ABPAC:一種基于屬性的起源訪問控制模型

岳　瑋, 王鳳英

(山東理工大學 計算機科學與技術學院， 山東 淄博 255049)

ABPAC:一種基于屬性的起源訪問控制模型

岳瑋, 王鳳英

(山東理工大學 計算機科學與技術學院， 山東 淄博 255049)

摘要：在復雜多變的網絡環境下，起源數據的規模、復雜度、敏感度逐漸提升，對起源數據的訪問控制比傳統數據的訪問控制更加復雜.為了防止細粒度的起源數據遭受未授權用戶的非法訪問，結合W3C標準下起源核心數據模型PROV-DM中定義的起源基本屬性，提出了一種基于屬性的起源訪問控制模型ABPAC和ABPAC模型的屬性描述模型.從六個方面對ABPAC模型進行形式化描述，劃分了用戶屬性，并通過起源屬性匹配方法實現了用戶靈活、準確地對起源數據進行訪問，最后給出了模型的實現流程.分析表明，該模型能夠較好的滿足對細粒度起源數據的訪問需求.

關鍵詞：起源數據； 訪問控制； PROV-DM； ABPAC； 屬性描述模型； 起源屬性匹配方法

數據起源是研究數據演變到當前狀態所涉及的一系列歷史數據及數據之間的依賴關系.迄今為止，對于起源的研究主要集中在建模，語義描述，工作流，計算，存儲，查詢等方面.隨著信息的爆炸式增長，與信息本身密切相關的起源信息勢必成指數型增長趨勢.近幾年來，數據起源在生物[1]，醫學[2]，天文[3]等諸多領域的都有著深入研究和廣泛應用，對于起源數據的安全性要求也逐漸提升.目前很多領域內的起源研究人員仍不能有效地保證起源信息的安全性，各種起源安全問題的頻繁發生阻礙了人們對數據演變歷史的追蹤，訪問控制技術是保證起源信息安全授權訪問的有效途徑之一.

1相關問題及研究現狀

1.1數據起源及相關安全問題研究

近幾年，國際上研究數據起源最具有影響力的組織IPAW(國際起源標注工作組)對數據起源的標準化和應用等方面展開了深入的研究.其中，影響較為廣泛的數據起源相關內容有：2006年第一屆IPAW會議上提出的Theopenprovenancemodel[4](OPM，開放起源模型)，構建了一套獨立的技術規范和圖形符號，并進行了形式化描述，基本上形成了業界起源信息交換的標準雛形.2012年，第四屆IPAW會議，在OPM模型的基礎上推出PROV家族[5](主要包括起源數據模型、單向起源圖到RDF的映射、本體語言、訪問和查詢機制、條件限制、起源標注等),從此PROV家族正式成為W3C標準中的一員，并作為數據起源研究的技術規范.圖1為PROV家族的核心成員PROV-DM(數據起源核心數據模型)。 它定義了三種類型的起源過程節點：實體(entity),活動(activity),代理(agent)和七類過程節點之間的依賴關系，它們共同組成一個完整的起源數據關系圖，把這種類型的關系圖稱為一個起源節點.為了描述方便，把起源過程節點和依賴關系均稱為起源實體,更加詳細的定義可參考文獻[6]，圖1為數據起源核心數據模型.

圖1　數據起源核心數據模型PROV-DM

圖1所示的起源過程節點和依賴關系介紹詳見參考文獻[5]：

(1)實體和活動

假設要描述某事物的起源，這里的“事物”被稱為實體，“事物”是一個廣泛的概念，它可以是諸如文件或網頁的數字對象，也可以是一個具體的實物，還可以是一個抽象的概念和想法.活動是在一段時間內使用實體或作用于實體的事件，包括實體的消耗、加工、轉換、修改、遷移、使用等.

實體和活動在PROV中的關系有：活動使用實體(具有關系Used),代表活動使用實體的開始.活動產生實體(具有關系wasGeneratedBy)，代表活動產生實體的完成.活動之間具有關系WasInformedBy，代表一個活動的結束告知另一個活動開始執行.當一個活動使用一個實體時會影響另一個實體的產生，而“影響”這一概念可以由派生(具有關系WasDerivedFrom)來勝任.派生指的是一個實體到另一實體的轉化關系，可以是一個實體通過更新生產新的實體，也可以是基于一個已存在的實體創建出一個新的實體.

(2)代理和責任

就很多目的而言，決定某些事是否可靠或值得信任的關鍵考慮因素是知道是誰或什么負責它們的生成.而這個關鍵的因素在PROV中被稱為代理，代理是在某個活動發生過程中承載某種責任的人或物.它為一個活動的發生(具有關系WasAssociatedWith)，一個實體的存在(具有關系WasAttributedTo)，另一個代理的活動(具有關系ActedOnBehalfOf)承擔某種形式的責任.

由于2012年W3C國際標準才正式將PROV家族成員納入麾下，因此國內外對于結合PROV的數據起源研究尚處于起步階段，以PROV為標準的起源安全研究甚少.國內外對于起源數據安全性保護研究亦處于起步階段.

國外針對起源安全性方面的研究有：Hasan等人在文獻[7]中初步建立了安全起源模型，主要考慮安全起源面臨的問題和挑戰，以及如何保護起源數據，并強調了安全起源信息的不可逆性.文獻[8]主要分析了安全起源面臨的幾個威脅因素，探討了起源數據的保密性問題

國內針對起源安全性方面的研究有：文獻[9]在OPM(開發起源模型)的基礎上進行安全起源的擴展，建立了滿足機密性和完整性的安全起源模型，給出了驗證機密性的算法.文獻[10]研究了起源數據的保密性、完整性以及起源審核密鑰分發.

以上研究主要針對安全起源數據模型以及起源數據完整性和機密性等方面進行探索.沒有涉及起源數據授權訪問方面的研究.在避免起源數據遭受未授權者的非法訪問方面的研究甚少.文獻[11-12] 雖然涉及起源數據的訪問控制研究，但訪問粒度不夠細化，無法滿足對細粒度的起源數據的訪問控制需求.為了更好地保證起源數據訪問的合法性，避免未授權者對起源數據的非法訪問，迫切需要一種適合細粒度起源數據的訪問控制方案，基于屬性的起源訪問控制(ABPAC)可以有效地解決這類問題.

1.2基于屬性的訪問控制及其應用于數據起源的優勢分析

ABAC是一種廣泛應用于分布式環境中的訪問控制模型，通過屬性把分布式環境中抽象出來的主體(請求訪問的用戶或代理)，客體(被訪問對象)，環境(訪問控制執行的上下文環境，主要包括網絡的安全級別以及訪問時間等)，操作(主體對客體施加的訪問類型，如對資源進行查看，讀，寫)等實體進行統一描述，并利用屬性定義系統的訪問控制策略，實現系統的訪問控制過程.

傳統的訪問控制模型中應用較為廣泛和靈活的是RBAC模型.該模型通過引入角色的概念實現了用戶與權限的邏輯分離，減輕了用戶權限分配負擔，但在起源訪問控制研究[11-12]中，RBAC模型存在一些嚴重缺陷，針對這些缺陷，ABAC架構提供了相應的對策：

(1)由于起源節點結構的復雜性，每一個起源節點都有可能包含實體，代理，活動三種類型的過程節點和七類節點之間的依賴關系.每個過程節點和依賴關系都可以定義自身的屬性及屬性值，同樣每一個用戶也可能會擁有多種相關的屬性及屬性值.經過不同屬性值之間的組合，可能會形成大量復雜的用戶角色和訪問權限，使得用戶-角色設置及角色-權限分配變得十分繁瑣，而ABAC取消了角色的概念，統一用屬性描述各種實體的特性，簡化了權限分配的過程.

(2)由于起源信息可能是隨著網絡環境的變化不斷改變的，RBAC完全基于靜態角色進行授權，無法滿足起源實體的動態訪問控制需求，而ABAC能夠根據用戶屬性，起源實體屬性以及授權環境屬性動態、靈活地對用戶進行授權，滿足對起源節點中的起源過程節點及依賴關系的動態訪問控制需求

(3)對于某項細粒度的起源信息(如某個過程節點的具體屬性)當涉及多個用戶的不同意見時，RBAC不能提供復合的訪問控制策略滿足不同用戶的意見，而ABAC能利用屬性表達式組合而成的起源訪問控制規則，定義復雜的訪問控制策略,最大程度的滿足多個用戶的訪問需求.

本文在ABAC模型的基礎上，結合起源數據的結構特點及屬性類型，提出一種基于屬性的起源訪問控制模型(ABPAC) .

2基于屬性的起源訪問控制模型ABPAC

2.1ABPAC的屬性描述模型

建立一個良好的針對起源數據的屬性描述模型是實現ABPAC模型的基礎.ABPAC模型實現的核心是起源訪問控制策略，它由多條起源訪問規則組成，而規則的主要組成元素是主體(這里指訪問起源實體的用戶)，客體(起源實體)，環境以及操作的相關屬性及屬性值.下面采用樹型結構對ABPAC中的四類關鍵實體.用戶、起源實體、環境、操作的屬性進行描述，如圖2所示.圖中矩形框代表屬性分類，圓角矩形框代表屬性類型，虛線代表用戶起源實體約束屬性和起源實體屬性的匹配關系.模型可以根據實際應用進行擴展.

(1)用戶屬性：本文參考文獻[13]把用戶屬性劃分為基本屬性和起源訪問約束屬性，其中基本屬性指用戶名，用戶密碼，用戶IP地址.起源訪問約束屬性是用戶對起源實體訪問權限相關的屬性，它分為四個部分，分別為時間約束屬性(包括起始訪問時間和終止訪問時間)，空間約束屬性(指用戶可以訪問的起源實體的范圍，可以是整條起源鏈，部分起源節點，某個起源節點)，起源實體約束屬性(細分為標簽約束屬性，位置約束屬性，類型約束屬性，屬性值約束屬性)，其他起源實體相關的約束屬性.起源實體約束屬性值要與所訪問的起源實體的屬性值一致或者在預先定義的起源實體屬性值范圍之內，以避免產生起源訪問控制策略沖突.

(2)環境屬性：環境屬性在本模型中主要指用戶訪問起源實體時的上下文信息，包括當前訪問時間以及當前網絡的狀態.

表1起源實體基本屬性類型表

屬性類型適用范圍屬性值類型prov:labelAnyconstructStringprov:locationEntity,Activity,Agent,Usage,Gener-ation,Invalidation,Start,EndAvalueprov:roleUsage,Generation,Invalidation,Asso-ciation,Start,EndAvalueprov:typeAnyconstructAvalueprov:valueEntityAvalue

(3)起源實體屬性：在PROV家族的PROV-DM文檔命名空間中，預定義了五類基本的起源實體屬性類型，屬性值類型及適用范圍見表1所示，在實際應用中屬性的使用范圍和屬性取值必須和表1中定義的一致.

圖2　ABPAC模型的屬性描述模型

圖3　基于屬性的起源訪問控制模型

2.2ABPAC基于屬性的起源訪問控制模型

2.2.1模型形式化定義

在ABPAC模型中，用戶，起源實體，環境，操作四類關鍵實體主要以屬性的方式呈現.用戶首先以基本屬性通過身份認證機制進入起源訪問控制模塊，然后根據起源訪問約束屬性，起源實體屬性，環境屬性，操作屬性形成基于屬性的起源訪問請求條件，最后結合相關的起源訪問控制策略對起源實體實施訪問控制操作.下面從六個方面對模型中相關元素進行形式化定義.

定義1(屬性)

(1)用戶屬性：將所有用戶屬性集合記為Ua，用戶屬性細分為用戶基本屬性集合UBa(分為用戶IP地址Ip={ipi|i=1…m}，用戶名Name={namei|i=1…n},用戶密碼Password={passwordi|i=1…n})和起源訪問約束屬性集合PCa.其中起源訪問約束屬性又細分為時間約束屬性PCa_time(分為起始訪問時間PCa_stime和終止訪問時間PCa_ftime)、空間約束屬性PCa_space、起源實體約束屬性PCa_entity(細分為標簽約束屬性PCa_label,位置約束屬性PCa_loc,角色約束屬性PCa_role,類型約束屬性PCa_type,屬性值約束屬性PCa_value)其中PCa_entity類型的屬性值要與下面定義的起源實體屬性值匹配.

(2)起源實體屬性:參照PROV-DM文獻定義，基本的起源實體屬性PEa可以細分為五大類、實體標簽屬性prov:label、實體位置屬性prov:location、實體類型屬性prov:type、實體角色屬性prov:role、實體屬性值屬性prov:value五種起源實體屬性的使用范圍和屬性值取值可參考表1來定義.

(3)環境屬性：環境屬性記包括兩類環境屬性Ea分為當前時間屬性Ontime和當前網絡狀態屬性Netstate.

(4)操作屬性：操作屬性集合記為Aa，定義三種布爾類型的操作屬性Pb、Pr、Pm分別表示對起源節點進行瀏覽，讀取和修改操作三種屬性變量的取值為true或false.

定義2(起源屬性表達式)一個屬性表達式ae定義為由屬性變量名aname，關系表達式運算符ropt，屬性值avalue組成的三元組ae={aname,ropt,avalue}.關系表達式運算符有很多種如>,<,=,>=,<=,in,notin,between等.如用戶可訪問的起源實體類型是起源過程節點中的entity類型，可用屬性表達式ae={PCa_type=entity}表達.

定義3(起源訪問控制請求)一個起源訪問控制請求定義為一個屬性集合APAR,它由用戶屬性(Ua)，起源訪問約束屬性(PCa)，環境屬性(Ea)及操作屬性(Aa)的具體屬性及屬性值組成.如一個用戶的原始訪問請求為“IP地址為192.168.2.1的Auditor2用戶在下午3點，網絡狀態良好的情況環境下，請求查看Document4文檔的一篇起源文檔Document3，用屬性表達式可以表達為：apar={ip=192.168.2.1,name=Auditor2,ontime=3pm,netstate=良好,Pb=true,PCa_label=＂Document3＂}.

定義4 (起源屬性匹配方法)定義Value(anamei)(i=1…m)函數負責獲取起源實體屬性及起源實體約束屬性的屬性值avaluei(i=1…n).定義一個返回值類型為bool型的起源屬性值匹配函數Pa_match(attvaluei,attvaluej) (i=1…m,j=1…n)主要負責匹配用戶訪問請求條件中的起源實體約束屬性值和起源實體預定義的屬性值，若屬性值一致或用戶起源實體約束屬性值在起源實體屬性值范圍之內,返回ture,接著執行訪問控制規則,否則不允許執行訪問.例如匹配用戶起源請求訪問條件中的角色約束屬性值與起源實體預定義的角色屬性值的方法可以定義為boolPa_match(Value(PCa_role),Value(prov:role)).

定義5(起源訪問控制規則)一個起源訪問控制規則prule限定了用戶對起源實體的訪問條件，它首先由用戶，起源實體，環境，操作四種實體的屬性及屬性值組成屬性表達式ae，然后由ae和三種邏輯運算符and(邏輯與),or(邏輯或)或not(邏輯非)連接而成.定義形式為：prulei={ae1}and[not]{ae2}or{ae3}例如定義一條起源訪問控制規則“不允許用戶名為Mike的用戶對Documet2(一篇文檔的起源)進行修改操作”可表示為prule= [not]{name=Mike}and{prov:label=＂Documet2＂}and{Pm=false}.

定義6(起源訪問控制策略)：一個起源訪問控制策略由若干個起源訪問控制規則經過規則組合算法合成，定義Policy為一個起源策略集合，它是若干個策略pi按照某種策略組合算法聚合而成，其中pi|={prule1,prule2…prulen}.

通過模型的形式化定義和起源實體的屬性規則可以從多種角度靈活地制定起源實體訪問控制策略，實現對具體的起源過程節點或依賴邊屬性的動態、細粒度的訪問控制.同時通過起源屬性匹配方法可以把用戶對起源實體的訪問權限限制在他所能訪問的最小范圍內，從而最大程度的阻止不滿足起源屬性匹配規則的用戶以非法的身份和手段對起源實體進行訪問和操作.

2.2.2ABPAC模型的訪問控制實現流程

根據上面對ABPAC模型的形式化定義，結合ABPAC屬性描述模型，給出了ABPAC模型的訪問控制實現過程，如圖4所示.

圖4　ABPAC模型訪問控制實現過程

(1)ABPAC訪問控制實現過程中的組件描述

主要組件有PEP(策略執行點)，PDP(策略判定點)，PAP(策略管理點)，AA(屬性權威).PEP負責接收用戶發來的原始起源訪問請求(NPAR)，然后根據AA提供的用戶相關的起源訪問約束屬性及屬性值將NPAR轉換成基于屬性的起源訪問請求APAR,同時接收來自PDP的訪問決策結果，根據決策結果執行起源訪問控制過程.PDP接收PEP傳來的APAR，根據PAP提供的相應起源訪問控制策略并結合AA提供的起源實體屬性及屬性值，對APAR做出訪問控制決策，最后把決策結果返回給PEP執行.PAP負責制定和管理具體的起源訪問控制策略，并及時與PDP進行策略交互.AA組件主要負責分類管理屬性、屬性值、把用戶的原始訪問請求通過屬性表達式轉換成基于屬性的起源訪問請求，并負責匹配用戶起源訪問約束屬性和起源實體屬性，把匹配結果返回給PEP.

(2)實現流程

Step1:PEP接收來自用戶發送的原始起源訪問控制請求NPAR,并發送至AA，在AA中通過相應的轉換規則，把NPAR轉換成基于屬性的起源訪問控制請求APAR,返回給PEP，等待訪問控制決策.

Step2:在AA中應用起源屬性匹配方法Pa_match( )對APAR中的起源訪問約束屬性PCa和起源實體屬性PEa進行屬性匹配,若匹配結果為true,則執行Step3.否則，退出訪問.

Step3:PEP向PDP發送APAR.

Step4:PDP接收到APAR后，向AA發送屬性請求AA返回相關的屬性集合.

Step5:PDP向PAP發送起源訪問策略請求，PAP向PDP發送相應起源訪問控制策略集合.

Step6:在PDP中根據AA和PAP提供的相關起源屬性和起源訪問控制策略，做出訪問控制決策，并發送給PEP執行訪問.

3模型特點分析

ABPAC模型是一種基于屬性的起源數據訪問控制模型，與RBAC在起源數據訪問控制方面的應用相比它有以下幾個特點：

(1)ABPAC模型把屬性貫穿至起源訪問控制流程的始終，能夠契合起源數據復雜、多變的結構特點.從用戶角度和起源實體角度分別定義起源實體相關的屬性，減少了RBAC模型中角色的定義步驟，使權限分配更加簡便和靈活.

(2)ABPAC模型定義了起源屬性表達式、起源訪問控制規則，方便用戶針對細粒度的起源實體定義復雜、語義豐富的訪問控制策略，能解決RBAC模型在起源訪問過程中難實現的復合策略定義難題.

(3)ABPAC模型定義了屬性匹配方法，實現了用戶屬性和起源實體屬性的關聯，用戶只需改變自身的屬性及屬性值便可訪問不同屬性類型的起源數據.相比RBAC模型需要對起源數據和用戶進行分類處理，ABPAC模型訪問效率明顯提高.

(4)相比RBAC模型在起源中的應用，ABPAC模型的定義相對復雜，屬性管理方面的負擔較大.

4結束語

本文分析了起源數據的結構特征及基于屬性的訪問控制在起源訪問中的應用優勢.提出了ABPAC模型，通過該模型的形式化定義，能夠表達語義豐富的起源實體訪問控制策略，從而實現對起源數據動態、細粒度、靈活的訪問控制.為細粒度起源數據的訪問控制研究提供了一種新的解決方案.下一步要做的工作是對模型的改進及實施.

參考文獻：

[1]DanielD,AurelP.Betterprovenanceforbiobanksamples[J].Nature, 2011, 475 (7357): 454-455.

[2]WangM,BlountM,DavisJ,etal.Atime-and-valuecentricprovenancemodelandarchitectureformedicaleventstreams[C]//ResearchCollectionSchoolOfInformationSystems, 2007:95-100.

[3]AlexanderCM,BowdenR,FogelML,etal.Theprovenancesofasteroids,andtheircontributionstothevolatileinventoriesoftheterrestrialplanets[J].Science, 2012, 337(6095):721-723.

[4]SpecicationC,CliordB,FreireJ,etal.Theopenprovenancemodel[J].FutureGenerationComputerSystems, 2008, 27(6):743-756.

[5]W3CPROV-DM. [J/OL] (2012-03-26)[2014-03-21].http://www.w3.org/TR/prov-dm/.

[6]HasanR,SionR,WinslettM.Introducingsecureprovenance:problemsandchallenges[C]//InternationalWorkshoponStorageSecurity&Survivability, 2007:13-18.

[7]LiJ,ChenXF,HuangQ,etal.Digitalprovenance:Enablingsecuredataforensicsincloudcomputing[J].FutureGenerationComputerSystems, 2013, 37(7):259-266.

[8]劉通，王鳳英. 基于OPM的安全起源模型[J]．計算機應用研究，2013, 30(10):3 117-3 120.

[9]WangFY,LiXM,LiH,etal.ResearchonprovenancesecurityofE-commerceinformation[J]．InformationTechnologyJournal, 2013, 12(23):67-70.

[10]BraunU,ShinnarA,SeltzerM.Securingprovenance[J].InternationalProvenance&AnnotationWorkshop, 2008, (4403):752.

[11]ChebotkoA,ChangS,LuS,etal.Scientificworkflowprovenancequeryingwithsecurityviews[C]//Web-AgeInformationManagement,InternationalConferenceonIEEE, 2008:349-356.

[12]劉莉蘋, 李國慶. 基于屬性的空間數據訪問控制研究[J]. 計算機工程與設計, 2014(3):803-808.

[13]鐘將, 侯素娟. 開放網絡環境中基于屬性的通用訪問控制框架[J]. 計算機應用, 2010(10):2 632-2 635.

(編輯：劉寶江)

ABPAC:Anattribute-basedprovenanceaccesscontrolmodel

YUEWei，WANGFeng-ying

(SchoolofComputerScienceandTechnology,ShandongUniversityofTechnology,Zibo255049,China)

Abstract:In the complicated and changeable environment, the size, complexity, and sensitivity of the provenance data gradually improved, accessed control to the provenance data is more complex than the traditional data. In order to prevent the fine-grained provenance data against illegal access by unauthorized users, combined with the basic properties of provenance that was defined in provenance core data model PROV-DM under W3C standard, we proposed an attribute-based provenance access control model ABPAC and an attribute description model of ABPAC. We made a formal description to the ABPAC model from six aspects, divided user attributes, and realized the user access provenance data flexible and accurately through the attribute match method of provenance. Finally, we provided the realization process. Analysis results show that the model can better meet the needs of fine-grained access to the provenance data.

Key words:provenance data; access control; PROV-DM; ABPAC; property description model; provenance attribute matching method

收稿日期：2015-11-08

基金項目：國家自然科學基金項目(61473179)；山東省自然科學基金項目(ZR2013FM013，ZR2014FM007)

作者簡介：岳瑋，女，1074231580@qq.com; 通信作者：王鳳英，女,wfy@sdut.edu.cn

文章編號：1672-6197(2016)05-0012-06

中圖分類號：TP393

文獻標志碼：A