支持動(dòng)態(tài)策略變化的ABAC決策回收

古麗博斯坦·阿克木，努爾買買提·黑力力

(新疆大學(xué)數(shù)學(xué)與系統(tǒng)科學(xué)學(xué)院，新疆 烏魯木齊 830046)

0 引 言

訪問控制通過約束用戶的訪問權(quán)限，達(dá)到保護(hù)系統(tǒng)資源的目的[1]?；诮巧脑L問控制(Role-Based Access Control, RBAC)[2-3]和基于屬性的訪問控制(Attribute-Based Access Control, ABAC)逐漸成為研究熱點(diǎn)。ABAC在有效實(shí)現(xiàn)細(xì)粒度的非交互訪問控制機(jī)制的基礎(chǔ)上最大程度地保護(hù)了用戶數(shù)據(jù)的隱私[4]。Kuhn等人[5]提出將屬性和角色合并以使RBAC更靈活。Crampton等人[6]提出屬性表達(dá)式(Attribute Expression)的概念，給出了用表格式(Tabular)形式表示策略的方法。當(dāng)訪問控制系統(tǒng)通過用戶屬性驗(yàn)證該用戶的合法性之后，可以采用特定的訪問控制模型對(duì)滿足訪問控制要求的用戶進(jìn)行授權(quán)。傳統(tǒng)的訪問控制機(jī)制基于請(qǐng)求-響應(yīng)模式，通過應(yīng)用程序和授權(quán)服務(wù)器之間的通信進(jìn)行授權(quán)。隨著分布式應(yīng)用系統(tǒng)的規(guī)模增加，基于點(diǎn)對(duì)點(diǎn)(Point to Point, PTP)通信的授權(quán)結(jié)構(gòu)變得脆弱，管理開銷增加。如果在應(yīng)用系統(tǒng)和授權(quán)服務(wù)器之間配置一個(gè)服務(wù)點(diǎn)能否減少一定的開銷并減輕系統(tǒng)的負(fù)載呢？Wei等人[7]提出了基于發(fā)布-訂閱體系結(jié)構(gòu)的授權(quán)系統(tǒng)，該系統(tǒng)由多個(gè)策略執(zhí)行點(diǎn)(Policy Enforcement Point, PEP)、策略決策點(diǎn)(Policy Decision Point, PDP)和一個(gè)邏輯上集中的事件通知服務(wù)器(Event Notification Service, ENS)組成，ENS負(fù)責(zé)接收來自發(fā)布者的事件和訂閱者的訂閱，并將每個(gè)事件與訂閱相匹配后通知給事件訂閱者。文獻(xiàn)[8]給出了一種新的授權(quán)技術(shù)——投機(jī)授權(quán)(Speculative Authorization, SPAN)，它是一種減少企業(yè)系統(tǒng)中授權(quán)延遲的預(yù)測(cè)技術(shù)。SPAN會(huì)根據(jù)用戶過去的操作行為預(yù)測(cè)將來可能出現(xiàn)的訪問請(qǐng)求。

根據(jù)訪問策略和模型的對(duì)應(yīng)關(guān)系，學(xué)者們進(jìn)一步研究具體的訪問控制策略以及對(duì)應(yīng)的模型[9]。周加根等人[10]采用屬性表達(dá)式方式定義ABAC策略模型，提出了一種ABAC策略的本體表示方法和決策方法。Ferraiolo等人[11]提出集中管理ABAC策略以及本地計(jì)算和執(zhí)行訪問控制決策的方法，提高了ABAC系統(tǒng)的策略管理和決策效率。鐘子超[12]在一定程度上實(shí)現(xiàn)了策略匹配的優(yōu)化和策略的動(dòng)態(tài)變更。Molloy等人[13]提出基于風(fēng)險(xiǎn)的局部PDP架構(gòu)，決策分類器通過使用學(xué)習(xí)到的訪問控制策略，根據(jù)已知決策進(jìn)行訓(xùn)練并進(jìn)一步改進(jìn)模型。近期學(xué)者們[14]將ABAC模型和區(qū)塊鏈技術(shù)相結(jié)合，提出了利用智能合約(Smart Contract)進(jìn)行訪問控制決策的方案，對(duì)開放的物聯(lián)網(wǎng)(Internet of Thing, IoT)環(huán)境下實(shí)現(xiàn)動(dòng)態(tài)、分布式及可靠的訪問控制問題進(jìn)行優(yōu)化。

隨著ABAC策略研究的不斷成熟，策略管理的不同也影響著ABAC模型的結(jié)構(gòu)。訪問控制策略的管理也可以從數(shù)據(jù)挖掘方面入手，文獻(xiàn)[15]提出挖掘同時(shí)包含正、負(fù)授權(quán)規(guī)則的ABAC策略的方法，有關(guān)訪問控制發(fā)掘研究工作中首次提出有效提取負(fù)授權(quán)規(guī)則的算法。對(duì)于策略挖掘及遷移問題，文獻(xiàn)[16]提出了一種策略遷移方法，通過在屬性層次結(jié)構(gòu)條件下最優(yōu)分配用戶屬性值，使應(yīng)用傳統(tǒng)訪問控制模型的機(jī)構(gòu)能夠使用ABAC策略。

ABAC中PDP繁瑣的策略查詢?nèi)蝿?wù)以及PDP與PEP之間的網(wǎng)絡(luò)通信影響其訪問控制決策的效率。對(duì)于訪問量龐大的ABAC系統(tǒng)，若能回收利用前期的訪問控制決策結(jié)果，則能很大程度上減輕服務(wù)系統(tǒng)的工作負(fù)荷[17]。學(xué)者們先后提出二次精確授權(quán)和近似授權(quán)模型[18-19]，一定程度上提升了訪問控制系統(tǒng)和應(yīng)用系統(tǒng)的可靠性和性能。文獻(xiàn)[20]介紹了云計(jì)算環(huán)境下的合作式二次授權(quán)回收CSAR(Cooperative Secondary Authorization Recycling)方案。該方案中多個(gè)二次決策點(diǎn)(Secondary Decision Point, SDP)之間分享其緩存內(nèi)容，實(shí)現(xiàn)了掩蓋授權(quán)服務(wù)器故障和網(wǎng)絡(luò)延遲的目的。授權(quán)回收研究中授權(quán)緩存也很關(guān)鍵，緩存策略的構(gòu)建和更新也是重要研究?jī)?nèi)容之一[21-22]。學(xué)者們從RBAC入手研究授權(quán)緩存機(jī)制[23]在訪問控制系統(tǒng)中的優(yōu)勢(shì)，逐步將有關(guān)概念轉(zhuǎn)移到ABAC中，取得了一定的研究成果[24]。文獻(xiàn)[25]中發(fā)現(xiàn)PEP端緩存雖然能減少PDP上的計(jì)算開銷，但可能會(huì)產(chǎn)生一個(gè)內(nèi)部威脅(Insider Threat)端口，因此給出了檢測(cè)和防止威脅的模型。

受RBAC授權(quán)回收機(jī)制啟發(fā)[23]，本文基于文獻(xiàn)[26]中的規(guī)范，提出支持訪問控制策略動(dòng)態(tài)變化的，帶策略的3種ABAC模型的決策回收方案。緩存并利用往期的授權(quán)記錄對(duì)新請(qǐng)求做二次精確的或近似的決策，降低PDP的工作負(fù)擔(dān)和網(wǎng)絡(luò)通信次數(shù)，提升訪問控制系統(tǒng)決策主體請(qǐng)求的吞吐率。

1 ABAC模型

基于屬性的訪問控制是以相關(guān)實(shí)體的屬性為評(píng)估依據(jù)，允許或拒絕主體對(duì)資源的訪問請(qǐng)求的訪問控制機(jī)制。本文分別提供支持訪問控制策略動(dòng)態(tài)變化的3種ABAC模型的決策回收機(jī)制。策略由規(guī)則表示，根據(jù)主體屬性、資源屬性以及可能的環(huán)境屬性，可以確定是否允許訪問請(qǐng)求。文中回顧如下實(shí)體概念為基礎(chǔ)展開討論。

主體(Subject)。系統(tǒng)的訪問者，如用戶或程序等，可由主體相關(guān)的若干個(gè)屬性來刻畫主體。系統(tǒng)中全體主體屬性集記為SA。

資源(Object)。訪問請(qǐng)求的目標(biāo)，如文件、數(shù)據(jù)庫內(nèi)容等，可由資源相關(guān)的若干個(gè)屬性來刻畫資源。系統(tǒng)中全體資源屬性集記為OA。

環(huán)境(Environment)。訪問者發(fā)送請(qǐng)求時(shí)的環(huán)境因素，如訪問時(shí)間、訪問者IP地址、資源的IP地址等?？捎森h(huán)境相關(guān)的若干個(gè)屬性來刻畫環(huán)境。系統(tǒng)中全體環(huán)境屬性集記為EA。

操作(Operation)。系統(tǒng)中訪問者可對(duì)資源進(jìn)行的操作，如讀、寫、刪等。

權(quán)限(Permission)。系統(tǒng)中操作與資源的組合。

學(xué)者們分別在文獻(xiàn)[19,22,26]中提到訪問控制機(jī)制中的幾個(gè)功能“點(diǎn)”，例如策略信息點(diǎn)(Policy Information Point, PIP)、策略管理點(diǎn)(Policy Administration Point, PAP)、策略實(shí)施點(diǎn)(Policy Enforcement Point, PEP)、策略決策點(diǎn)(Policy Decision Point, PDP)，本文中不對(duì)此進(jìn)行詳細(xì)介紹。

二次決策點(diǎn)SDP。通過緩存前期授權(quán)結(jié)果，可對(duì)新請(qǐng)求做出精確的或近似的授權(quán)決策。

策略變化管理器(Policy Change Manager, PCM)。負(fù)責(zé)監(jiān)視策略庫，檢測(cè)策略變化，將策略變化信息轉(zhuǎn)發(fā)給SDP。

如圖1所示，在ABAC中，PEP接收原始訪問請(qǐng)求后將其轉(zhuǎn)發(fā)給PDP, PDP根據(jù)策略信息對(duì)該訪問請(qǐng)求進(jìn)行決策，并將決策結(jié)果轉(zhuǎn)發(fā)給PEP，最終PEP會(huì)執(zhí)行該決策。當(dāng)系統(tǒng)做出首次決策后SDP將PDP做出的決策內(nèi)容緩存下來，后期根據(jù)緩存內(nèi)容對(duì)匹配于緩存內(nèi)容的訪問請(qǐng)求做二次決策，將不匹配緩存內(nèi)容的訪問請(qǐng)求轉(zhuǎn)發(fā)給PDP做決策，關(guān)于請(qǐng)求如何匹配于策略會(huì)在下文中做出解釋。

定義1 策略。關(guān)于權(quán)限p的訪問控制策略定義為三元組Policy=〈R,p,effect〉，其中規(guī)則為R=SR∧OR∧ER, SR表示主體規(guī)則，OR表示資源規(guī)則，ER表示環(huán)境規(guī)則，p為規(guī)則對(duì)應(yīng)的權(quán)限，effect=〈permit,deny〉。若一個(gè)策略的決策為允許，即effect=permit，則稱之為正授權(quán)策略；若決策為拒絕，即effect=deny，則稱之為負(fù)授權(quán)策略。

為簡(jiǎn)便起見，本文后期內(nèi)容關(guān)于正負(fù)授權(quán)策略的表達(dá)中不再提及permit或deny。尤其在混合策略模型ABAC(H)中策略以二元組Policy±=〈R±,p〉表示，其中Policy+=〈R+,p〉為正授權(quán)策略，Policy-=〈R-,p〉為負(fù)授權(quán)策略，R+、R-為正、負(fù)授權(quán)策略的規(guī)則。由于ABAC(P)模型和ABAC(N)模型中只存在對(duì)應(yīng)的正、負(fù)授權(quán)策略，因此本文后期內(nèi)容中對(duì)策略的表達(dá)不加區(qū)分。

本文中每個(gè)策略是關(guān)于單一權(quán)限的，即策略內(nèi)容包括一個(gè)規(guī)則、一個(gè)權(quán)限以及該策略對(duì)應(yīng)的決策，其中主體、資源、環(huán)境等3類實(shí)體的規(guī)則是由若干屬性組成的布爾表達(dá)式[27]。本文中的屬性通常指二元組<屬性名：屬性值>，在大多數(shù)CP-ABE方案中，屬性名和屬性值的組合簡(jiǎn)稱為屬性。同一屬性a的屬性名n(a)和不同的屬性值vi(a)相組合看作是一個(gè)新的屬性，當(dāng)屬性a只有一個(gè)屬性值v時(shí)，a:=〈n(a):v(a)〉，當(dāng)有多個(gè)屬性值vi,i=1,2,…,t時(shí)，該屬性可以產(chǎn)生a1,a2,…,at等不同屬性，其中ai:=〈n(a):vi(a)〉,i=1,2,…,t。本文參考CP-ABE訪問策略的特點(diǎn)來定義ABAC策略。此外，為了不失一般性，盡可能豐富其表達(dá)能力，先列舉本文ABAC中可以支持的屬性，并討論如何定義關(guān)于這些屬性的規(guī)則。

1)標(biāo)稱屬性(Nominal Attribute)。在規(guī)則中以屬性名和屬性值的形式出現(xiàn)，它在某個(gè)規(guī)則體中以一個(gè)原子規(guī)則的形式出現(xiàn)，即規(guī)則體的條件部分只包含一項(xiàng)。例如，SR=〈name:Bob〉，若請(qǐng)求中存在主體屬性ai:=〈name:Bob〉，由于ai中的屬性名和屬性值都與SR中的屬性名和屬性值相匹配，所以稱主體屬性ai匹配SR。

2)二元屬性(Binary Attribute)。在規(guī)則中以屬性名和屬性值的形式出現(xiàn)，它在某個(gè)規(guī)則體中以一個(gè)原子規(guī)則的形式出現(xiàn)。例如，SR:=〈gender:1〉，(1表示男性，0表示女性)，若請(qǐng)求中存在主體屬性ai=〈gender:1〉，由于ai中的屬性名和屬性值都與SR中的屬性名和屬性值相匹配，所以稱主體屬性ai匹配SR。

3)序?qū)傩?Ordinal Attribute)。一個(gè)序?qū)傩缘乃兄抵g存在全序關(guān)系。例如，一個(gè)level屬性有5個(gè)不同的值：excellent, good, average, fair, poor，并且有excellent>good>average>fair>poor。本文在ABAC規(guī)則中將原始規(guī)則內(nèi)容表示為SR1∨SR2∨SR3的形式，其中SR1=〈level:excellent〉, SR2=〈level:good〉, SR3=〈level:average〉，若請(qǐng)求中存在主體屬性ai=〈level:good〉，由于ai中的屬性名和屬性值都與SR2中的屬性名和屬性值相匹配，所以稱主體屬性ai匹配SR1∨SR2∨SR3。

4)數(shù)值屬性(Numeric Attribute)。它只支持離散的有限屬性值。例如，score屬性有5個(gè)不同的值：1、2、3、4、5。可以將原始規(guī)則內(nèi)容〈3≤score≤5〉表示為SR1∨SR2∨SR3的形式，其中SR1=〈score:3〉,SR2=〈score:4〉,SR3=〈score:5〉。若請(qǐng)求中存在主體屬性ai=〈score:3〉，由于ai中的屬性名和屬性值都與SR1中的屬性名和屬性值相匹配，所以稱主體屬性ai匹配SR1∨SR2∨SR3。

以上列出的規(guī)則和請(qǐng)求均為關(guān)于主體的規(guī)則和請(qǐng)求中的主體相關(guān)屬性，關(guān)于資源和環(huán)境的屬性也是類似的。根據(jù)前面的解釋，本文后期內(nèi)容將直接討論屬性而不再將它拆分成屬性名和屬性值，也不再討論“>”“≤”“≥”“<”等數(shù)學(xué)運(yùn)算符。

由原子規(guī)則和邏輯運(yùn)算符“或”“與”的嵌套使用，可以得到更復(fù)雜的規(guī)則，如SRi=(a1∨a2)∧(a3∨a4)，其中a1、a2、a3、a4均為由屬性名和屬性值組成的二元組。為了后續(xù)方便討論，將規(guī)則轉(zhuǎn)化成集合的形式，上述規(guī)則可表示為以極小屬性集[28]為元素的集合，如SRi={{a1,a3},{a1,a4},{a2,a3},{a2,a4}}，其中的每個(gè)極小屬性集記為Sai，如Sa1={a1,a3},Sa2={a1,a4},Sa3={a2,a3},Sa4={a2,a4}。

本文僅圍繞單個(gè)權(quán)限p的訪問請(qǐng)求、策略和緩存內(nèi)容展開敘述，關(guān)于多個(gè)不同權(quán)限的情形可以依次類推。假設(shè)主體想要訪問權(quán)限p，主體關(guān)于權(quán)限p的訪問請(qǐng)求定義為四元組〈(SA,OA,EA),p〉，其中，SA為主體相關(guān)屬性集，OA為資源相關(guān)屬性集，EA為環(huán)境相關(guān)屬性集。PEP將主體的訪問請(qǐng)求轉(zhuǎn)發(fā)給PDP，當(dāng)請(qǐng)求〈(SA,OA,EA),p〉中的各屬性集都匹配關(guān)于權(quán)限p的n個(gè)策略中的至少一個(gè)時(shí)(請(qǐng)求中的各屬性集分別匹配策略中對(duì)應(yīng)的規(guī)則)，稱請(qǐng)求匹配策略。由于每個(gè)策略與其中的規(guī)則是一一對(duì)應(yīng)的，此后，匹配策略和匹配規(guī)則不加區(qū)分。下面給出ABAC的3種模型。

ABAC(P)模型(封閉世界策略模型)。策略庫中所有策略為正授權(quán)策略，當(dāng)請(qǐng)求匹配策略時(shí)，則系統(tǒng)對(duì)該請(qǐng)求最終的訪問控制決策為允許，否則為拒絕。

ABAC(N)模型(開放世界策略模型)。策略庫中所有策略為負(fù)授權(quán)策略，當(dāng)請(qǐng)求匹配策略時(shí)，則系統(tǒng)對(duì)該請(qǐng)求最終的訪問控制決策為拒絕，否則為允許。

ABAC(H)模型(混合策略模型)。關(guān)于任意的權(quán)限p，正、負(fù)授權(quán)策略可以同時(shí)存在，對(duì)訪問控制決策有如下定義：

1)當(dāng)關(guān)于權(quán)限p只有正授權(quán)策略時(shí)，關(guān)于該權(quán)限，模型退化為ABAC(P)模型。

2)當(dāng)關(guān)于權(quán)限p只有負(fù)授權(quán)策略時(shí)，關(guān)于該權(quán)限，模型退化為ABAC(N)模型。

3)當(dāng)關(guān)于權(quán)限p正、負(fù)授權(quán)策略都存在時(shí)，則：

①若請(qǐng)求只匹配正授權(quán)策略且不匹配負(fù)授權(quán)策略，決策結(jié)果為允許。

②若請(qǐng)求只匹配負(fù)授權(quán)策略且不匹配正授權(quán)策略，決策結(jié)果為拒絕。

③若請(qǐng)求同時(shí)匹配正、負(fù)授權(quán)策略，稱出現(xiàn)策略沖突，請(qǐng)求由PEP做訪問控制決策。

④若請(qǐng)求不匹配所有的正、負(fù)授權(quán)策略，稱出現(xiàn)策略缺失，請(qǐng)求由PEP做訪問控制決策。

2 ABAC(P)模型的決策回收

研究者們考慮到ABAC系統(tǒng)中查詢策略操作最為普遍，因此引入授權(quán)回收機(jī)制，通過記載和利用往期訪問控制決策信息提高后期決策的效率。本文提出一種ABAC決策回收機(jī)制，緩存并利用往期的授權(quán)記錄對(duì)新請(qǐng)求做二次精確的或近似的決策，降低PDP的工作負(fù)擔(dān)和網(wǎng)絡(luò)通信次數(shù)，提升訪問控制系統(tǒng)決策主體請(qǐng)求的吞吐率。

本文提出帶策略的決策回收模式。帶策略的決策回收模式指PDP做出決策后返回給SDP的內(nèi)容是PDP遍歷過的所有策略內(nèi)容以及決策，當(dāng)有新的訪問請(qǐng)求時(shí)，可由緩存過的請(qǐng)求、策略和決策做出二次決策；如果緩存當(dāng)中沒有新請(qǐng)求可匹配的內(nèi)容，新請(qǐng)求再次轉(zhuǎn)發(fā)給PDP做決策。

帶策略的決策回收模式的優(yōu)勢(shì)是盡可能地減少PDP檢索策略的過程，使SDP可重復(fù)利用PDP遍歷過一次的策略內(nèi)容，從而降低PDP的工作負(fù)荷。

下面對(duì)ABAC(P)模型的決策回收模式展開討論。

2.1 緩存構(gòu)建

當(dāng)PDP收到請(qǐng)求〈(SA,OA,EA),p〉時(shí)，對(duì)請(qǐng)求和策略進(jìn)行對(duì)比，查找請(qǐng)求可匹配的策略。如果將每次查詢過的策略也作為緩存的內(nèi)容儲(chǔ)存起來，就可以提高訪問控制系統(tǒng)后續(xù)決策的效率，提升系統(tǒng)決策請(qǐng)求的吞吐量。該模式中PDP回復(fù)PEP的決策形式分別定義為(〈(SA,OA,EA),p〉,permit),(〈({SA}/⊥,{OA}/⊥,{EA}/⊥),p〉,deny)。本節(jié)分別創(chuàng)建關(guān)于權(quán)限p由允許決策和拒絕決策構(gòu)成的正緩存CacheP+(p)和負(fù)緩存CacheP-(p)。

CacheP+(p)={〈(SRi,ORi,ERi),p〉|p∈Permission,i≥1}

首先假設(shè)PDP中的策略庫關(guān)于權(quán)限p含有n個(gè)策略，SDP為空，當(dāng)PEP收到第一個(gè)訪問請(qǐng)求〈(SA,OA,EA),p〉后，將其轉(zhuǎn)發(fā)給PDP做決策。

1)若PDP查詢策略庫中m個(gè)策略，發(fā)現(xiàn)請(qǐng)求匹配第m個(gè)策略，則PDP將允許決策(〈(SRi,ORi,ERi),p〉i1,…,im,permit)轉(zhuǎn)發(fā)給SDP,SDP將其中有關(guān)策略的內(nèi)容〈(SRi,ORi,ERi),p〉i1,…,im緩存到CacheP+(p)中，即將遍歷過的策略緩存到正緩存當(dāng)中。

2)若請(qǐng)求不匹配所有的策略，可分2種情形討論。

①若請(qǐng)求中3類實(shí)體屬性集都不匹配所有的策略，則PDP將拒絕決策(〈({SA},{OA},{EA}),p〉,deny)和遍歷過的n個(gè)策略內(nèi)容轉(zhuǎn)發(fā)給SDP,SDP將其中有關(guān)策略的內(nèi)容〈(SRi,ORi,ERi),p〉i1,…,in緩存到CacheP+(p)中，同時(shí)將有關(guān)請(qǐng)求的內(nèi)容〈({SA},{OA},{EA}),p〉緩存到CacheP-(p)中。

②若請(qǐng)求中至少有一個(gè)實(shí)體屬性集不匹配所有的策略，則PDP對(duì)請(qǐng)求內(nèi)容只保留不匹配的屬性集，匹配的屬性集以⊥代替。假定OA不匹配所有的策略，SA和EA至少匹配一個(gè)策略，則PDP將拒絕決策(〈(⊥,{OA},⊥),p〉,deny)和遍歷過的n個(gè)策略內(nèi)容轉(zhuǎn)發(fā)給SDP,SDP將其中有關(guān)策略的內(nèi)容〈(SRi,ORi,ERi),p〉i1,…,in緩存到CacheP+(p)中，同時(shí)將有關(guān)請(qǐng)求的內(nèi)容〈(⊥,{OA},⊥),p〉緩存到CacheP-(p)中。

2.2 SDP決策規(guī)則

SDP決策規(guī)則是SDP生成精確或近似決策的規(guī)則。由于本模型中策略庫僅含正授權(quán)策略，所以SDP檢索正、負(fù)緩存內(nèi)容時(shí)應(yīng)遵循先正后負(fù)的順序。下面給出SDP的2種決策規(guī)則。

可以看出，對(duì)做好高校會(huì)計(jì)核算工作的認(rèn)識(shí)比較一致，最大的區(qū)別是在“依法依規(guī)正確設(shè)置會(huì)計(jì)科目”問題上，這個(gè)問題也可以看出會(huì)計(jì)管理的信息化程度，區(qū)外高校的會(huì)計(jì)信息化比較高，完全可以通過軟件自動(dòng)依法依規(guī)正確設(shè)置會(huì)計(jì)科目。只有存在半手工核算的學(xué)校才會(huì)人為調(diào)整而出現(xiàn)會(huì)計(jì)科目不統(tǒng)一和不正確的現(xiàn)象。

由CacheP+(p)的構(gòu)造方法可知，緩存內(nèi)容〈(SRi,ORi,ERi),p〉是PDP中的策略。由?Sa∈SRi,Sa?SA*,?Oa∈ORi,Oa?OA*,?Ea∈ERi,Ea?EA*可知，請(qǐng)求〈(SA*,OA*,EA*),p〉滿足PDP中的策略，即若由PDP決策也是被允許的。

由CacheP-(p)的構(gòu)造方法可知，歷史請(qǐng)求中的SAe、OAf、EAt都不滿足PDP策略中對(duì)應(yīng)的主體、資源和環(huán)境規(guī)則。

所以，若SA*?SAe，則SA*不滿足PDP所有策略中的主體規(guī)則；若OA*?OAf，則OA*不滿足PDP所有策略中的資源規(guī)則；若EA*?EAt，則EA*不滿足PDP所有策略中的環(huán)境規(guī)則。故若請(qǐng)求〈(SA*,OA*,EA*),p〉由PDP決策，則它也會(huì)被拒絕。

2.3 緩存更新

ABAC(P)模型為封閉世界策略模型，策略庫所包含的規(guī)則作為允許決策的前提條件。系統(tǒng)管理員可以通過策略管理點(diǎn)PAP部署策略，內(nèi)置在PDP中的組件PCM負(fù)責(zé)檢測(cè)策略庫中策略的變化。當(dāng)SDP非空且新的請(qǐng)求匹配緩存內(nèi)容時(shí)，SDP可由緩存內(nèi)容做出二次允許決策，不更新任何緩存，當(dāng)請(qǐng)求不匹配緩存內(nèi)容或策略庫發(fā)生策略變化時(shí)，需要更新或壓縮緩存內(nèi)容。對(duì)于新請(qǐng)求不匹配緩存內(nèi)容的情況，該請(qǐng)求會(huì)由PDP做訪問控制決策并需要更新到相應(yīng)的緩存。對(duì)于策略庫發(fā)生策略變化的情況，PCM一旦發(fā)現(xiàn)策略變化會(huì)及時(shí)地將該變化信息轉(zhuǎn)發(fā)給SDP以便SDP更新相應(yīng)的緩存內(nèi)容。緩存壓縮是指緩存更新時(shí)參照SDP決策規(guī)則對(duì)緩存內(nèi)容進(jìn)行相應(yīng)的合并或刪減，相關(guān)分析如下。

2.3.1 新請(qǐng)求不匹配緩存內(nèi)容

值得注意的是當(dāng)SDP收到PDP的首個(gè)訪問控制拒絕決策后便知策略庫中關(guān)于權(quán)限p的訪問控制策略個(gè)數(shù)n，因此根據(jù)正、負(fù)緩存關(guān)于權(quán)限p所含有的內(nèi)容，請(qǐng)求不匹配緩存內(nèi)容可分為以下情況進(jìn)行分析。

1)當(dāng)CacheP+(p)=〈(SRi,ORi,ERi),p〉i1,…,im,m≤n,CacheP-(p)=?時(shí)：

①若新請(qǐng)求〈(SA*,OA*,EA*),p〉不匹配正緩存內(nèi)容時(shí)，則請(qǐng)求再次被發(fā)送給PDP。若查詢u個(gè)策略后發(fā)現(xiàn)該請(qǐng)求可匹配的策略，PDP會(huì)將允許決策(〈(SRi,ORi,ERi),p〉i1,…,iu,permit)轉(zhuǎn)發(fā)給SDP,SDP將其中有關(guān)策略的內(nèi)容〈(SRi,ORi,ERi),p〉i1,…,iu緩存到CacheP+(p)中，并對(duì)CacheP+(p)中重復(fù)的策略內(nèi)容進(jìn)行合并。

②若請(qǐng)求不匹配策略庫中所有的策略時(shí)，則按照2.1節(jié)緩存構(gòu)建方法步驟2中的第②步，PDP對(duì)請(qǐng)求內(nèi)容只保留不匹配策略的屬性集再將其轉(zhuǎn)發(fā)給SDP,SDP對(duì)CacheP+(p)中重復(fù)的策略內(nèi)容進(jìn)行合并。

2)當(dāng)CacheP-(p)非空時(shí)，根據(jù)緩存構(gòu)建方法CacheP+(p)已含有關(guān)于權(quán)限p的所有策略內(nèi)容，若新請(qǐng)求〈(SA*,OA*,EA*),p〉不匹配正、負(fù)緩存內(nèi)容，則請(qǐng)求由SDP做出二次拒絕決策，此時(shí)按照2.1節(jié)緩存構(gòu)建方法步驟2中的第②步，SDP對(duì)請(qǐng)求內(nèi)容只保留不匹配策略的屬性集，并將其緩存到CacheP-(p)中。

2.3.2 策略庫發(fā)生策略變化

當(dāng)策略庫中發(fā)生策略變化時(shí)，PCM會(huì)將檢測(cè)到變化的策略信息轉(zhuǎn)發(fā)給SDP，使SDP對(duì)緩存內(nèi)容進(jìn)行更新并壓縮。下面給出3種情景分析。

情景1 增加關(guān)于權(quán)限p的策略Policyn+1,Policyn+2,…,Policyn+m。

當(dāng)有新策略Policyn+i加入策略庫時(shí)，PCM檢測(cè)到新的策略〈(SRn+i,ORn+i,ERn+i),p〉并將該策略轉(zhuǎn)發(fā)給SDP,SDP將新的策略內(nèi)容緩存到CacheP+(p)，并從CacheP-(p)中刪除關(guān)于權(quán)限p的所有緩存內(nèi)容。

情景2 刪減關(guān)于權(quán)限p的策略Policyi1,Policyi2,…,Policyil。

從策略庫中刪減已有策略Policyij時(shí)，SDP中CacheP+(p)內(nèi)容會(huì)受影響，因此PCM檢測(cè)到被刪除策略〈(SRij,ORij,ERij),p〉后將其轉(zhuǎn)發(fā)給SDP,SDP將該策略內(nèi)容從CacheP+(p)中刪除，不對(duì)CacheP-(p)進(jìn)行更新。

情景3 修改關(guān)于權(quán)限p的策略。

當(dāng)管理員修改關(guān)于權(quán)限p的策略時(shí)，PCM通知SDP關(guān)于該權(quán)限修改后的策略〈(SRil,ORil,ERil),p〉,SDP會(huì)立即從CacheP+(p)、CacheP-(p)中刪除關(guān)于權(quán)限p的緩存內(nèi)容，將修改后的策略緩存到CacheP+(p)中。

3 ABAC(N)模型的決策回收

關(guān)于ABAC(N)模型的決策回收，可以看作是ABAC(P)模型決策回收的對(duì)偶問題。ABAC(P)模型中策略庫所含有的是正授權(quán)策略，請(qǐng)求匹配策略時(shí)被允許，否則被拒絕。而ABAC(N)模型恰恰相反，策略庫含有負(fù)授權(quán)策略，請(qǐng)求匹配策略時(shí)被拒絕，否則被允許。因此該模型中緩存的構(gòu)建、SDP決策規(guī)則的定義及緩存的更新等內(nèi)容可看作是ABAC(P)模型中相關(guān)內(nèi)容的對(duì)偶問題。所以，本文不再贅述。

4 ABAC(H)模型的決策回收

如第1章內(nèi)容所提到的，ABAC(H)模型支持對(duì)于同一權(quán)限同時(shí)存在正、負(fù)授權(quán)策略的情形。當(dāng)該模型中對(duì)于權(quán)限p只存在正/負(fù)授權(quán)策略時(shí)，關(guān)于該權(quán)限模型會(huì)退化為ABAC(P)/ABAC(N)模型，因此本章不再討論只存在同一種授權(quán)策略的情況，將關(guān)注關(guān)于權(quán)限p同時(shí)存在正、負(fù)授權(quán)策略的情況。

結(jié)合實(shí)際應(yīng)用不難發(fā)現(xiàn)，訪問控制系統(tǒng)關(guān)于某一權(quán)限可同時(shí)出現(xiàn)允許訪問和拒絕訪問的訪問策略。因此正、負(fù)授權(quán)策略的同時(shí)存在，對(duì)緩存的構(gòu)建、SDP決策規(guī)則以及緩存更新都會(huì)帶來一定的難度。下面對(duì)ABAC(H)模型的決策回收模式展開討論。

4.1 緩存構(gòu)建

假定策略庫可能會(huì)同時(shí)包含正負(fù)授權(quán)策略，因此PDP根據(jù)請(qǐng)求匹配正、負(fù)授權(quán)策略的情況，做出允許、拒絕以及不可判定的決策。PDP的決策形式分別為(〈(SR+,OR+,ER+),p〉,permit)、(〈(SR-,OR-,ER-),p〉,deny)、(〈(SA,OA,EA),p〉,undecided)，分別創(chuàng)建關(guān)于權(quán)限p由允許決策和拒絕決策構(gòu)成的正緩存CacheH+(p)和負(fù)緩存CacheH-(p)。

3)若請(qǐng)求同時(shí)匹配正、負(fù)授權(quán)策略或不匹配所有的正、負(fù)授權(quán)策略，則PDP將決策(〈(SA,OA,EA),p〉,undecided)轉(zhuǎn)發(fā)給SDP,SDP不對(duì)該決策進(jìn)行緩存，由PEP做訪問控制決策。

4.2 SDP決策規(guī)則

緩存構(gòu)建考慮到對(duì)于請(qǐng)求PDP遍歷策略庫時(shí)可能會(huì)出現(xiàn)請(qǐng)求僅匹配正/負(fù)授權(quán)策略、請(qǐng)求同時(shí)匹配正負(fù)授權(quán)策略及請(qǐng)求不匹配任何授權(quán)策略等情形，然而請(qǐng)求同時(shí)匹配正負(fù)授權(quán)策略和請(qǐng)求不匹配任何授權(quán)策略的情況下由PEP做決策，因此在SDP決策規(guī)則當(dāng)中僅考慮匹配一種授權(quán)策略的情形。下面給出SDP的2種決策規(guī)則。

證明：可參考定理3的證明，不再贅述。

4.3 緩存更新

4.3.1 新請(qǐng)求不匹配緩存內(nèi)容

由于ABAC(H)模型中策略庫同時(shí)包含關(guān)于權(quán)限p的正、負(fù)授權(quán)策略，PDP遍歷策略庫時(shí)檢索出請(qǐng)求匹配的一個(gè)正授權(quán)策略和一個(gè)負(fù)授權(quán)策略時(shí)才會(huì)停止遍歷。值得注意的是當(dāng)SDP收到PDP的首個(gè)訪問控制不可判定(undecided)決策后便知策略庫中關(guān)于權(quán)限p有v個(gè)正授權(quán)策略和n-v個(gè)負(fù)授權(quán)策略。新請(qǐng)求〈(SA*,OA*,EA*),p〉不匹配正、負(fù)緩存內(nèi)容時(shí)，請(qǐng)求再次被發(fā)送給PDP。對(duì)此做如下分析。

2)若發(fā)現(xiàn)該請(qǐng)求可匹配的負(fù)授權(quán)策略，但沒有可匹配的正授權(quán)策略時(shí)，同樣根據(jù)4.1節(jié)緩存構(gòu)建方法步驟2對(duì)遍歷過的策略進(jìn)行緩存，并對(duì)CacheH+(p)、CacheH-(p)中重復(fù)的策略進(jìn)行合并。

3)若新請(qǐng)求不匹配策略庫中所有的策略或同時(shí)匹配正、負(fù)授權(quán)策略時(shí)，PDP會(huì)將決策(〈(SA*,OA*,EA*),p〉,undecided)轉(zhuǎn)發(fā)給SDP,SDP不對(duì)該決策進(jìn)行緩存，該請(qǐng)求由PEP做訪問控制決策。

4.3.2 策略庫發(fā)生策略變化

當(dāng)策略庫中發(fā)生策略變化時(shí)，PCM將檢測(cè)到變化的策略信息轉(zhuǎn)發(fā)給SDP，使SDP對(duì)緩存內(nèi)容進(jìn)行更新并壓縮。下面給出3種情景分析。

情景1 增加正(負(fù))授權(quán)策略。

增加正(負(fù))授權(quán)策略時(shí)，PCM檢測(cè)到新策略并將新策略內(nèi)容轉(zhuǎn)發(fā)給SDP，使其更新CacheH+(p)(CacheH-(p))。

情景2 刪減正(負(fù))授權(quán)策略。

刪減正(負(fù))授權(quán)策略時(shí)，PCM檢測(cè)到策略變化并將策略變化信息轉(zhuǎn)發(fā)給SDP，使其從CacheH+(p)(CacheH-(p))中刪減該內(nèi)容。

情景3 修改策略。

當(dāng)管理員修改關(guān)于權(quán)限p的策略時(shí)，PCM通知SDP關(guān)于該權(quán)限的策略變化，SDP會(huì)立即從CacheH+(p)、CacheH-(p)中刪除關(guān)于權(quán)限p的所有緩存內(nèi)容，避免修改的策略內(nèi)容和2個(gè)緩存內(nèi)容有沖突。

5 實(shí) 驗(yàn)

通過實(shí)驗(yàn)驗(yàn)證本文提出的決策回收方法的有效性。實(shí)驗(yàn)環(huán)境中PDP服務(wù)器的配置是內(nèi)存為16 GB的4核CPU，操作系統(tǒng)為Ubuntu 20.04 Server 64 bit，服務(wù)器軟件為Nginx/1.18.0，服務(wù)器網(wǎng)絡(luò)環(huán)境的帶寬為5 Mbit/s；SDP服務(wù)器的配置是內(nèi)存為8 GB的2核CPU，操作系統(tǒng)為Ubuntu 18.04 64 bit，服務(wù)器軟件為Nginx/1.15.8，服務(wù)器網(wǎng)絡(luò)環(huán)境的帶寬為50 Mbit/s。

由于ABAC(P)模型和ABAC(N)模型是對(duì)偶模型，因此不對(duì)ABAC(N)模型進(jìn)行實(shí)驗(yàn)。其余2類模型的實(shí)驗(yàn)參數(shù)設(shè)置為關(guān)于100個(gè)權(quán)限設(shè)有10000條策略。其中ABAC(P)模型中所有策略是正授權(quán)策略，ABAC(H)模型中關(guān)于每個(gè)權(quán)限1/3是正授權(quán)策略，1/3是負(fù)授權(quán)策略，1/3是正、負(fù)授權(quán)策略同時(shí)存在。其中主體、資源、環(huán)境總屬性各為10個(gè)，主體規(guī)則、資源規(guī)則、環(huán)境規(guī)則隨機(jī)產(chǎn)生且其含有平均5個(gè)屬性來自于對(duì)應(yīng)的總屬性，規(guī)則中的“∧”“∨”運(yùn)算隨機(jī)產(chǎn)生。關(guān)于以上100個(gè)權(quán)限給出10000條請(qǐng)求，其中主體、資源、環(huán)境屬性來自于對(duì)應(yīng)的總屬性并平均各5個(gè)。

2類模型的實(shí)驗(yàn)中對(duì)每一個(gè)模型分別設(shè)有無緩存狀態(tài)和開啟緩存狀態(tài)，無緩存狀態(tài)實(shí)驗(yàn)中訪問用戶向系統(tǒng)發(fā)送的請(qǐng)求一律由PDP進(jìn)行決策并發(fā)給PEP直接實(shí)施。開啟緩存狀態(tài)實(shí)驗(yàn)中訪問用戶的請(qǐng)求由PDP進(jìn)行決策之后由SDP緩存到相應(yīng)的正、負(fù)緩存中，再由PEP實(shí)施。此時(shí)后期的請(qǐng)求可以根據(jù)SDP決策規(guī)則由SDP進(jìn)行決策。

訪問控制系統(tǒng)處于無緩存狀態(tài)和開啟緩存狀態(tài)下，對(duì)每一類模型的不同狀態(tài)進(jìn)行5次實(shí)驗(yàn)，統(tǒng)計(jì)系統(tǒng)的決策響應(yīng)時(shí)間并取平均值。平均決策時(shí)間如圖2所示。開啟緩存后2個(gè)模型的決策時(shí)間分別節(jié)省了23%和21%。

用SDP進(jìn)行決策的請(qǐng)求數(shù)量以及趨勢(shì)如圖3所示。隨著緩存內(nèi)容的增加，由SDP進(jìn)行決策的請(qǐng)求數(shù)量逐漸增加。

從實(shí)驗(yàn)數(shù)據(jù)中，選取了一個(gè)權(quán)限(僅存在正授權(quán)的)進(jìn)行觀察，關(guān)于該權(quán)限的策略共有103條，關(guān)于該權(quán)限的請(qǐng)求有116條，其中82條被允許，34條被拒絕。相關(guān)數(shù)據(jù)如表1所示。對(duì)于給定的權(quán)限而言，其策略中出現(xiàn)的某個(gè)屬性的頻次越多，該屬性的重要性就越高，含有該屬性的請(qǐng)求被允許的可能性越大；未含有該屬性的請(qǐng)求被拒絕的可能性越大。即對(duì)于給定的權(quán)限，一個(gè)屬性在相關(guān)策略和請(qǐng)求中出現(xiàn)的頻次一定程度上會(huì)影響含有該屬性的請(qǐng)求是否被允許。

表1 屬性頻次統(tǒng)計(jì)表

6 結(jié)束語

本文根據(jù)訪問控制實(shí)踐中常見的3種元策略——封閉世界策略、開放世界策略以及混合策略，分別提出ABAC(P)、ABAC(N)及ABAC(H)這3種訪問控制模型以及相應(yīng)的帶策略決策回收方法。本文提出的決策回收方法可以減少SDP和PDP之間的通信次數(shù)，從而降低PDP工作負(fù)荷，提高訪問控制系統(tǒng)的決策性能，同時(shí)支持策略變化。后期的研究工作中將考慮如何提高ABAC模型的策略表達(dá)能力，以及更加有效的決策回收機(jī)制。