祁暉 ，底曉強(qiáng) ，李錦青 ，楊華民 ，姜會(huì)林

（1.長(zhǎng)春理工大學(xué) 計(jì)算機(jī)科學(xué)技術(shù)學(xué)院，長(zhǎng)春 130022；2.長(zhǎng)春理工大學(xué) 空間光電技術(shù)國(guó)家地方聯(lián)合工程研究中心，長(zhǎng)春 130022）

基于交互式級(jí)聯(lián)布隆過(guò)濾器的一體化網(wǎng)絡(luò)訪問(wèn)控制緩存系統(tǒng)

祁暉1，2，底曉強(qiáng)1，2，李錦青1，楊華民1，姜會(huì)林2

（1.長(zhǎng)春理工大學(xué) 計(jì)算機(jī)科學(xué)技術(shù)學(xué)院，長(zhǎng)春 130022；2.長(zhǎng)春理工大學(xué) 空間光電技術(shù)國(guó)家地方聯(lián)合工程研究中心，長(zhǎng)春 130022）

通過(guò)深入研究基于級(jí)聯(lián)布隆過(guò)濾器的緩存方案，重新構(gòu)造了基于角色的訪問(wèn)控制（RBAC）系統(tǒng)的緩存結(jié)構(gòu)，設(shè)計(jì)并實(shí)現(xiàn)了基于交互式級(jí)聯(lián)布隆過(guò)濾器的訪問(wèn)控制緩存系統(tǒng)。在訪問(wèn)控制決策點(diǎn)（PDP）上設(shè)計(jì)了專(zhuān)門(mén)的數(shù)據(jù)結(jié)構(gòu)來(lái)存儲(chǔ)基于角色的訪問(wèn)控制規(guī)則及其散列函數(shù)值，并根據(jù)這些信息高效地生成、更新輔助決策點(diǎn)（SDP）的級(jí)聯(lián)布隆過(guò)濾器，降低了SDP對(duì)緩存存儲(chǔ)空間的需求，提高了級(jí)聯(lián)布隆過(guò)濾器的更新效率。該系統(tǒng)可應(yīng)用于大規(guī)模、分布式的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，以加快訪問(wèn)控制速度，提升系統(tǒng)整體服務(wù)質(zhì)量。

訪問(wèn)控制；RBAC；布隆過(guò)濾器；一體化網(wǎng)絡(luò)；緩存

訪問(wèn)控制是保障系統(tǒng)安全的重要手段，基于RBAC的訪問(wèn)控制系統(tǒng)已得到了廣泛應(yīng)用，包括大規(guī)模分布式企業(yè)應(yīng)用和網(wǎng)絡(luò)應(yīng)用［1-6］。以網(wǎng)絡(luò)應(yīng)用為例，訪問(wèn)控制系統(tǒng)的一般架構(gòu)如圖1所示。在該架構(gòu)中，策略實(shí)施點(diǎn)（PEP）解析接入請(qǐng)求，然后從策略決策點(diǎn)獲取訪問(wèn)控制決策以決定客戶(hù)端是否可以接入網(wǎng)絡(luò)。

在上述集中式訪問(wèn)控制架構(gòu)中，PDP決定了整個(gè)訪問(wèn)控制系統(tǒng)的性能，且當(dāng)其出現(xiàn)故障時(shí)，訪問(wèn)控制系統(tǒng)失效。為了解決這些問(wèn)題，研究人員提出了分布式訪問(wèn)控制架構(gòu)，如圖2所示。該架構(gòu)在接入點(diǎn)上引入了輔助決策點(diǎn)（SDP），用于緩存訪問(wèn)控制決策。當(dāng)PEP接收應(yīng)用請(qǐng)求時(shí)，會(huì)向SDP發(fā)送訪問(wèn)控制請(qǐng)求，如果SDP根據(jù)緩存的信息可以進(jìn)行決策，則立即向PEP返回決策結(jié)果，否則，它會(huì)向PDP發(fā)送請(qǐng)求，由其根據(jù)訪問(wèn)控制規(guī)則作出決策，然后SDP會(huì)將PDP返回的決策結(jié)果緩存起來(lái)以備之后處理相同的請(qǐng)求。由于SDP與PEP在同一個(gè)節(jié)點(diǎn)，對(duì)于SDP可以處理的訪問(wèn)控制請(qǐng)求，訪問(wèn)控制決策過(guò)程將十分高效。另一方面，即使PDP出現(xiàn)故障，只要SDP緩存了足夠的信息，訪問(wèn)控制系統(tǒng)依舊可以正常工作。

圖1 網(wǎng)絡(luò)應(yīng)用的訪問(wèn)控制架構(gòu)

圖2 分布式訪問(wèn)控制架構(gòu)

分布式訪問(wèn)控制架構(gòu)因其較好的性能和容錯(cuò)能力，受到了極大關(guān)注。目前，已提出了不少SDP的緩存策略，其中，基于級(jí)聯(lián)布隆過(guò)濾器的緩存策略被證明具有較好的時(shí)間和空間效率。本文改進(jìn)了該策略，使其具有更低的存儲(chǔ)空間需求及更高的管理性能。

接下來(lái)，本文首先介紹了訪問(wèn)控制緩存的相關(guān)研究工作；然后詳細(xì)闡述了本文的方案，包括系統(tǒng)方案、實(shí)現(xiàn)原理和詳細(xì)設(shè)計(jì)；之后通過(guò)仿真實(shí)驗(yàn)對(duì)本文方案的性能進(jìn)行了驗(yàn)證；最后對(duì)全文做了總結(jié)。

1 相關(guān)研究

訪問(wèn)控制決策緩存是提高訪問(wèn)控制系統(tǒng)性能的一項(xiàng)重要措施，在許多系統(tǒng)中得到了應(yīng)用，如文獻(xiàn)［7］所設(shè)計(jì)的訪問(wèn)控制系統(tǒng)就在內(nèi)存中創(chuàng)建了一個(gè)映射表，以主體和對(duì)象標(biāo)識(shí)作為關(guān)鍵字，以壓縮后的訪問(wèn)控制規(guī)則作為值。當(dāng)主體訪問(wèn)某個(gè)對(duì)象時(shí)，訪問(wèn)控制系統(tǒng)首先在內(nèi)存的映射表中查找訪問(wèn)控制規(guī)則，僅當(dāng)內(nèi)存中不存在相關(guān)規(guī)則時(shí)，系統(tǒng)才會(huì)到后端數(shù)據(jù)庫(kù)中查找，并將其載入內(nèi)存映射表。這種方式有效降低了訪問(wèn)控制系統(tǒng)的響應(yīng)時(shí)間，極大提高了系統(tǒng)的吞吐量。但該方式是針對(duì)特定應(yīng)用的，訪問(wèn)控制規(guī)則的壓縮方法并不通用，同時(shí)由于需要存儲(chǔ)主、客體標(biāo)識(shí)，因此在擁有大量主、客體的環(huán)境下將占用大量?jī)?nèi)存空間或?qū)е戮彺婷新什桓摺Ｎ墨I(xiàn)［8］，［9］提出了一種分布式環(huán)境下的緩存策略，根據(jù)PDP的決策結(jié)果推斷角色與權(quán)限的映射關(guān)系，然后將它們存儲(chǔ)于SDP中。該策略支持基于RBAC模型的訪問(wèn)控制系統(tǒng)，通用性強(qiáng)，但由于緩存更新和決策時(shí)需要遍歷緩存數(shù)據(jù)，因此響應(yīng)時(shí)間較長(zhǎng)。文獻(xiàn)［10］提出了基于級(jí)聯(lián)布隆過(guò)濾器的分布式緩存策略，該策略在SDP中使用級(jí)聯(lián)布隆過(guò)濾器存儲(chǔ)會(huì)話和權(quán)限關(guān)系。得益于布隆過(guò)濾器的特性，該策略的檢索性能較好，且占用的存儲(chǔ)空間穩(wěn)定。但該策略的管理性能不佳，在更新會(huì)話權(quán)限關(guān)系時(shí)需要遍歷整個(gè)集合。文獻(xiàn)［11］比較了各種緩存策略，并指出基于級(jí)聯(lián)布隆過(guò)濾器的緩存策略在時(shí)間效率和空間效率上均有較好的表現(xiàn)。文獻(xiàn)［12］提出了一種使用相聯(lián)陣列的硬件數(shù)據(jù)結(jié)構(gòu)來(lái)緩存授權(quán)決策的方案，該方案支持基于訪問(wèn)控制矩陣和CPOL的緩存策略，但不支持基于級(jí)聯(lián)布隆過(guò)濾器的緩存策略。本文優(yōu)化了文獻(xiàn)［11］中的基于級(jí)聯(lián)布隆過(guò)濾器的實(shí)現(xiàn)方案（不少研究人員使用該文獻(xiàn)的實(shí)現(xiàn)作為基準(zhǔn)測(cè)試程序或使用了該文獻(xiàn)的測(cè)試數(shù)據(jù)［12］），使其占用更少的存儲(chǔ)空間，并具備更好的管理性能。

2 系統(tǒng)方案

2.1 系統(tǒng)架構(gòu)

本文的系統(tǒng)架構(gòu)如圖3所示。

圖3 分布式訪問(wèn)控制系統(tǒng)結(jié)構(gòu)

本系統(tǒng)將RBAC策略（包括用戶(hù)、角色、權(quán)限及它們之間的關(guān)系）集中存儲(chǔ)于PDP節(jié)點(diǎn)；管理員與該節(jié)點(diǎn)交互更新RBAC策略；PDP節(jié)點(diǎn)還使用關(guān)系數(shù)據(jù)庫(kù)存儲(chǔ)每一級(jí)的布隆過(guò)濾器結(jié)構(gòu)。

PDP將布隆過(guò)濾器結(jié)構(gòu)通過(guò)網(wǎng)絡(luò)發(fā)送給多個(gè)SDP，后者在內(nèi)存中生成級(jí)聯(lián)布隆過(guò)濾器；當(dāng)管理員更新RBAC策略時(shí)，PDP會(huì)將更新消息發(fā)送給SDP，由后者更新內(nèi)存中的級(jí)聯(lián)布隆過(guò)濾器。

普通用戶(hù)將訪問(wèn)控制請(qǐng)求發(fā)送給SDP，由SDP驗(yàn)證請(qǐng)求是否滿足訪問(wèn)控制規(guī)則。

2.2 實(shí)現(xiàn)原理

本系統(tǒng)的核心數(shù)據(jù)結(jié)構(gòu)是級(jí)聯(lián)布隆過(guò)濾器，該結(jié)構(gòu)的基礎(chǔ)是布隆過(guò)濾器，它是一個(gè)時(shí)間和空間上都高效的用于檢索的數(shù)據(jù)結(jié)構(gòu)。假設(shè)有一個(gè)集合A，為了存儲(chǔ)該集合中的元素，需要定義一個(gè)m比特的數(shù)組，以及一組哈希函數(shù)，每個(gè)函數(shù)獨(dú)立地將A中的元素映射成0到m-1中的一個(gè)整數(shù)，即hi：U→{0，1，…，m-1}，對(duì)于所有的i=1，…，k，其中：U為A中的元素和不在A中的元素組成的全集，k為哈希函數(shù)的個(gè)數(shù)。當(dāng)存儲(chǔ)a∈A時(shí)，計(jì)算hi(a)，然后將數(shù)組中相應(yīng)的位置1；當(dāng)要確定某個(gè)元素e是否在A中時(shí)，計(jì)算hi(e)，然后檢查數(shù)組中相應(yīng)位的值是否為1，若任意hi(e)對(duì)應(yīng)的位的值為0，則e?A，否則認(rèn)為e∈A。對(duì)于布隆過(guò)濾器，可能存在e?A，但所有hi(e)對(duì)應(yīng)的數(shù)組中的位的值均為1，即存在假陽(yáng)性。另一方面，將一個(gè)元素加入布隆過(guò)濾器很簡(jiǎn)單，但要從中刪除一個(gè)元素則并不容易，不能簡(jiǎn)單地將要?jiǎng)h除元素的哈希值所對(duì)應(yīng)的數(shù)組中的位置0，因?yàn)槠渌磩h除元素可能需要將該位置1。為此，人們提出了計(jì)數(shù)布隆過(guò)濾器，它并不是一個(gè)m比特的數(shù)組，而是m個(gè)計(jì)數(shù)器數(shù)組，每個(gè)計(jì)數(shù)器占若干比特。當(dāng)添加一個(gè)元素時(shí)，是將數(shù)組中相應(yīng)位置的計(jì)數(shù)器加1，刪除元素時(shí)，則將相應(yīng)位置的計(jì)數(shù)器減1。

為了保留布隆過(guò)濾器的時(shí)間和空間效率，同時(shí)解決其假陽(yáng)性問(wèn)題，人們提出了級(jí)聯(lián)布隆過(guò)濾器，即使用多級(jí)（多個(gè)）布隆過(guò)濾器。假設(shè)一個(gè)級(jí)數(shù)為d的級(jí)聯(lián)布隆過(guò)濾器，第i級(jí)的布隆過(guò)濾器記為BFi，BFi存儲(chǔ)的元素集合記為Ai。第1級(jí)布隆過(guò)濾器BF1存儲(chǔ)集合A中的元素，即A=A1；A2是集合U-A1中所有對(duì)于BF1假陽(yáng)性的元素集合；Ai是Ai-2中所有對(duì)于BFi-1假陽(yáng)性的元素集合；Ad-1中所有對(duì)于BFd假陽(yáng)性的元素將存入一個(gè)哈希表中，即Ad+1將以一個(gè)列表的形式存儲(chǔ)。級(jí)聯(lián)布隆過(guò)濾器的結(jié)構(gòu)如圖4所示。假定級(jí)聯(lián)布隆過(guò)濾器分為4級(jí)，則Ai+1是Ai-1中所有對(duì)于BFi的假陽(yáng)性元素所組成的集合，所以有A1?A3?A5和A2?A4，且A5并不存儲(chǔ)到布隆過(guò)濾器中，取而代之的是使用哈希表來(lái)存儲(chǔ)A5中的元素。對(duì)于元素E1∈A1且不屬于其他集合，則驗(yàn)證E1是BF1成員時(shí)將返回true，而驗(yàn)證其是BF2成員時(shí)將返回false；對(duì)于元素E4∈A4?A2，則驗(yàn)證其是BF1，…，BF4成員時(shí)均返回true，但E4?A5，因此E4?A；對(duì)于元素E6?Ai，對(duì)任意Ai都成立，因此在驗(yàn)證其時(shí)BF1成員時(shí)將返回false。

圖4 級(jí)聯(lián)布隆過(guò)濾器結(jié)構(gòu)。

2.3 詳細(xì)設(shè)計(jì)

文獻(xiàn)［11］使用上文的級(jí)聯(lián)布隆過(guò)濾器存儲(chǔ)系統(tǒng)的會(huì)話信息——用戶(hù)-權(quán)限關(guān)系，由于用戶(hù)頻繁登錄退出系統(tǒng)，使得級(jí)聯(lián)布隆過(guò)濾器中的內(nèi)容頻繁更新，而更新對(duì)于級(jí)聯(lián)布隆過(guò)濾器是一個(gè)相對(duì)耗時(shí)的操作。為此，本文將相對(duì)穩(wěn)定的角色-權(quán)限關(guān)系存儲(chǔ)于級(jí)聯(lián)布隆過(guò)濾器中。由于角色數(shù)通常遠(yuǎn)小于用戶(hù)數(shù)，因此本文的級(jí)聯(lián)布隆過(guò)濾器所需存儲(chǔ)空間更小，生成和更新的效率更高。此外，本文在PDP端設(shè)計(jì)了專(zhuān)門(mén)的數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)級(jí)聯(lián)布隆過(guò)濾器的相關(guān)信息，實(shí)現(xiàn)了在每級(jí)布隆過(guò)濾器使用比特?cái)?shù)組（而非計(jì)數(shù)器數(shù)組）來(lái)存儲(chǔ)數(shù)據(jù)，從而進(jìn)一步降低存儲(chǔ)空間。

本文在PDP端除了將用戶(hù)、角色、權(quán)限及它們之間的關(guān)系存儲(chǔ)到關(guān)系數(shù)據(jù)庫(kù)中，還設(shè)計(jì)了兩個(gè)3元組用于存儲(chǔ)級(jí)聯(lián)布隆過(guò)濾器的相關(guān)信息。其中一個(gè)三元組為 T1=（level，index，count），其中 level是級(jí)聯(lián)布隆過(guò)濾器的級(jí)別標(biāo)識(shí)，index是布隆過(guò)濾器的索引，count是布隆過(guò)濾器的計(jì)數(shù)器，該三元組用于模擬級(jí)聯(lián)布隆過(guò)濾器中的每一級(jí)計(jì)數(shù)布隆過(guò)濾器；另一個(gè)三元組為T(mén)2=（level，role，permission）二元組為（role，permission），其中l(wèi)evel是級(jí)聯(lián)布隆過(guò)濾器的級(jí)別標(biāo)識(shí)，role是角色，permission是權(quán)限，該三元組用于存儲(chǔ)級(jí)聯(lián)布隆過(guò)濾器每一級(jí)的元素，包括最后的哈希表。

假設(shè)級(jí)聯(lián)布隆過(guò)濾器的級(jí)數(shù)為d。當(dāng)管理員添加一個(gè)角色-權(quán)限關(guān)系時(shí)，系統(tǒng)需要執(zhí)行以下步驟：

（1）在關(guān)系數(shù)據(jù)庫(kù)中添加角色-權(quán)限關(guān)系；

（2）確定全集U（角色-權(quán)限的笛卡兒積）是否有變化，假設(shè)要添加的元素為e（e表示添加的角色-權(quán)限關(guān)系），添加前的全集為U，添加后的全集為U'；

（3）使用BF1的哈希函數(shù)計(jì)算e的所有哈希值，然后根據(jù)哈希值在T1（第一個(gè)三元組所對(duì)應(yīng)的關(guān)系表）中將所有l(wèi)evel為1，且index為哈希值的計(jì)數(shù)器值加1；

（4）將三元組（1，e所對(duì)應(yīng)的角色，e所對(duì)應(yīng)的權(quán)限）添加到T2（第二個(gè)三元組所對(duì)應(yīng)的關(guān)系表）中；

（5）判斷集合U'-U-e中每個(gè)元素是否是BF1中的成員，對(duì)于不是BF1成員的元素，使用BF2的哈希函數(shù)計(jì)算其所有哈希值，然后更新T1中的相關(guān)計(jì)數(shù)器，并在T2中添加相應(yīng)記錄；

（6）設(shè)置變量 i=2，…，d+1，確定集合 Ai-2（在T2中查詢(xún)所有l(wèi)evel=i-2的記錄）中所有對(duì)于BFi-1假陽(yáng)性的元素，使用BFi的哈希函數(shù)計(jì)算它們的哈希值，然后更新T1中的相關(guān)計(jì)數(shù)器（當(dāng)i=d+1時(shí)不用執(zhí)行此操作），并在T2中添加相應(yīng)記錄。

（7）將步驟3至6中對(duì)T1的更新操作發(fā)送到SDP以更新緩存中的級(jí)聯(lián)布隆過(guò)濾器。

當(dāng)管理員刪除一個(gè)角色-權(quán)限關(guān)系時(shí)，系統(tǒng)需要執(zhí)行以下步驟：

（1）在關(guān)系數(shù)據(jù)庫(kù)中刪除角色-權(quán)限關(guān)系；

（2）確定全集U（角色-權(quán)限的笛卡兒積）是否有變化，刪除前的全集為U，刪除后的全集為U'；

（3）令集合E=A1-（U-U'）；

（4）對(duì)E中的每個(gè)元素e，使用BF1的哈希函數(shù)計(jì)算其所有哈希值，然后根據(jù)哈希值在T1中將所有l(wèi)evel為1，且index為哈希值的計(jì)數(shù)器值減1；

（5）從T2中刪除元素e所對(duì)應(yīng)的記錄；

（6）從E中刪除e，重復(fù)步驟4，直到E為空；

（7）判斷集合A2-（U-U'）中每個(gè)元素是否是BF1中的成員，對(duì)于不是BF1成員的元素，使用BF2的哈希函數(shù)計(jì)算其所有哈希值，然后更新T1中的相關(guān)計(jì)數(shù)器，并在T2中刪除相應(yīng)記錄；

（8）設(shè)置變量 i=2，…，d+1，確定集合 Ai-2中所有對(duì)于BFi-1假陽(yáng)性的元素，使用BFi的哈希函數(shù)計(jì)算它們的哈希值，然后更新T1中的相關(guān)計(jì)數(shù)器（當(dāng)i=d+1時(shí)不用執(zhí)行此操作），并在T2中刪除相應(yīng)記錄。

（9）將步驟3至8中對(duì)T1的更新操作發(fā)送到SDP以更新緩存中的級(jí)聯(lián)布隆過(guò)濾器。

本文在SDP緩存中存儲(chǔ)的是角色-權(quán)限關(guān)系，并不包含用戶(hù)信息，而實(shí)際的訪問(wèn)控制系統(tǒng)需要確定用戶(hù)和權(quán)限的關(guān)系。為此，可以在用戶(hù)登錄系統(tǒng)后將用戶(hù)及其關(guān)聯(lián)的角色信息保存到用戶(hù)端，并借助公鑰加密系統(tǒng)對(duì)用戶(hù)端的信息進(jìn)行簽名，以避免用戶(hù)隨意篡改登錄信息。這樣，用戶(hù)在發(fā)送請(qǐng)求時(shí)，系統(tǒng)就能提取用戶(hù)的角色信息，之后根據(jù)SDP中緩存的角色-權(quán)限關(guān)系確定用戶(hù)是否擁有某個(gè)權(quán)限。

3 實(shí)驗(yàn)與分析

3.1 測(cè)試方案

本文將訪問(wèn)控制緩存系統(tǒng)應(yīng)用于一體化網(wǎng)絡(luò)環(huán)境，以測(cè)試其在大規(guī)模、分布式系統(tǒng)中的性能。一體化網(wǎng)絡(luò)是近年受到廣泛關(guān)注的一個(gè)新興研究領(lǐng)域，它是一種融合地面互聯(lián)網(wǎng)和空間網(wǎng)絡(luò)，能在任何地點(diǎn)、任何時(shí)間、以任何方式提供信息服務(wù)高速寬帶信息網(wǎng)絡(luò)［13-17］。

一體化網(wǎng)絡(luò)架構(gòu)如圖5所示。在一體化網(wǎng)絡(luò)中，訪問(wèn)控制系統(tǒng)的緩存節(jié)點(diǎn)SDP可部署于網(wǎng)絡(luò)的接入節(jié)點(diǎn)上，如地面無(wú)線基站或低軌衛(wèi)星（LEO），而訪問(wèn)控制系統(tǒng)的決策點(diǎn)（PDP）則部署于地面互聯(lián)網(wǎng)上。管理員維護(hù)PDP中的訪問(wèn)控制規(guī)則，即用戶(hù)、角色、權(quán)限和它們之間的關(guān)系，然后PDP自動(dòng)將級(jí)聯(lián)布隆過(guò)濾器同步到基站或LEO上。當(dāng)移動(dòng)終端接入網(wǎng)絡(luò)，或在不同網(wǎng)絡(luò)間切換時(shí)，如從空間網(wǎng)絡(luò)切入地面網(wǎng)絡(luò)（從LEO切換到基站），或從地面網(wǎng)絡(luò)切入空間網(wǎng)絡(luò)（從基站切換到LEO），則接入節(jié)點(diǎn)可以直接利用緩存的級(jí)聯(lián)布隆過(guò)濾器對(duì)用戶(hù)進(jìn)行訪問(wèn)控制。

圖5 一體化網(wǎng)絡(luò)架構(gòu)

3.2 測(cè)試環(huán)境

本文的測(cè)試環(huán)境包括兩個(gè)部分：一體化網(wǎng)絡(luò)仿真環(huán)境和訪問(wèn)控制系統(tǒng)環(huán)境。前者利用GTK導(dǎo)出的真實(shí)衛(wèi)星軌道數(shù)據(jù)及空間通信參數(shù)計(jì)算空間網(wǎng)絡(luò)數(shù)據(jù)傳輸延遲，然后使用WebGL對(duì)一體化網(wǎng)絡(luò)結(jié)構(gòu)和數(shù)據(jù)傳輸過(guò)程可視化；后者使用Java技術(shù)開(kāi)發(fā)，包括訪問(wèn)控制管理和訪問(wèn)控制緩存兩個(gè)子系統(tǒng)。仿真環(huán)境如圖6所示。

圖6 一體化網(wǎng)絡(luò)仿真環(huán)境

3.3 結(jié)果分析

本文主要比較了使用傳統(tǒng)級(jí)聯(lián)布隆過(guò)濾器和本文的改進(jìn)方案在緩存空間占用上的差異，實(shí)驗(yàn)數(shù)據(jù)來(lái)源于文獻(xiàn)［11］的公開(kāi)數(shù)據(jù)，測(cè)試方法也與該文獻(xiàn)相同，包括了緩存的創(chuàng)建，向緩存中添加數(shù)據(jù)、刪除數(shù)據(jù)等一系列操作，從實(shí)驗(yàn)結(jié)果看，本文的改進(jìn)方案確實(shí)需要更少的緩存空間，如圖7所示。

圖7 緩存空間占用對(duì)比

圖8 接入空間網(wǎng)絡(luò)時(shí)的訪問(wèn)控制延遲對(duì)比

此外，本文還測(cè)試了接入空間網(wǎng)絡(luò)時(shí)，使用緩存（在LEO上完成訪問(wèn)控制）和不使用緩存（在地面完成訪問(wèn)控制）的訪問(wèn)控制延遲對(duì)比，如圖8所示。從測(cè)試結(jié)果不難看出，對(duì)于空間網(wǎng)絡(luò)這種高延遲環(huán)境，使用緩存能極大提高訪問(wèn)控制效率。

4 結(jié)語(yǔ)

本文將訪問(wèn)控制緩存系統(tǒng)應(yīng)用到一體化網(wǎng)絡(luò)環(huán)境中，使得網(wǎng)絡(luò)接入點(diǎn)可以就近快速處理訪問(wèn)控制請(qǐng)求，提高了訪問(wèn)控制效率；同時(shí)，由于緩存采用了級(jí)聯(lián)布隆過(guò)濾器，因此其空間占用較為穩(wěn)定，并不會(huì)隨著存儲(chǔ)內(nèi)容的巨大變化而明顯改變。

與傳統(tǒng)的基于級(jí)聯(lián)布隆過(guò)濾器的訪問(wèn)控制方案不同，本文將角色-權(quán)限關(guān)系這種較為穩(wěn)定的信息存儲(chǔ)在級(jí)聯(lián)布隆過(guò)濾器中，降低了緩存的更新頻率。同時(shí)，本文在PDP端存儲(chǔ)并計(jì)算級(jí)聯(lián)布隆過(guò)濾器的關(guān)鍵信息，以加快其生成和更新速度。利用這些信息，SDP可以不使用計(jì)數(shù)布隆過(guò)濾器來(lái)存儲(chǔ)數(shù)據(jù)，從而減少了存儲(chǔ)空間的開(kāi)銷(xiāo)。

［1］李昊，張敏，馮登國(guó)，等.大數(shù)據(jù)訪問(wèn)控制研究［J］.計(jì)算機(jī)學(xué)報(bào)，2017，40（01）：72-91.

［2］劉慶云，沙泓州，李世明，等.一種基于量化用戶(hù)和服務(wù)的大規(guī)模網(wǎng)絡(luò)訪問(wèn)控制方法［J］.計(jì)算機(jī)學(xué)報(bào)，2014，37（05）：1195-1205.

［3］王于丁，楊家海，徐聰，等.云計(jì)算訪問(wèn)控制技術(shù)研究綜述［J］.軟件學(xué)報(bào)，2015，26（05）：1129-1150.

［4］馮朝勝，秦志光，袁丁，等.云計(jì)算環(huán)境下訪問(wèn)控制關(guān)鍵技術(shù)［J］.電子學(xué)報(bào)，2015，43（02）：312-319.

［5］Almutairi A，Sarfraz M，Basalamah S，et al.A distributed access control architecture for cloud computing［J］.IEEE Softw，2012，29（2）：36-44.

［6］Qi H，Ma H，Li J，et al. Access control model based on role and attribute and its applications on space-ground integration networks［C］. in 2015 4th International Conference on Computer Science andNetwork Technology （ICCSNT），2015.

［7］Borders K，Zhao X，Prakash A.CPOL：High-performance policy evaluation［C］.in Proceedings of the 12th ACM Conference on Computer and Communications Security，New York，NY，USA，2005.

［8］Wei Q，Crampton J，Beznosov K，et al.Authorization recycling in RBAC systems［C］.in Proceedings of the13th ACM Symposium on Access Control Models and Technologies，New York，NY，USA，2008.

［9］Wei Q，Crampton J，Beznosov K，et al.Authorization recycling in hierarchical RBAC systems［J］.ACM Trans.Inf.Syst.Secur.，2011，14（1）：3：1-3：29.

［10］Tripunitara M V，Carbunar B.Efficient access enforcement in distributed role-based access control（RBAC） deployments［C］.in Proceedings of the 14th ACM Symposium on Access Control Models and Technologies，New York，NY，USA，2009.

［11］Komlenovic M，Tripunitara M，Zitouni T. An empirical assessment of approaches to distributed enforcement in role-based access control （RBAC）［C］. in Proceedings of the First ACM Conference on Data and Application Security and Privacy，New York，NY，USA，2011.

［12］Bloom G，Simha R.Hardware-enhanced distributed access enforcement for role-based access control［C］.in Proceedings of the 19th ACM Symposium on Access Control Models and Technologies，New York，NY，USA，2014.

［13］姜會(huì)林，劉顯著，胡源，等.天地一體化信息網(wǎng)絡(luò)的幾個(gè)關(guān)鍵問(wèn)題思考［J］.兵工學(xué)報(bào)，2014，35（S1）：96-100.

［14］李鳳華，殷麗華，吳巍，等.天地一體化信息網(wǎng)絡(luò)安全保障技術(shù)研究進(jìn)展及發(fā)展趨勢(shì)［J］.通信學(xué)報(bào)，2016，37（11）：156-168.

［15］黃惠明，常呈武.天地一體化天基骨干網(wǎng)絡(luò)體系架構(gòu)研究［J］.中國(guó)電子科學(xué)研究院學(xué)報(bào)，2015，10（05）：460-467+491.

［16］于海洋，楊華民，姜會(huì)林，等.一種全球覆蓋的多層星座鏈路分析［J］.長(zhǎng)春理工大學(xué)學(xué)報(bào)：自然科學(xué)版，2014，37（03）：56-59.

［17］從立鋼，楊華民，王楊惠，等.基于復(fù)制的DTN網(wǎng)絡(luò)路由算法研究［J］.長(zhǎng)春理工大學(xué)學(xué)報(bào)：自然科學(xué)版，2016，39（04）：119-124.

Access Control Cache System for Integrated Network Based on Interactive Cascade Bloom Filter

QI Hui1，2，DI Xiaoqiang1，2，LI Jinqing1，YANG Huamin1，JIANG Huilin2
（1.School of Computer Science and Technology，Changchun University of Science and Technology，Changchun 130022；2.National and Local Joint Engineering Research Center of Space and Optoelectronics Technology，Changchun University of Science and Technology，Changchun 130022）

This paper studies the scheme based on cascade bloom filter，reconstructs the cache structure based on role-based access control（RBAC），and designs and implements the access control cache system based on interactive cascade bloom filter.This system uses special data structure to store the role-based access control rules and their hash values on the policy decision point（PDP） and efficiently generates and updates the cascade bloom filter on the secondary decision point （SDP） based on this information，reducing requirements for cache storage space on the SDP and improving the updating efficiency of cascade bloom filter.This system can be used in large-scale，distributed application system and network system to speed up access control and improve the overall service quality of the system.

access control；rbac；bloom filter；integrated network；cache

TP393

A

1672-9870（2017）05-0099-05

2017-10-19

國(guó)家“863”計(jì)劃項(xiàng)目（2015AA015701）；吉林省科技發(fā)展計(jì)劃項(xiàng)目（20150204081GX）；吉林省教育廳科研項(xiàng)目（吉教科合字［2016］第378號(hào)）

祁暉（1983-），男，博士，講師，E-mail：qihui@cust.edu.cn

底曉強(qiáng)（1978-），男，博士，副教授，E-mail：dixiaoqiang@cust.edu.cn