一種云平臺動態(tài)風險訪問控制模型

楊宏宇，寧宇光

(中國民航大學 計算機科學與技術(shù)學院，天津 300300)

云環(huán)境下傳統(tǒng)的訪問控制模型存在使用靜態(tài)訪問控制策略無法動態(tài)匹配規(guī)則[1]，大量歷史用戶行為信息未得到高效利用，以及未評估當前系統(tǒng)安全狀態(tài)等問題．研究者們通過引入風險因素改進傳統(tǒng)的訪問控制模型，增強訪問控制模型的自適應(yīng)性[2]．

目前云平臺風險訪問控制模型研究大致分為兩類．第1類側(cè)重評估云平臺系統(tǒng)風險，如基于風險評估圖的訪問控制模型[3]，該模型通過系統(tǒng)漏洞構(gòu)建風險評估圖，但未從用戶層面進行風險分析．第2類側(cè)重評估當前訪問請求的風險，如:多風險指標訪問控制模型[4]，該模型僅評估當前用戶訪問請求的風險，未考慮用戶歷史行為信息;基于屬性的且有風險意識的云動態(tài)訪問控制模型[5]，該模型評估風險時并未有效結(jié)合系統(tǒng)安全狀態(tài)和用戶歷史行為信息．

文獻[6]提出將用戶歷史行為信息和系統(tǒng)安全狀態(tài)量化為風險評估指標評估當前訪問請求的風險，但并未給出具體的風險訪問控制模型．文獻[7]提出動態(tài)風險訪問控制(Dynamic Risk-based Access Control，DRAC)模型，該模型利用數(shù)據(jù)流方法量化用戶歷史行為信息并結(jié)合系統(tǒng)安全狀態(tài)構(gòu)建風險評估指標，但存在使用基于屬性的訪問控制(Attribute Based Access Control，ABAC)策略無法動態(tài)匹配規(guī)則和風險評估指標權(quán)重固定的問題．

由于大多數(shù)訪問控制模型使用靜態(tài)ABAC策略無法適應(yīng)云環(huán)境，目前國內(nèi)外研究工作主要是利用角色訪問控制改進ABAC策略，但擴展性差且較為復(fù)雜[1]．而對于風險評估指標權(quán)重固定的問題，目前常用的動態(tài)權(quán)重分配方法如歸一法、主成分分析法和熵值法等均存在準確率較低或?qū)崟r性較差的問題[8]．針對ABAC改進方法復(fù)雜和風險評估指標權(quán)重固定的不足，文中提出一種云平臺動態(tài)風險訪問控制模型(Cloud platform Dynamic Risk Access Control model，CDRAC)．首先選擇表達性和靈活性均較高的事件推演(Event Calculus，EC)機制改進ABAC策略[9]，增強規(guī)則匹配時的自適應(yīng)性和靈活性，使其適應(yīng)復(fù)雜的云環(huán)境;其次，利用系統(tǒng)安全狀態(tài)和用戶歷史行為信息構(gòu)建風險評估指標，提出分配風險評估指標權(quán)重的數(shù)學模型并設(shè)計配方回歸(Programming Regression，PR)[10]算法求解相應(yīng)權(quán)重，提高風險值對訪問請求的靈敏度．

1 云平臺動態(tài)風險訪問控制模型

1.1 設(shè)計思路

(1) 針對云平臺使用靜態(tài)ABAC策略無法動態(tài)匹配規(guī)則的問題，文中在ABAC中增加了EC機制．EC機制包括規(guī)則評估和信任度計算兩個過程．其中，規(guī)則評估對當前規(guī)則是否被匹配、規(guī)則條件是否成立以及規(guī)則效用進行評估，若3個條件都成立，則當前規(guī)則可用; 信任度計算為訪問請求的主體、客體、活動和環(huán)境賦予信任值，若訪問請求的主客體屬性發(fā)生改變，則計算信任度實現(xiàn)動態(tài)控制．在此基礎(chǔ)上，文中設(shè)計一個基于EC機制的動態(tài)規(guī)則匹配(Dynamic Rule Matching， DRM)模塊．

(2) 針對風險評估指標權(quán)重固定的問題，設(shè)計一個動態(tài)風險評估(Dynamic Risk Assessment， DRA)模塊，實現(xiàn)通過用戶歷史行為信息和系統(tǒng)安全狀態(tài)動態(tài)分配風險評估指標權(quán)重，提高風險值對訪問請求的靈敏度．

1.2 動態(tài)風險訪問控制模型

文中提出的云平臺動態(tài)風險訪問控制模型框架如圖1所示，其中DRM模塊框架如圖2所示．

圖1 CDRAC模型框架圖2 DRM模塊框架

CDRAC模型包括DRM模塊、DRA模塊、閾值計算模塊和最終決定(訪問控制決定)模塊等主要模塊，模塊的核心功能設(shè)計如下:

(1) DRM模塊利用ABAC策略與訪問請求進行規(guī)則匹配，再使用EC機制評估規(guī)則匹配的結(jié)果，得到DRM模塊的評估結(jié)果P．

(2) DRA模塊通過提取的歷史風險評估指標和P計算各指標的權(quán)重，分配相應(yīng)權(quán)重計算當前訪問請求的風險值R．

(3) 動態(tài)閾值計算模塊采用歷史P和歷史R實時計算風險閾值λ．

(4) 最終決定模塊綜合閾值λ、當前訪問請求的評估結(jié)果P和風險值R做出最終訪問控制決定．

2 動態(tài)規(guī)則匹配模塊

2.1 問題分析

ABAC屬于靜態(tài)訪問控制策略，無法處理云環(huán)境下的一些特殊情形，如:

(1) 當訪問主客體屬性改變時，無法動態(tài)調(diào)整訪問規(guī)則．

(2) 當訪問背景(時間、位置等)發(fā)生改變時，無法動態(tài)調(diào)整相應(yīng)規(guī)則．

2.2 基本定義

定義3個事件Ek、5個狀態(tài)Fk(k=1， 2， …， 5)和5個基本操作，其中，狀態(tài)Fk表示EC機制對事件Ek處理的結(jié)果．

E1表示規(guī)則匹配(MR)或規(guī)則未匹配(MMR);E2表示訪問請求信任度評估成功(TES)或訪問請求信任度評估失敗(TEF);E3表示同意規(guī)則(AR)、拒絕規(guī)則(DR)或規(guī)則不可用(RDA)．

F1表示規(guī)則目標成立(RTHs);F2表示信任度成立(THs);F3表示規(guī)則被同意(RIP)、規(guī)則被拒絕(RID)或規(guī)則不可用(RINA);F4表示規(guī)則條件成立(Con);F5表示規(guī)則效果成立(EP)．

Happens(e，t)表示事件e在時間t發(fā)生; HoldsAt(f，t)表示在時間t，狀態(tài)f發(fā)生; IsValue(a，b)表示b在屬性a中存在; AttTl(Subject， tl1)表示獲得主體屬性(Subject)信任值tl1; ReqTl(tl2)表示獲得客體(Object)、活動(Action)和訪問發(fā)生時間(time)屬性信任值的平均值tl2．

(reqi， Events)為第i(i=1， 2， …)條訪問請求以及存儲發(fā)生事件和狀態(tài)的結(jié)構(gòu)體變量組成的二元組．

2.3 DRM模塊執(zhí)行流程

根據(jù)圖2可知，DRM模塊分別包含規(guī)則匹配、信任度計算和規(guī)則評估3個子模塊，每個子模塊由事件和狀態(tài)評估組成．Events由請求發(fā)生模塊生成，將其分別傳入3個子模塊，在子模塊中依次進行事件和狀態(tài)評估，并使用Events接收評估結(jié)果．狀態(tài)評估結(jié)束后，將狀態(tài)結(jié)果傳入結(jié)果輸出模塊，Events由相應(yīng)子模塊返回請求發(fā)生模塊，進行下一模塊的評估工作．為保證安全性，防止惡意篡改，可將結(jié)果輸出中3個狀態(tài)結(jié)果與最后Events中的F1、F2、F3匹配，具體執(zhí)行步驟如下:

(1) 請求發(fā)生模塊生成一系列reqi(i=1， 2， …)和Events結(jié)構(gòu)體變量．

(2) 將(reqi， Events)傳入規(guī)則匹配模塊進行規(guī)則匹配; 在事件和狀態(tài)評估中，若規(guī)則成功匹配，則Events結(jié)構(gòu)體添加事件MR，狀態(tài)RTHs為真; 否則，添加事件MMR，狀態(tài)RTHs為假; 狀態(tài)F1(RTHs)傳入結(jié)果輸出模塊，Events返回請求發(fā)生模塊．

(3) 將(reqi， Events)傳入信任度計算模塊進行評估; 在事件和狀態(tài)評估中，若主體的信任值大于等于客體、活動和背景信任值的平均值，則Events結(jié)構(gòu)體添加事件TES，狀態(tài)THs為真; 否則，添加事件TEF，狀態(tài)THs為假; 狀態(tài)F2(THs)傳入結(jié)果輸出模塊，Events返回請求發(fā)生模塊．

(4) 將(reqi， Events)傳入規(guī)則評估模塊進行評估;在事件和狀態(tài)評估中，若reqi與某一條規(guī)則匹配，則對該規(guī)則的條件(Condition)和效用(Effect)進行評估，并在Events中添加事件AR/DR/RDA，狀態(tài)F3為RIP/RID/RINA成立; 狀態(tài)F3和Events傳入結(jié)果輸出模塊．

(5) 在Events中，F(xiàn)1、F2和F3與狀態(tài)1、狀態(tài)2和狀態(tài)3進行匹配，若匹配成功，則輸出結(jié)果; 否則，DRM評估失敗．

2.4 EC描述

根據(jù)事件推演的基本理論，為方便起見，文中僅給出核心EC推理公式，并做如下設(shè)定:若信任度成立，則效果(effect)成立; 否則，effect不成立．評估條件時，參考指標使用訪問請求發(fā)生時間．reqi由訪問主體、客體、活動和訪問發(fā)生時間組成．將事件Ek和狀態(tài)Fk作為某一規(guī)則r的函數(shù)．

(1) 規(guī)則匹配模塊中事件和狀態(tài)的EC描述如下所示:

事件描述:

(a) Happens(MR(r)，t)→IsValue(Subject， value1) & IsValue(Object， value2) & IsValue(Action， value3).

(b) Happens(MMR(r)，t)→!IsValue(Subject， value1) | !IsValue(Object， value2) | !IsValue(Action， value3)．

狀態(tài)描述:

HoldsAt(RTHs(r)，t+1);!HoldsAt(RTHs(r)，t+1)．

從上述EC描述可知，若t時刻，規(guī)則匹配成功(事件MR發(fā)生)，則t+1時刻，狀態(tài)RTHs為真; 否則，狀態(tài)RTHs為假．將規(guī)則目標狀態(tài)傳入下一個模塊繼續(xù)進行評估．

(2) 信任度計算模塊中事件和狀態(tài)的EC描述如下所示:

事件描述:

(a) Happens(TES(r)，t) & AttTl(Subject， tl1) & ReqTl(tl2)→tl1>tl2．

(b) Happens(TEF(r)，t) & AttTl(Subject， tl1) & ReqTl(tl2)→tl1≤tl2．

(c) Happens(DR(r)，t+1)→HoldsAt(RTHs(r)，t) & !HoldsAt(THs(r)，t+1)．

狀態(tài)描述:

(a) HoldsAt(EP(r)，t)→Happens(TES(r)，t);!HoldsAt(EP(r)，t)→Happens(TEF(r)，t)．

(b) HoldsAt(THs(r)，t+1);!HoldsAt(THs(r)，t+1);HoldsAt(RID(r)，t+1)．

從上述EC描述可知，若訪問請求主體屬性信任值，大于其他屬性信任值和的平均值，則事件TES發(fā)生，下一時刻狀態(tài)THs為真; 否則，事件TEF發(fā)生，下一時刻狀態(tài)THs為假．若規(guī)則匹配成功，而事件TEF發(fā)生，則事件DR發(fā)生，狀態(tài)RID成立．將規(guī)則目標狀態(tài)和信任度狀態(tài)傳入下一個模塊繼續(xù)進行評估．

(3) 規(guī)則評估模塊中事件和狀態(tài)的EC描述如下所示:

事件描述:

(a) Happens(AR(r)，t)→HoldsAt(RTHs(r)，t) & HoldsAt(THs(r)，t) & HoldsAt(Con(r)，t) & HoldsAt(EP(r)，t)．

(b) Happens(DR(r)，t)→HoldsAt(RTHs(r)，t) & HoldsAt(THs(r)，t) & HoldsAt(Con(r)，t) & !HoldsAt(EP(r)，t)．

(c) Happens(RDA(r)，t)→!Holds(RTHs(r)，t) | (HoldsAt(MR(r)，t) & HoldsAt(THs(r)，t) & !HoldsAt(Con(r)，t))．

狀態(tài)描述:

HoldsAt(RIP(r)，t+1);HoldsAt(RID(r)，t+1);HoldsAt(RINA(r)，t+1)．

從上述EC描述可知，規(guī)則、信任度、條件和效果狀態(tài)同時為真，事件AR發(fā)生，下一時刻狀態(tài)RIP成立．事件DR發(fā)生與信任度評估中的相同．為不失一般性，文中給出其完整表述，下一時刻狀態(tài)RID成立．若規(guī)則目標或規(guī)則條件(訪問發(fā)生時間)狀態(tài)為假，則事件RDA發(fā)生，下一時刻狀態(tài)RINA成立．

3 動態(tài)風險評估模塊

3.1 問題分析

大部分風險評估指標權(quán)重分配方法[4， 6-7]采用均分固定的權(quán)重，但存在如下問題:

(1) 風險評估指標權(quán)重固定且不能動態(tài)調(diào)整．

(2) 風險值對訪問請求的靈敏度較低．

3.2 基本定義

定義1 風險閾值λ為

λ=[g(A)+g(B)]/2 ．

(1)

用戶自定義計算λ的訪問請求數(shù)量并將訪問請求分為A、B集合，A集合存放DRM模塊評估接受 (P=0) 的訪問請求風險值，B集合存放DRM模塊評估拒絕 (P=1) 的訪問請求風險值．g(·)計算集合中訪問請求風險值的平均值．

定義2 靈敏度S為

S=g(B)-g(A) ．

(2)

靈敏度S定義為P=1時訪問請求的風險平均值與P=0時訪問請求的風險平均值之差．由于靈敏度S反映風險值的波動，而風險評估指標權(quán)重影響風險值，所以靈敏度與當前風險評估指標權(quán)重密切相關(guān)．

3.3 動態(tài)分配風險評估指標權(quán)重數(shù)學模型

文中使用風險評估指標(I，T，V)，其中I表示當前訪問請求的訪問活動(讀、寫等)在歷史記錄中被DRM模塊允許 (P=0) 的頻率[6];T根據(jù)訪問請求的主體屬性分配具體數(shù)值，主體屬性越高，T越小，如:管理者的T值小于普通成員;V使用通用漏洞與披露(Common Vulnerabilities and Exposures，CVE)標準中關(guān)于Hadoop相關(guān)漏洞評分，即將CDRAC部署在以Hadoop為基礎(chǔ)的云平臺下．根據(jù)(I，T，V)，風險值為

R+/-=a1I+a2T+a3V,

(3)

其中，a1+a2+a3=1．若a1、a2和a3由人為設(shè)定且不能動態(tài)改變，則正常訪問請求的風險值R+大于惡意訪問請求的風險值R-的頻率增加，從而無法得到合理閾值，降低風險值對訪問請求的靈敏度．若R+→0 且R-→1，則R--R+→1，閾值制定的區(qū)間范圍增大，風險值對訪問請求的靈敏度S增加．而DRM模塊中正常訪問請求P=0，惡意訪問請求P=1，若R+/-→P，則可利用風險評估指標(I，T，V)動態(tài)設(shè)定相應(yīng)權(quán)重．文中設(shè)計的動態(tài)分配風險評估指標權(quán)重的數(shù)學模型為

3.4 PR算法設(shè)計

文中利用廣度優(yōu)先搜索算法和剪枝策略設(shè)計并優(yōu)化PR算法以求解上述模型．優(yōu)化后的PR算法在最小二乘法的基礎(chǔ)上首先分層存儲消去變換后的矩陣，然后逐層檢查并刪除不滿足條件的矩陣．PR算法設(shè)計如下:

算法PR算法．

輸入: 用戶歷史風險數(shù)據(jù)X，規(guī)則評估結(jié)果Y

輸出: 風險評估指標權(quán)重b*，誤差極小值Qmin

符號說明如下:TiB表示B矩陣的消去變換;b(·)表示從消去變換后的矩陣中得到b*(矩陣最后一列，第2行到倒數(shù)第2行的元素);Q(·)表示從消去變換后的矩陣中得到Qmin(矩陣最后一行，最后一列的元素); structBj表示存放層數(shù)Layer為j+1、誤差極小值Qmin和矩陣B的數(shù)據(jù)結(jié)構(gòu); sweep(M，i)表示執(zhí)行消去變換TiM; checkB(·)表示獲得當前層矩陣中的b*; remove(·)表示刪除結(jié)構(gòu)體中元素．

4 實驗與結(jié)果

4.1 實驗環(huán)境與數(shù)據(jù)

為驗證DRM模塊、DRA模塊和CDRAC模型的性能，在PC機上搭建實驗環(huán)境．其主要配置如下: 硬件配置為Inter Core i3-2350M CPU @ 230 GHz，4.0 GB RAM；軟件環(huán)境為Windows7，64位操作系統(tǒng)，MATLAB R2010b．

數(shù)據(jù)集由不同的訪問請求組成．每條訪問請求包含主體、客體、訪問活動和訪問發(fā)生時間4個主屬性，每個主屬性由不同子屬性組成，子屬性由相應(yīng)的成員組成，例如: 主體={管理者，員工，非員工，…}，管理者={管理者1，管理者2，管理者3，…}．從4個主屬性的相應(yīng)子屬性下隨機選擇成員組成一條訪問請求，模擬生成 1 550 條訪問請求．DRM模塊評估該 1 550 條訪問請求得到評估結(jié)果P; 量化 1 550 條訪問請求得到風險評估指標(I，T，V)．

訓練集為前 1 500 條訪問請求的(I，T，V)和DRM模塊評估結(jié)果Ptrain; 測試集為后50條訪問請求的(I，T，V)和DRM模塊評估結(jié)果Ptest，由正常訪問請求 (P=0) 和惡意訪問請求 (P=1) 間隔組成．

4.2 DRM模塊性能分析

(1) 針對2.1節(jié)情形1，實驗生成關(guān)于用戶1的正常訪問請求并使用DRM模塊對其評估，當前用戶1主體屬性較低(非員工)．經(jīng)過一段時間后提高用戶1的主體屬性(員工)，再使用DRM模塊評估用戶1的訪問請求，評估結(jié)果如表1所示．從表1可見，當用戶1主體屬性低時，即使規(guī)則成功匹配，信任度評估仍會失敗(TEF); 當用戶1主體屬性提高時，信任度評估成功(TES)．DRM模塊實現(xiàn)根據(jù)主體屬性的改變動態(tài)調(diào)整評估策略．

表1 主體屬性改變DRM評估結(jié)果

表2 主體訪問背景改變DRM評估結(jié)果

(2) 針對2．1節(jié)情形2，實驗生成有較高主體屬性的正常訪問請求，用DRM模塊對其評估; 再將訪問請求中時間調(diào)整為正常時間 (9:00～ 17:00) 以外并使用DRM模塊對其評估，評估結(jié)果如表2所示．從表2可見，由于主體訪問背景(時間、地點等)非法，即使主體擁有較高權(quán)限，DRM模塊也能動態(tài)調(diào)整訪問控制策略．

4.3 DRA模塊性能分析

實驗步驟設(shè)計如下:

步驟1 從訓練集中隨機選取1 000、500、250、100條訪問請求的風險評估指標和對應(yīng)的DRM評估值P，構(gòu)造4組訓練集．

步驟2 通過4組訓練集分別訓練動態(tài)分配風險評估指標權(quán)重的數(shù)學模型，運用PR算法得到4組權(quán)重b*和誤差極小值Qmin，如表3所示．

步驟3 將4組b*代入式(3)，構(gòu)造動態(tài)風險值計算公式．

步驟4 間隔1 s，依次將測試集的訪問請求代入動態(tài)風險值計算公式，得到測試集中訪問請求的風險值，如圖3中虛線所示．

步驟5 固定風險評估指標權(quán)重采用文獻[4， 6-7]中權(quán)重分配方法，為風險評估指標均分相等的權(quán)重 (1/3， 1/3， 1/3)，將該權(quán)重代入式(3)，構(gòu)造固定風險值計算公式．

步驟6 間隔1 s，依次將測試集的訪問請求代入固定風險值計算公式，得到測試集中訪問請求的風險值，如圖3中實線所示．

步驟7 通過步驟4、步驟6計算的風險值和式(1)、式(2)得到相應(yīng)的閾值λ、靈敏度S，如表3所示．

表3 權(quán)重分配方法相關(guān)參數(shù)

圖3中，P=0的兩條曲線表示正常訪問請求在2種權(quán)重分配方案下風險值隨時間的變化趨勢，P=1 的兩條曲線表示惡意訪問請求在2種權(quán)重分配方案下風險值隨時間的變化趨勢．從圖3可見，動態(tài)分配指標權(quán)重計算的風險值波動較大，大部分P=0 的訪問請求風險值被降低，大量減少R+>R-出現(xiàn)的頻率;P=1 和P=0 訪問請求的風險值分布間隔增加，使得閾值可設(shè)定的區(qū)間范圍增大．從表3可見，動態(tài)分配權(quán)重所得靈敏度要高于固定指標權(quán)重，提高了風險值對訪問請求的靈敏度．

圖3 兩種權(quán)重分配方法所得風險值分布

4.4 CDRAC模型性能分析

分析CDRAC模型、DRAC模型和ABAC模型對不同數(shù)量訪問請求的響應(yīng)時間，實驗步驟設(shè)計如下:

步驟1 通過MATLAB仿真實現(xiàn)CDRAC模型、DRAC模型和ABAC模型．

步驟2 隨機模擬生成9組訪問請求，每組分別包含80，160，…，20 480 條訪問請求．

步驟3 分別使用3種模型評估9組訪問請求并統(tǒng)計模塊響應(yīng)時間，結(jié)果如圖4(a)所示．

步驟4 記錄并統(tǒng)計3種模型對150，250，…，650條訪問請求響應(yīng)時間，如圖4(b)所示．

從圖4(a)可見，隨著訪問請求數(shù)量增加，CDRAC、DRAC和ABAC模型的響應(yīng)時間也在增加，但CDRAC對訪問請求的響應(yīng)時間小于DRAC和ABAC模型．由于DRAC和ABAC模型在進行規(guī)則匹配時，需要更多的時間匹配規(guī)則，而文中的DRM模塊通過對規(guī)則實現(xiàn)繼承機制縮減了規(guī)則的數(shù)量，所以文中提出的CDRAC模型在訪問請求數(shù)量較多時，相比于另外兩種模塊在響應(yīng)時間方面更有優(yōu)勢．從圖4(b)可見，CDRAC模型與DRAC模型對訪問請求的響應(yīng)時間最高差距達到 100 ms，CDRAC模型與ABAC模型對訪問請求響應(yīng)時間最高差距為 150 ms，所以對于數(shù)據(jù)量較小的訪問請求CDRAC模型與另2種模型響應(yīng)時間相差不大，但仍然優(yōu)于另外兩種模型．

4.5 CDRAC模型的安全性分析

(1) 細粒度訪問授權(quán)．DRM模塊以ABAC策略為基礎(chǔ)，制定訪問規(guī)則時，將客體、活動和環(huán)境精確為具體的資源，滿足最小權(quán)限原則[11]．EC機制引入ABAC策略，增加信任度評估和規(guī)則評估模塊．信任度評估模塊分析訪問請求中具體屬性信任值，規(guī)則評估模塊分析匹配規(guī)則的條件(訪問時間等)、效果，同時依據(jù)EC機制較強的表達能力，實現(xiàn)細粒度訪問控制．

(2) 約束描述．ABAC策略不具有約束描述，但EC機制改進ABAC后，可以制定時間約束推理公式，如:若規(guī)則被允許，則事件AR持續(xù) 2 min; 若規(guī)則被拒絕，則事件DR持續(xù) 1 min．具體EC推理公式如下:

(a) Happens(AR(r)，t1) & (Happens(AR(r)，t2) | Happens(DR(r)，t2) | Happens(RDA(r)，t2))→t2-t1=2．

(b) Happens(DR(r)，t1) & (Happens(AR(r)，t2) | Happens(DR(r)，t2) | Happens(RDA(r)，t2))→t2-t1≥1．

(3) 授權(quán)動態(tài)性．DRM模塊中存在信任度和規(guī)則評估，使得在不修改規(guī)則的前提下，能夠動態(tài)進行授權(quán)．DRA模塊中，風險評估指標權(quán)重可自適應(yīng)調(diào)整，使得風險值的靈敏度增強，能較好適應(yīng)云環(huán)境．

(4)自主授權(quán)．在DRM模塊中，可根據(jù)需求靈活制定EC核心推理公式，實現(xiàn)不同程度的訪問控制．在訪問控制決定模塊中，根據(jù)可擴展訪問控制標記語言(eXtensible Access Control Markup Language，XACML)中規(guī)則組合算法，如:拒絕覆蓋等，結(jié)合DRM和DRA模塊評估結(jié)果以及閾值，做出最終訪問授權(quán)．

5 結(jié) 束 語

針對大多數(shù)風險訪問控制模型無法動態(tài)匹配規(guī)則和風險指標權(quán)重固定的問題，文中提出一種云平臺動態(tài)風險訪問控制模型(CDRAC)．為使其適應(yīng)云平臺的規(guī)則評估，通過事件推演機制改進ABAC策略并構(gòu)建動態(tài)規(guī)則匹配模塊; 為增強風險值對訪問請求的靈敏度，在提出的風險評估模塊中動態(tài)分配指標權(quán)重．實驗表明，CDRAC具有較高的自適應(yīng)性且該模型所得風險值對訪問請求有較高的靈敏度．