]。針對(duì)分布式異構(gòu)環(huán)境下跨域安全互操作，要求能實(shí)現(xiàn)信息資源的安全共享[4]。當(dāng)前在云端實(shí)現(xiàn)信息安全共享的主流方式是訪問(wèn)控制，訪問(wèn)控制主要有基于角色的訪問(wèn)控制、基于任務(wù)的訪問(wèn)控制和基于屬性的訪問(wèn)控制3種[5]。在傳統(tǒng)的分布式環(huán)境下，其訪問(wèn)控制模型中的主體一般只需一次授權(quán)即可使用，對(duì)環(huán)境的動(dòng)態(tài)變化適應(yīng)性較差。但是在云環(huán)境下，異構(gòu)網(wǎng)絡(luò)具有動(dòng)態(tài)變化的特性，節(jié)點(diǎn)或邊的變化會(huì)對(duì)當(dāng)前的風(fēng)險(xiǎn)識(shí)別及跨域訪問(wèn)造成影響[6-7]。不確定性和動(dòng)態(tài)性是多自治域環(huán)境的特點(diǎn)，保證數(shù)據(jù)資源安全性是安全策略的基本要求，二者之間的矛盾給多自治域環(huán)境中互操作帶來(lái)許多風(fēng)險(xiǎn)和安全隱患[8-9]。目前針對(duì)動(dòng)態(tài)異構(gòu)網(wǎng)絡(luò)中的訪問(wèn)控制機(jī)制未能較好地利用歷史訪問(wèn)信息，限制高風(fēng)險(xiǎn)的節(jié)點(diǎn)訪問(wèn)，也沒(méi)有對(duì)風(fēng)險(xiǎn)值進(jìn)行實(shí)時(shí)更新，自適應(yīng)性較弱[10]。

Lyu等[11]提出了一個(gè)云服務(wù)下基于圖形工具的安全風(fēng)險(xiǎn)評(píng)估模型，可以清晰描述云服務(wù)的虛擬化安全風(fēng)險(xiǎn)場(chǎng)景，準(zhǔn)確評(píng)估虛擬化安全風(fēng)險(xiǎn)因素，其方法能夠較好地模擬云服務(wù)中復(fù)雜的動(dòng)態(tài)安全問(wèn)題。Zheng等[12]針對(duì)云模型不適用于非正態(tài)分布的問(wèn)題，提出了一種基于均勻分布的一維后向云算法，建立了一種可信度評(píng)估指標(biāo)，并將其應(yīng)用于云中可信度評(píng)估，然而該算法僅適用于單個(gè)云環(huán)境的情況。Uikey等[13]提出了一種可擴(kuò)展的訪問(wèn)控制體系結(jié)構(gòu)和授權(quán)機(jī)制，該機(jī)制為多領(lǐng)域云環(huán)境下的資源管理策略提供了一個(gè)靈活的框架，但是該方法沒(méi)有考慮到風(fēng)險(xiǎn)的因素。Dos-Santos等[14]針對(duì)傳統(tǒng)訪問(wèn)控制模型無(wú)法滿足特定安全要求的問(wèn)題，提出了一種基于XACML擴(kuò)展的風(fēng)險(xiǎn)管理框架，然而該框架沒(méi)有考慮到訪問(wèn)雙方的歷史信息。Laleh等[15]提出了一種針對(duì)用戶行為的風(fēng)險(xiǎn)評(píng)估模型，認(rèn)為如果用戶行為與“正常行為”的差異越大則風(fēng)險(xiǎn)越大，然而在云環(huán)境中，定義完整的“正常行為”幾乎是不可能的。從已有的文獻(xiàn)來(lái)看，較少考慮到訪問(wèn)記錄對(duì)于風(fēng)險(xiǎn)的影響，無(wú)法適應(yīng)異構(gòu)跨域訪問(wèn)。拒絕頻繁訪問(wèn)的操作沒(méi)有考慮允許低風(fēng)險(xiǎn)高優(yōu)先級(jí)的主體訪問(wèn)請(qǐng)求。

本文針對(duì)大數(shù)據(jù)云平臺(tái)分布式異構(gòu)環(huán)境下節(jié)點(diǎn)跨域訪問(wèn)風(fēng)險(xiǎn)問(wèn)題，考慮到多個(gè)安全管理域的特點(diǎn)，建立跨域的訪問(wèn)控制模型，將自適應(yīng)的風(fēng)險(xiǎn)動(dòng)態(tài)閾值運(yùn)用于帶有記憶分量的多級(jí)安全模型中，對(duì)發(fā)起訪問(wèn)的主體和被訪問(wèn)的客體進(jìn)行風(fēng)險(xiǎn)預(yù)審核，在本次訪問(wèn)請(qǐng)求結(jié)束后，無(wú)論訪問(wèn)是成功還是失敗，管理節(jié)點(diǎn)都會(huì)實(shí)時(shí)調(diào)整本域風(fēng)險(xiǎn)閾值，使之具有一定的動(dòng)態(tài)適應(yīng)性，從而提高訪問(wèn)的靈活性，降低訪問(wèn)的風(fēng)險(xiǎn)，保證系統(tǒng)的安全性。

1 風(fēng)險(xiǎn)訪問(wèn)模型

分布式環(huán)境下的節(jié)點(diǎn)具有較強(qiáng)的動(dòng)態(tài)性和不確定性，節(jié)點(diǎn)的風(fēng)險(xiǎn)值會(huì)隨著訪問(wèn)歷史記錄及時(shí)間的變化而改變。本文的風(fēng)險(xiǎn)量化采用定量和定性相結(jié)合，隨著歷史訪問(wèn)次數(shù)的增加，風(fēng)險(xiǎn)值會(huì)變得越來(lái)越客觀。模型涉及的風(fēng)險(xiǎn)值主要包含節(jié)點(diǎn)的風(fēng)險(xiǎn)值和域風(fēng)險(xiǎn)值。節(jié)點(diǎn)風(fēng)險(xiǎn)值由初始風(fēng)險(xiǎn)值、歷史風(fēng)險(xiǎn)值和頻率風(fēng)險(xiǎn)值組成。域風(fēng)險(xiǎn)值由本域指定的管理節(jié)點(diǎn)保存。當(dāng)本域節(jié)點(diǎn)產(chǎn)生變化時(shí)需要對(duì)域風(fēng)險(xiǎn)值進(jìn)行實(shí)時(shí)調(diào)整和更新。域中節(jié)點(diǎn)的風(fēng)險(xiǎn)值表示為ri(i=1,2,…,m)，m為域d中的節(jié)點(diǎn)總數(shù)。

1.1 模型概述

云中任意自治域中的主體向域中客體發(fā)出訪問(wèn)請(qǐng)求。首先，由管理節(jié)點(diǎn)主觀設(shè)置風(fēng)險(xiǎn)閾值初始值賦予所屬域管理節(jié)點(diǎn)。訪問(wèn)過(guò)程中需要將主體在訪問(wèn)周期內(nèi)訪問(wèn)次數(shù)計(jì)數(shù)器的值和設(shè)定的最大訪問(wèn)次數(shù)進(jìn)行比較，如果該值小于設(shè)定的最大訪問(wèn)次數(shù)則可以進(jìn)入下一步；否則該節(jié)點(diǎn)將被定義為頻繁訪問(wèn)節(jié)點(diǎn)，需要判斷節(jié)點(diǎn)是否為低風(fēng)險(xiǎn)節(jié)點(diǎn)。如果該節(jié)點(diǎn)為低風(fēng)險(xiǎn)節(jié)點(diǎn)，則由本域管理節(jié)點(diǎn)分配預(yù)支風(fēng)險(xiǎn)值進(jìn)入下一步。當(dāng)該節(jié)點(diǎn)的風(fēng)險(xiǎn)值小于訪問(wèn)域和被訪問(wèn)域設(shè)定的風(fēng)險(xiǎn)閾值，被訪問(wèn)域中的客體才會(huì)對(duì)主體的訪問(wèn)請(qǐng)求做出反饋。當(dāng)訪問(wèn)請(qǐng)求結(jié)束后，不管本次訪問(wèn)請(qǐng)求成功與否，訪問(wèn)發(fā)起域和被訪問(wèn)域的域管理節(jié)點(diǎn)都需要對(duì)本次訪問(wèn)操作相互做出評(píng)價(jià)，各域管理節(jié)點(diǎn)根據(jù)評(píng)價(jià)值修改本域風(fēng)險(xiǎn)閾值。

1.2 初始風(fēng)險(xiǎn)值

(1)

式中：bi——評(píng)價(jià)結(jié)果向量B中第i個(gè)評(píng)價(jià)結(jié)果。

1.3 歷史風(fēng)險(xiǎn)值

歷史訪問(wèn)記錄是評(píng)估節(jié)點(diǎn)風(fēng)險(xiǎn)的重要信息，對(duì)節(jié)點(diǎn)間交互的歷史訪問(wèn)記錄進(jìn)行綜合與分析，得出每一個(gè)節(jié)點(diǎn)的歷史風(fēng)險(xiǎn)值?？梢詫v史風(fēng)險(xiǎn)值rhis分為兩部分，即直接訪問(wèn)風(fēng)險(xiǎn)值rhis1和間接訪問(wèn)風(fēng)險(xiǎn)值rhis2。

1.3.1 直接訪問(wèn)風(fēng)險(xiǎn)值rhis1

rhis1表示歷史直接訪問(wèn)累計(jì)的風(fēng)險(xiǎn)值。Hij表示主體si申請(qǐng)?jiān)L問(wèn)客體oj的總次數(shù)，Sij表示節(jié)點(diǎn)間直接交互過(guò)程中成功的次數(shù)，F(xiàn)ij表示節(jié)點(diǎn)間直接交互過(guò)程中失敗的交易次數(shù)，無(wú)法確定交互是否成功或者失敗的次數(shù)用Uij來(lái)表示，顯然Hij=Sij+Fij+Uij。直接訪問(wèn)風(fēng)險(xiǎn)值可表示如下：

(2)

在訪問(wèn)周期內(nèi)，為使直接風(fēng)險(xiǎn)值更加客觀，設(shè)定t為風(fēng)險(xiǎn)更新的時(shí)間片，很明顯t

(3)

式中：ΔSij——本訪問(wèn)周期交互成功的次數(shù)；μ——由本域管理節(jié)點(diǎn)設(shè)置的更新權(quán)重，如果ΔSij大于本訪問(wèn)周期交互失敗的次數(shù)，則約定μ∈(0.5,1),否則μ∈(0，0.5)。

1.3.2 間接訪問(wèn)風(fēng)險(xiǎn)值rhis2

被詢問(wèn)節(jié)點(diǎn)k必須和詢問(wèn)節(jié)點(diǎn)i有過(guò)安全的歷史交易，節(jié)點(diǎn)可信，可以表示為如下形式：Pij={k|Sik+Fik>0,rhis1(Jreqi,k)>0}(Jreqi,k表示主體節(jié)點(diǎn)i對(duì)客體節(jié)點(diǎn)k歷史訪問(wèn)的函數(shù))，則間接訪問(wèn)風(fēng)險(xiǎn)函數(shù)可表示為

(4)

1.4 頻率風(fēng)險(xiǎn)值

rfre=1-e-fij

(5)

1.5 預(yù)支風(fēng)險(xiǎn)值

預(yù)支風(fēng)險(xiǎn)值是系統(tǒng)在每個(gè)訪問(wèn)周期為低風(fēng)險(xiǎn)節(jié)點(diǎn)預(yù)支的風(fēng)險(xiǎn)額度值，代表系統(tǒng)對(duì)其造成風(fēng)險(xiǎn)的容忍程度，也表示系統(tǒng)對(duì)低風(fēng)險(xiǎn)節(jié)點(diǎn)的信任。在本模型中，如果訪問(wèn)周期td-p內(nèi)主體節(jié)點(diǎn)發(fā)起訪問(wèn)的次數(shù)已經(jīng)超過(guò)cmax(cmax為域節(jié)點(diǎn)根據(jù)本域情況自主設(shè)定的周期內(nèi)最大訪問(wèn)次數(shù))，并且節(jié)點(diǎn)在本周期內(nèi)訪問(wèn)記錄良好(即為低風(fēng)險(xiǎn)節(jié)點(diǎn))，且在本訪問(wèn)周期內(nèi)訪問(wèn)優(yōu)先級(jí)較高，那么可以向管理節(jié)點(diǎn)額外發(fā)出繼續(xù)訪問(wèn)的申請(qǐng)，管理節(jié)點(diǎn)會(huì)在本周期內(nèi)通過(guò)預(yù)支一定額度風(fēng)險(xiǎn)值的方式允許低風(fēng)險(xiǎn)節(jié)點(diǎn)的訪問(wèn)申請(qǐng)，以此提高整體訪問(wèn)的效率。

管理節(jié)點(diǎn)根據(jù)申請(qǐng)節(jié)點(diǎn)的歷史訪問(wèn)信息為其分配風(fēng)險(xiǎn)機(jī)動(dòng)額度φsi，此額度會(huì)隨著訪問(wèn)的增加而減少，φsi=φsi-rsi。參考?xì)v史訪問(wèn)記錄，在周期td-p內(nèi)，對(duì)于每一次訪問(wèn)(Jreqi(si,oj,x)(j=1,2,…,n),根據(jù)直接訪問(wèn)風(fēng)險(xiǎn)值，基于信息熵的計(jì)算公式，得出si在oj下的信息量為

(6)

式中：csi——訪問(wèn)次數(shù)計(jì)數(shù)器的值。

1.6 節(jié)點(diǎn)綜合訪問(wèn)風(fēng)險(xiǎn)值

定義1C為各風(fēng)險(xiǎn)分量權(quán)值的集合，C=(α,β1,β2,γ)，其中α+β1+β2+γ=1，它們分別表示初始風(fēng)險(xiǎn)值、直接訪問(wèn)風(fēng)險(xiǎn)值、間接訪問(wèn)風(fēng)險(xiǎn)值和頻率風(fēng)險(xiǎn)值的權(quán)值。節(jié)點(diǎn)綜合訪問(wèn)風(fēng)險(xiǎn)值的計(jì)算式為

r=[α,β1,β2,γ][rini,rhis1,rhis2,rfre]T+φsi

(7)

域整體風(fēng)險(xiǎn)值rd，可以通過(guò)域中所有節(jié)點(diǎn)風(fēng)險(xiǎn)值求平均值得到：

(8)

2 模 型 分 析

2.1 形式化描述

本模型是一個(gè)狀態(tài)機(jī)模型，系統(tǒng)的狀態(tài)是系統(tǒng)中元素的表示，它由主體、客體、訪問(wèn)屬性、訪問(wèn)矩陣以及標(biāo)識(shí)主體和客體的訪問(wèn)類屬性的函數(shù)等組成。其相關(guān)定義如下：

定義2S={s1,s2,…,sm}表示主體的集合。O={o1,o2,…,on}表示客體的集合。

定義3D={d1,d2,…,dp}表示多自治域構(gòu)成的域集合。

定義4函數(shù)dom():S∪O→D，表示主體或客體所在的域。每個(gè)主體或客體都有唯一所在的域。

定義5集合A={rd,a,w,e}表示訪問(wèn)屬性集，定義模型有以下4種訪問(wèn)方式：(a)Read(rd)讀包含在客體中的信息；(b)Append(a)向客體中添加信息，且不允許讀客體中的信息；(c)Write(w)向客體中寫(xiě)信息，且允許讀客體中的信息；(d)Execute(e)執(zhí)行另一個(gè)客體(程序)。

定義6當(dāng)前訪問(wèn)集合B?(S×O×A)：表示在某個(gè)特定的狀態(tài)下哪些主體以何種訪問(wèn)屬性訪問(wèn)哪些客體。

定義7訪問(wèn)請(qǐng)求集合JREQ，函數(shù)Jreq(si,oj,x)表示主體si對(duì)客體oj的訪問(wèn)，其中x∈A。

定義8訪問(wèn)矩陣集M，表示系統(tǒng)中所有主體對(duì)系統(tǒng)中所有客體所擁有的訪問(wèn)權(quán)限，元素Mij?A表示主體si對(duì)客體oj具有的訪問(wèn)權(quán)限。

定義9模型中節(jié)點(diǎn)狀態(tài)集表示為V={V0,V1,V2,…,Vk}，狀態(tài)v∈V，由(b,M,f,sM,R)表示，其中b∈B，f為訪問(wèn)周期內(nèi)的訪問(wèn)頻率，sM∈S，R為風(fēng)險(xiǎn)函數(shù)集合，表示主客體的風(fēng)險(xiǎn)狀態(tài)。用v*表示通過(guò)請(qǐng)求之后的狀態(tài)。

定義10安全標(biāo)記函數(shù)集合F，主體、客體的當(dāng)前安全標(biāo)記用訪問(wèn)類函數(shù)f表示，f=(fSH,fSL,fIH,fIL,fSO,fIO)，f∈F，其中fSH、fSL和fSO分別表示主體和客體的保密級(jí)區(qū)間和函數(shù)，fIH、fIL和fIO分別表示主體和客體的完整級(jí)區(qū)間和函數(shù)。

約定1HIS(s)∈{hSH(s),hIL(s)}為主體的訪問(wèn)歷史函數(shù)。

2.2 機(jī)密性分析

本文模型建立在經(jīng)典的多級(jí)安全模型基礎(chǔ)之上，是一個(gè)有限狀態(tài)機(jī)模型，系統(tǒng)是安全狀態(tài)，當(dāng)且僅當(dāng)系統(tǒng)的每一個(gè)狀態(tài)(v0,v1,v2,…,vn)均為安全狀態(tài)，其中v0是初始狀態(tài)，v1,v2,…,vn是其他的輸出狀態(tài)。定義規(guī)則ρ：JREQ×V→G×V，表示給定一個(gè)請(qǐng)求和一個(gè)狀態(tài)，規(guī)則ρ決定系統(tǒng)產(chǎn)生的響應(yīng)和下一個(gè)狀態(tài)。G為判定集{y,n,e,u}，y表示請(qǐng)求被執(zhí)行，n表示請(qǐng)求被拒絕，e表示多個(gè)規(guī)則適合于這一請(qǐng)求，u表示本規(guī)則不能處理此次請(qǐng)求。

定理2一個(gè)系統(tǒng)是機(jī)密性安全的，當(dāng)且僅當(dāng)它的每個(gè)狀態(tài)都滿足機(jī)密性強(qiáng)制規(guī)則。

公理1(簡(jiǎn)單安全性)狀態(tài)v=(b,M,f,sM,R)滿足簡(jiǎn)單安全特性，當(dāng)且僅當(dāng)所有的s∈S?[o∈b(s:r)?fSH(s)fSO(o)fSL(s)]。符號(hào)表示前者支配后者。

公理2(*安全特性)設(shè)s是S的一個(gè)子集，表示受*特性控制的主體。狀態(tài)v=(b,M,f,sM,R)滿足*特性，當(dāng)且僅當(dāng)所有的s∈S?[o∈b(s:a,w)?fSH(s)fSO(o)fSL(s)∧hSH(s)fSO(o)]

規(guī)則1′用于域d中主體si請(qǐng)求得到對(duì)域p中客體oj的read訪問(wèn)權(quán)。

ifJreq?dom(Jreq(1))

thenJ’req(Jreq,v)=(u,v)

else if [Jreq∈dom(Jreq(1))]∧[fSH(si)fSO(oj)fSL(si)]∧ [Jreqsi

thenJ’req(Jreq,v)=(y,(b(∪(si,oj,r),M,f,sM,R)))

elseJ’req(Jreq,v)=(n,v)

Rd表示該域設(shè)置的風(fēng)險(xiǎn)閾值。

證明：

a. 證明規(guī)則1′滿足簡(jiǎn)單安全性公理。設(shè)ot∈(b′,r)，若ot=oj，則fSH(si)fSO(oj)=fSO(ok)fSL(si)，若ot≠oj則ot∈(b,r)，由狀態(tài)v=(b,M,f,sM,R)滿足的先驗(yàn)條件知fSH(si)fSO(ot)fSL(si)?？傊鬿t∈(b′,r)則fSH(si)fSO(ot)fSL(si)，規(guī)則1′滿足公理1。

b. 證明規(guī)則1′滿足*特性公理。設(shè)ot∈(b′,a)，若ot=oj，由規(guī)則1′可知，無(wú)論請(qǐng)求是否拒絕，都不改變模型中的append狀態(tài)，則由ot∈(b,a)，以及狀態(tài)v=(b,M,f,sM,R)滿足的先驗(yàn)條件知fSH(si)fSO(ot)fSL(si)∧hSH(si)?fSO(ot)。

若ot≠oj，則ot∈(b,a)，同上。

同理可證，ot∈(b′,w)時(shí)，fSH(si)fSO(ok)fSL(si)∧hSH(si)?fSO(ot)，總之，若ot∈(b′,a∨w)，則fSH(si)fSO(ok)fSL(si)∧hSH(si)?fSO(ot)，則規(guī)則1′滿足公理2。

其余規(guī)則可類似給出，此處省略。

2.3 完整性分析

公理3(簡(jiǎn)單完整性)滿足簡(jiǎn)單完整性當(dāng)且僅當(dāng)客體的完整級(jí)在主體可訪問(wèn)的完整級(jí)區(qū)間，主體可讀客體，即狀態(tài)v=(b,M,f,sM,R)滿足簡(jiǎn)單完整特性，當(dāng)且僅當(dāng)所有的s∈S?[o∈b(s:r)?fIH(s)fIO(o)fIL(s)]。

公理4(*完整特性)滿足*完整特性當(dāng)且僅當(dāng)客體的完整級(jí)在主體的可訪問(wèn)完整級(jí)區(qū)間，且主體讀過(guò)所有客體的完整級(jí)都支配主體要寫(xiě)客體的完整級(jí)時(shí)，主體可寫(xiě)該客體。狀態(tài)v=(b,M,f,sM,R)滿足簡(jiǎn)單完整特性，當(dāng)且僅當(dāng)所有的s∈S?[o∈b(s:a,w)?fIH(s)fIO(o)fIL(s)∧hIH(s)?fIO(o)]。

證明：

a. 證明其充分性。設(shè)Jreq是JREQ中的任意一個(gè)動(dòng)作，T為系統(tǒng)的執(zhí)行時(shí)間，對(duì)于(Jreq,v,p′,v′)，當(dāng)且僅當(dāng)存在一個(gè)α=(v0,π1,v1,…)和某個(gè)t∈T，使得vt=(p,v)，vt+1=(p′,v′)。

設(shè)v0=(b,M,f,sM,R)滿足簡(jiǎn)單完整性，α=(v0,π1,v1,…)是一個(gè)執(zhí)行，對(duì)每個(gè)t∈T，令vt=(bt,Mt,ft,sMt,Rt)。

證明v1滿足簡(jiǎn)單完整性：設(shè)(Jreq1,v0,p1,v1)為一個(gè)變換，根據(jù)定理3中的(a)可得?(s,o,x)∈(b1-b),滿足簡(jiǎn)單完整性；令b?={?(s,o,x)∈b∧(s,o,x)}不滿足簡(jiǎn)單完整性，根據(jù)定理3中的(b)可得b?∧b1=?。所以可得到?(s,o,x)∈b1∩b0滿足簡(jiǎn)單完整。并且由于?(s,o,x)∈(b1∩b0∨b1-b0)，得v1滿足簡(jiǎn)單完整性。

證明若vt-1滿足簡(jiǎn)單完整性，則vt滿足簡(jiǎn)單完整性。

同理，可以證明vt-1和vt滿足簡(jiǎn)單完整性。

綜上所述，模型充分性得證。

b. 證明其必要性。采用反證法，假設(shè)模型滿足簡(jiǎn)單完整性，則存在某個(gè)執(zhí)行(Jreq,vt-1,pt,vt)使得下列條件其中之一成立：(a)某個(gè)(s,o,x)∈bt-bt-1不滿足簡(jiǎn)單完整性；(b)某個(gè)不滿足簡(jiǎn)單完整性的(s,o,x)∈bt-1∧(s,o,x)∈bt。

當(dāng)(a)成立時(shí)，存在某個(gè)(s,o,x)∈bt-bt-1不滿足簡(jiǎn)單完整性，所以vt不滿足簡(jiǎn)單完整性，推得模型不滿足簡(jiǎn)單完整性。當(dāng)(b)成立時(shí)，由于存在某個(gè)不滿足簡(jiǎn)單完整性的(s,o,x)∈bt-1∧(s,o,x)∈bt，所以vt不滿足簡(jiǎn)單完整性，推得模型不滿足簡(jiǎn)單完整性。

綜上所述，必要性得證。

定理5一個(gè)系統(tǒng)是安全的，當(dāng)且僅當(dāng)它的每個(gè)狀態(tài)都滿足強(qiáng)制安全規(guī)則。

由于滿足本模型機(jī)密性強(qiáng)制規(guī)則的系統(tǒng)是機(jī)密性安全的，同時(shí)滿足完整性強(qiáng)制規(guī)則的系統(tǒng)是完整性安全的，由此可知定理5成立。

3 結(jié) 語(yǔ)

本文提出了分布式環(huán)境下的面向多域訪問(wèn)的動(dòng)態(tài)多級(jí)安全模型，給出了定性和定量相結(jié)合的風(fēng)險(xiǎn)量化標(biāo)準(zhǔn)。在模型的訪問(wèn)域和被訪問(wèn)域增加了風(fēng)險(xiǎn)敏感標(biāo)記的動(dòng)態(tài)調(diào)整機(jī)制，每次訪問(wèn)之前需要通過(guò)本域管理節(jié)點(diǎn)的驗(yàn)證，提高了跨域訪問(wèn)的安全性，增加了模型的動(dòng)態(tài)適應(yīng)性。給出風(fēng)險(xiǎn)機(jī)動(dòng)額度，結(jié)合歷史訪問(wèn)信息，靈活地調(diào)整了主體訪問(wèn)能力，提高了訪問(wèn)控制模型的靈活性，實(shí)現(xiàn)了對(duì)風(fēng)險(xiǎn)的自適應(yīng)訪問(wèn)控制動(dòng)態(tài)授權(quán)，提高了模型對(duì)異構(gòu)網(wǎng)絡(luò)環(huán)境的適應(yīng)能力。但是本模型在處理過(guò)程中沒(méi)有充分考慮到在訪問(wèn)周期內(nèi)如果有節(jié)點(diǎn)惡意篡改訪問(wèn)記錄、偽造低風(fēng)險(xiǎn)或者無(wú)風(fēng)險(xiǎn)訪問(wèn)的假象。管理節(jié)點(diǎn)可以記錄本域節(jié)點(diǎn)進(jìn)域或者離域，并在訪問(wèn)前后對(duì)記錄進(jìn)行比較，或者對(duì)訪問(wèn)記錄進(jìn)行加密以防惡意篡改，這是下一步主要研究的工作。