基于改進K-Means算法的ABAC模型優化

岳 瑋，王鳳英

(山東理工大學 計算機科學與技術學院，山東 淄博 255049)

基于改進K-Means算法的ABAC模型優化

岳 瑋，王鳳英

(山東理工大學 計算機科學與技術學院，山東 淄博 255049)

針對基于屬性的訪問控制(ABAC)模型中屬性量化、用戶分類等尚未解的問題,引用層次分析法確定用戶屬性的權值，利用屬性權值定義加權歐式距離，為用戶分類提供依據.對K-Means聚類算法從三個方面進行優化改進,并把改進后的K-Means聚類算法引入ABAC模型的策略庫中，使同一類中的用戶具有相同的訪問權限，不同類之間的用戶自動化訪問隔離.最后通過仿真實驗分析，優化后的ABAC模型效率和準確率比傳統ABAC模型具有明顯優勢.

訪問控制；ABAC模型；加權歐氏距離；K-Means算法

基于屬性的訪問控制(Attribute-Based Access Control, ABAC)模型是利用屬性把訪問控制中所涉及的主體、客體、環境、授權統一建模，從而使訪問控制策略的制定和約束的表達更加準確和靈活.ABAC模型與傳統的基于身份的訪問控制模型相比最大的優勢主要體現在兩個方面：一是它可以利用屬性對實體的任意特征進行描述，實現從不同的角度對實體進行刻畫；二是通過屬性或者屬性的組合不但可以使一些復雜的訪問控制策略的表達粒度更加細化，而且簡化了傳統訪問控制復雜的授權方式，使訪問控制系統的靈活性和通用性得以加強.近幾年來ABAC模型成為了訪問控制領域新的研究熱點.

1 ABAC模型研究現狀分析

目前為止，針對ABAC模型的相關研究主要有：文獻[1]針對ABAC模型中訪問策略檢索效率較低的普遍問題提出了一種基于前綴標記的策略檢索算法，該算法在ABAC環境中具有較高的檢索效率和較低的存儲消耗.文獻[2-3]針對動態移動環境下，分別提出了兩種利用用戶操作環境的上下文信息來定義授權策略的方法，并定義了新的屬性訪問控制模型，能夠較好地適用于動態移動環境下的訪問控制.朱一群等在文獻[4]提出了一個覆蓋DAC,MAC以及RBAC的基于屬性的訪問控制模型，雖然模型中涵蓋了三種經典訪問控制模型的組件優勢，但模型在動/靜態職責分離等方面有待進一步的細化.文獻[5]把屬性引入到訪問控制矩陣(ACM)中，支持基于屬性的授權，覆蓋了傳統訪問控制模型的概念和規范，增強了訪問控制矩陣的表達能力.文獻[6]提出了一種基于屬性的訪問控制矩陣模型(PABAM)，該模型以一個六元組為主要組件，實現了針對在線數字資源系統的細粒度訪問控制.總結以上文獻，國內外學者主要是針對ABAC模型的改進以及應用等兩大方面進行了深入的研究，但對屬性的定義、量化比較模糊，并且訪問控制策略的定義存在很大的主觀性，缺少一種智能化的策略定義方法，使ABAC模型的應用具有一定阻礙。

本文針對ABAC模型中的不足進行了優化和改進，改進后的ABAC模型的核心思想是：首先將層次分析法(Analytic Hierarchy Process，簡稱AHP)引入ABAC模型中求出各個屬性的權值，實現對屬性的初始量化處理；然后以量化后的屬性權值為基礎對數據挖掘領域中的K-Means聚類算法進行改進，將改進后的K-Means聚類算法引入ABAC模型中，豐富了ABAC模型的策略庫，提高了授權決策的效率和穩定性，使訪問控制過程更加高效和智能化.

2 ABAC模型介紹

目前為止，ABAC模型尚沒有一個規范化的定義，本文借鑒文獻[6]和XACML(一種可擴展的訪問控制標記語言)對ABAC機制的決策過程進行模型化，XACML規范主要是在XML語言的基礎上新增了訪問控制領域的要素，以實現對訪問控制策略及敏感信息的精確定義和描述.基于XACML規范的ABAC模型如圖1所示.

圖1 基于XACML規范的ABAC模型

根據上述組件的功能描述，對ABAC模型的執行過程簡單描述：PEP接收用戶發來的原始訪問請求，并將原始訪問請求發送至ContextHandler組件；ContextHandler組件通過PIP組件向AA組件發送和原始請求相關的屬性請求；AA組件返回與原始請求匹配的實體屬性及屬性值給ContextHandler組件處理，ContextHandler組件構建基于屬性的訪問請求，并將其發送至PDP組件；PDP根據獲得的屬性、屬性值及策略庫中的預定義策略進行授權決策，PEP根據決策結果對資源實施訪問操作.

3 ABAC模型的優化

大數據環境下，網絡用戶的分布和類型都是難以預知的，其屬性類型也千變萬化，本節通過層次分析法對用戶的屬性進行初始量化處理，避免了傳統ABAC模型在屬性的定義、量化等方面的主觀性和任意性；通過引入改進的K-Means聚類算法來進一步豐富模型的策略庫，同時使ABAC模型的授權決策過程更加靈活、智能、高效.

3.1 屬性權值的確定

層次分析法(Analytic Hierarchy Process，AHP)是一種著名的運籌學理論，同時也是一種采用定性與定量分析相結合的、層次化、系統化的針對復雜問題進行決策的方法.該方法的主要思想是把復雜問題分解為若干層次和若干因素，對兩兩指標之間的重要程度做出比較判斷，建立判斷矩陣，通過計算判斷矩陣的最大特征值以及對應特征向量等過程即可得出不同指標在決策過程中所占的權重.現今，層次分析法在安全科學和環境科學等領域發揮著重要作用.

本文將層次分析法引入基于屬性的訪問控制領域，針對不同用戶屬性的重要程度，以權重的數值化形式將不同屬性的重要程度進行量化，以便更加形象具體的對用戶屬性進行分析.例如我們首先將某一類用戶的屬性分為年齡、性別、職業、民族、愛好等類型，然后依據層次分析法對特定方案下的屬性重要程度進行判定.這些數值化的屬性權值是后續K-Means算法的重要數據來源.層次分析法的具體應用可參考管理科學領域的相關文獻，這里不再詳細描述.

3.2 改進后的 K-Means算法

為了進一步豐富ABAC模型的策略庫，使授權決策過程更加智能和高效，在3.1節得到的屬性權值的基礎上，嘗試對K-Means聚類算法從網格劃分因子的選取、密度閾值的確定、初始簇中心的選取三個角度對算法進行改進.目的是通過聚類算法使同一類中的用戶因具有相同的屬性相似度而能夠互相訪問資源，不同類的用戶不允許進行訪問操作.例如用戶A將文件F放在服務器上，用戶B如果與A屬于同一類別，則可以訪問文件F，否則訪問失敗.為了更好的闡述改進后的算法，下面給出算法相關定義.

定義2 由于用戶的屬性具有權值，故在原始的歐式距離基礎上得到加權歐式距離為

其中，第j維屬性的權值為ωj.這相當于根據屬性j的權值對其對應的屬性值進行了適當的放大與縮小，使權值大的屬性聚類作用更大，權值小的屬性聚類作用更小，真實反映了實際聚類時各屬性發揮的作用.

由于K-Means算法需要人為事先指定生成的簇個數和初始簇中心，屬性聚類的結果對參數的輸入十分敏感，不同的參數往往會得到不同的聚類結果.改進后的算法將網格聚類的思想引入到K-Means算法中，對原始數據點進行網格化處理，利用網格聚類首先確定簇的個數K；然后利用數理統計中的方差計算方法確定初始簇中心，最后，利用傳統K-Means算法求聚類的步驟，對用戶進行聚類操作.

下面闡述對K-Means算法改進的關鍵點.

2) 密度閾值的確定：改進后的算法受平均密度的啟發，對網格平均密度進行加權處理，從而實現密度閾值的自動化選取.其主要思想是：依次掃描每個網格單元，對所有非空的GridNum個網格單元計算其數據點數的均值Num/GridNum，作為網格的平均密度.再求出每個非空網格單元的數據點數與平均密度的比值，依次相加后作為網格的密度閾值.其中，若比值大于1，說明該網格單元對密度閾值有正相關作用，取比值大于1的部分；反之，說明該網格單元對密度閾值有負相關作用，取比值小于1的部分.密度閾值的選取公式為

3) 初始簇中心的選取：在概率論與數理統計中，方差用來度量隨機變量與其數學期望(即均值)之間的偏離程度，同時也是測量數值型數據離散程度的最重要方法.在改進后的算法中，首先利用網格聚類得到K個初始簇，再分別求出K個簇中方差最小的點，將這些樣本點作為初始簇中心.下面給出方差的定義.

定義3 假設

為待聚類的數據集，則樣本xi到所有樣本距離的平均值為

定義4 樣本xi的方差為

3.3 優化后的 ABAC模型分析

通過以上對ABAC模型進行優化后的新模型如圖2所示.

圖2 優化后的ABAC模型

新模型主要從以下兩個方面對傳統的ABAC模型進行了改進：

1) 引入了層次分析法對屬性進行初始量化處理，利用量化處理后得到的屬性權值定義加權歐式距離，為后續的用戶聚類分析提供了重要的依據；

2) 融合了數據挖掘領域的K-Means聚類算法豐富了ABAC模型的策略庫，通過對K-Means算法的進一步改進使ABAC模型的授權決策過程更加靈活、智能、高效.

4 仿真實驗及性能分析

為了測試改進后的K-Means聚類算法在ABAC環境中的效率和穩定性問題，本文在相同的ABAC環境下對傳統K-Means聚類算法和改進后的K-Means聚類算進行了仿真測試實驗.該數據提供了1 000個互聯網訪問者的行為日志和屬性信息，包括訪問時間、使用的瀏覽器、用戶年齡、愛好、職業等十項屬性.首先利用層次分析法確定屬性的權值，再依次求出各個用戶間的加權歐式距離，最后利用改進后的K-Means算法和傳統的K-Means聚類算法對屬性進行聚類.

實驗首先將改進后的k-means算法與原始的k-means算法、文獻[8]算法、文獻[9]算法進行比較.如圖3所示，使用1 000個互聯網訪問者數據進行實驗，分別統計各個算法的運行時間和準確率，可以明顯看出，本文提出的算法在準確率和運行時間上具有明顯的優勢.

圖3 四類K-Means算法在準確率和運行時間上的對比

為了減少實驗結果的偶然性，在UCI機器學習數據庫[10]中選擇了11個聚類算法常用數據集在相同的ABAC環境下進行測試.如圖4所示，改進后的K-Means算法的準確率最高，基本保持在85%左右，穩定性較好.而文獻[8]和文獻[9]提出的算法適用性不強，在不同數據集上的表現不穩定，原始的K-Means算法的表現最差.

圖4 不同數據集下四類K-Means算法的準確率對比

圖5給出了不同算法在相同ABAC環境下對相同屬性數據集聚類的運行時間.從圖中可以看出，本文提出的算法效率較其他算法具有明顯的優勢.

圖5 不同數據集下四類K-Means算法的運行時間對比

從實驗結果上看，本文提出的算法對ABAC模型中的用戶聚類有較好的效果，擺脫了K-Means聚類算法對初始簇個數和簇中心的依賴，實現了參數的自動化選擇，并在一定程度上提高了ABAC模型的授權決策效率.

5 結束語

本文針對ABAC模型下屬性量化和用戶分類等問題進行了研究，利用層次分析理論對ABAC模型中的屬性進行初始量化分析，然后利用量化結果得到的屬性權值定義加權歐式距離，為后續聚類算法提供依據.并將改進后的K-Means算法引入了ABAC模型的策略庫中，為策略庫增添了一種自動化的訪問控制策略，最后通過仿真實驗分析，改進后的K-Means算法能夠更好的滿足ABAC模型在大數據環境下的訪問控制需求.

[1]鄒佳順, 張永勝.ABAC中基于前綴標記運算的策略檢索方法[J]. 計算機工程與設計, 2015(11):2 943-2 947.

[2]LIML,MARIEP,CONAND,etal.Enhancingcontextdatadistributionfortheinternetofthingsusingqoc-awarenessandattribute-basedaccesscontrol[J].AnnalsofTelecommunications, 2015,71 (3):1-12.

[3]ZHUY,LIJ,ZHANGQ.GeneralattributebasedRBACmodelforwebservices[J]. 武漢大學學報(自然科學英文版), 2008, 13(1): 81-86.

[4]JINX,KRISHNANR,SANDHUR.Aunifiedattribute-basedaccesscontrolmodelcoveringDAC,MACandRBAC[C]//IfipWg11.3ConferenceonDataandApplicationsSecurityandPrivacy, 2012:41-55.

[5]ZHANGX,LIY,NALLAD.Anattribute-basedaccessmatrixmodel[C]//ACMSymposiumonAppliedComputing. 2005:359-363.

[6]穆玲玲, 張韶松. 擴展的基于屬性的訪問矩陣模型[J]. 計算機工程與設計, 2012, 33(10):3 797-3 800.

[7]QIUBZ,LIXL.Grid-Basedclusteringalgorithmbasedonintersectingpartitionanddensityestimation[J].ProcofPAKDD.Berlin:Springer,2007,21(5):368-377.

[8]謝娟英,王艷娥. 最小方差優化初始聚類中心的K-means算法[J]. 計算機工程,2014,40(8):205-211.

[9]汪中,劉貴全,陳恩紅. 一種優化初始中心點的K-means算法[J]. 模式識別與人工智能,2009,22(2):299-304.

[10]FRANKA，ASUNCIONA.UCImachinelearningrepository[D].Irvine，USA:UniversityofCalifornia,2010.

(編輯：劉寶江)

Optimized ABAC model based on improved K-Means algorithm

YUE Wei, WANG Feng-ying

(School of Computer Science and Technology, Shandong University of Technology, Zibo 255049, China)

Aimed at the unsolved problems, such as the quantification of attributes and the classification of users in attribute-based access control model(ABAC),the quoting analytic hierarchy process was used to determine the attributes weights, and the attribute weights were used to define weighted euclidean distance,which provided the basis for classification of users. Then K-Means clustering algorithm was improved from three aspects, and the improved K-Means algorithm was introduced to policy depot in ABAC model, making users have the same access permissions in the same classes,and automatically isolating the different classes of users. Finally, through the simulation experiments analysis, the optimized ABAC model has obvious advantages than the traditional ABAC model in terms of efficiency and accuracy.

access control; ABAC model; weighted Euclidean distance; K-Means algorithm

2016-08-29

國家自然科學基金項目(61473179);山東省重點研發計劃項目(2016GGX101027)；山東省自然科學基金項目(ZR2014FM007)

岳瑋,女,15266483667@163.com; 通信作者：王鳳英，女,wfy@sdut.edu.cn

1672-6197(2017)04-0009-04

TP

A