黃蘭英,熊曾剛，葉從歡

(湖北工程學(xué)院 計算機與信息科學(xué)學(xué)院，湖北 孝感 432000)

?

一種面向云計算的信任-角色訪問控制模型

黃蘭英,熊曾剛，葉從歡

(湖北工程學(xué)院 計算機與信息科學(xué)學(xué)院，湖北 孝感 432000)

針對云計算模式下用戶訪問安全問題，以傳統(tǒng)的基于角色的訪問控制模型為基礎(chǔ)，將可信機制與角色相結(jié)合，提出一種面向云計算的信任-角色的訪問控制模型T-RBAC(Trust-Role Based Access Control )。該模型根據(jù)信任值決定當前用戶是否可以訪問，擁有獨立的信任管理中心，在進行角色映射和權(quán)限授予之前，首先判斷用戶的可信性，可信性達不到閾值，就不授予資源訪問權(quán)限，有效防止了可信性比較低的用戶非法攻擊系統(tǒng)帶來的損害，減輕了網(wǎng)絡(luò)擁塞程度，增強訪問控制模型的抗干擾能力和吞吐量，降低網(wǎng)絡(luò)延遲，在一定程度上提升了系統(tǒng)的工作效率。

云安全;可信機制;角色;訪問控制

云計算是一種新型的計算模式，在互聯(lián)網(wǎng)中的應(yīng)用越來越廣泛，它提供了大型數(shù)據(jù)存儲和計算服務(wù)，為網(wǎng)絡(luò)資源共享提供了便利。云計算作為一個資源池，不必隨身攜帶，用戶可以隨時隨地連接到其中的資源并進行相關(guān)操作。在云計算為人們提供方便的同時，云安全也是不可忽視的問題，如數(shù)據(jù)安全、訪問控制、數(shù)據(jù)隔離加密和身份認證管理等。在網(wǎng)絡(luò)安全技術(shù)中，訪問控制技術(shù)實現(xiàn)了用戶數(shù)據(jù)機密性和隱私保護，是信息安全領(lǐng)域中一類非常重要的技術(shù)[1-4]。文獻[5]提出一種云計算存貯訪問控制算法，有效提高了訪問控制效率。文獻[6-9]提出了基于任務(wù)-角色訪問控制模型，對傳統(tǒng)的訪問控制模型進行了不同程度的改進，此模型將權(quán)限和用戶之間通過角色隔離開來，在一定程度上方便了權(quán)限的管理，有效實現(xiàn)了云計算上的訪問控制，但總體表現(xiàn)不穩(wěn)定。文獻[10-12]在角色管理方面一定程度上降低了復(fù)雜度，解決了云環(huán)境下訪問控制的一些問題，但對訪問控制過程中時態(tài)、環(huán)境等限制條件考慮不夠。上述角色訪問控制模型雖然在解決云安全問題上提供了一定的策略，但仍存在諸多的不足，不能很好地解決用戶的身份驗證和可信性，對實體的惡意攻擊不能及時抵制，因此，正確判斷實體的可信性成為解決安全問題的一個重要方面[13]。

本文提出了一種改進的面向云計算的基于信任和角色的訪問控制模型 (Trust-Role Based Access Control ) T-RBAC，并通過模擬實驗對模型的網(wǎng)絡(luò)延遲、吞吐量及抗干擾性進行了驗證。

1 基于角色的訪問控制

1.1 傳統(tǒng)的角色訪問控制模型

傳統(tǒng)的角色訪問控制模型在邏輯上用戶與權(quán)限是分離的(見圖 1 )。它對系統(tǒng)操作的各種權(quán)限不是直接授予具體的用戶，而是在用戶與權(quán)限間通過角色集合進行關(guān)聯(lián)，每一種角色對應(yīng)一組相應(yīng)的權(quán)限，用戶一旦被分配了適當?shù)慕巧?，該用戶就擁有此角色的所有操作?quán)限[14]。這樣的訪問控制策略，容易帶來授權(quán)過程的一些安全隱患，給云端數(shù)據(jù)的分配、使用在一定程度上帶來了威脅。

圖1 基于角色的訪問控制模型

1.2 RBAC訪問控制

RBAC訪問控制模型是20世紀90年代對信息系統(tǒng)安全模型研究的主要成果之一，NIST(National Institute of Standards and Technology)在RBAC96的基礎(chǔ)上于2000年提出，此模型在2004年正式成為ANSI標準。 RBAC模型由四個部件模型組成，分別是核心模型RBAC0(Core RBAC)、角色層級模型RBAC1(Hierarchal RBAC)、角色限制模型RBAC2(Constraint RBAC)和統(tǒng)一模型RBAC3(Combines RBAC)。基本模型RBAC0如圖2示。

圖2 RBAC0模型

RBAC0也稱為核心RBAC，是任何基于角色的訪問控制模型的必要構(gòu)件，其基本要素是用戶、角色、會話和權(quán)限。一個用戶可以獲得多個角色，一個角色也可以指派給多個用戶。角色與權(quán)限之間也是多對多的關(guān)系，可以賦予一個角色多個權(quán)限，一個權(quán)限也可以賦給多個角色。當用戶進入系統(tǒng)時，就會建立一個會話，這個會話可以激活該用戶全部角色的一個子集，用戶獲得的是被激活角色的所有權(quán)限。在RBAC0系統(tǒng)中，每個用戶至少擁有一個角色，每個角色至少具備一個權(quán)限。RBAC0與傳統(tǒng)訪問控制的差別在于增加了角色作為用戶和權(quán)限的中介，RBAC1、RBAC2和RBAC3都是在RBAC0上的擴展。RBAC1在 RBAC0基礎(chǔ)上引入角色間的繼承關(guān)系，RBAC2模型在RBAC0的基礎(chǔ)上增加責(zé)任分離關(guān)系，而RBAC3 集結(jié)了 RBAC1 和 RBAC2 的全部特點，RBAC3既提供了角色間的繼承關(guān)系，又提供了責(zé)任分離關(guān)系，角色繼承和限制都集結(jié)到 RBAC模型中，而且角色繼承和限制兩者之間可以相互作用[15]。

在RBAC模型中每個用戶可以分配到相同或者不同的角色，但不同的角色具有不同訪問權(quán)限的子集，系統(tǒng)管理者給用戶分配角色從而使用戶得到訪問權(quán)限。相同的角色可以分配給不同的用戶，同時同一用戶可以獲得不同的角色。訪問權(quán)限同理，角色獲得不同的訪問權(quán)限子集，同一權(quán)限可分配給不同的角色，這樣使得用戶、角色以及角色、訪問權(quán)限形成了多對多的關(guān)系。在云環(huán)境下RBAC 模型的不足之處明顯存在：一是缺乏對用戶行使權(quán)限過程的監(jiān)督；二是僅僅驗證用戶身份合法與否，缺乏對用戶整體可信性方面的考慮。以上兩方面的缺陷很容易造成惡意攻擊的漏洞，給云端資源帶來危害，因此需加強對新的訪問控制策略的研究。

2 云環(huán)境下的信任關(guān)系

2.1 信任關(guān)系

目前，云計算技術(shù)面臨著許多安全危機，如電子簽名的假冒、偽造、變造、抵賴，以及木馬攻擊和病毒損毀等都嚴重威脅著互聯(lián)網(wǎng)云計算的云信任。云計算環(huán)境下，可信關(guān)系一般分為三類[16]：直接可信、間接可信和推薦可信。這三種可信關(guān)系都是根據(jù)網(wǎng)絡(luò)實體間的交互記錄來判斷它們之間的可信性。

2.2 信任度的計算

云計算環(huán)境中，主體用戶在發(fā)出資源請求訪問后，都要對主體用戶的可信度進行精確計算，在確保主體用戶是可信的基礎(chǔ)上，才能進行相應(yīng)的權(quán)限授予操作。

定義 1：直接可信值，指兩個實體A、B之間的直接交互，得出的相互信任度用TAB來表示即為直接信任。

式中Q(A,B)表示懲罰因子，αi表示衰減系數(shù)

定義2：推薦可信值，也即間接信任，在兩個實體A、B沒有直接交互，與第三方實體C推薦交互，得出的相互信任度用WAB表示，即A、B之間的間接可信性為推薦可信。

定義3：綜合可信值，是對實體整體性的可信性評估，兩個實體A、B之間的綜合可信值用ZAB來表示?？捎萌缦鹿接嬎悖?/p>

ZAB= a × TAB+ b × WAB(3)

式中: a + b = 1，a、b 分別代表直接信任值和推薦信任值所占的比重。綜合可信度是結(jié)合直接可信度和推薦可信度的計算結(jié)果，得到的一種綜合可信評估的結(jié)果。

3 基于信任-角色的云計算訪問控制

由于云計算環(huán)境具有跨域性、虛擬化以及動態(tài)變化性，這就要求訪問控制隨自身條件和外部環(huán)境不斷變化來動態(tài)調(diào)節(jié)權(quán)限和角色之間的關(guān)系。本文在基于角色的訪問控制模型的基礎(chǔ)上引入信任度，給出一種基于信任和角色的訪問控制模型T-RBAC(見圖3)。T-RBAC模型擁有獨立的信任管理中心，用戶在進行資源訪問請求時，要求進行角色和信任認證，只有兩者的認證都符合要求，才對用戶進行合理的授權(quán)操作和角色分配；否則，資源訪問請求予以駁回。

圖3 T-RBAC 模型

在T-RBAC 模型中，引入信任度的角色訪問控制具體流程描述如下：(1)為了獲得相應(yīng)的角色身份，用戶請求訪問某種資源時，用戶集先向可信管理中心請求該用戶的可信度；(2) 可信管理中心將該可信度請求轉(zhuǎn)發(fā)給策略執(zhí)行點PEP (Policy Enforcement Point)；(3)策略執(zhí)行點PEP通過發(fā)送可擴展訪問控制標記語言(Extensible Access Control Markup Language)XACML請求到策略決策點(Policy Decision Point) PDP，來獲得可信度。(4)策略管理點(Policy Administration Point) PAP向策略決策點PDP發(fā)送相應(yīng)的可信決策策略；(5)策略決策點 (Policy Decision Point) PDP通過返回(Extensible Access Control Markup Language)XACML響應(yīng)向策略執(zhí)行點PEP返回策略決策結(jié)果；(6)計算得到的可信度由策略執(zhí)行點PEP將返回給可信管理中心；(7)可信管理中心將從策略執(zhí)行點PEP處獲得的可信度返回給權(quán)限集和角色集合；(8)角色集和用戶集根據(jù)角色集獲得的可信度進行角色映射；(9)權(quán)限集根據(jù)獲得用戶可信度，在用戶分配完角色之后，才能對相應(yīng)的角色授予權(quán)限。

在T-RBAC 模型中，由于引入了可信機制，集結(jié)了基于信任和角色的兩種訪問控制模型的優(yōu)點，根據(jù)圖3的模型流程可知，在進行角色映射和權(quán)限授予之前，首先要判斷用戶的可信度，可信度達不到閾值，就不授予資源訪問權(quán)限，從而有效防止了可信度比較低用戶的非法攻擊，避免給系統(tǒng)資源帶來損害。

4 實驗仿真

在傳統(tǒng)基于角色的訪問控制模型的基礎(chǔ)上，引入信任機制，不僅有效防止了可信度比較低用戶的非法攻擊，同時在解決網(wǎng)絡(luò)擁塞問題方面，也有成效。模擬實驗主要從吞吐量、網(wǎng)絡(luò)延遲兩方面來比較T-RBAC模型和傳統(tǒng)的基于角色訪問控制模型RBAC模型之間的差異。在模擬實驗中環(huán)境設(shè)置如下：用戶請求數(shù)表示網(wǎng)絡(luò)中的負載，請求數(shù)目越大，說明網(wǎng)絡(luò)負載越大。實驗結(jié)果如圖4和圖5所示。從圖4 的實驗結(jié)果可以看出，在初始狀態(tài)，用戶請求較少，T-RBAC 模型和傳統(tǒng)基于角色的訪問控制模型RBAC 的網(wǎng)絡(luò)延遲都比較小，二者的區(qū)分度不大，但隨著請求數(shù)目的增多，T-RBAC模型和RBAC 模型所對應(yīng)的網(wǎng)絡(luò)延遲都增大。在業(yè)務(wù)請求相同的情況下，T-RBAC 模型對應(yīng)的網(wǎng)絡(luò)延遲小于RBAC模型對應(yīng)的網(wǎng)絡(luò)延遲。在系統(tǒng)吞吐量方面(見圖5)，當業(yè)務(wù)請求數(shù)目還沒達到 10 前，T-RBAC 模型和 RBAC 模型對應(yīng)的吞吐量都一直在增加，當業(yè)務(wù)請求的數(shù)目達到 10 后，二者對應(yīng)的吞吐量都有所下降，但在整個過程中，T-RBAC模型對應(yīng)的吞吐量始終大于RBAC 模型對應(yīng)的吞吐量。

圖4 平均網(wǎng)絡(luò)延遲差異

圖5 平均吞吐量差異

以上實驗說明，引入信任機制后，基于角色和信任的訪問控制模型T-RBAC在減小網(wǎng)絡(luò)延遲和提高系統(tǒng)吞吐量方面，都較傳統(tǒng)的基于角色的訪問控制模型 RBAC 有較大的進步，T-RBAC 模型更加適合云計算環(huán)境。

同樣，在不同惡意攻擊情境下，發(fā)現(xiàn)在面對不同的惡意攻擊時，T-RBAC 模型較 RBAC 模型的抗干擾能力強，具有較好的穩(wěn)定性。

5 結(jié)束語

本文在分析傳統(tǒng)的基于角色的訪問控制模型的基礎(chǔ)上，引入信任機制，提出了基于信任和角色的訪問控制模型T-RBAC，闡述了T-RBAC模型的可信值計算和流程機制，通過仿真模擬實驗，對RBAC模型和T-RBAC模型從網(wǎng)絡(luò)延遲和吞吐量兩方面進行了差異比較，驗證了T-RBAC 模型在增大系統(tǒng)吞吐量、減少網(wǎng)絡(luò)延遲、抗干擾能力方面都具有較大的優(yōu)勢。在云環(huán)境下，T-RBAC模型具有更加安全的權(quán)限授予機制，能更好地保護云端數(shù)據(jù)等資源的安全。

[1] 宋振．基于角色和任務(wù)的權(quán)限管理擴展模型研究及應(yīng)[D].長沙：長沙理工大學(xué), 2008.

[2] 李鳳華,蘇铓,史國，等．訪問控制模型研究進展及發(fā)展趨勢[J]．電子學(xué)報，2012，4(4):805-813．

[3] 韓道軍，高潔，翟浩良，等．訪問控制模型研究進展[J]． 計算機科學(xué)，2010，37(11):29-33．

[4] 陳全，鄧倩妮．云計算及其相關(guān)技術(shù)[J]．計算機應(yīng)用，2009，29(9):2562-2566．

[5] 孫國梓，董宇，李云．基于 CP-ABE 算法的云存儲數(shù)據(jù)訪問控制[J]．通信學(xué)報，2011，32(7):145-152．

[6] 陳泉冰，王會進．一種改進的基于任務(wù)-角色的訪問控制模型[J]．暨南大學(xué)學(xué)報，2010，31(1):29-34．

[7] 韓若飛，汪厚祥．基于任務(wù)-角色的訪問控制模型的研究[J]．計算機工程與設(shè)計，2007，28(6):800-807．

[8] Hong C, Lv Z, Zhang M, et al. A secure and efficient role-based access policy towards cryptographic cloud storage[C]//Proceedings of 12th International Conference on Web-Age Information Management,2011:264-276.

[9] 黃毅.一種面向云計算的任務(wù)-角色訪問控制模型[J].計算機應(yīng)用研究,2013,30(12):3735-3737.

[10] 張斌，張宇．基于屬性和角色的訪問控制模型[J]．計算機工程與設(shè)計，2012，33(10):3807-3811．

[11] 費洪曉，陳炯，鄧小鴻，等．面向資源所有者訪問控制模型的設(shè)計與實現(xiàn)[J]．計算機應(yīng)用與軟件，2012，29(6):26-29．

[12] 于春生，聶晶．基于組和角色的工作流權(quán)限訪問控制模型[J]．計算機應(yīng)用，2011，31(3):778-780．

[13] 馬強，艾中良．面向云計算環(huán)境訪問控制模型[J]．計算機工程與設(shè)計，2012，33(12):4487-4492．

[14] 呂慎娟.基于角色的可信云計算安全策略研究[D].濟南：山東師范大學(xué),2014.

[15] Subashini S, Kavitha V. A survey on security issues in service delivery models of cloud computing[J].Journal of Network and Computer Applications,2011, 34(1):1-11.

[16] 胡春華,劉濟波,劉建勛. 云計算環(huán)境下基于信任演化及集合的服務(wù)選擇[J].通信學(xué)報,2011,32(7):71-79.

(責(zé)任編輯：熊文濤)

A Trust-role Access Control Model Facing Cloud Computing

Huang Lanying, Xiong Zenggang, Ye Conghuan

(SchoolofComputerandInformationScience,HubeiEngineeringUniversity,Xiaogan,Hubei432000，China)

With focus on the issue of user access security against cloud computing mode and on the base of traditional role-based access control model, a trust-role based access control model T-RBAC is proposed by the combination of trusted mechanism and role. The model owns independent trust management center which could first of all judge user credibility before role mapping and permission granting. If user's credibility did not reach the threshold value, the user would not receive the permission for resource access, which would effectively prevent potential damage from illegal attack launched by the users who own relatively minor credibility, effectively ease network congestion, enhance the ability to resist interference and the throughput of the access control model, shorten network delay and improve the system efficiency to some extent.

cloud security; trusted mechanism; role; access control

2016-03-03

國家自然科學(xué)基金(61370092)；湖北省教育廳人文社科項目(15Y141)；湖北高校大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計

黃蘭英(1973- )，女,湖北孝感人，湖北工程學(xué)院計算機與信息科學(xué)學(xué)院副教授，碩士。

熊曾剛(1974- )，男，湖北漢川人，湖北工程學(xué)院計算機與信息科學(xué)學(xué)院教授，博士。

TP393

A

2095-4824(2016)03-0057-05

劃項目(201510528026)

葉從歡(1981- )，男，湖北孝昌人，湖北工程學(xué)院計算機與信息科學(xué)學(xué)院副教授，博士。