基于并發訪問請求關聯的訪問控制協調方法

史秀鵬，何涇沙，，趙 斌，張伊璇，劉若鴻

（1.北京工業大學 軟件學院，北京100124；2.北京經開股份有限公司 信息技術部，北京100176）

0 引 言

隨著網絡應用的不斷發展，網絡應用的界面內容來源于多個采用不同安全策略的訪問控制客體，應用在訪問資源的過程中會并行發出大量的訪問請求，這些訪問請求在沒有進行統一的訪問控制協調調度時會導致不安全的訪問和未授權信息的泄露。

訪問控制作為信息系統的重要保護屏障，普遍應用在操作系統、數據庫和應用系統當中。隨著應用系統的高度集成，云計算和分布式技術的快速發展，傳統的采用單一策略的訪問控制方法已經不能滿足現在安全要求。訪問控制模型在并發性、靈活性、協調管理和可擴展性等方面需要進行改進。

面向大量外部用戶的可共享的分布式開放式網絡的普及，催生了網絡應用的發展，如大型電子商務網絡、Ad Hoc網絡、社交網絡等［1］。由于網絡應用更多依賴于服務器提供網絡資源，導致了用戶同一時刻對于服務器的高并發訪問［2］。同時，網絡資源通過分布式服務器技術分散在不同物理位置或網絡域［3，4］中的服務器節點，眾多服務器實施的訪問控制策略各異，使得訪問控制難以有效統一地管理。

對于B／S結構的應用系統，資源訪問請求需要進行統一調度協調。目前web頁面設計的資源種類不再是的文字和圖片，還包含多媒體特效［5］、視頻、聲音等資源，瀏覽器按照順序的資源訪問方式，用戶往往不能第一時間看到自己需要的資源，用戶簡單的操作伴隨著頁面刷新，大量資源重復加載導致了網絡流量的浪費。同時對于客體資源的訪問控制主要依賴于服務器的認定，并發訪問請求的到來伴隨著大量的訪問授權，這樣就增加了HTTP服務器的開銷。

對于C／S結構的應用系統，資源的調取方式也往往來源于多個訪問控制的客體，雖然采用了TCP／IP 的面向持續連接的連接方式，但是不同目的地址的客體會增加連接的個數，在整個系統界面的加載過程中也沒有進行不同訪問控制的協調工作。同時并發訪問請求所請求的客體也存在著關聯關系，因此需要根據客體的關聯關系來調度調整并發訪問請求的訪問順序，根據客體訪問控制的結果來開啟或關閉其它未進行的并發訪問請求。因此如何根據安全要求及并發訪問請求的關聯關系有效協調訪問控制機制，提出有效的、滿足開放式網絡要求的動態訪問控制方案，對保護信息、資源和服務的安全以及個人隱私至關重要。研究并發訪問的關聯關系，根據不同的關聯關系制定訪問控制的協調方法，對于目前的應用系統的設計和建設具有重要的研究價值。

1 并發訪問請求

網絡應用在加載的過程中，會觸發大量的并發訪問請求，這些訪問請求將并發的調取網絡資源［6］。HTTP 訪問請求是我們常見的訪問請求的一種，通過網頁數據分析工具可以獲得web頁面的并發數據，得到對于單一頁面會出發多大程度的并發調取網絡資源的數量。

本文使用的工具是Http watch，它集成在Internet Explorer工具欄，可以查看網頁摘要、網頁字符、Cookies、緩存、訪問請求消息頭發送／接受。Http watch還能夠在顯示網頁同時顯示網頁請求和回應的日志信息，如圖1所示。

圖1 Http watch顯示網絡應用觸發的并發訪問請求

在Http watch中可以看到，在訪問淘寶網－首頁時，瀏覽器會觸發186個并發的訪問請求，180個為GET 請求，6個為POST 請求。在訪問新浪網－首頁時，瀏覽器會觸發225個并發的網絡請求，全部為GET 請求。

在HTTP請求中描述調取資源的目的地址是URL，也就是網業結構中的超鏈接，信息，可以將超鏈接視為線，網頁視為結點，這樣就組成了一個圖的結構，被稱之為網站的拓撲結構。本文使用基于Heritrix的網絡爬蟲工具提取網站網頁中的超鏈接信息，同時剔除了網頁中夾雜的無效鏈接，由于網站拓撲結構呈現出來是圖結構不利于理解和導航，本文擬將其組織成層次性結構，將網站的拓撲結構轉換成樹型結構以便認知理解，如圖2所示。

網頁的文本信息中包含的鏈接類型主要包含網頁的樣式文件鏈接、腳本文件連接、跳轉至其它頁面的鏈接和多媒體資源鏈接。跳轉型鏈接和多媒體鏈接會連接到不同的域名或IP地址，來源于不同的客體，并觸發不同客體的訪問控制。網絡連接指向的客體資源存在著一定的聯系，通過對于客體資源的識別和分類可以找到客體資源之間的關系，進而獲得訪問請求之間的關聯關系。

2 訪問請求關聯關系

2.1 關聯關系概念

在訪問請求并發訪問客體資源的過程中，并發訪問請求之間存在著相互的關聯關系，關聯關系的判斷來源于訪問請求本身屬性，還來源于訪問請求訪問客體資源之間的二元關系［7］。本文將具體的關聯關系定義為以下5種：或、與、非、依賴、聚合。

（1）“或”關系，標識為 “∪”，代表的是兩個并發訪問請求，至少有一個獲得訪問控制的允許，兩者才能繼續顯示出來。例如：通常在信息系統中，很多訪問請求存在著意義上的關聯，但關聯程度并不強烈。新聞系統中，兩則同一板塊的新聞鏈接，雖然意義上同屬于同一個新聞類型，但相互之間不存在制約的關聯關系，它們觸發的訪問控制之間是相互獨立的。

（2）“與”關系，標識為 “∩”，代表的是兩個并發訪問請求，都獲得了訪問控制的允許，兩者才能繼續顯示出來。例如：圖片和文字同時展示時，若圖片未獲得響應或者不允許訪問，則相應的文字也同時不予以展示；視頻和文字同時展示時，文字詳細描述了視頻的內容，若視頻不允許訪問，則文字的響應也不予以展示。

（3）“非”關系，標識為 “！”，代表并發訪問請求1，在并發訪問請求2訪問控制拒絕的情況下，才能顯示訪問請求1的結果。例如：在信息系統中，在一些通用的功能模塊中，普通用戶和管理員用戶的功能需求差異不大，共享著同一個用戶界面。根據用戶權限的不同，普通用戶加載界面時會隱藏管理員用戶的界面內容，同樣管理員用戶加載界面時會隱藏普通用戶的界面內容，這種互斥關系就是 “非”關系。

（4）“優先”關系，標識為 “→”，代表的是并發訪問請求1，應該在并發訪問請求2前面，優先被執行。例如：文字信息是用戶更想看到的，此時文字的現實應該放在其它信息之后展示出來；廣告在展示時是用戶較不想先看到的，應該放在后面展示。

（5）“聚合”關系，標識為 “×”，代表的是該并發訪問請求是由多個子并發請求組成的。例如：一條訪問請求鏈接道德界面模塊中包含有多個子訪問請求，這樣的訪問請求由多個子訪問請求組合而成。

2.2 多元關聯關系代數描述

并發訪問關聯關系可以采用代數計算來描述，便于通過簡單的二元關系，通過關系運算符的連接，推演為復雜的多元關系，具體描述如下：

本文定義的5種基本的訪問請求關聯關系，它們的含義如下：

（1）CR＝Request1∪Request2

操作符 “∪”表示 “或”，是二元操作符，含義是在請求Request1和請求Request2 當中，至少有一個發生，表示為：

If（（Request1＝＝1）Or（Request1＝＝1））Composite－Request＝1

（2）CR＝Request1∩Request2

操作符 “∩”表示 “與”，是二元操作符，含義是兩種請求Request1和Request2都發生，表示為：

If（（Request1＝＝1）And（Request2＝＝1））Composite－Request＝1

（3）CR＝Request1！Request2

操作符 “！”表示 “非”，是二元操作符，含義是Request1請求發生而Request2請求不發生，表示為：

If（（Request1＝＝1）And（Request2＝＝0））Composite－Request＝1

（4）CR＝Request1→Request2

操作符 “→”表示 “時序優先”，是二元操作符，含義是請求Request1在時間上發生在Request2之前，表示為：

If（（Request1＝＝1）And（Request2＝＝1）And（Request1.Time＜Request2.Time））Composite－Request＝1

（5）CR＝Request1×Request2×Request3

操作符 “×”表示 “聚合”，是多元操作符，含義是event事件實例發生n次，表示為：

If（（Request1＝＝1）Or／And（Request2＝＝1）Or／And（Request3＝＝1））Composite－Request＝1

3 基于關聯關系的訪問控制協調方法

3.1 訪問控制協調框架

在開放式網絡中，用戶對信息、資源和服務的訪問與使用仍然要求在可控條件下有條不紊地進行，以確保網絡資源最大程度地得到共享以及實現對各類資源及用戶隱私進行有效的保護［8］。訪問控制是實現以上安全要求的一項關鍵技術，目的是對用戶提出的信息、資源和服務的訪問請求按照設置的安全策略進行授權而達到有效控制。根據訪問請求的關聯關系，合理調度訪問請求，進而協調訪問控制，可以跟好的滿足系統在安全訪問和資源獲取速度上的需要。本文提出了訪問控制協調框架，如圖3所示。

圖3 訪問控制協調框架

框架的各個組成部分的功能如下。

（1）“主體”是一個主動的實體，在訪問控制協調框架中它是一個具有用戶登錄身份標識的終端或應用，主體通過發出訪問請求訪問客體。

（2）“客體”是一個被動的實體，在訪問控制協調框架中它代表的是訪問請求需要獲取的內容實體，包含信息、資源和服務等類型，主體對客體的訪問要受到訪問控制策略的限制。

（3）“并行緩沖隊列”是一個緩沖執行并發訪問請求的裝置，主體并行發出的訪問請求將被接收在并行緩沖隊列當中，暫時不向客體直接發送訪問請求，等待協調處理監控器的指令來執行訪問請求。

（4）“協調處理監控器”是一個可以檢測訪問請求狀態的裝置，它可以在 “資源關系數據庫”中查閱不同訪問控制客體之間的關系定義，實時地監控已經發出的訪問請求的資源響應情況，并且將匯總的資源響應信息發送給 “協調機制決策模塊”，由該模塊來決策調度并發訪問請求，同時負責向 “并行緩沖隊列”傳輸 “協調機制決策模塊”的決策調度指令。

（5）“資源關系數據庫”是存儲了訪問控制客體資源之間關聯關系的數據源［9］。

數據源的類型可以通過文件、數據庫和云存儲服務等形式提供給訪問控制協調框架。

3.2 協調決策過程

本文設計了一種面向關聯關系的并發訪問請求調度方法，通過合理的調度并發訪問請求進行訪問控制的協調工作，協調方法的執行流程如下：

（1）收集并發訪問的關聯關系集合，不具有關聯關系的訪問請求將直接訪問客體資源。

（2）通過訪問請求關聯關系構造多個訪問圖。

（3）每個訪問圖創建一個線程實例，加載訪問圖的結構內容。

（4）線程按照訪問圖的結構內容執行資源訪問。

（5）若訪問圖的當前層的訪問請求結果不滿足當前層的關聯關系，則訪問圖下層的節點不再繼續訪問資源。

（6）動態顯示訪問控制協調后的資源訪問結果。

訪問控制協調決策流程如圖4所示。

圖4 訪問控制協調決策流程

3.3 構造訪問圖

本文提出了訪問請求訪問圖構造算法。訪問請求訪問圖的構造算法將根據訪問請求之間的關聯關系構造訪問圖［10］，訪問請求訪問圖中每個并發的訪問請求作為訪問圖中的一個節點，訪問圖構造的過程采用遞歸的方法，將具有相互聯系的節點構造在一個訪問圖中，建立訪問請求訪問圖的過程如下：

（1）將并發的訪問請求分別創建一個訪問圖節點。

（2）根據訪問請求的屬性將訪問請求分組，觸發訪問控制的訪問請求節點單獨分為一組 （A 組），不觸發訪問控制的訪問請求節點分為一組 （B組）。

（3）A組根據訪問請求節點訪問資源的訪問控制安全級別，將節點分層，每層有關聯的節點組合起來，共同連接一個新創建的節點，稱為“匯集節點”。層與層之間有關聯關系時，上層節點通過匯集節點與下層節點組合起來，再共同連接一個新創建的匯集節點。重復執行上述，生成訪問請求訪問圖。

（4）第 （3）步中，A 組生成的訪問請求訪問圖，將相互之間沒有連接的圖拆分開，形成多張訪問圖。

（5）B組根據訪問資源的類型構造多張訪問圖，每張訪問圖中設一層訪問控制節點。

訪問圖的構造示意過程如下：

（1）在訪問請求未經過協調時，訪問請求的訪問順序是并行進行的，如圖5所示。

（2）協調方法將訪問請求節點按照訪問訪問控制安全級別分層處理，每層的訪問順序是并行進行的 （橢圓形節點為訪問控制節點，方塊形節點為匯集節點），并且在當前層滿足訪問請求關聯關系約束的情況下，才進入下一層進行節點的訪問，如圖6所示。

圖5 未經過協調的訪問請求節點

圖6 經過協調的訪問請求節點

3.4 按照訪問圖的多線程訪問資源

線程 （thread）是指一個任務從頭至尾的執行流。線程提供了運行任務的機制。一個程序可能包含多個并發執行的任務，這些線程可以在多個系統同時運行。在單處理器（single－processor）系統中，多個線程共享CPU 時間稱為時間共享 （time sharing），而操作系統負責調度分配資源給它們。這種安排是切實可行的，因為CPU 的大部分時間都是空閑的。例如，在等待用戶輸入數據時，CPU 處于空閑狀態。

線程池中定義了固定數目的線程，如果線程完成了任務的執行，它可以被重新使用以執行另外一個任務。如果線程池中所有的線程都不是處于空閑狀態，那么新加入的任務處于等待執行的狀態，多線程運行如圖7所示。

在訪問控制的協調過程中，為每個訪問圖生成一個線程，可以滿足異步進行訪問控制的要求使網絡應用的響應更快、交互性更強、執行效率更高。在協調訪問控制的過程中，由于分屬不同的訪問圖中的訪問請求并不存在關聯關系，相互的獨立的線程運行結果不會延誤其它線程獲取資源的進度。

圖7 訪問圖多線程訪問資源

同時將開啟的線程交由線程池調度，避免網絡應用消耗過多的內存資源，保證用戶系統的平穩運行，是管理并發執行線程任務個數的理想方法。

4 實驗與分析

為了驗證訪問控制協調方法的可行性，采用C＃語言的WCF框架模擬實現了訪問控制協調服務，WCF 是一款微軟推出的通信框架，可以便捷的基于該技術實現網絡服務。訪問控制協調算法將在服務的接口函數中實現，客戶端通過并發訪問服務的方式進行并發訪問控制協調方法性能的實驗。實驗通過對比的方式，對未使用訪問控制協調和使用訪問控制協調兩種模式進行比較。

在減少非安全的訪問請求方面，隨著并發訪問請求數量的增加，經過訪問控制的協調，可以有效降低非安全訪問請求的產生數量。非安全訪問請求數量對比如圖8所示。

圖8 非安全訪問請求數量對比

在加快客戶端界面加載方面，隨著并發訪問請求數量的增加，未經過訪問控制協調的客戶端界面加載緩慢，而由于協調訪問控制采用了多線程的加載方式，有效加快了客戶端界面的加載速度。界面加載時間對比如圖9所示。

實驗數據對比說明，在訪問請求并發程度高的情況下，訪問控制協調方法可以有效降低非安全訪問請求的產生，同時在加快客戶端界面的加載方面起到很好的作用。

圖9 界面加載時間對比

然而在訪問請求并發程度不高的情況下，采用并發訪問控制協調方法會占用系統內存資源，起到的效果并不明顯，這也是今后對協調方法改進的方向。

5 結束語

本文調研了目前網絡應用中并發訪問請求的構成和相互聯系，提出了并發訪問請求之間的關聯關系的類型和判定方法。在關聯關系的基礎上，本文提出了訪問控制協調的整體結構，并給出了各個部分的工作模式以滿足并發訪問請求在獲取信息、資源和服務上的功能要求。同時，本文還針對網絡應用，基于異步通訊方式和多線程技術提出了通過訪問請求調度實現訪問控制協調的方法，保證系統的并發性和安全性。

訪問控制的整體過程中，訪問控制的協調過程主要是在用戶端進行的，可以減輕服務器端的負載壓力。經過協調，沒有訪問權限的訪問請求將不再發送，從而對于整個網絡環境可以起到節約網絡流量的作用。分層訪問的方式可以在重要的資源訪問的過程中，及時發現惡意的訪問請求。同時，經過協調之后的客戶端的用戶界面將更加友好。

［1］Machida Shimon，Shimada Shigeru，Ecizen Isao.Settings of access control by detecting privacy leaks in SNS ［C］／／International Conference on Signal－Image Technology ＆Internet－Based Systems，2013：660－666.

［2］ZHANG Wei.Based on the research and implementation of concurrent access to shared resources statements control［D］.Hefei：University of Science and Technology of China，2010（in Chinese）.［張偉.基于共享資源聲明的并發訪問控制研究與實現 ［D］.合肥：中國科學技術大學，2010.］.

［3］Nekouei E，Inaltekin H，Dey S.Distributed cognitive multiple access networks：Power control，scheduling and multiuser Diversity ［C］／／IEEE International Synposium on Information Theory Proceedings，2013：1665－1669.

［4］Dourado RA，Sampaio LN，Suruagy Monteiro JA.On the composition of performance metrics in multi－domain networks ［J］.IEEE Communications Magazine，2013，51（11）：72－77.

［5］Zhu Ruifeng，Ning Jie，Yu Pei.Application of role－based access control in information system ［J］.Wavelet Active Media Technology and Information Processing，2012，16 （6）：426－428.

［6］Wu Xian，Qian Peide.Towards the scheduling of access requests in cloud storage ［C］／／8th International Conference on Computer Science ＆Education，2013：37－41.

［7］Aktoudianakis E，Crampton J，Schneider S，et al.Policy templates for relationship－based access control［C］／／11th An－nual International Conference on Privacy，Security and Trust，2013：221－228.

［8］Pan L，Liu N，Zi X.Visualization framework for inter－domain access control policy integration ［J］.Communications，China，2013，10 （3）：67－75.

［9］Kayes ASM，Jun Han，Colman A.A semantic policy framework for context－aware access control applications ［C］／／12th IEEE International Conference on Trust，Security and Privacy in Computing and Communications，2013：753－762.

［10］Hengstermovric K，Lewis F.Cooperative optimal control for multi－agent systems on directed graph topologies ［J］.IEEE Tranactions on Automatic Control，2013，59 （3）：769－774.