王靜宇，關(guān)宇亮

(內(nèi)蒙古科技大學(xué) 信息工程學(xué)院，內(nèi)蒙古 包頭 014010)

云環(huán)境下的屬性角色分配研究*

王靜宇，關(guān)宇亮

(內(nèi)蒙古科技大學(xué) 信息工程學(xué)院，內(nèi)蒙古 包頭 014010)

在云計算環(huán)境中，當(dāng)資源被用戶上傳到服務(wù)器端后，用戶就失去了對數(shù)據(jù)或資源的控制。如果云服務(wù)供應(yīng)商不提供相應(yīng)的保護，那么該數(shù)據(jù)就存在泄露的風(fēng)險。因此，云平臺會使用訪問控制技術(shù)來保護用戶的隱私數(shù)據(jù)。文章提出一種基于屬性和角色的復(fù)合訪問控制模型。該模型能夠適應(yīng)當(dāng)前不斷變化的云環(huán)境，其控制過程不會帶來時間復(fù)雜度的大規(guī)模提升。同時舉例論證云環(huán)境中屬性策略分配時出現(xiàn)沖突問題應(yīng)該如何解決。該研究基于前人的研究之上，這保證了方案的可行性。

訪問控制；屬性；角色

0 引言

本文的研究目的是設(shè)計一種訪問控制模型，能夠滿足云計算環(huán)境對于隱私保護的相關(guān)需求。通過對云環(huán)境的分析發(fā)現(xiàn)，首先，當(dāng)前的訪問控制模型，如基于角色的訪問控制(Role-Based Access Control, RBAC)模型和基于屬性的訪問控制(Attribute-Based Access Control, ABAC)模型在安全策略管理與判定條件及其執(zhí)行方式上尤其復(fù)雜；其次，大量的用戶帶來了繁雜的身份認證機制；最后，權(quán)限不好監(jiān)管，權(quán)限過大容易監(jiān)守自盜，過小又會嚴重影響訪問控制的效率。因此，傳統(tǒng)的訪問控制模型已經(jīng)不能滿足當(dāng)前復(fù)雜的云環(huán)境。

近年來，許多學(xué)者將傳統(tǒng)的模型相互結(jié)合。文獻[1]憑借屬性自動生成角色，并將屬性判定式、許可和角色分為簡單和復(fù)合兩種。文獻[2]將角色用屬性表示，并將屬性分為動態(tài)和靜態(tài)分別進行判定授權(quán)。文獻[3]將屬性拓展到RBAC模型中，定義了角色屬性，也就是主體屬性并通過策略加以驗證。文獻[4]將屬性規(guī)則結(jié)合到角色繼承、用戶授權(quán)、會話激活的各個部分中，并編寫了權(quán)限過濾策略來得到最終可用的權(quán)限。文獻[5]在ABAC中加入中心角色和動態(tài)角色，并對屬性進行分層以設(shè)立等級。文獻[6]在RBAC的用戶角色分配中加入了主體組織屬性，在角色權(quán)限分配中加入了客體公共屬性，并使用全局訪問控制矩陣來進行約束。但這些文獻要么設(shè)計了大量的規(guī)則來滿足動態(tài)的屬性和角色關(guān)系，無疑模型的時間復(fù)雜度無法讓人滿意；要么存在策略沖突問題，流程和算法需要繼續(xù)優(yōu)化。這些問題正是本文要解決的。

1 復(fù)合訪問控制模型

為了區(qū)分RBAC和ABAC這樣單一的訪問控制，使用復(fù)合訪問控制(Composite Access Control, CAC)模型來命名本文的訪問控制模型。如圖1所示，CAC模型改進了RBAC模型和ABAC模型。它既有RBAC授權(quán)、分配靈活的特點，又能像ABAC那樣適應(yīng)大規(guī)模的動態(tài)性訪問。

圖1 復(fù)合訪問控制模型圖

本文將CAC模型分為兩個階段：CAC-ABAC階段和CAC-RBAC階段。如圖1所示，本文引入了一種常用的策略描述語言XACML來搭建CAC模型。

在CAC-ABAC階段，首先進行主體的認證。當(dāng)主體來訪問時，策略執(zhí)行點接收主體發(fā)起的原始訪問請求。然后屬性權(quán)威提取主體屬性和屬性值，將原始訪問請求轉(zhuǎn)換成屬性訪問請求。接著，策略判定點判別原始訪問請求中的屬性及屬性值，看能否匹配之中的規(guī)則。若匹配則分配角色；否則，拒絕該請求。策略判定點中的策略來自策略管理點，用正則表達式表示。

CAC-RBAC階段主要分為兩步，先根據(jù)主體屬性分配角色，再根據(jù)角色分配權(quán)限。具體來說，如果主體的屬性符合CAC-ABAC階段的規(guī)則表達式，則有權(quán)訪問，進入CAC-RBAC階段；否則，拒絕該主體的請求。然后，給角色賦予權(quán)限。這樣主體便可以進行相關(guān)操作，對客體進行訪問。

2 屬性角色分配與策略沖突優(yōu)化

在傳統(tǒng)的訪問控制機制中，用戶與角色之間的關(guān)系是多對多的。這才引發(fā)了各種角色互相矛盾的問題。一個用戶可能得到多個角色是引起沖突的根源。所以在CAC模型中，本文進行了相關(guān)的改進。

2.1 屬性角色分配

本文使用了用空間去換取時間的方法。具體是：通過了CAC-ABAC階段認證的主體，都會擁有屬性表達式。本文消耗了一些空間來設(shè)計角色，以達到節(jié)省時間的目的。首先對主體歸類，一類主體只能匹配一個正則表達式，每個正則表達式只能分配到一種角色。也就是說，主體和角色是1∶1或N∶1的關(guān)系。此時角色部分就一定不會存在沖突。本文的重點即在于此，通過主體屬性來進行屬性和角色的復(fù)合設(shè)計。

圖2 角色權(quán)限分配圖

CAC模型之所以可以這樣做，是因為模型中還設(shè)計了角色(或權(quán)限)的優(yōu)先級。角色和權(quán)限的等級優(yōu)先程度在某種意義上是一致的。為了確保屬性與角色分配不會產(chǎn)生沖突，采取了如下做法：即使某個主體的多個屬性符合多條規(guī)則，它最終也只能獲得一個角色。角色和權(quán)限是M∶N的關(guān)系。只有給主體分配有意義的角色，并賦予其權(quán)限，訪問控制才能正常進行。

如圖2所示，每個角色可以擁有多種權(quán)限，每種權(quán)限也能由多個用戶獲得。是多對多的關(guān)系。對此本文也作出了一些優(yōu)化。

2.2 示例1：試卷批改系統(tǒng)

示例1：一個試卷批改系統(tǒng)這樣規(guī)定：本年級的教師不能批改本年級學(xué)生的試卷，本課程的教師才能批改本課程學(xué)生的試卷。該課程的教師組組長可以批改任一年級的試卷并且不論其在哪個年級任教。

現(xiàn)有：高一組語文教師A，高一組數(shù)學(xué)教師B，高二組語文教師C，D兼任高一、高二數(shù)學(xué)教師，高三組語文教師E，高三組數(shù)學(xué)教師F兼任數(shù)學(xué)教師組組長。

在本例中，拿到試卷進行批改即是訪問的過程。發(fā)起訪問請求的主體是教師，被訪問的客體是學(xué)生的試卷。

用grade=1來代表高一，grade=2代表高二，grade=3代表高三。用course=chn來代表語文，用course=math來代表數(shù)學(xué)。用duty=teacher來表示教師，用duty=chief來表示教師組組長。

如表1所示，對于主體A，系統(tǒng)識別其主體屬性：grade=1，course=chn，duty=teacher。給其分配角色#0001，該角色擁有訪問某些客體的權(quán)限。這些客體都擁有屬性：grade=2或3 且 course=chn。同理，教師B可以批改高二、高三的數(shù)學(xué)試卷。教師C可以批改高一、高三的語文試卷。

表1 試卷批改系統(tǒng)示例

本模型中涉及的屬性不一定是一個確定的值，它可能是值域，是一個取值范圍，或若干散點的集合。而對于主體D，如果提取的主體屬性是grade=1，那么對應(yīng)的客體屬性為grade=2或3；而如果提取的主體屬性是grade=2，那么對應(yīng)的客體屬性為grade=1或3。這時候，就要取客體屬性的交集，也就是只有g(shù)rade=3能被訪問。在這里，D的主體屬性grade的值就是由兩個散點組成的集合。

對于主體F而言，他既是教師，又是教師組組長。所以提取其主體屬性duty=teacher且duty=chief。如果duty=teacher，那么他可以訪問grade=1和2的客體；如果duty=chief，那么他可以訪問grade=1、2和3的客體。如果按上文所述，取他們的交集，即只能訪問grade=1和2的客體，那顯然不符合示例中的題意。為了更直觀地看待，給grade=3,course=math，duty=teacher的主體屬性分配角色#0006，給grade=3，course=math，duty=chief的主體屬性分配角色#0007。在這里定義duty=chief的優(yōu)先級高于duty=teacher，這樣主體F只會獲得角色#0007，獲得訪問主體屬性為grade=1,2和3的客體。也就是可以批改高中所有年級的數(shù)學(xué)試卷。之所以這樣定義優(yōu)先級，因為chief相比teacher會帶來更多的權(quán)限。歸根究底，根本原因是grade=1，2和3能提供的權(quán)限數(shù)量是一定的，而teacher和chief允許訪問的數(shù)量不同。

本文實行以空間換時間的方式來分配角色和權(quán)限。如F的情況，本文會設(shè)立#0006和#0007兩個角色。這樣只要多消耗很少的空間預(yù)留出這樣的角色，就會讓模型遠離沖突帶來的問題。模型會設(shè)計相應(yīng)的優(yōu)先級，優(yōu)先將優(yōu)先級高的角色分配給符合條件的主體。在本案例中，#0006角色可有可無，但應(yīng)保留，而不是為了考慮空間將其刪除。因為如若之后F不再是課程的教學(xué)組組長，那他還擁有教師屬性，到時候就不好分配給其相應(yīng)角色了。

同時，在設(shè)置角色時還要注意，不能有兩個角色對應(yīng)的權(quán)限完全一致。否則，可能會引發(fā)歧義，誘發(fā)一些誤操作。而且，這也浪費了空間，造成了冗余。

在CAC-ABAC階段，需要匹配屬性是否滿足策略規(guī)范。由前文所述，判定屬性是否符合相關(guān)正則表達式，來決定其是否能進行訪問控制。而正則表達式中的屬性可能并不是若干個散點，而是某一段區(qū)間都符合。這對于判定屬性并分配角色產(chǎn)生了歧義。又因為云環(huán)境下的屬性經(jīng)常進行變動，如每個月完成的項目個數(shù)和類別；有些卻保持不變，如經(jīng)營某一片區(qū)工作的員工：他的項目工作地點可能不變。因此，將屬性分為動態(tài)屬性和靜態(tài)屬性。動態(tài)屬性是一段值域、區(qū)間，如年齡18歲～25歲。而靜態(tài)屬性則表示為一個或一些散點，如工作地點為福州或廈門。下面通過示例2來進一步說明其中的設(shè)定。

2.3 示例2：文件管理系統(tǒng)

示例2：現(xiàn)有一個文件管理系統(tǒng)，該系統(tǒng)允許企業(yè)中的員工訪問其中的文件，但受到訪問控制約束。受約束的屬性可能有所屬部門(Department)、職位等級(Job Level)、崗位名稱(Duty)、工作年限(Seniority)、資格證書(Qualification Credential， QC)。

如表2所示，如果訪問者的主體屬性為人力資源部、職位等級為10級、工齡在3～5年之間，可以得到角色#0001。他會擁有修改文件1和讀取文件2的權(quán)限。而訪問者的主體屬性如果為信息部、15級職位等級、崗位是管理員、工齡在6～8年間、擁有紅帽資格證書就可以得到角色#0002，擁有文件1的讀取、修改權(quán)限和文件2的讀取、修改、刪除權(quán)限。由于CAC模型支持細粒度的策略制定，所以只需兩項規(guī)則、兩個角色就可以滿足訪問控制的需求。下面對比傳統(tǒng)的RBAC模型，來分析CAC模型在角色預(yù)設(shè)空間方面的優(yōu)勢。

表2 CAC模型屬性權(quán)限關(guān)系表

在傳統(tǒng)RBAC模型中，由于不支持細粒度的訪問控制，所以需要這樣設(shè)計角色權(quán)限的分配。

如表3所示，用戶如果滿足條件：來自HR部門、職位等級10級、工齡3年，可以獲得角色#0001；來自HR部門、職位等級10級、工齡4年，可以獲得角色#0002；來自HR部門、職位等級10級、工齡5年，可以獲得角色#0003。但角色#0001、#0002、#0003的權(quán)限都是修改文件1和讀取文件2。下面的角色#0004、#0005、#0006也都對應(yīng)同樣的權(quán)限。由于RBAC不能夠像CAC這樣支持某段范圍內(nèi)的細粒度訪問，所以只能消耗更多的角色，事倍功半。CAC只需兩個角色或規(guī)則就可以完成的功能，RBAC需要6個。因此，CAC模型可以減少角色的設(shè)計數(shù)量和空間占有量。如果云環(huán)境下的授權(quán)規(guī)則更加復(fù)雜，那么CAC模型的優(yōu)勢將顯著提升。

表3 RBAC模型用戶權(quán)限關(guān)系表

3 結(jié)論

針對云環(huán)境下的安全問題和隱私問題，設(shè)計了一種適用于云環(huán)境的復(fù)合訪問控制模型。它結(jié)合了傳統(tǒng)的RBAC模型和ABAC模型，并在兩者的基礎(chǔ)上進行了改進，以更緊密地發(fā)揮兩者的協(xié)同作用。本文的復(fù)合訪問控制先提取主體的屬性進行判斷。若符合相應(yīng)的規(guī)則判定表達式，則給其分配唯一的角色。為了解決傳統(tǒng)訪問控制模型中出現(xiàn)的沖突問題，本文通過設(shè)計優(yōu)先級的方式，配合多對一的主體角色分配關(guān)系，從源頭上解決該問題。同時，對于策略沖突的優(yōu)化本文也給出了示例加以分析，證明了其優(yōu)越性。

[1] 崔健. 一種基于屬性角色的訪問控制模型研究與實現(xiàn)[D]. 武漢：華中科技大學(xué), 2011.

[2] 卞一茗. 基于混合屬性的訪問控制模型研究[D]. 南京：南京郵電大學(xué), 2012.

[3] 李唯冠, 趙逢禹. 帶屬性策略的RBAC權(quán)限訪問控制模型[J]. 小型微型計算機系統(tǒng), 2013, 34(2):328-331.

[4] 熊厚仁,陳性元,費曉飛,等.基于屬性和RBAC的混合擴展訪問控制模型[J].計算機應(yīng)用研究,2016,33(7):2162-2169.

[5] ANUDEEP L, KUSHAL C. Implementing flexible data access control for cloud storage using ABAC with RBAC[J].MASK International Journal of Science and Technology, 2016, 1(2):12-17.

[6] 李陽,劉更,王海偉.協(xié)同開發(fā)環(huán)境中基于角色和屬性的訪問控制模型[J].計算機集成制造系統(tǒng),2014,20(6):1335-1341.

Research on attribute and role assignment in Cloud environment

Wang Jingyu, Guan Yuliang

(School of Information Engineering, Inner Mongolia University of Science and Technology, Baotou 014010, China)

In the Cloud computing environment, the user loses control of the data or resource when they are uploaded to the server. If the Cloud service provider does not provide the appropriate protection, the data takes the risk of disclosure. Therefore, the Cloud platform uses access control technology to protect the user′s privacy data. This paper combines attributes with roles to design a composite access control model. The model can adapt to the large-scale dynamic access. The number of determination conditions will not increase exponentially with the increasing number of users. This paper also demonstrates how to solve the conflict problem when the role is distributed to user by attribute policy. The research of this paper is based on previous studies, which ensures the feasibility of the program.

access control; attribute; role

國家自然科學(xué)基金(61462069，61662056)；內(nèi)蒙古自治區(qū)自然科學(xué)基金(2015MS0622，2016MS0609)

TP393

A

10.19358/j.issn.1674- 7720.2017.15.002

王靜宇，關(guān)宇亮.云環(huán)境下的屬性角色分配研究[J].微型機與應(yīng)用，2017,36(15)：5-7,11.

2017-04-12)

王靜宇(1976-)，男，博士，副教授，主要研究方向：云計算、信息安全。

關(guān)宇亮(1993-)，男，碩士，主要研究方向：云計算。