普適計算環境下基于信任度的模糊自適應訪問控制模型

(陜西師范大學 計算機科學學院， 西安 710062)

摘 要：在信任模型基礎上，提出一種基于信任度的模糊自適應訪問控制模型。該模型擴展信任度的概念，建立權限的區間值模糊策略規則，通過對與主體相關的上下文信息的模糊推理實現授權的有效控制。描述模型的構成要素，研究模型的區間值模糊推理算法，為解決普適計算環境下動態訪問控制授權問題提供了一定的技術手段。

關鍵詞：信任度; 訪問控制; 區間值模糊推理; 自適應; 授權模型; 普適計算

中圖分類號：TP309 文獻標志碼：A

文章編號：10013695(2009)01031103

Trustworthinessbased fuzzy adaptive access control model for pervasive computing

ZHANG Lichen，WANG Xiaoming

(School of Computer Science， Shaanxi Normal University， Xi’an 710062， China)

Abstract:Based on the current trust models，proposed the trustworthinessbased fuzzy adaptive access control model for pervasive computing (TBFAAC).The model extends the concept of trustworthiness， establishing the interval value fuzzy policy rules of permissions， achieving the effective authorization through the fuzzy reasoning based on the context information related to the subject.Described the main elements and the interval value fuzzy reasoning algorithm of the model.The TBFAAC model provides the technology for dynamic authorization in pervasive computing.Key words:trustworthiness; access control; interval value fuzzy reasoning; adaptivity; authorization model; pervasive computing

普適計算[1，2]是一種全新的計算模式，其主要實現目標是使用戶可以隨時隨地享用計算資源。傳統訪問控制模型的前提是假設系統中已經事先登記注冊了所有用戶，并以用戶的身份進行認證和訪問控制。在普適計算環境中，上面的假設不再成立。普適計算擴展了傳統計算的界限，互操作實體之間不存在靜態的信任關系，其信任關系是動態變化的，使預先登記注冊方式不能正常運行。普適計算訪問控制具有高度的模糊不確定性和動態自適應性[3，4]。互操作實體之間信任關系的模糊不確定性和動態自適應性是信任突出的特性，是信任評估的最大挑戰[5，6]。如何建立模糊不確定和動態自適應的信任模型是保證普適計算安全的一個關鍵問題。目前對信任模型和訪問控制模型的研究很多[7~10]，但應用于普適計算環境主要存在兩個方面的不足：a）沒有討論如何在陌生實體之間建立動態自適應的信任關系；b）沒有考慮普適計算上下文對信任的影響，信任的模糊不確定性和動態自適應性只是定性分析，沒有定量計算，可操作性不強。本文針對上述兩個問題，提出了一種新的適合于普適計算環境的基于信任度的模糊自適應訪問控制模型(TBFAAC模型)。該模型擴展了信任度的概念，使用靜態信任度來刻畫實體之間基于用戶身份和屬性的信任程度，使用動態信任度來刻畫實體滿足普適計算上下文安全策略的程度，很好地解決了訪問控制的動態自適應問題。針對訪問權限建立了動態信任度區間值模糊策略安全規則，并對區間值模糊推理[11，12]算法進行了詳細的討論，為解決普適計算訪問控制的模糊不確定性問題提供了一個較好的解決方案；最后，通過一個具體實例說明該模型在普適環境下的使用方法。

1 TBFAAC模型

普適計算環境下互操作的實體之間可能互不認識，需要首先建立信任關系，并且隨著上下文信息的變化，其信任關系也可能隨之改變。由于模糊數學可以直觀精確地描述事物的模糊不確定性，實體之間的信任關系可以用模糊模型來描述。本文擴展了信任的概念，將信任分為靜態信任和動態信任兩部分，將信任度分為靜態信任度和動態信任度，分別用模糊數來表示其大小。靜態信任度描述與實體的身份屬性、推薦信任、經驗有關的信任程度，通過對實體具有的屬性、推薦信任和自身經驗的評估得出實體的靜態信任度。動態信任度描述普適計算上下文信息對信任的影響。普適計算上下文信息具有信息空間和物理空間的特征，它可以分為四類，即計算上下文(如網絡的連接情況、通信成本、通信的帶寬和附近的資源）、用戶上下文(如用戶的狀態、位置、附近的人員、當前的人際關系、正在進行的活動等)、物理上下文(如光照、噪聲程度、交通條件和溫度等)、上下文的歷史[1]。在普適計算環境中，上下文信息將對授權結果具有決定性的作用。本文通過建立與上下文信息相關的模糊策略安全規則來實現動態信任對授權的決定性影響，通過模糊推理得出主體的動態信任度。所有的資源均有一個包含靜態信任和動態信任的信任度閾值，只有主體的靜態信任度和動態信任度均達到或超過資源所規定的閾值時，主體才能訪問該資源。

TBFAAC模型構成元素如下：

a)S={si︱i=1，2，…，n}是主體集合。

b)O={oi︱i=1，2，…，m}是客體集合。

c)OP={opi︱i=1，2，…，k}是操作集合。

d)P={pi︱i=1，2，…，l}是權限集合。其中權限pi=(oi，opi)， oi∈O，opi∈OP。

e)信任度tw=(tws， twd)， tws， twd∈[0，1]分別代表信任度的靜態部分和動態部分(即靜態信任度和動態信任度)，信任度的全集記為TW，靜態信任度的全集記為TWS，動態信任度的全集記為TWD。若twsi≤twsj，twdi≤twdj，則稱信任度(twsi，twdi)低于信任度(twsj，twdj)。

f)權限訪問控制集合AC = {aci︱i = 1，2，…，p}。其中，aci=(si，pi，twi)，si∈S，pi∈P，twi∈TW，表示主體si設定的允許其他主體訪問其所提供的資源即權限pi的信任度閾值twi。主體si是資源pi的原始發布者，可以設定和動態改變該資源的信任度閾值twi，以更好地適應實際環境。只有當該權限pi的請求者的信任度達到該閾值twi時，請求才被允許。

g)DEG = {degi︱i= 1， 2， …， r}是委托集合。其中degi=(issueri，pi，si，twsi，exp)，issueri，si∈S，pi∈P， twsi∈TWS，exp表示委托失效的時間，資源發布者issueri發出委托，把其所擁有的權限pi委托給si，對si的靜態信任度是twsi，委托失效的時間是exp。在這里，資源發布者issueri委托權限時對委托人的動態信任度不施加任何影響，委托人的動態信任度由上下文信息決定。

h)RULE={rulei︱i= 1， 2， …， q}是權限的動態信任度模糊策略安全規則集合。其中，rulei表示為如下形式：

(Pre1， λ1， [x-1， x+1])∧…∧(Pren， λn， [xn-， xn+])→(Q， z)

其中：(Pre1， λ1， [x-1， x+1])∧…∧(Pren， λn， [xn-， xn+])是規則前件；符號“∧”含義為邏輯“并且”；符號“→”含義為“邏輯可推導”；Prei是區間值模糊謂詞，表示與資源請求相關的上下文條件，用區間數[xi-， xi+] (0≤x-≤x+≤1)表示上下文信息的滿足程度；λi表示謂詞Prei在規則前件中的權重，λ1+…+λn=1；QP是權限的子集合，表示規則前件滿足時可授予資源請求者的權限；z∈[0，1]表示資源請求者的動態信任度。安全規則的語義為：如果一個主體請求訪問資源P∈Q，區間值模糊謂詞Pre1， …， Pren是該主體和請求資源相關的上下文信息的抽象描述，當其滿足程度即區間值隸屬度分別為[x1-， x1+]， …， [xn-，xn+]時，系統對資源請求者的動態信任度為z；當其區間值隸屬度接近于模糊謂詞的隸屬度時，系統對資源請求者的動態信任度接近z，接近的程度由上下文信息的滿足程度及推理算法決定。

在普適計算環境中，上下文信息對安全策略有著決定性的影響，并對授權結果起著重要作用，有效描述與上下文信息相關的安全策略是實現普適訪問控制的關鍵。上下文的安全策略與具體的應用環境有關。例如一個辦公室內的打印機printer1的使用策略規則是：當打印機空閑、請求者在辦公室內、當前是上班時間時，系統對請求者的動態信任度較高；當打印機繁忙、請求者不在辦公室內、當前不是上班時間時，系統對請求者的動態信任度較低。模糊理論可有效精確描述這種模糊的上下文信息，并可以對這些策略規則量化，又因為對象的隸屬真數一般難以確定，但其區間值模糊數往往容易確定，所以本文采用區間值模糊謂詞描述普適計算上下文，從訪問控制策略形式描述語言的語義級有效刻畫普適訪問控制策略的模糊不確定性特征，實現訪問控制策略對安全需求的無縫表達。用P1表示打印機空閑，P2表示請求者在辦公室內，P3表示當前是上班時間，根據實際情況，可以建立如下模糊安全策略規則：

(P1，0.3，[0.7，0.9])∧(P2，0.5，[0.8，0.9])∧(P3，0.2，[0.8，1.0])→({printer1}，0.7)

其中：在模糊策略規則前件中模糊謂詞P1，P2，P3的區間值隸屬度分別為[0.7， 0.9]、[0.8， 0.9]、[0.8， 1.0]，在規則中的權重分別為0.3、0.5、0.2。如果一個請求資源printer1的主體的上下文信息的滿足程度與規則中所述相同，則該主體的動態信任度就為0.7。

基于規則訪問控制模型的最大優點是其具有很強的靈活性、授權推理能力和策略表達能力，且易于實現，適合于普適計算訪問控制需要。本文采用區間值模糊謂詞描述動態變化的上下文信息，并建立基于動態變化的上下文信息的模糊策略安全規則，根據上下文信息推理得出資源請求者的動態信任度。

2 動態信任度的區間值模糊推理

在TBFAAC模型中，一個主體對資源的請求是否得到允許，需要滿足兩個方面的條件：a)資源的原始發布者對請求者的靜態信任度要達到資源的靜態信任度閾值，也就是一致性驗證問題；b)請求者在滿足靜態信任度閾值的前提下，系統依據被請求的資源查找動態信任度模糊策略安全規則，利用得到的普適計算上下文信息對該規則進行模糊推理，計算出系統對主體的動態信任度，如果計算出的動態信任度也達到了權限所要求的動態信任度閾值，那么請求者就可以訪問該資源。靜態信任度的初始值設置及其更新，靜態信任度的授權委托問題在文獻[13]中有詳細描述和討論，本文不再研究。本文對動態信任度模糊策略安區規則的建立和區間值模糊推理問題進行探討。

在普適計算中，如何從不完備的、模糊的上下文信息中推導出可靠的訪問控制結論是需要解決的一個關鍵問題，而模糊模型和模糊推理方法為解決這一問題提供了有效的手段。在TBFAAC模型中，權限的原始發布者指定該權限的動態信任度閾值，動態信任度模糊策略安全規則決定了權限請求者的上下文信息的滿足程度與權限的動態信任度的邏輯推理關系，當權限請求者發出請求時，系統根據該權限所屬的動態信任度推理規則和實時得到的上下文的區間值隸屬度來進行推理，得出權限請求者的動態信任度。上述推理過程可以轉換為如下區間值模糊推理問題：

已知(Pre1，λ1，[x1-，x1+])∧…∧(Pren，λn，[xn-，xn+])→(Q，z)，且給定(R1， [y1-，y1+])∧…∧(Rn， [yn-，yn+])，求(Q，v)。其中：R1， …，Rn是普適計算上下文信息即匹配事實，其區間值隸屬度表示該事實滿足的程度，由環境中的傳感器和系統狀態決定，本文不再討論。對于上述的區間值模糊推理問題，研究者已經進行了大量的研究工作，求解方法較多[11，12]。本文首先判斷規則前件與匹配事實的匹配度d，d∈[0，1]，然后用得到的匹配度與規則的結論z作乘積，最終得到v，即v=d×z。推理過程如下：

a)令P、R分別表示由規則的前件和匹配事實的隸屬度構成的1×n區間矩陣。

P=(x1，x2，…，xn)=(λ1[x1-，x1+]，λ2[x2-，x2+]，…，λn[xn-，xn+])

R=(y1，y2，…，yn)=([y1-，y1+]，[y2-，y2+]，…，[yn-，yn+])

其相應的轉置矩陣為n×1區間矩陣。

P′=(x1，x2，…，xn)′，R′=(y1，y2，…，yn)′

b)則P與R的兩兩相關性f(P，P)，f(R，R)和f(P，R)可分別由如下矩陣乘法得到:

f(P，P)=(P×P′)/n=(x1，x2，…，xn)×(x1，x2，…，xn)′/n=

(λ1x12+λ2x22+…+λnxn2)/n，f(R，R)=(R×R′)/n=(y1，y2，…，

yn)×(y1，y2，…，yn)′/n=(λ1y12+ λ2y22+…+λnyn2)/n，f(P，R)=

(P×R′)/n=(x1，x2，…，xn)×(y1，y2，…，yn)′/n=(λ1x1y1+

λ2x2y22+…+λnxn2yn2)/n

f(P，P)，f(R，R)和f(P，R)的計算結果都是區間值模糊數，令f(P，P)=[a1，a2]，f(R，R)=[b1，b2]，f(P，R)=[c1，c2]。

c)設m1=min(a1，b1，c1)，m2=min(a2，b2，c2)，M1=max(a1，b1，c1)， M2=max(a2，b2，c2)。有m1≤M1，m2≤M2。則規則前件與匹配的事實的匹配度由以下公式求出：

d=(m1+m2)/(M1+M2)

d)由上下文信息推理得到的動態信任度v=d×z，則d∈[0，1]。

以上動態信任度的區間值模糊推理具有如下優點：a）該推理算法的計算復雜度小，可操作性強。在實際應用中，n的值一般均較小。如果一條規則有n個謂詞，則需要進行的乘法計算次數如下：首先計算λixi，λiyi共為2n次，再計算λixi×xi，λixi×yi，λiyi×yi共為3n次，故時間計算復雜度為σ(5n)，僅為線性復雜度。b）由于策略規則中的模糊謂詞的隸屬度采用的區間值表示，而上下文信息是模糊的且其區間值隸屬度相對模糊數隸屬度而言更容易確定，更符合普適計算環境。c）該推理算法充分考慮了上下文信息的動態性，規則的前件不僅用區間值隸屬度表示其滿足程度，而且為每個模糊謂詞均添加了一個權重，以表示該謂詞在本推理規則的重要程度，具有較好的可擴展性。d）該推理算法具有模糊推理中非常重要的性質——還原性，即當匹配事實的區間值隸屬度與模糊規則的前件的區間值隸屬度分別對應相等時，規則前件與匹配的事實的匹配度為1，推理結果還原為z。

3 應用舉例

本文通過一個簡單的普適環境的實例對模型的應用加以說明。打印室管理員John負責打印室的激光黑白打印機printer1資源的print1服務權限以及激光彩色打印機printer2資源的print2服務權限的管理工作。在本地存儲的權限訪問控制列表為ac={(John，print1，tw1)，(John，print2，tw2)}，其中權限print1的信任度閾值tw1=(0.4，0.4)，權限print2的信任度閾值tw2=(0.6，0.7)。假如表1是資源委托列表，表2是系統的授權規則，表3所示的是系統中各主體的訪問請求。這些請求是否得到允許?

表2 權限的動態信任度模糊規則

表3 資源請求列表

主體請求日期請求權限上下文狀態

這里，anonymous表示匿名用戶，任何用戶均可以嘗試匿名訪問資源。Pre1、Pre2、Pre3是對資源請求相關的上下文條件的抽象，在這里分別表示請求者在打印室，當前時間是上班時間以及打印機處于空閑狀態，其區間值模糊隸屬度表示謂詞滿足的程度。本文不再討論區間值模糊隸屬度的初始值設定即區間值綜合評判[14]問題。

第一個請求：Peter請求訪問print2，由于Peter只經過John的授權委托，其靜態信任度0.9大于John設定的靜態信任度閾值0.6，系統將計算其動態信任度。權限print2激活了規則Rule2，根據上文介紹的區間值模糊推理計算方法，得出其動態信任度為0.713 6，大于John設定的動態信任度閾值0.7，所以通過Peter的訪問請求。

第二個請求：Mike請求訪問print1，Mike可以通過三條授權委托路徑獲得靜態信任度：a)通過John委托授權給anonymous，其靜態信任度0.3小于John設定的靜態信任度閾值04。b)通過John委托授權給Peter， Peter又委托授權給Mike，由于John委托授權給Peter的授權有效期已經到期，該路經無效。c)直接通過John的委托授權，其靜態信任度0.4等于John設定的靜態信任度閾值0.4，因此系統將計算其動態信任度； print1激活了規則rule1，根據上文介紹的區間值模糊推理計算方法，得出其動態信任度為0.285，小于John設定的動態信任度閾值0.4，所以拒絕Mike的訪問請求。

第三個請求：Mike請求訪問print2，Mike可以通過兩條授權委托路徑獲得靜態信任度：a)通過John委托授權給Mike，其靜態信任度0.5小于John設定的靜態信任度閾值0.6；b)通過John委托授權給Peter， Peter又委托授權給Mike。關于信任度的傳遞計算問題本文不再討論，可參考文獻[13，15]，假設信任傳遞的計算為該路徑上的信任度的最小值，故可得Mike的靜態信任度為0.56，Mike的靜態信任度小于John設定的靜態信任度閾值0.6，因此系統將不再計算其動態信任度，直接拒絕Mike的訪問請求。

4 結束語

在普適環境下，互操作實體之間的信任關系具有高度的模糊不確定性和動態自適應性，上下文信息作為訪問控制的重要決策因素，在普適環境下也是模糊的和不完備的，這使傳統的訪問控制理論和方法不能滿足其需要，迫切需要研究新理論和新方法。目前，國內外學者已經對實體之間的信任授權進行了深入的研究，大多研究者均采用靜態信任度的概念，信任度一旦確立，其值將不再改變，不能體現信任的模糊性和動態性，無法滿足普適計算對訪問控制強度的動態自適應性要求。郭亞軍等人[16，17]對信任的動態性進行了研究，但因沒有采用模糊集合理論，信任度的計算只是定性描述，沒有定量計算，可操作性不強。本文基于區間值模糊集合理論，利用區間模糊數表示動態信任值，建立權限的動態信任度模糊策略安全規則來描述信任的模糊性和動態性，并通過區間值模糊推理實現了信任的模糊性和動態性。在普適環境下，在資源請求者達到資源的靜態信任度閾值的前提下，系統利用得到的有關上下文信息進行區間值模糊推理，計算請求者的動態信任度，只有動態信任度也達到了權限的動態信任度閾值，請求才得到允許。在實際應用中，還可以通過改變動態信任度模糊策略安全規則中上下文謂詞的權重來動態地適應環境，增強了實用性。與目前提出的信任模型和訪問控制模型相比， TBFAAC模型使用了區間值模糊集合理論和區間值模糊推理方法， 使得TBFAAC模型能更好地體現信任的模糊不確定性和動態自適應性，更符合普適環境中的現實情況。這為通過模糊理論和模糊推理來進行普適環境下的動態訪問控制研究提供了一個新的思路。

參考文獻：

［1］

WEISER M.The computer for the twentyfirst century[J].Scientific American，1991，265(3):94104.

［2］徐光祐，史元春，謝偉凱.普適計算[J].計算機學報，2003，26(9):10421050.

［3］HILARY H H. Security is fuzzy: applying the fuzzy logic paradigm to the multipolicy paradigm[C]// Proc of the ACM Workshop on New Security Paradigms. New York:ACM Press，1993:175184.

［4］JANCZEWSKI L J，PORTOUGAL V.Needtoknow principle and fuzzy security clearances modeling[J].Information Management Computer Security，2000，8(5):210217.

［5］CHANG E，THOMSON P，DILLON T，et al.The fuzzy and dynamic nature of trust[C]//Lecture Notes in Computer Science，vol 3592.2005:161174.

［6］李小勇，桂小林.大規模分布式環境下動態信任模型研究[J].軟件學報，2007，18(6):15101521.

［7］CHARALAMPOS P，PANTELIS K，ATHANSIOS V，et al.Security and privacy in pervasive computing[J].IEEE Pervasive Computing，2007，6(4):7375.

［8］KAGAL L，FININ T，JOSHI A.Trustbased security in pervasive computing environments[J].IEEE Computer，2001，34(12):154157.

［9］ROY C，JALAL A M，PRASAS N，et al.Towards security and privacy for pervasive computing[C]// Proc of International Symposium on Software Security. Tokyo Japan: Springer，2003:115.

［10］SEIGNEUR J， FARRELL S， JENSEN C D，et al.Endtoend trust in pervasive computing starts with recognition[C]// Proc of the 1st International Conference on Security in Pervasive Computing.Germany:Springer，2004:130142.

［11］曾文藝，于福生，李洪興. 區間值模糊推理[J]. 模糊系統與數學， 2007，21(1): 6874.

［12］王國俊. 三I方法與區間值模糊推理[J].中國科學(E輯)， 2000，30(4):331340.

［13］廖俊國，洪帆，朱更明，等.基于信任度的授權委托模型[J].計算機學報，2006，29(8):12651270.

［14］關學忠，趙肖宇，關勇.一種基于區間值模糊推理的控制器設計[J]. 控制理論與應用，2004， 23(9):36.

［15］DONG C，GOOVANNI R，NARANKER D.Trust transfer in distributed system[C]// Proc of IFIP International Federation for Information Processing. Boston: Springer， 2007:1729.

［16］郭亞軍，王亮，洪帆，等.基于信任的普適計算的動態授權模型[J]. 華中科技大學學報:自然科學版，2007，35(8):7073.

［17］郭亞軍，何炎祥，嚴慧芳. 一種結構化的普適計算動態信任模型[J]. 武漢理工大學學報:交通科學與工程版，2007，31(5): 886889.