基于動(dòng)態(tài)授權(quán)機(jī)制的自適應(yīng)云訪問(wèn)控制方法研究

陸佳煒 吳斐斐 徐 俊 張?jiān)Q 肖 剛

(浙江工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 浙江 杭州 310023)

?

基于動(dòng)態(tài)授權(quán)機(jī)制的自適應(yīng)云訪問(wèn)控制方法研究

陸佳煒 吳斐斐 徐 俊 張?jiān)Q 肖 剛*

(浙江工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 浙江 杭州 310023)

隨著云計(jì)算的快速發(fā)展，其新型計(jì)算模式為我們提供了高效、便捷的服務(wù)。但這種計(jì)算方式擁有大量敏感性數(shù)據(jù)，如果不對(duì)數(shù)據(jù)加以有效保護(hù)，后果不堪設(shè)想。目前解決數(shù)據(jù)泄露的有效方法之一，云訪問(wèn)控制能夠保障云服務(wù)只被授權(quán)的用戶合法操作，得到廣泛應(yīng)用。然而傳統(tǒng)的訪問(wèn)控制方法，當(dāng)用戶的行為方式發(fā)生改變，無(wú)法及時(shí)發(fā)現(xiàn)并動(dòng)態(tài)調(diào)整訪問(wèn)控制策略，存在緊耦合、靜態(tài)性等問(wèn)題。在當(dāng)前的云環(huán)境中，用戶所擁有的角色數(shù)量眾多，其職責(zé)經(jīng)常性發(fā)生改變，云服務(wù)與用戶之間的訪問(wèn)授權(quán)關(guān)系不易建立和維護(hù)。針對(duì)以上不足，提出基于動(dòng)態(tài)授權(quán)機(jī)制的自適應(yīng)云服務(wù)訪問(wèn)控制方法。方法中，采用基于信譽(yù)模型和用戶角色樹(shù)構(gòu)建模型的動(dòng)態(tài)授權(quán)機(jī)制，對(duì)用戶的行為特征進(jìn)行信譽(yù)評(píng)估，提前預(yù)測(cè)及實(shí)時(shí)監(jiān)控，確保授權(quán)結(jié)果的高實(shí)時(shí)性和高可靠性。并為每一云服務(wù)引入可信認(rèn)證模塊，由云服務(wù)自主控制云用戶的可訪問(wèn)性，增強(qiáng)所提方法的安全性和準(zhǔn)確性。模擬實(shí)驗(yàn)表明，該方法能夠較好地預(yù)測(cè)和監(jiān)控云用戶行為變化，及時(shí)調(diào)整云用戶的服務(wù)訪問(wèn)權(quán)限，有效保障敏感數(shù)據(jù)的安全性。

云訪問(wèn)控制 云認(rèn)證 動(dòng)態(tài)授權(quán) 信譽(yù)模型 云計(jì)算 云服務(wù)

0 引 言

云計(jì)算[1]是繼分布式計(jì)算[2]、網(wǎng)格計(jì)算[3]、對(duì)等計(jì)算[4]后出現(xiàn)的一種新型計(jì)算方式。云計(jì)算將計(jì)算任務(wù)分布在大量計(jì)算機(jī)構(gòu)成的資源池上，使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計(jì)算力、存儲(chǔ)空間和信息服務(wù)，具有按需服務(wù)、快速?gòu)椥约軜?gòu)、虛擬化資源池、可測(cè)量的服務(wù)等特點(diǎn)。

隨著云計(jì)算的快速發(fā)展，云服務(wù)亦越來(lái)越豐富。依據(jù)云服務(wù)的可訪問(wèn)性，可將其分為公有云、私有云和混合云。公有云建立在由第三方控制的服務(wù)中心，其靈活性使得它可以為所有用戶提供滿足QoS的服務(wù)，然而由于公有云的應(yīng)用程序及相關(guān)數(shù)據(jù)均存儲(chǔ)在公共服務(wù)器上，安全性和可靠性較差。私有云在企業(yè)內(nèi)部搭建和使用，具有可控安全性的特點(diǎn)，但需要專門技術(shù)人員維護(hù)，存在投資大并且無(wú)法獨(dú)立于其他資源之外而單獨(dú)運(yùn)作的弊端。混合云是私有云和公有云的融合方式，但不同服務(wù)提供商提供的云服務(wù)在各個(gè)層次存在差異，并且公有云和私有云之間數(shù)據(jù)的轉(zhuǎn)移無(wú)法得到有效保護(hù)。作為數(shù)據(jù)保護(hù)的關(guān)鍵技術(shù)基礎(chǔ)之一，云訪問(wèn)控制可應(yīng)對(duì)用戶私有數(shù)據(jù)泄露的威脅，保障合法的資源只能被授權(quán)的用戶合法操作。

然而，目前傳統(tǒng)的訪問(wèn)控制[16]方式往往采用強(qiáng)制訪問(wèn)控制策略，即將云服務(wù)的功能與用戶預(yù)先進(jìn)行一一映射。但由于用戶的職責(zé)經(jīng)常性發(fā)生變化，用戶與服務(wù)之間的訪問(wèn)授權(quán)關(guān)系不易建立和維護(hù)。例如當(dāng)合法用戶進(jìn)行非法操作，其行為方式發(fā)生改變，傳統(tǒng)方式無(wú)法及時(shí)發(fā)現(xiàn)并動(dòng)態(tài)調(diào)整訪問(wèn)控制策略。本文針對(duì)以上問(wèn)題，提出一種基于動(dòng)態(tài)授權(quán)機(jī)制的自適應(yīng)云服務(wù)訪問(wèn)控制方法。在云計(jì)算環(huán)境下，使用繼承思想分層管理用戶的訪問(wèn)權(quán)限，從而簡(jiǎn)化用戶角色與訪問(wèn)權(quán)限的映射關(guān)系，依據(jù)用戶行為進(jìn)行信譽(yù)建模，以實(shí)現(xiàn)服務(wù)的動(dòng)態(tài)可信授權(quán)，保障用戶訪問(wèn)的可靠性及敏感數(shù)據(jù)的安全性。

1 相關(guān)工作

云訪問(wèn)控制指的是判斷某個(gè)用戶或程序是否具有對(duì)某一云服務(wù)執(zhí)行某種特定操作的權(quán)限的一種安全機(jī)制[5]。目前，學(xué)術(shù)界就開(kāi)放云環(huán)境下服務(wù)訪問(wèn)控制策略已有深入研究，現(xiàn)有的云訪問(wèn)控制主要有基于用戶屬性[6-8]的服務(wù)分配策略，基于用戶行為[9,18]的服務(wù)分配策略，基于信譽(yù)[10-14]的服務(wù)分配策略等。

1.1 云訪問(wèn)控制

文獻(xiàn)[6]提出了一種基于屬性的授權(quán)委托模型，屬性集合作為實(shí)體自身的代表進(jìn)行授權(quán)，從而確保擁有相同屬性憑證鏈的實(shí)體其權(quán)限是一致的。文獻(xiàn)[7]針對(duì)現(xiàn)有的角色管理方法中關(guān)鍵角色可被賦予多個(gè)用戶可能導(dǎo)致沖突以及缺乏角色移交機(jī)制的問(wèn)題，設(shè)計(jì)并實(shí)現(xiàn)了一種靈活的關(guān)鍵角色管理方法把角色劃分為關(guān)鍵角色與非關(guān)鍵角色，限制關(guān)聯(lián)關(guān)鍵角色的用戶數(shù)量，確保關(guān)鍵權(quán)限不被濫用。文獻(xiàn)[8]提出了一種基于角色的信息流風(fēng)險(xiǎn)多級(jí)評(píng)判模型，根據(jù)用戶訪問(wèn)行為產(chǎn)生的信息流和主客體風(fēng)險(xiǎn)等級(jí)差評(píng)定訪問(wèn)風(fēng)險(xiǎn)。文獻(xiàn)[9]在云環(huán)境下，通過(guò)統(tǒng)計(jì)用戶的行為習(xí)慣，建立用戶行為特征信息表，從而動(dòng)態(tài)調(diào)整云計(jì)算資源分配策略。文獻(xiàn)[18]提出一種基于行為的多級(jí)訪問(wèn)控制模型，通過(guò)將BLP模型和基于行為的訪問(wèn)控制模型進(jìn)行有機(jī)結(jié)合，將原有的主體安全等級(jí)、范疇的描述擴(kuò)展到行為上。

1.2 信譽(yù)模型

信譽(yù)一詞最早出現(xiàn)于社會(huì)科學(xué)，表示對(duì)某個(gè)客觀實(shí)體的信任度[14]。信譽(yù)模型[15]因其上下文相關(guān)性和動(dòng)態(tài)性的特點(diǎn)被廣泛應(yīng)用于云服務(wù)和用戶行為的評(píng)級(jí)過(guò)程。文獻(xiàn)[10]提出了一種基于信任的云計(jì)算身份管理模型，首先通過(guò)計(jì)算用戶信任度并將其作為群簽名分組的依據(jù)，再利用群簽名機(jī)制實(shí)現(xiàn)用戶認(rèn)證。文獻(xiàn)[11]提出使用通信時(shí)間作為用戶信譽(yù)評(píng)估的參數(shù)，通過(guò)動(dòng)態(tài)調(diào)整信譽(yù)值提高信息傳輸?shù)陌踩浴Ｔ谠朴?jì)算環(huán)境下，文獻(xiàn)[12]提出了一種基于信任機(jī)制的動(dòng)態(tài)訪問(wèn)控制模型，將用戶的角色及信任度通過(guò)證書的形式來(lái)驗(yàn)證其合法身份。文獻(xiàn)[13]通過(guò)對(duì)用戶的行為進(jìn)行信譽(yù)等級(jí)劃分，并詳細(xì)闡述了評(píng)估用戶信譽(yù)度的標(biāo)準(zhǔn)，但并未對(duì)基于信任的用戶管理建模。

然而，上述文獻(xiàn)中，云服務(wù)需提前在云訪問(wèn)中心與用戶協(xié)商信任關(guān)系，當(dāng)云服務(wù)的可信度發(fā)生變化，用戶無(wú)法及時(shí)發(fā)現(xiàn)并進(jìn)行動(dòng)態(tài)調(diào)整，存在一定的滯后性。并且，云訪問(wèn)中心無(wú)法動(dòng)態(tài)監(jiān)控用戶的行為變化，自適應(yīng)調(diào)整用戶的訪問(wèn)權(quán)限。因此本文提出一種基于動(dòng)態(tài)授權(quán)機(jī)制的自適應(yīng)云服務(wù)訪問(wèn)控制方法。首先對(duì)用戶行為進(jìn)行信譽(yù)建模，使用繼承思想分層描述云用戶訪問(wèn)權(quán)限，云認(rèn)證中心依據(jù)用戶歷史信譽(yù)度與用戶角色樹(shù)構(gòu)建模型的映射關(guān)系，授予不同的云用戶身份令牌，為用戶推薦允許訪問(wèn)的云服務(wù)。云認(rèn)證中心通過(guò)實(shí)時(shí)監(jiān)控用戶行為變化，動(dòng)態(tài)調(diào)整用戶的綜合信譽(yù)度，若用戶可信，則授予云服務(wù)訪問(wèn)令牌，云用戶憑借云服務(wù)訪問(wèn)令牌獲取服務(wù)，以此建立高信譽(yù)度的云服務(wù)訪問(wèn)環(huán)境。

2 框架設(shè)計(jì)

在云計(jì)算環(huán)境下，云用戶與服務(wù)之間的信譽(yù)關(guān)系不易建立和維護(hù)，存在敏感信息易泄露的威脅。目前眾多文獻(xiàn)提到的云服務(wù)需在云平臺(tái)進(jìn)行統(tǒng)一注冊(cè)，通過(guò)云平臺(tái)請(qǐng)求服務(wù)。本節(jié)提出了一種基于動(dòng)態(tài)授權(quán)機(jī)制的云訪問(wèn)控制框架，為每一云服務(wù)引入可信認(rèn)證模塊TAM(Trusted Authentication Module)，并給出了可行的用戶身份認(rèn)證過(guò)程，以保障用戶訪問(wèn)的可靠性，解決用戶不能自適應(yīng)動(dòng)態(tài)授權(quán)等關(guān)鍵性問(wèn)題。所提框架如圖1所示。

圖1 自適應(yīng)云服務(wù)訪問(wèn)控制框架

2.1 框架設(shè)計(jì)

框架共包含四個(gè)參與交互的實(shí)體：云用戶CU(Cloud User)、云服務(wù)CS(Cloud Service)、云認(rèn)證中心CCC(Cloud Certification Center)、數(shù)據(jù)管理模塊DMM(Data Management Module)。 三個(gè)階段：云信息初始化階段、云用戶身份認(rèn)證階段及云服務(wù)訪問(wèn)階段；兩個(gè)模型：信譽(yù)模型RM(Reputation Model)、用戶角色樹(shù)構(gòu)建模型MURBT(The Model of User Role Building Tree)；一個(gè)關(guān)鍵算法：云服務(wù)動(dòng)態(tài)授權(quán)算法ADACS(The Algorithm of Dynamic Authorization of Cloud Services)。

主要功能部件CCC的職責(zé)主要分為四個(gè)部分：用戶角色管理、用戶授權(quán)管理、云服務(wù)管理及用于管理信譽(yù)度的信譽(yù)庫(kù)。DMM采用目錄型數(shù)據(jù)庫(kù)及標(biāo)記語(yǔ)言方便用戶信息的讀取和修改。

云訪問(wèn)控制的生命周期可分為三個(gè)階段：第一階段為云信息初始化階段，包括用戶的角色管理，云服務(wù)的配置及可信認(rèn)證模塊TAM的引入等。

第二階段為云用戶身份認(rèn)證階段，云用戶在獲取服務(wù)之前需訪問(wèn)云認(rèn)證中心，認(rèn)證中心依據(jù)用戶的歷史信譽(yù)度，與用戶角色樹(shù)構(gòu)建模型進(jìn)行權(quán)限映射，分發(fā)云用戶身份令牌CCCATu(CCC Access Token)，為云用戶推薦允許訪問(wèn)的云服務(wù)。

第三階段為云服務(wù)訪問(wèn)階段，云認(rèn)證中心通過(guò)實(shí)時(shí)監(jiān)控用戶行為的變化(例如服務(wù)請(qǐng)求次數(shù)，服務(wù)請(qǐng)求的時(shí)間間隔等)，獲取云用戶當(dāng)前的綜合信譽(yù)度。若云用戶的綜合信譽(yù)度達(dá)到云服務(wù)的訪問(wèn)閾值，則授予用戶云服務(wù)訪問(wèn)令牌CSATu(CS Access Token)，云用戶憑借唯一的云服務(wù)訪問(wèn)令牌CSATu訪問(wèn)云服務(wù)。訪問(wèn)結(jié)束后，云服務(wù)對(duì)用戶的行為進(jìn)行可信評(píng)估，并將信譽(yù)度存儲(chǔ)至云認(rèn)證中心的信譽(yù)庫(kù)。

RM由直接信譽(yù)度、歷史信譽(yù)度、直接信譽(yù)度及綜合信譽(yù)度四個(gè)部分組成，為用戶的動(dòng)態(tài)授權(quán)提供更準(zhǔn)確的依據(jù)。

MURBT采用繼承思想分層描述及管理云用戶的訪問(wèn)權(quán)限，在云用戶身份認(rèn)證階段，通過(guò)映射方式關(guān)聯(lián)云用戶歷史信譽(yù)度與云服務(wù)的訪問(wèn)權(quán)限，授予云用戶不同的服務(wù)訪問(wèn)權(quán)限集。在云服務(wù)訪問(wèn)階段，通過(guò)比較用戶的綜合信譽(yù)度與云服務(wù)的訪問(wèn)閾值，以判斷云用戶對(duì)該服務(wù)的可訪問(wèn)性。

ADACS在云信息初始化階段，對(duì)可訪問(wèn)云服務(wù)及用戶的訪問(wèn)角色進(jìn)行初始化設(shè)置。在云用戶身份認(rèn)證階段，根據(jù)計(jì)算云用戶的歷史信譽(yù)度授予不同云用戶身份令牌CCCATu，在云服務(wù)訪問(wèn)階段，根據(jù)云用戶身份令牌CCCATu的有效性及其綜合信譽(yù)度，授予云服務(wù)訪問(wèn)令牌CSATu。

TAM通過(guò)驗(yàn)證CSATu的有效性以判斷服務(wù)的可訪問(wèn)性。

定義1 (云服務(wù)CSx)由單一服務(wù)或組合服務(wù)完成服務(wù)請(qǐng)求的實(shí)體。

定義2 (云用戶CU) 使用云服務(wù)的個(gè)體稱為云用戶。

定義3 (云用戶身份令牌CCCATu)訪問(wèn)云認(rèn)證中心的用戶憑證稱為云用戶身份令牌。

定義4 (云服務(wù)訪問(wèn)令牌CSATu)訪問(wèn)云服務(wù)的用戶身份憑證稱為云服務(wù)訪問(wèn)令牌。

2.2 Token設(shè)計(jì)

用戶的訪問(wèn)令牌可分為云用戶身份令牌CCCATu，云服務(wù)訪問(wèn)令牌CSATu等，其生成函數(shù)如下：

(1) CCCATu設(shè)計(jì)

在云用戶身份認(rèn)證階段，云用戶在訪問(wèn)云認(rèn)證中心前需要驗(yàn)證用戶身份信息authccc。用戶向CCC服務(wù)器發(fā)出平臺(tái)驗(yàn)證請(qǐng)求：包含用戶名IDu、登錄口令Cu、驗(yàn)證碼Idu、用戶身份Iu等相關(guān)驗(yàn)證信息authccc。CCC請(qǐng)求用戶信息存儲(chǔ)服務(wù)器DMM，如果用戶信息合法，DMM返回True，否則返回false。

verifyUser(IDu,authccc:NAME;out result:

BOOLEAN)?

result=(IDu∈DMM)(isvalid(authccc));?.

若云用戶合法，云認(rèn)證中心需根據(jù)信譽(yù)模型RM獲取用戶的歷史信譽(yù)度。用戶角色樹(shù)構(gòu)建模型MURBT判斷用戶目前所處的信譽(yù)等級(jí)并分配云服務(wù)訪問(wèn)權(quán)限集Puser，云認(rèn)證中心依據(jù)Puser生成唯一云用戶身份令牌CCCATu，該令牌由云用戶的身份標(biāo)識(shí)IDu，身份有效開(kāi)始時(shí)間Ts，身份有效時(shí)間Tv。CCCATu生成函數(shù)如下：

generateCCCATu(IDu,Ts,Tv,Puser:NAME;out

CCCATu:NAME)?

CCCATu.IDu=IDu;

CCCATu.Ts=Ts;

CCCATu.Tv=Tv;

CCCATu.Puser=Puser;?.

(2) CSATu設(shè)計(jì)

用戶信息初始化后，在CCCATu的有效時(shí)間內(nèi)，云服務(wù)動(dòng)態(tài)授權(quán)算法ADACS通過(guò)解析云用戶身份令牌并推薦允許云用戶訪問(wèn)的CSx。用戶在獲取服務(wù)之前，需調(diào)用CSx認(rèn)證接口。

若用戶初次訪問(wèn)CSx，用戶需提供訪問(wèn)CSx認(rèn)證信息authcs，例如服務(wù)秘鑰等；如果目錄信息庫(kù)DMM已存儲(chǔ)云用戶對(duì)CSx的認(rèn)證信息，authcs的相關(guān)信息可從DMM中直接讀取。認(rèn)證通過(guò)，返回true，認(rèn)證失敗返回false。云服務(wù)認(rèn)證接口函數(shù)如下：

verifyUserByCS(authcs,CCCATu:NAME;out result

:BOOLEAN)?

if(authcs∈DMM)

then authcs=DMM.authcs;

else getFromUser

result=(isvalid(CCCATu))(isvalid(authcs));?.

云認(rèn)證中心首先采用RM獲取云用戶當(dāng)前的綜合信譽(yù)度Ruser。依據(jù)MURBT判斷云用戶對(duì)服務(wù)的可訪問(wèn)性，若用戶的綜合信譽(yù)度大于云服務(wù)的訪問(wèn)閾值valuecsx，則生成一個(gè)云服務(wù)訪問(wèn)令牌CSATx。CSATx由標(biāo)識(shí)用戶唯一身份的CCCATu，用戶在云服務(wù)CSx中認(rèn)證信息authcs和云用戶當(dāng)前的綜合信譽(yù)度Ruser所決定。CSATu生成函數(shù)如下：

generateCSATu(CCCATu,authcs,Ruser,CSx:NAME;

out CSATu,dmm:NAME)?

if Ruser>valuecsx

then{

dmm.CSx=CSx；

dmm.authcs=Ekkk{authcs}；

CSATu.CCCATu=CCCATu;

ASATu.authcs=authcs;

ASATu.Ruser=Ruser;}?.

用戶若認(rèn)證成功，將已認(rèn)證的云服務(wù)信息通過(guò)加密函數(shù)Ekkk存放于用戶目錄信息數(shù)據(jù)庫(kù)DMM中。

2.3 身份認(rèn)證

自適應(yīng)云服務(wù)訪問(wèn)框架用戶身份的認(rèn)證過(guò)程，可分為云信息初始化階段，云用戶身份認(rèn)證階段及云服務(wù)訪問(wèn)階段，具體認(rèn)證流程如下：

2.3.1 云信息初始化

在云服務(wù)可訪問(wèn)之前，管理員manager需在云認(rèn)證中心對(duì)云服務(wù)進(jìn)行配置，添加云服務(wù)的訪問(wèn)地址addx，允許訪問(wèn)的信譽(yù)閾值value，提供用戶認(rèn)證等服務(wù)info。

服務(wù)注冊(cè)中心CCC對(duì)每一注冊(cè)的云服務(wù)添加可信認(rèn)證模塊TAM，其作用是攔截云用戶的服務(wù)訪問(wèn)請(qǐng)求，通過(guò)驗(yàn)證云用戶的認(rèn)證信息及云服務(wù)訪問(wèn)令牌CSATu的有效性，從而判斷是否允許云用戶訪問(wèn)。云信息初始化流程如下：

initialService(service,maneger:NAME;out CSx:

NAME)?

CSx.addx=service.addx;

CSx.value=maneger.value;

CSx.info=service.info;

CSx.TAM=maneger.TAM;

register CSxinto CCC;?.

2.3.2 CCC用戶身份認(rèn)證

云用戶在訪問(wèn)云認(rèn)證中心前需要驗(yàn)證用戶身份信息authccc。云認(rèn)證中心根據(jù)DMM服務(wù)器返回的authccc認(rèn)證結(jié)果及云服務(wù)訪問(wèn)權(quán)限集Puser生成唯一云用戶身份令牌CCCATu。CCC用戶身份認(rèn)證流程如下：

userAuth(IDu,authccc,Puser,Ts,Tv:NAME;out

CCCATu:NAME)?

if (verifyUser(IDu,authccc))

then{

CCCATu=generateCCCATu(IDu,Ts,Tv,Puser);

save CCCATuto cookie;

}

else (the accessis denied);?.

認(rèn)證通過(guò)后，CCC服務(wù)器將生成的CCCATu分發(fā)給用戶，并保存在用戶瀏覽器的cookie中，云用戶憑借CCCATu的有效性以保持登錄狀態(tài)。

2.3.3 云服務(wù)訪問(wèn)認(rèn)證

在云服務(wù)訪問(wèn)階段，云用戶在獲取云服務(wù)之前，需調(diào)用CSx認(rèn)證接口。若用戶的綜合信譽(yù)度大于云服務(wù)的訪問(wèn)閾值，則生成一個(gè)云服務(wù)訪問(wèn)令牌CSATx，并將CSATx分發(fā)給CCC及云用戶。云服務(wù)訪問(wèn)認(rèn)證流程如下：

serviceAccessAuth(CCCATu,authcs,Ruser,CSx:NAME

;out result:NAME)?

if (verifyUserByCS(authcs,CCCATu))

then{

CSATu=generateCCCATu(CCCATu,authcs,Ruser,CSx);

save CSATuto user and CCC;}

else (the service access is denied);?.

用戶攜帶令牌CSATx訪問(wèn)云服務(wù)，CSx中的TAM對(duì)CSATx進(jìn)行一致性驗(yàn)證。若CCC與云用戶所持有的CSATx相同，提供服務(wù)資源，否則拒絕云用戶訪問(wèn)。

CSATAuth(CSATu,CSx:NAME;out result:

BOOLEAN)?

result=isvalid (CCC.CSATu==user.CSATu);?.

云用戶結(jié)束服務(wù)訪問(wèn)后，云服務(wù)CSx對(duì)用戶的行為進(jìn)行評(píng)估，將結(jié)果反饋至云認(rèn)證中心，并存儲(chǔ)至信譽(yù)庫(kù)。

3 自適應(yīng)動(dòng)態(tài)授權(quán)機(jī)制

本文采用自適應(yīng)動(dòng)態(tài)授權(quán)機(jī)制以實(shí)現(xiàn)自適應(yīng)云服務(wù)訪問(wèn)框架中云用戶的訪問(wèn)權(quán)限問(wèn)題。涉及到的關(guān)鍵算法是云服務(wù)動(dòng)態(tài)授權(quán)算法ADACS，算法通過(guò)信譽(yù)模型RM對(duì)云用戶的信譽(yù)度進(jìn)行量化評(píng)估及計(jì)算，并采用用戶角色樹(shù)構(gòu)建模型MURBT對(duì)用戶的權(quán)限進(jìn)行分層描述，最終達(dá)到云服務(wù)動(dòng)態(tài)授權(quán)的目的。為描述方便，動(dòng)態(tài)授權(quán)機(jī)制中的變量定義如表1所示。

表1 變量定義

3.1 信譽(yù)模型

信譽(yù)模型的核心思想是基于本文所提出的云訪問(wèn)控制框架，為用戶訪問(wèn)敏感數(shù)據(jù)時(shí)提供安全保障。信譽(yù)模型是一個(gè)動(dòng)態(tài)模型，隨著用戶訪問(wèn)次數(shù)增多，使得用戶的信譽(yù)值更加準(zhǔn)確。

(1)

本文所提的信譽(yù)模型使用區(qū)間[0,1]來(lái)代表用戶的信譽(yù)變化范圍，0代表完全不可信，1代表完全可信。用戶信譽(yù)模型主要包括四個(gè)部分：直接信譽(yù)度、推薦信譽(yù)度、綜合信譽(yù)度、歷史信譽(yù)度。其中直接信譽(yù)度是基于云用戶和云服務(wù)直接交互的歷史經(jīng)驗(yàn)，以及云認(rèn)證中心監(jiān)控云用戶當(dāng)前行為變化，對(duì)其進(jìn)行的信譽(yù)評(píng)價(jià)。推薦信譽(yù)度是指其他云服務(wù)對(duì)同一用戶的歷史訪問(wèn)評(píng)價(jià)。綜合信譽(yù)度指基于直接信譽(yù)度和推薦信譽(yù)度的綜合量化評(píng)價(jià)。歷史信譽(yù)度是對(duì)云用戶歷史的綜合信譽(yù)度進(jìn)行加權(quán)求和，代表云用戶的歷史信譽(yù)情況。

為方便說(shuō)明，本文將信譽(yù)模型中的實(shí)體按角色分為四類。

目標(biāo)實(shí)體CU：獲取其信譽(yù)度的實(shí)體。如云用戶。

源服務(wù)CSo：想獲取其他實(shí)體信譽(yù)度的服務(wù)。如云用戶當(dāng)前訪問(wèn)的服務(wù)。

推薦服務(wù)CSr：向源服務(wù)反饋目標(biāo)實(shí)體信譽(yù)信息的服務(wù)。

行為監(jiān)控者BM：實(shí)時(shí)監(jiān)控用戶的行為變化的實(shí)體。如云認(rèn)證中心。

(1) 直接信譽(yù)度

直接信譽(yù)度的計(jì)算基于目標(biāo)實(shí)體與源服務(wù)、行為監(jiān)控者的直接交互，主要影響因素有：服務(wù)請(qǐng)求次數(shù)，服務(wù)請(qǐng)求的時(shí)間間隔，服務(wù)請(qǐng)求的歷史信譽(yù)度等。

(2)

(2) 推薦信譽(yù)度

推薦信譽(yù)度的計(jì)算方法主要基于其他推薦服務(wù)CSr與同一目標(biāo)實(shí)體CU的歷史可信評(píng)價(jià)，主要影響因素有：推薦服務(wù)本身的可信程度，推薦服務(wù)與目標(biāo)實(shí)體歷史交互的可信程度等。

(3)

(4)

(3) 綜合信譽(yù)度

(5)

(6)

(7)

(8)

則綜合信譽(yù)度可表示為：

(9)

(4) 歷史信譽(yù)度

(10)

3.2 用戶角色樹(shù)構(gòu)建模型

在云用戶身份認(rèn)證階段，用戶角色樹(shù)構(gòu)建模型依據(jù)云用戶歷史信譽(yù)度，授予云用戶對(duì)應(yīng)的云服務(wù)訪問(wèn)權(quán)限集Puser，云認(rèn)證中心根據(jù)云用戶的登錄信息及權(quán)限集，授予云用戶身份令牌CCCATu，云認(rèn)證中心通過(guò)解析CCCATu推薦用戶允許訪問(wèn)的云服務(wù)。在云服務(wù)訪問(wèn)階段，用戶角色樹(shù)構(gòu)建模型通過(guò)比較云用戶的綜合信譽(yù)度與源服務(wù)訪問(wèn)閾值，若用戶的綜合信譽(yù)度高于源服務(wù)的訪問(wèn)閾值，云認(rèn)證中心則授予用戶云服務(wù)訪問(wèn)令牌。

3.3 云服務(wù)動(dòng)態(tài)授權(quán)算法

在云信息初始化階段，設(shè)定用戶的訪問(wèn)角色及初始化云服務(wù)信息等。在云用戶身份認(rèn)證階段，首先依據(jù)用戶在云認(rèn)證中心的訪問(wèn)信息以及云用戶的歷史信譽(yù)度，通過(guò)用戶角色樹(shù)構(gòu)建模型MURBT對(duì)用戶分配相應(yīng)的云用戶身份令牌CCCATu。在云服務(wù)訪問(wèn)階段，云服務(wù)中的可信認(rèn)證模塊TAM通過(guò)驗(yàn)證云用戶的訪問(wèn)令牌CSATu及認(rèn)證信息的有效性，若驗(yàn)證通過(guò)，則允許云用戶訪問(wèn)服務(wù)，否則，直接反饋拒絕訪問(wèn)信息。云服務(wù)動(dòng)態(tài)授權(quán)算法(ADACS)如下：

算法 ADACS

1. for time t = 0:Ntime

3. for eachCU

5. generatePuserwith MURBT

6. generateCCCATu

7. for time k = 0:τtime

9. ifPuserincludeCSoP

10. ifCUhas visitedCSo

//conpute direct reputation

12. ifCUhas visitedCSr

//compute recommended reputation

//compute comprehensive reputation

16. generateCSATu

17. authorize tokenCSATuwith TAM inCSo

18. if(authorized)

19. commitCUaccess

4 實(shí)驗(yàn)驗(yàn)證

(11)

(12)

高信譽(yù)度云用戶可訪問(wèn)高可訪問(wèn)性服務(wù)及低可訪問(wèn)性服務(wù)，低信譽(yù)度用戶只允許訪問(wèn)低可訪問(wèn)性服務(wù)。其中，云服務(wù)對(duì)低信譽(yù)度用戶的信譽(yù)評(píng)價(jià)采用區(qū)間內(nèi)[0,1]隨機(jī)值來(lái)模擬低信譽(yù)用戶行為的變化。

(1) 不同閾值下，可訪問(wèn)云用戶的變化

如圖3所示，閾值越小，對(duì)低信譽(yù)度云用戶信譽(yù)值變化越敏感，容易將低信譽(yù)度云用戶誤判。閾值越大，對(duì)高信譽(yù)度云用戶信譽(yù)值變化越敏感，容易將高信譽(yù)度云用戶誤判。從圖3中可看出，閾值為0.62時(shí)，查準(zhǔn)率為92%左右，誤判率在8%左右，綜合效果較好。在后面仿真中，采用該閾值作為標(biāo)準(zhǔn)。

圖3 閾值對(duì)云服務(wù)動(dòng)態(tài)授權(quán)算法的影響

圖4 高可訪問(wèn)服務(wù)對(duì)算法的影響

圖5 低可訪問(wèn)服務(wù)對(duì)算法的影響

(3) 本文服務(wù)選取方法與其他方法的比較

本實(shí)驗(yàn)通過(guò)與文獻(xiàn)[10]所提出的基于信譽(yù)的云計(jì)算身份管理模型(Trust_Model)進(jìn)行比對(duì)。Trust_Model通過(guò)事先設(shè)定云服務(wù)反饋權(quán)重，歷史反饋權(quán)重及交易前用戶信譽(yù)度權(quán)重，在交互過(guò)程中，通過(guò)設(shè)定獎(jiǎng)賞懲罰機(jī)制，動(dòng)態(tài)調(diào)整權(quán)值。

如圖6所示，在起始階段，Trust_Model與本文算法并無(wú)明顯差別，查準(zhǔn)率均處于上升趨勢(shì)。但隨著算法執(zhí)行次數(shù)的增加，本文算法的查準(zhǔn)率在92%左右浮動(dòng)，而Trust_Model維持在85%附近。由此可見(jiàn)，本文算法具有較高的查準(zhǔn)率，表現(xiàn)出不錯(cuò)的性能，且適用性更加廣泛。

圖6 本文方法與Trust_Model比較

本文所提出的云服務(wù)動(dòng)態(tài)授權(quán)算法ADACS的仿真實(shí)驗(yàn)源碼及相關(guān)文檔可在http://114.55.84.231:8080/ADACS獲取，所發(fā)布的ADACS源碼允許讀者自由重用。

5 結(jié) 語(yǔ)

傳統(tǒng)的訪問(wèn)控制技術(shù)無(wú)法適用于開(kāi)放、動(dòng)態(tài)、多變的云環(huán)境中，面臨著用戶行為和角色的不確定性，存在一定的安全隱患。本文提出了一種基于動(dòng)態(tài)授權(quán)機(jī)制的自適應(yīng)云訪問(wèn)控制方法，對(duì)用戶的行為角色進(jìn)行信譽(yù)建模。通過(guò)用戶角色樹(shù)構(gòu)建模型將用戶的歷史信譽(yù)度與服務(wù)訪問(wèn)權(quán)限進(jìn)行一一映射分發(fā)云用戶身份令牌CCCATu。若用戶的綜合信譽(yù)度達(dá)到云服務(wù)訪問(wèn)的信譽(yù)閾值，云認(rèn)證中心向云用戶分發(fā)云服務(wù)訪問(wèn)令牌CSATu，云服務(wù)中的TAM模塊通過(guò)驗(yàn)證CSATu的有效性來(lái)判斷是否允許云用戶訪問(wèn)該服務(wù)。相比于傳統(tǒng)方法，本文所提的方法具備較高的安全性和可靠性。通過(guò)仿真實(shí)驗(yàn)驗(yàn)證了方法的可行性。

[1] 林闖,蘇文博,孟坤,等.云計(jì)算安全:架構(gòu)、機(jī)制與模型評(píng)價(jià)[J].計(jì)算機(jī)學(xué)報(bào),2013,36(9):1765-1784.

[2] Garg V K.Elements of Distributed Computing[M].Wiley- IEEE Press,2002.

[3] Foster I,Kesselman C,Tuecke S.The anatomy of the grid:enabling scalable virtual organizations[J].International Journal of High Performance Computing Applications,2001,15(1):6.

[4] Schoder D,Fischbach K.Peer-to-peer prospects[J].Communications of the ACM,2003,46(2):27-29.

[5] 田俊峰,吳志杰.一種可信的云存儲(chǔ)控制模型[J].小型微型計(jì)算機(jī)系統(tǒng),2013,34(4):789-795.

[6] 吳檳,馮登國(guó).多域環(huán)境下基于屬性的授權(quán)委托模型[J].軟件學(xué)報(bào),2011,22(7):1661-1675.

[7] 范小康,何連躍,王曉川,等.一種基于RBAC模型的角色管理方法[J].計(jì)算機(jī)研究與發(fā)展,2012,49(S1):211-215.

[8] Ghazizadeh E,Zamani M,Ab Manan J L,et al.Trusted Computing Strengthens Cloud Authentication[J].Scientific World Journal,2014,2014(1):260187-260187.

[9] 周景才,張滬寅,查文亮,等.云計(jì)算環(huán)境下基于用戶行為特征的資源分配策略[J].計(jì)算機(jī)研究與發(fā)展,2014,5(5):1108-1119.

[10] 李丙戌,吳禮發(fā),周振吉,等.基于信任的云計(jì)算身份管理模型設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)科學(xué),2014,41(10):144-148.

[11] Dong J,Tan C,Zhang Y.A Reputation Evaluation Method in P2P Anonymous Environment[C]//Young Computer Scientists,2008.ICYCS 2008.The 9th International Conference for.IEEE,2008:1516-1521.

[12] Tan Z,Tang Z,Li R,et al.Research on trust-based access control model in cloud computing[C]//Information Technology and Artificial Intelligence Conference (ITAIC),2011 6th IEEE Joint International.IEEE,2011,2:339-344.

[13] Tian L Q,Lin C,Yang N.Evaluation of user behavior trust in cloud computing[C]//Computer Application and System Modeling (ICCASM),2010 International Conference on.IEEE,2010:V7-567 - V7-572.

[14] Blaze M,Feigenbaum J,Lacy J.Decentralized trust management[C]//Security and Privacy,1996.Proceedings,1996 IEEE Symposium on.IEEE,1996:164-173.

[15] 李喬,何慧,方濱興,等.基于信任的網(wǎng)絡(luò)群體異常行為發(fā)現(xiàn)[J].計(jì)算機(jī)學(xué)報(bào),2014,37(1):1-14.

[16] 王于丁,楊家海,徐聰,等.云計(jì)算訪問(wèn)控制技術(shù)研究綜述[J].軟件學(xué)報(bào),2015,26(5):1129-1150.

[17] 王艷輝,肖雪梅,賈利民.互操作信任的模糊變權(quán)動(dòng)態(tài)綜合評(píng)價(jià)方法[J].計(jì)算機(jī)研究與發(fā)展,2012,49(6):1235-1242.

[18] 蘇铓,李鳳華,史國(guó)振.基于行為的多級(jí)訪問(wèn)控制模型[J].計(jì)算機(jī)研究與發(fā)展,2014,51(7):1604-1613.

[19] 周茜,于炯.云計(jì)算下基于信任的防御系統(tǒng)模型[J].計(jì)算機(jī)應(yīng)用,2011,31(6):1531-1535.

A SELF-ADAPTIVE CLOUD ACCESS CONTROL METHOD BASED ON DYNAMIC AUTHORIZED MECHANISM

Lu Jiawei Wu Feifei Xu Jun Zhang Yuanming Xiao Gang*

(CollegeofComputerScienceandTechnology,ZhejiangUniversityofTechnology,Hangzhou310023,Zhejiang,China)

With the rapid development of cloud computing, the new computing model provides us with services efficiently and conveniently. However, this method has many sensitive data, if there is no effective method to protect the data, the consequences will be terrible. Aiming at solving data leakage, the cloud access control is one of the most effective and widely used methods to permit authorized users to visiting services. The traditional access control is close coupling and static, which is unable to choose service according to users’ behavior adaptively. In the cloud environment, many users’ roles have responsibilities which may be changed frequently, the relationships of access authorization between cloud services and users are uneasy to build and maintain. For these problems, we propose a method with adaptive cloud access control based on dynamic authorized mechanism. The cloud authentication center provides services like dynamic authorization for users, reputation management and behavior monitoring. To realize the dynamic authorization of users and reduce the risk of certified information leakage, we proposed the user role building tree model and the reputation mode. Extensive simulation results show that the method can monitor the changes under user behaviors, and ensure the security of sensitive data effectively.

Cloudy access control Cloud authentication Dynamic authorization Reputation model Cloud computing Cloud service

2016-10-08。浙江省自然科學(xué)基金項(xiàng)目(LQ12F02016)；浙江省科技廳公益性技術(shù)應(yīng)用研究項(xiàng)目(2014C33071，2014C31078)；浙江省重大科技專項(xiàng)計(jì)劃項(xiàng)目(2014C01048)。陸佳煒，講師，主研領(lǐng)域：云計(jì)算，軟件復(fù)用。吳斐斐，碩士。徐俊，碩士。張?jiān)Q，副教授。肖剛，教授。

TP311

A

10.3969/j.issn.1000-386x.2017.07.060