云計(jì)算環(huán)境基于客體屬性匹配的逆向混合訪問控制方案

葛麗娜，胡雨谷，張桂芬，2，陳園園

（1.廣西民族大學(xué)人工智能學(xué)院，南寧 530006；2.廣西民族大學(xué)網(wǎng)絡(luò)通信工程重點(diǎn)實(shí)驗(yàn)室，南寧 530006；3.廣西混雜計(jì)算與集成電路設(shè)計(jì)分析重點(diǎn)實(shí)驗(yàn)室，南寧 530006）

（?通信作者電子郵箱66436539@qq.com）

0 引言

云計(jì)算結(jié)合了網(wǎng)絡(luò)新技術(shù)與分布式技術(shù)，提供超大規(guī)模計(jì)算、存儲及軟件等服務(wù)。本地?cái)?shù)據(jù)脫離了數(shù)據(jù)所有者的束縛而被存儲到云上，引起了數(shù)據(jù)擁有者對數(shù)據(jù)安全的憂慮。而作為數(shù)據(jù)大密度聚集、不分界限流動的云環(huán)境，也因自身開放共享資源的體量、設(shè)施與服務(wù)公有化、應(yīng)用環(huán)境復(fù)雜多變等問題使得云安全邊界難以區(qū)分。

智慧城市、醫(yī)療、農(nóng)業(yè)、金融等產(chǎn)生大量的數(shù)據(jù)，需要進(jìn)行存儲、使用和傳播，而在應(yīng)用數(shù)據(jù)過程中的安全問題尤為突出，比如云服務(wù)能為醫(yī)院的病例管理提高效率和降低成本，但是也給患者帶來了對云服務(wù)提供商安全保障的擔(dān)憂。為了解決云服務(wù)環(huán)境下，訪問控制中存在的數(shù)據(jù)安全性問題，本文提出了基于客體屬性匹配的逆向混合訪問控制方法，并以醫(yī)療健康數(shù)據(jù)應(yīng)用為例，用以解決以下的應(yīng)用場景:用戶甲向云端服務(wù)器上傳一份私人的醫(yī)療健康數(shù)據(jù)文件A（醫(yī)學(xué)影像數(shù)據(jù)，心率數(shù)據(jù)、血液檢查數(shù)據(jù)等等），乙、丙、丁等用戶作為數(shù)據(jù)使用者可以向云端提出申請?jiān)L問、使用數(shù)據(jù)文件A，如圖1所示。

圖1 應(yīng)用場景示意圖Fig.1 Schematic diagram of application scene

作為數(shù)據(jù)的擁有者和使用者通常會有如下顧慮:

1）數(shù)據(jù)擁有者甲擔(dān)心其上傳的醫(yī)療健康數(shù)據(jù)文件A包含的隱私數(shù)據(jù)被泄露；

2）甲對訪問、使用數(shù)據(jù)的乙、丙、丁等的真實(shí)身份和其對數(shù)據(jù)操作行為是否惡意的擔(dān)憂；

3）乙、丙、丁等如何確保云端數(shù)據(jù)文件A 等的真實(shí)性、可用性等。

以上場景，從用戶甲（亦為“數(shù)據(jù)貢獻(xiàn)者”）的角度出發(fā)，他考慮自身數(shù)據(jù)的隱私性、安全性能否得到保障。因此，保障數(shù)據(jù)貢獻(xiàn)者共享數(shù)據(jù)的安全性、數(shù)據(jù)依照用戶自身的意愿被使用、保障合法用戶進(jìn)行合理訪問等是需要解決的問題。從使用數(shù)據(jù)的用戶乙、丙、丁等（亦為“數(shù)據(jù)訪問者”）的角度而言，保障所請求的數(shù)據(jù)的完整性、可用性等是主要關(guān)心的問題。

綜上，本文設(shè)計(jì)了一種基于客體屬性匹配的逆向混合訪問控制方法，可用于解決多個自治域進(jìn)行云計(jì)算環(huán)境數(shù)據(jù)共享的場景。

1 基本概念

1.1 基于角色的訪問控制

文獻(xiàn)［1］在訪問控制技術(shù)中引入了“角色”的概念，用于用戶和訪問權(quán)限之間的關(guān)聯(lián)，提出了基于角色的訪問控制（Role Based Access Control，RBAC）模型，每一種角色對應(yīng)一組相應(yīng)的權(quán)限，用戶組、用戶、角色、權(quán)限和客體這五者之間的關(guān)系結(jié)構(gòu)如圖2所示，“角色”的引入簡化了授權(quán)，方便了系統(tǒng)管理。

圖2 不同組成部分的關(guān)聯(lián)圖Fig.2 Association diagram of different components

Sandhu 等［2］對模型角色關(guān)系通過制定層次規(guī)則和會話約束進(jìn)行管理改進(jìn)；Bertino 等［3］提出引入觸發(fā)器和時(shí)間控制的基于時(shí)間角色的訪問控制（Temporal RBAC，TRBAC）模型，改進(jìn)了權(quán)限間的管理；Joshi等［4］對文獻(xiàn)［3］中依賴關(guān)系等不足進(jìn)行改進(jìn)，提出基于時(shí)間角色的通用訪問控制（Generalized TRBAC，GTRBAC）模型；Crampton［5］基于責(zé)任與權(quán)力約束分離等擴(kuò)展了RBAC 模型。這些方法應(yīng)用于數(shù)據(jù)量較小、單一自治系統(tǒng)的環(huán)境，為復(fù)雜的云計(jì)算、多自治域訪問控制奠定了基礎(chǔ)。

RBAC 具有以下優(yōu)點(diǎn):1）簡化了權(quán)限管理，只需將分配了特定權(quán)限的角色授權(quán)給相應(yīng)用戶；2）實(shí)現(xiàn)責(zé)權(quán)分離原則；3）支持最小特權(quán)原則；4）符合企業(yè)內(nèi)部管理結(jié)構(gòu)，方便實(shí)用。

隨著應(yīng)用場景的不斷復(fù)雜，RBAC 的缺點(diǎn)顯現(xiàn)出來，它無法做到對未知訪問需求的權(quán)限設(shè)置，濫用角色導(dǎo)致虛無角色的“角色爆炸”問題，在超大規(guī)模的用戶場景中，角色的管控、權(quán)限授予的復(fù)雜度也在呈指數(shù)級別的增長。此時(shí)，基于屬性的訪問控制（Attribute-Based Access Control，ABAC）為解決這些新問題提供了新的方法。

1.2 基于屬性的訪問控制

隨著應(yīng)用的發(fā)展，企業(yè)的數(shù)據(jù)應(yīng)用與交互越來越復(fù)雜，應(yīng)用邊界越來越大甚至消失，傳統(tǒng)的單個部門封閉應(yīng)用環(huán)境的RBAC 面臨著新的難題，需要細(xì)粒度的、易于理解、實(shí)現(xiàn)和控制運(yùn)維的訪問控制機(jī)制來適應(yīng)新型復(fù)雜的業(yè)務(wù)場景，基于屬性的訪問控制ABAC為其帶來了解決方案。

ABAC 通過對不同屬性依據(jù)策略得出結(jié)果，判斷一個用戶是否能訪問某項(xiàng)資源［6］；通過定義一種訪問控制范式，使用將屬性組合在一起的策略，為不同用戶提供動態(tài)、上下文感知和風(fēng)險(xiǎn)智能防護(hù)的訪問權(quán)限。策略可使用各類屬性，且允許簡單的與非邏輯判別，例如:“IF 請求者是管理者，THEN 允許對敏感數(shù)據(jù)的讀/寫訪問”。

如圖3 所示，策略決策點(diǎn)（Policy Decision Point，PDP）與策略執(zhí)行點(diǎn)（Policy Enforcement Point，PEP）便是訪問控制機(jī)制的核心。ABAC 機(jī)制的核心是主體的請求發(fā)起后，聯(lián)合主體的屬性、客體的屬性與環(huán)境狀態(tài)作為輸入，從PEP 獲取規(guī)則，PDP計(jì)算，最后判定主體的請求是否合理予以執(zhí)行。

圖3 ABAC結(jié)構(gòu)核心圖Fig.3 Architecture core diagram of ABAC

文獻(xiàn)［7］為ABAC 設(shè)計(jì)了動態(tài)移動授權(quán)策略，其結(jié)合上下文信息的捕捉，使其適應(yīng)動態(tài)的移動環(huán)境的訪問控制。

ABAC應(yīng)用在復(fù)雜場景下有如下的優(yōu)點(diǎn):1）比RBAC更細(xì)粒度授權(quán)管理；2）訪問控制管理成本較低；3）屬性易于集中化管理；4）動態(tài)的總體控制。

但是，面對過于繁雜的應(yīng)用場景，ABAC 仍然會存在著一些不足:1）主客體之間的關(guān)系在權(quán)限的定義時(shí)無法直接看出；2）過于復(fù)雜或設(shè)計(jì)混亂的規(guī)則，增加系統(tǒng)管理員對策略庫的管理成本；3）過多的主客體以及環(huán)境屬性的增加導(dǎo)致規(guī)則數(shù)量的不斷增加，從而引起策略沖突的問題；4）過多的規(guī)則會導(dǎo)致需要實(shí)時(shí)執(zhí)行的權(quán)限判斷性能受限，難以保證系統(tǒng)的安全性與穩(wěn)定性；5）權(quán)限判斷的執(zhí)行效率的降低，延長了授予與回收權(quán)限時(shí)間。

1.3 基于屬性和角色的訪問控制RBAC-A

RBAC 訪問控制與授權(quán)方法便于管理但難以應(yīng)付復(fù)雜的控制場景；而基于屬性的訪問控制（ABAC）與授權(quán)方法易于實(shí)現(xiàn)，但難以對用戶權(quán)限進(jìn)行審計(jì)。但是無論哪種方式，使用最少數(shù)量的過濾器來構(gòu)建安全環(huán)境是非常重要的。將兩者進(jìn)行結(jié)合，分層次地使用，即由前者確定誰有權(quán)訪問資源，后者確定使用資源進(jìn)行什么操作，以滿足復(fù)雜應(yīng)用環(huán)境訪問控制管理的需要［8］。

Kuhn 等［9］根據(jù)主次的關(guān)系，給出了三種側(cè)重點(diǎn)不同的基于角色和屬性混合的訪問控制（Attributes with Role Based Access Control，RBAC-A）方法，包括了:1）“以屬性為中心”，以屬性為主，角色作為一種屬性的訪問控制；2）“以角色為中心”，以角色為主，屬性被添加到角色中限制權(quán)限的訪問控制；3）“動態(tài)角色”，屬性被用于確定受試者的作用，讓屬性決定用戶哪些角色應(yīng)該被激活，實(shí)現(xiàn)用戶-角色與權(quán)限-角色管理的訪問控制。

三者諸方面特征的比較如表1所示。

表1 RBAC-A的三種訪問控制模型特征比較Tab.1 Characteristic comparison of three access control models of RBAC-A

隨著云計(jì)算的應(yīng)用，其數(shù)據(jù)的訪問控制問題逐漸獲得關(guān)注:文獻(xiàn)［10］引入以角色層次映射表示屬性偏序關(guān)系模型，來解決云服務(wù)中存在的訪問控制兼容性問題；文獻(xiàn)［11］以角色為中心、限制權(quán)限、縮減會話等策略緩解了角色爆炸問題；文獻(xiàn)［12］結(jié)合角色、屬性對訪問控制進(jìn)行優(yōu)化，縮短系統(tǒng)響應(yīng)時(shí)間，提高系統(tǒng)效率；文獻(xiàn)［13］采用動態(tài)角色策略，優(yōu)化權(quán)限分配，使得系統(tǒng)能靈活適應(yīng)用戶的改變；文獻(xiàn)［14］提出基于角色和屬性的云計(jì)算數(shù)據(jù)訪問控制模型，該模型引入實(shí)體的屬性元素，用戶能夠通過自身和所在租戶的屬性及當(dāng)前的狀態(tài)分配角色，來訪問不同屬性的數(shù)據(jù)；文獻(xiàn)［15］實(shí)現(xiàn)了個人數(shù)據(jù)的一對多的安全傳輸和數(shù)據(jù)的細(xì)粒度訪問控制；文獻(xiàn)［16］根據(jù)用戶的行為設(shè)計(jì)了一種云計(jì)算訪問控制模型，其添加了用戶行為管理模塊，考慮了用戶的角色、時(shí)態(tài)、環(huán)境等屬性對用戶的資源服務(wù)請求進(jìn)行訪問控制。這些方案為解決云計(jì)算訪問控制的某些局部問題提出了解決方案，但均未能從數(shù)據(jù)貢獻(xiàn)者的角度出發(fā)，未能體現(xiàn)數(shù)據(jù)貢獻(xiàn)者對數(shù)據(jù)的控制權(quán)。

2 基于客體屬性匹配的逆向混合訪問控制

本文提出了一種基于客體屬性匹配的逆向混合訪問控制（Object Attributes Matching Based Reverse Access Control，OAMBRAC）方法，以解決圖1中云環(huán)境下數(shù)據(jù)貢獻(xiàn)者、數(shù)據(jù)訪問者及共享數(shù)據(jù)的訪問控制的問題。OAMBRAC 是基于下一代訪問控制（Next Generation Access Control，NGAC）［17］的體系結(jié)構(gòu)進(jìn)行設(shè)計(jì)，結(jié)合了基于屬性和角色的訪問控制方法，針對本文應(yīng)用場景進(jìn)行改進(jìn)，成為一種適合多自治域、互聯(lián)企業(yè)、分布式、云計(jì)算環(huán)境的形式。

2.1 OAMBRAC的功能架構(gòu)

OAMBRAC 設(shè)計(jì)主體上分為以下三個部分:1）對數(shù)據(jù)訪問者自身的訪問控制；2）數(shù)據(jù)訪問者對客體資源請求的訪問控制；3）客體資源自身權(quán)限的訪問控制。

下面對這三個部分分別進(jìn)行詳細(xì)的描述，后文中的所有信息流描述都假定在經(jīng)過身份驗(yàn)證的用戶與屬性點(diǎn)之間建立會話，并且功能體系結(jié)構(gòu)中的所有交互實(shí)體都已建立通信，彼此進(jìn)行了身份驗(yàn)證。

2.2 對數(shù)據(jù)訪問者自身的訪問控制

OAMBRAC 系統(tǒng)中存在一些不同類別的數(shù)據(jù)訪問者:衛(wèi)生行政部門（例如衛(wèi)生局管理人員）、高?；蚩蒲性核ɡ?從事健康數(shù)據(jù)研究的研究員）、醫(yī)療機(jī)構(gòu)（例如:醫(yī)院的醫(yī)生）、商業(yè)機(jī)構(gòu)（例如:保險(xiǎn)公司、保健品公司）、個人用戶（例如:對健康數(shù)據(jù)感興趣的人）等。

系統(tǒng)在對外部訪問控制（External Access Control，EAC）進(jìn)行設(shè)計(jì)時(shí)，采用以屬性為中心的RBAC-A 訪問控制，把用戶的角色作為一種屬性，來表達(dá)用戶的一種權(quán)限。

由于外部各個不同的機(jī)構(gòu)、不同類別的數(shù)據(jù)訪問者，屬于跨域的數(shù)據(jù)訪問，OAMBRAC 系統(tǒng)對外來的訪問者提供統(tǒng)一的外部接口，在其所在的機(jī)構(gòu)系統(tǒng)中，如若已經(jīng)存在訪問控制機(jī)制（無論是自主訪問控制（Discretionary Access Control，DAC）、強(qiáng)制訪問控制（Mandatory Aces Control，MAC）、RBAC，還是ABAC 或其他的訪問控制機(jī)制），在統(tǒng)一外部接口處對其所擁有的權(quán)限通過EAC 部分進(jìn)行轉(zhuǎn)化表示后，轉(zhuǎn)入等級授權(quán)表（Level Management Table，LMT）中，對用戶的屬性值進(jìn)行權(quán)限ID比對與分配。

將文件訪問權(quán)限設(shè)置為“絕密”“機(jī)密”“秘密”“敏感”“公開”五個類別。其中，“絕密”級別為權(quán)限最高，“機(jī)密”“秘密”“敏感”的權(quán)限依次遞減。并寫入LMT 中。等級授權(quán)表設(shè)定如表2所示。

表2 等級授權(quán)設(shè)定示例Tab.2 Examples of level authorization set

文件訪問權(quán)限有包含性，若某用戶擁有“絕密”文件訪問權(quán)限，即權(quán)限ID=1，則其有權(quán)訪問“機(jī)密”“秘密”“敏感”和“公開”四個類別的文件；同樣，用戶擁有“機(jī)密”文件訪問權(quán)限，即權(quán)限ID=2 時(shí)，有權(quán)訪問“秘密”“敏感”和“公開”三個類別的文件。

如果某用戶要跨越訪問，則該用戶需要利用自身域內(nèi)的訪問控制機(jī)制獲取其個人對應(yīng)的權(quán)限最高不超過機(jī)構(gòu)所能獲得訪問權(quán)限的最高級別。用戶在其域內(nèi)所具有的權(quán)限設(shè)定不在本文的討論范圍之內(nèi)。

OAMBRAC 第一部分（對數(shù)據(jù)訪問者自身的訪問控制）功能架構(gòu)中的資源訪問信息流如圖4所示。

圖4 中的數(shù)字標(biāo)簽指代步驟編號，其資源訪問信息流如下:

圖4 OAMBRAC第一部分功能架構(gòu)示意圖Fig.4 Schematic diagram of functional architecture of OAMBRAC’s first part

①訪問者通過其域內(nèi)的訪問控制系統(tǒng)獲取相應(yīng)權(quán)限，并通過外部訪問控制（External Access Control，EAC）模塊接入OAMBRAC系統(tǒng)接口；

②EAC 把用戶的權(quán)限進(jìn)行格式化處理，生成統(tǒng)一格式的文件，發(fā)送給等級授權(quán)表（Level Management Table，LMT）；

③LMT 根據(jù)文件中的屬性權(quán)限進(jìn)行比對，將結(jié)果即訪問者對應(yīng)的權(quán)限告知訪問者，并且為訪問者生成唯一的ID，寫入權(quán)限文件中。

2.3 數(shù)據(jù)訪問者對客體資源的請求訪問控制

訪問者對客體資源請求的訪問控制是OAMBRAC 結(jié)構(gòu)的核心功能。本部分在NGAC［17］的思想基礎(chǔ)上，根據(jù)本文的應(yīng)用場景設(shè)計(jì)［18］。

1）基本概念定義。

首先對屬性執(zhí)行點(diǎn)（Attribute Enforcement Point，AEP）、屬性管理點(diǎn)（Attribute Administration Point，AAP）、屬性信息點(diǎn)（Attribute Information Point，AIP）、屬性決策點(diǎn)（Attribute Decision Point，ADP）、客體訪問點(diǎn)（Object Access Point，OAP）及其相關(guān)的術(shù)語進(jìn)行定義。

定義1AEP，確保僅滿足特定要求的那些訪問請求才被授予對受保護(hù)資源的訪問權(quán)限。

定義2AIP，保留實(shí)體數(shù)據(jù)結(jié)構(gòu)的功能實(shí)體，這些數(shù)據(jù)結(jié)構(gòu)代表構(gòu)成屬性的基本元素、容器和關(guān)系。

定義3AAP，提供訪問和管理駐留在AIP 中屬性信息的唯一方法的功能實(shí)體。

定義4ADP，評估與訪問請求或事件響應(yīng)有關(guān)屬性的加權(quán)權(quán)限值計(jì)算的功能實(shí)體，作出訪問決策。ADP 根據(jù)以下內(nèi)容提供訪問決策:a）訪問請求具有所有必需的特權(quán)；b）不存在抵消任意特權(quán)的限制。如果同時(shí)滿足a）和b），則ADP 會授予訪問請求。所有其他可能性均拒絕訪問請求。

AEP 發(fā)送查詢給AAP，然后從AIP 檢索與請求有關(guān)的授權(quán)信息以獲得仲裁訪問請求所必需的其他詳細(xì)信息，最后AEP 將個人訪問請求提交給ADP 進(jìn)行裁決。通過強(qiáng)制執(zhí)行ADP所提供的有關(guān)訪問請求的訪問決定來執(zhí)行訪問控制的功能實(shí)體。

定義5OAP，一種功能實(shí)體，提供訪問某些受保護(hù)資源的唯一方法。如果訪問請求被批準(zhǔn)，則ADP 檢索用于定位請求中標(biāo)識的資源信息（即通過關(guān)聯(lián)對象的標(biāo)識符，在與指定OAP關(guān)聯(lián)的指定位置轉(zhuǎn)換為特定系統(tǒng)資源），并將該位置所獲得的信息以及決策結(jié)果發(fā)送給接收請求的AEP。AEP與特定的OAP 通信，以對所標(biāo)識的資源執(zhí)行訪問請求中指定的操作。一旦操作完成，AEP 隨后將有關(guān)該操作的狀態(tài)信息以及由此產(chǎn)生的數(shù)據(jù)（可選）返回給原始進(jìn)程。

資源訪問是用戶獲得OAMBRAC 中受保護(hù)資源的唯一途徑。當(dāng)用戶創(chuàng)建嘗試通過AEP 訪問資源的過程時(shí)，資源訪問即開始。進(jìn)程在單個會話中代表特定用戶運(yùn)行，并且可以實(shí)例化其他進(jìn)程。用戶的每個進(jìn)程都應(yīng)使用用戶已與其建立會話的AEP來請求訪問受保護(hù)的資源。

2）資源訪問信息流。

OAMBRAC 第二部分功能架構(gòu)中的資源訪問信息流如圖5所示，數(shù)字標(biāo)簽指代步驟編號，資源訪問信息流如下:

圖5 OAMBRAC第二部分功能架構(gòu)示意圖Fig.5 Schematic diagram of functional architecture of OAMBRAC’s second part

①經(jīng)由第一部分生成的含有用戶角色屬性的文件傳入AEP；

②AEP 向AAP 查詢AIP 有關(guān)信息，以備計(jì)算訪問屬性所需；

③AAP驗(yàn)證查詢，向AIP發(fā)出一個或多個相應(yīng)命令；

④AAP從AIP接收響應(yīng)；

⑤AAP將查詢結(jié)果送回AEP；

⑥AEP將查詢結(jié)果向ADP發(fā)出訪問請求裁決；

⑦ADP 向與資源相關(guān)聯(lián)的OAP 發(fā)出指令以執(zhí)行訪問，該指令傳達(dá)操作，資源定位符以及（如果需要）數(shù)據(jù)；

⑧OAP啟動對資源的操作；

⑨接收返回的狀態(tài)信息和數(shù)據(jù)（如果有）；

⑩狀態(tài)信息和數(shù)據(jù)（如果有）從OAP返回到ADP；

?狀態(tài)信息和數(shù)據(jù)（如果有）從ADP 返回到AEP 進(jìn)而返回到進(jìn)程。

在RBAC-A 中，策略數(shù)量隨著使用情況的復(fù)雜會帶來的管理困難問題，為了解決該問題，現(xiàn)把基于策略的匹配改為更易于計(jì)算的基于權(quán)重加權(quán)的匹配機(jī)制，提出“二重變異系數(shù)權(quán)重賦值法”，簡化匹配難度，提高匹配速度。

3）二重變異系數(shù)權(quán)重賦值法。

各個屬性值的表示方式以及量綱方面存在差異，而又需要對這些屬性值進(jìn)行橫向和縱向的評估比較，為了使得具有可比性，有必要對數(shù)據(jù)作無綱量化的歸一化處理。

若已經(jīng)處在［0，1］范圍內(nèi)的數(shù)值，則無需再作處理；而不在［0，1］范圍內(nèi)的數(shù)值，利用式（1）將其進(jìn)行歸一化，即:

其中:aij為原值；eij為量化后的值；(aij)max為原值最大值；(aij)min為原值最小值。

變異系數(shù)權(quán)重賦值法的權(quán)重是直接通過計(jì)算各個指標(biāo)的信息后得到。在計(jì)算前為了消除各屬性值的不同量綱之間差異，需要先對數(shù)據(jù)進(jìn)行量化處理。假定量化處理后的數(shù)據(jù)矩陣為Y=(yij)m*n，m表示評價(jià)方案的數(shù)量，n表示指標(biāo)個數(shù)，具體計(jì)算方法如下。

計(jì)算每列向量平均值為式（2）:

計(jì)算每列向量標(biāo)準(zhǔn)差為式（3）:

計(jì)算各指標(biāo)變異系數(shù)為式（4）:

計(jì)算各指標(biāo)權(quán)重為式（5）:

本文提出的二重變異系數(shù)權(quán)重賦值法通過對變異系數(shù)權(quán)重的兩次計(jì)算，得到了各屬性的權(quán)重；再結(jié)合訪問者訪問時(shí)候的屬性數(shù)值，可以得出訪問者的訪問加權(quán)權(quán)限值。

首先，對各個部門（自治域）不同的訪問等級角色權(quán)限A～E 分別計(jì)算相應(yīng)的“屬性-等級”的權(quán)重，從而得出每一個訪問權(quán)限等級對應(yīng)權(quán)限的權(quán)重。此處，m表示所有屬性的數(shù)量，n表示所有角色的等級數(shù)量。

然后，通過上面計(jì)算得出的部門等級的權(quán)重值作為一種屬性再次計(jì)算，計(jì)算出“屬性-部門”之間的權(quán)重，此處的m表示所有訪問者所屬部門（自治域）的數(shù)量，n表示參考的屬性數(shù)量，其中角色等級的權(quán)重值即為上面第一次的計(jì)算結(jié)果。

對于數(shù)據(jù)貢獻(xiàn)者，規(guī)定其對數(shù)據(jù)文件的設(shè)定權(quán)限值的加權(quán)系數(shù)，由系統(tǒng)對各個屬性計(jì)算進(jìn)行配置，從而在數(shù)據(jù)貢獻(xiàn)者設(shè)定屬性權(quán)限后計(jì)算訪問權(quán)限最小值。當(dāng)某個訪問者的訪問加權(quán)權(quán)限值不低于數(shù)據(jù)貢獻(xiàn)者設(shè)置的客體資源的訪問權(quán)限的加權(quán)數(shù)值時(shí)，就可以獲得訪問的機(jī)會。

對于個人數(shù)據(jù)訪問者，同樣使用系統(tǒng)設(shè)定的默認(rèn)權(quán)重進(jìn)行處理。當(dāng)數(shù)據(jù)訪問者所在部門（自治域）的某一行為或者信譽(yù)等有所降低時(shí)，便直接影響部門內(nèi)部分用戶的使用，因此也同樣能夠激勵數(shù)據(jù)訪問者保持良好的行為和信譽(yù)。

OAMBRA 方法引入變異系數(shù)權(quán)重法，通過數(shù)值加權(quán)計(jì)算后，直接對數(shù)值數(shù)據(jù)進(jìn)行比較，省去了策略檢索匹配的所需的時(shí)間，雖然在管理的規(guī)則上OAMBRAC 比不上RBAC-A 的多元化的組合靈活，但是在很多較為復(fù)雜的應(yīng)用場景，能夠在很大程度上優(yōu)化訪問速度，節(jié)省管理成本，實(shí)現(xiàn)更高效的訪問控制。

2.4 客體資源自身權(quán)限的訪問控制

本文采用逆向篩選的方法實(shí)現(xiàn)數(shù)據(jù)貢獻(xiàn)者的個性化隱私保護(hù)。一般的訪問控制都是主體去尋找客體的主動過程，而OAMBRAC 的設(shè)計(jì)思想是，客體擁有者具有主管權(quán)限，能夠“主動地”挑選數(shù)據(jù)訪問者。這樣很大程度上保證了用戶對自身上傳數(shù)據(jù)隱私的控制。

在上傳數(shù)據(jù)文件之前，數(shù)據(jù)貢獻(xiàn)者設(shè)置了文件訪問權(quán)限級別，基于該訪問權(quán)限級別計(jì)算出其加權(quán)數(shù)值，即允許訪問者獲取文件的最低加權(quán)數(shù)值，將該值存入文件中。

當(dāng)有訪問申請時(shí)，對數(shù)據(jù)訪問者的申請?jiān)L問權(quán)限加權(quán)計(jì)算結(jié)果與數(shù)據(jù)庫中眾多已經(jīng)設(shè)置了被訪問權(quán)限的文件計(jì)算出的加權(quán)權(quán)限值進(jìn)行對比，篩選出滿足數(shù)據(jù)訪問者訪問權(quán)限的數(shù)據(jù)文件。

如圖6 所示，描述該部分功能架構(gòu)資源訪問信息流如下。圖6 中的數(shù)字標(biāo)簽指代步驟編號，第三部分的功能架構(gòu)的資源訪問信息流如下:

圖6 OAMBRAC第三部分功能架構(gòu)示意圖Fig.6 Schematic diagram of functional architecture of OAMBRAC’s third part

①數(shù)據(jù)貢獻(xiàn)者設(shè)置需要上傳的數(shù)據(jù)可訪問的最低權(quán)限值，計(jì)算出加權(quán)權(quán)限值后寫入文件中，再把數(shù)據(jù)上傳到客體庫（Object Library，OL）中；

②接收來自第二部分的數(shù)據(jù)訪問者的加權(quán)權(quán)限值，并也傳入客體庫OL中；

③客體庫依照數(shù)據(jù)貢獻(xiàn)者設(shè)定的權(quán)限閾值，對庫進(jìn)行查詢篩選，把滿足訪問者權(quán)限的相關(guān)客體數(shù)據(jù)傳給第二部分的客體訪問點(diǎn)（Object Access Point，OAP）。

2.5 方案的安全性分析

OAMBRAC 方案分別實(shí)現(xiàn)了對跨域數(shù)據(jù)訪問者的訪問控制與授權(quán)、數(shù)據(jù)訪問者對客體資源的請求訪問控制、對客體資源權(quán)限的訪問控制。

1）由于系統(tǒng)在對外部訪問控制是采用以屬性為中心的RBAC-A 訪問控制，把用戶的角色作為一種屬性，來表達(dá)用戶的一種權(quán)限。對各個不同機(jī)構(gòu)、不同類別的跨域數(shù)據(jù)訪問者，首先其授權(quán)操作由所在機(jī)構(gòu)系統(tǒng)的訪問控制系統(tǒng)完成授權(quán)，然后OAMBRAC 系統(tǒng)為他們提供統(tǒng)一的外部接口，在統(tǒng)一外部接口處對其所擁有的權(quán)限通過EAC 部分進(jìn)行轉(zhuǎn)化表示，轉(zhuǎn)入等級授權(quán)表LMT中，對用戶的屬性值進(jìn)行權(quán)限ID 比對與分配，實(shí)現(xiàn)了對跨域訪問者的訪問控制。即OAMBRAC 方案對跨域數(shù)據(jù)訪問者實(shí)現(xiàn)了有效的訪問控制與授權(quán)。

2）對跨域訪問者獲得權(quán)限并進(jìn)行轉(zhuǎn)化表示，轉(zhuǎn)入等級授權(quán)表LMT中之后，AEP發(fā)送訪問者的查詢給AAP，根據(jù)AIP檢索與該用戶請求有關(guān)的授權(quán)信息，獲得仲裁訪問請求所必需的其他詳細(xì)信息，返回給AEP，AEP 將個人訪問請求提交給ADP 進(jìn)行裁決。通過強(qiáng)制執(zhí)行ADP 所提供的有關(guān)訪問請求的訪問決定來執(zhí)行訪問控制的功能實(shí)體，完成了將客體資源授權(quán)予訪問者。這個過程采用了基于權(quán)重加權(quán)的匹配機(jī)制，即二重變異系數(shù)權(quán)重賦值法，當(dāng)某個訪問者的訪問加權(quán)權(quán)限值不低于數(shù)據(jù)貢獻(xiàn)者設(shè)置的客體資源的訪問權(quán)限的加權(quán)數(shù)值時(shí)，才可以獲得訪問權(quán)限。即OAMBRAC 方案實(shí)現(xiàn)了對數(shù)據(jù)訪問者請求客體資源時(shí)有效的訪問控制。

3）OAMBRAC 方案對客體資源權(quán)限的訪問控制方面，數(shù)據(jù)貢獻(xiàn)者在上傳數(shù)據(jù)文件之前，就設(shè)置了文件訪問權(quán)限級別，基于該訪問權(quán)限級別計(jì)算出其加權(quán)數(shù)值，即允許訪問者獲取文件的最低加權(quán)數(shù)值。當(dāng)有訪問申請時(shí)，OAMBRAC 對數(shù)據(jù)訪問者的申請?jiān)L問權(quán)限進(jìn)行加權(quán)計(jì)算，將其結(jié)果與數(shù)據(jù)庫中被訪問權(quán)限的文件計(jì)算出的加權(quán)權(quán)限值進(jìn)行對比，只有滿足數(shù)據(jù)訪問者訪問權(quán)限的數(shù)據(jù)文件才授予訪問者。即OAMBRAC方案對客體資源權(quán)限的訪問控制與合法授權(quán)。

3 實(shí)驗(yàn)與結(jié)果分析

3.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)的環(huán)境為:主頻2.50 GHz 的4 核CPU，16 GB 內(nèi)存，4 TB 硬盤；實(shí)驗(yàn)的軟件采用CloudSim 仿真平臺，實(shí)驗(yàn)的數(shù)據(jù)集通過編寫2 000條數(shù)據(jù)訪問者的訪問請求以及4 000條數(shù)據(jù)貢獻(xiàn)者貢獻(xiàn)的數(shù)據(jù)進(jìn)行實(shí)驗(yàn)。

實(shí)驗(yàn)中，數(shù)據(jù)貢獻(xiàn)者的數(shù)據(jù)為個人心率數(shù)據(jù)，選取的心率數(shù)據(jù)取值范圍限制在每分鐘40～130次。

數(shù)據(jù)訪問者的屬性選取六種屬性:時(shí)間、地點(diǎn)、身份、目的、操作以及信譽(yù)。例如:某數(shù)據(jù)訪問者的屬性數(shù)據(jù)為〈24，GZ，3，KY，R，1〉，即表示為他的申請數(shù)據(jù)使用時(shí)間為24 h，所在地為廣州，身份等級為3 級，使用目的為科研，進(jìn)行的操作為讀操作，信譽(yù)為1。所有的這些屬性值均會被經(jīng)過各自對應(yīng)的等級量化表處理以及歸一化處理為0～1 的數(shù)值，用以進(jìn)行加權(quán)權(quán)限值計(jì)算。

3.2 數(shù)據(jù)分析

1）訪問成功率實(shí)驗(yàn)。

OAMBRAC 模型實(shí)驗(yàn)中，系統(tǒng)中云端存儲有2 000 條數(shù)據(jù)貢獻(xiàn)者所貢獻(xiàn)的數(shù)據(jù)，實(shí)驗(yàn)采用200 條數(shù)據(jù)訪問者的訪問請求，對云端數(shù)據(jù)進(jìn)行10次訪問，如圖7描述了檢測匹配的成功率?？梢钥闯?，最終的訪問成功率并不是1，原因是其中一些數(shù)據(jù)訪問者存在惡意行為、權(quán)限不足（包括被降級等），或者是沒有匹配資源等情況導(dǎo)致的；初始時(shí)訪問成功率較高，是由于個體重復(fù)訪問次數(shù)較少，對惡意行為、訪問降級等行為的判斷依據(jù)不足，從而訪問失敗的用戶較少，成功率較高，并有一定的波動性；但隨著訪問次數(shù)的增多，對惡意行為、權(quán)限不足行為等的判斷基準(zhǔn)趨于穩(wěn)定，檢測能力越來越強(qiáng)，成功率便緩步下降到一個較為平穩(wěn)的水平。通過實(shí)驗(yàn)有效地驗(yàn)證了所提出訪問控制的可行性。

圖7 數(shù)據(jù)訪問者訪問請求的成功率Fig.7 Success rate of data visitor access requests

2）變異系數(shù)加權(quán)對比實(shí)驗(yàn)。

為了避免因策略量的激增而導(dǎo)致效率的降低，在對用戶屬性值的處理上，提出了變異系數(shù)加權(quán)的方法用以直接計(jì)算各屬性的加權(quán)值。實(shí)驗(yàn)選取五個部門（自治域）各200 份的數(shù)據(jù)訪問者屬性值，計(jì)算出每個訪問者的各屬性權(quán)重以及各訪問者最終的加權(quán)權(quán)限值；為了均勻采樣，不同級別的角色權(quán)限分別取40 人，個人用戶則直接采用系統(tǒng)設(shè)定的權(quán)重值，將屬性約束在相同的種類中以便進(jìn)行對比；選取50 份數(shù)據(jù)貢獻(xiàn)者貢獻(xiàn)的數(shù)據(jù)（包含較高權(quán)限設(shè)定、中等權(quán)限設(shè)定、較低權(quán)限設(shè)定以及最低權(quán)限設(shè)定），并依據(jù)系統(tǒng)設(shè)定的參考加權(quán)系數(shù)計(jì)算出客體資源的訪問權(quán)限閾值，用以實(shí)驗(yàn)變異系數(shù)加權(quán)后對訪問數(shù)據(jù)成功率的影響，實(shí)驗(yàn)結(jié)果如圖8 所示。從圖8 可以看出，機(jī)構(gòu)所擁有的各個屬性的值越高，其訪問成功率也越高，但是當(dāng)機(jī)構(gòu)的屬性值所處水平不高時(shí)，經(jīng)過變異系數(shù)加權(quán)處理后反而會降低匹配率，而個人用戶由于直接使用與數(shù)據(jù)貢獻(xiàn)者設(shè)置權(quán)限相同的加權(quán)系數(shù)，其匹配率反而較機(jī)構(gòu)更高；為了更好地調(diào)節(jié)訪問匹配的合理性，可以通過對系統(tǒng)設(shè)定的默認(rèn)權(quán)限加權(quán)系數(shù)進(jìn)行不定期的糾正與更新，使得加權(quán)結(jié)果更加可靠。

圖8 變異系數(shù)加權(quán)對訪問成功率的影響Fig.8 Influence of variation coefficient weighting on access success rate

3）訪問時(shí)間對比實(shí)驗(yàn)。

相較于RBAC-A，本文的OAMBRAC 取消了以屬性為中心的RBAC-A 中策略規(guī)則匹配的過程，采用已知屬性的加權(quán)匹配，并把數(shù)據(jù)貢獻(xiàn)者對數(shù)據(jù)文件設(shè)定的加權(quán)權(quán)限值定為數(shù)據(jù)訪問者被允許訪問的閾值。實(shí)驗(yàn)選取了4 000 條數(shù)據(jù)貢獻(xiàn)者共享的數(shù)據(jù)，2 000 條數(shù)據(jù)訪問者的訪問請求；同時(shí)編寫同樣屬性數(shù)目（用以模擬數(shù)據(jù)訪問者的自身不同屬性的情況）的訪問控制策略規(guī)則（每條策略包含數(shù)個到數(shù)十個不等的屬性謂詞對）用于以屬性為中心的RBAC-A的訪問控制中。

如圖9 展示了OAMBRAC 與RBAC-A 訪問時(shí)間消耗的對比。實(shí)驗(yàn)數(shù)據(jù)表明:初始時(shí)，由于用戶請求量較少，基于RBAC-A 訪問策略數(shù)也較少，其策略的匹配時(shí)間相較于需要進(jìn)行加權(quán)計(jì)算和文件篩選排序的OAMBRAC 的時(shí)間消耗更少；但是隨著訪問用戶的不斷增加，基于RBAC-A 需要匹配的策略規(guī)則的條數(shù)不斷增多，RBAC-A 的請求決策匹配時(shí)間消耗也隨之變長，而OAMBRAC 的請求決策時(shí)間則更少且穩(wěn)定，在一定時(shí)間之后，OAMBRAC 的時(shí)間消耗比RBAC-A 更少。由此可見，OAMBRAC 訪問控制方法在用戶訪問數(shù)量較大的環(huán)境下相較傳統(tǒng)的訪問控制方法能夠?qū)崿F(xiàn)更高的決策效率。

圖9 決策時(shí)間消耗與策略規(guī)則數(shù)目的關(guān)系Fig.9 Relationship between decision time consumption and number of policy rules

4 結(jié)語

本文結(jié)合了基于角色訪問控制與基于屬性訪問控制，采用權(quán)限數(shù)值化計(jì)算的方式，提出了一種基于客體屬性匹配的逆向混合訪問控制方法OAMBRAC，該方法基于下一代訪問控制NGAC 的體系結(jié)構(gòu)進(jìn)行設(shè)計(jì)，便于在云計(jì)算場景中安全地進(jìn)行數(shù)據(jù)共享與數(shù)據(jù)挖掘。該方法還實(shí)現(xiàn)了對訪問控制功能的完善，通過對數(shù)據(jù)貢獻(xiàn)者和數(shù)據(jù)訪問者之間的屬性權(quán)限值進(jìn)行匹配的方法來實(shí)現(xiàn)更可靠的訪問控制管理。為了實(shí)現(xiàn)訪問者身份和相關(guān)隱私信息的包含，下一步將研究匿名可溯源的逆向混合訪問控制方案。