面向數據跨域流轉的延伸訪問控制機制

謝絨娜，郭云川，李鳳華,,3，史國振，王亞瓊，耿魁

（1. 西安電子科技大學網絡與信息安全學院，陜西 西安 710071；2. 中國科學院信息工程研究所，北京 100093；3. 中國科學院大學網絡空間安全學院，北京 100049；4. 北京電子科技學院電子與通信工程系，北京 100070）

1 引言

復雜網絡環境中，運行著各種各樣的大型應用系統，如專用系統、應急指揮系統、電子政務系統、電子商務系統等。這些大型應用系統為完成某項任務，往往需要多個子系統協同運作。比如專用系統中，一個簡單的業務處理可能會涉及認證系統、業務系統、監管系統等子系統。數據需要在認證系統、業務系統、監管系統之間相互流轉和共享。這些子系統大部分屬于不同管理域，部署在不同地域。數據跨系統跨域流轉已成為復雜網絡環境數據共享的趨勢，如何確保數據跨系統跨域流轉后的受控共享是訪問控制面臨的重大挑戰。

復雜網絡環境下，數據在不同實體、不同系統、不同域之間流動形成了數據流。數據跨系統、跨域流轉中的延伸訪問控制是數據流轉和共享過程中急需解決的問題。以專用系統為例，當數據在同一個子系統中的不同實體之間流轉，或者從一個子系統流轉到另一個子系統、一個域流轉到另一個域時形成了數據流。在數據流轉過程中，數據所有者一旦將數據發送給其他實體，就失去了對數據的控制。數據接收者在得到數據后，可以對數據進行任意修改和轉發。

數據或信息在不同系統、不同域之間的流動形成了數據流或信息流。針對數據流或信息流的訪問控制，早期的文獻[1-4]大多是針對軟件程序、操作系統或應用系統中信息流的控制。Bell等[5]和Biba等[6]分別提出的BLP（Bell and LaPadula）和Biba訪問控制模型解決了多級安全系統中信息流機密性和完整性問題。Zeldovich等[7]將信息流控制從單個系統引入網絡環境中，實現了多個不可信服務系統之間的信息流控制。She等[8]將基于角色的訪問控制與起源數據相結合，利用起源數據對數據可信度進行評估，根據信任值評估結果對信息流進行訪問控制。為提高信息流轉的效率，She等[9]提出服務組合協議，通過在信息流轉前服務組合階段對候選的服務器進行評估和訪問控制策略的驗證，改善了由于服務失效導致信息流轉效率降低的問題。上述模型沒有解決數據流轉過程中的延伸控制問題。Asuquo等[10]為了解決時延/中斷容忍網絡（DTN,delay/disruption tolerant network）在數據轉發過程中的訪問控制問題，提出了分布式信任管理模型評估中間節點的可信性，從而實現了對數據轉發的訪問控制。Li等[11]提出了強制性基于內容訪問控制機制，實現了數據中心網絡數據流轉過程中間節點對數據緩存權限的控制。上述文獻只是針對特殊應用場景，沒有對延伸控制操作進行細粒度延伸控制。

數據在全生命周期流轉過程中，來源于不同域、不同系統中的不同實體對數據各部分進行不同的操作，最終生成數據和數據流。數據跨系統、跨域流轉過程中共享延伸授權的訪問控制面臨如下挑戰。

1) 延伸授權的訪問控制

對數據跨域流轉的訪問控制，不僅需要在訪問請求前判斷訪問請求實體是否有訪問的權限，還需要考慮訪問請求實體得到訪問權限后對數據資源進一步的延伸控制問題。對數據進行共享延伸的訪問控制，訪問請求實體不僅要考慮對數據本身的訪問權限，還需要考慮對數據在整個流轉過程中起源數據的訪問權限。

2) 跨域流轉的隱私泄露

為了實現跨域訪問控制，很多文獻采用基于角色或基于屬性的訪問控制機制。當數據在2個不同域之間流轉時，不同域之間需要進行角色或屬性的映射，這樣勢必會存在映射關系復雜、映射表維護成本高和隱私泄露的問題。如何降低數據跨域流轉中隱私泄露問題是數據跨域流轉延伸訪問控制中急需解決的問題。

針對上述問題，本文提出了面向數據跨域流轉的延伸訪問控制機制，主要貢獻如下。

1) 提出了面向數據跨域流轉的延伸訪問控制機制，并給出了形式化描述。該機制將訪問控制分為約束訪問控制和傳播訪問控制2類。其中，約束訪問控制用于解決訪問請求實體在訪問請求前對數據資源的訪問授權問題，傳播訪問控制用于解決訪問請求實體得到數據資源訪問授權后進一步的延伸控制問題。

2) 面向數據跨域流轉的延伸訪問控制機制基于訪問請求實體和客體的屬性進行訪問授權，并把數據流轉過程的起源數據作為客體的屬性，實現訪問請求實體對數據流的間接訪問控制。在數據跨域流轉時，不同域訪問請求實體和客體通過屬性映射，實現域內局部屬性與全局屬性的映射，進而實現不同域之間屬性映射，避免了不同域之間直接進行屬性映射造成的屬性映射維護成本高、擴展性差的問題，同時降低了不同域之間屬性映射導致的隱私泄露的風險。

3) 對面向數據跨域流轉的延伸訪問控制機制的安全性和有效性進行了分析，并通過電子發票全生命周期的流轉過程展示了數據跨域流轉的延伸訪問控制機制實施方法。安全性和性能分析表明，該機制有效解決了數據跨域隨機流轉過程中的延伸授權問題，并在保證安全性的前提下，有效提高了訪問控制的效率。

2 相關工作

數據或信息在不同系統、不同域之間的流動形成了數據流或信息流，其中，信息代表有一定意義的數據。關于數據流或信息流訪問控制，早期的文獻大多集中在信息流訪問控制。對于信息流的訪問控制，部分文獻采用起源數據進行訪問授權。本節從信息流訪問控制和基于起源的訪問控制2個方面討論數據跨域流轉訪問的研究進展。

2.1 信息流訪問控制

對于信息流控制，早期的文獻[1-4]大多是針對軟件程序、操作系統或應用系統中信息流的控制，保證敏感信息不能輸出到公共端口，并且關鍵的計算組件不能受到外部信息的影響。BLP訪問控制模型[5]將主體和客體分成不同的安全等級，通過“下讀上寫”的安全策略解決了多級安全系統中信息流機密性。參考BLP模型，Biba訪問控制模型[6]將主體和客體賦予不同完整性標記屬性，通過“上讀下寫”安全策略實現了多級安全系統的完整性。Zeldovich等[7]將信息流訪問控制從單個系統引入網絡環境中，實現了多個不可信服務系統之間的信息流控制。Groef等[12]設計開發了一個Web瀏覽器，通過瀏覽器實現靈活準確的信息流控制。但上述文獻大多是在執行過程的訪問控制，對于信息流動前不同服務器組合時期的訪問控制問題很少考慮，影響了信息流訪問控制執行的效率。針對上述問題，She等[9,13-14]提出了服務組合協議，將服務組合分成 3個階段進行服務器評估和訪問控制策略的驗證，從而實現了可信服務器組合，提高了訪問控制的效率；同時，引入了轉移因子（TF, transformation factor）的概念，提高了中間服務器訪問控制執行的效率。但其沒有考慮信息流轉過程中的延伸控制。針對特殊應用場景下信息流的訪問控制問題，近期不少文獻提出了針對性的解決方案。為了解決時延容忍網絡數據轉發過程的訪問控制問題。Asuquo等[10]提出分布式信任管理模型，通過直接信任評估和間接信任評估相結合的方式實現對數據轉發節點的可信性進行動態評估，從而實現對數據轉發的訪問控制，但只是針對 DTN特殊網絡環境，同樣沒有考慮數據流轉過程延伸訪問控制問題。Li等[11]針對數據中心網絡中的安全和隱私問題，提出了強制性基于內容的訪問控制機制，內容提供者根據不同內容定義不同的安全標簽，實現數據發送時中間節點對發送內容進行緩存的權限控制，雖然考慮了部分延伸控制問題，但只是針對數據中心網絡這種特殊應用場景，中間節點對數據緩存及其他延伸操作沒有進行進一步的細粒度控制。

2.2 基于起源的訪問控制

起源數據主要用來跟蹤、記錄數據的生成過程，即記錄誰在什么條件下對數據進行了什么操作。目前，不少文獻利用起源數據進行數據流的訪問控制。Park等[15]提出了基于起源的訪問控制模型，利用起源數據實現訪問控制。為提高訪問控制策略描述和執行的效率，Sun等[16-17]設計了類型化的起源模型及其解釋器，將起源數據當做一種特殊的屬性進行訪問控制。She等[8]針對服務導向架構（SOA, service-oriented architecture）中的數據流跨域流轉中的安全性和可信性問題，將基于角色的訪問控制與起源數據相結合，根據起源數據對數據進行可信性評估，并根據信任值評估結果對數據流進行訪問控制，通過域間角色的映射實現數據流跨域的訪問控制，但存在映射表維護復雜以及域間角色映射造成的隱私泄露問題。李鳳華等[18]提出了資源傳播鏈來記錄數據在不同實體之間的流轉過程，實現了數據受控二次/多次分發，在一定程度上解決了數據資源的延伸控制問題，但沒有給出延伸控制形式化的定義。

上述文獻對數據跨域流轉共享延伸訪問控制問題都沒有解決。

3 數據流模型

3.1 數據跨域流轉的系統模型

數據跨域流轉的系統模型如圖1所示，包括多個不同類型的域。不同域包括各種實體（E, entity）、客體（O, object）、數據容器（DC, data container）、安全授權管理服務（SA, security authority）。其中，實體包括使用者、軟件、硬件，客體包括各種數據資源（data），數據容器可以為文件夾、數據庫、硬盤等，安全授權管理服務負責訪問控制策略管理、不同域間屬性映射、訪問控制判定和授權。

圖1 數據跨域流轉系統模型

定義1 數據跨域流轉的系統包括域集合其中，N*為自然數集合。一個域Di為四元組其中，實體集合客體集合數據容器集合為域Di的授權管理服務，管理域內和域間的訪問控制策略集合

3.2 數據流模型

不同實體、不同系統和不同域之間隨機訪問、生成和轉發各種數據，形成了數據交互，如圖 2所示。

圖2 數據交互

域內的實體e接收其他實體發來的數據并作為自己的輸入e.In，將輸入的數據e.In和本地的數據e.L通過函數e.F生成輸出數據e.Out，實體e對輸出數據進行傳播操作e.G，發送給其他實體。數據流模型如圖3所示。

定義2 數據流模型Q為五元組＜e. I n,e.L,e.Out,e.F,e.G＞，其中，e.In為輸入數據的集合，e. I N = {e. i nk|k∈N*}，輸入數據可以是本域內的實體發來的數據，也可以是其他域實體發來的數據；e.L為本域內數據集合，e.L= {e.lk|k∈N*}；e.Out為輸出數據的集合，e. O ut= {e. o utk|k∈N*}；e.F為實體e對輸入數據和本地數據進行的操作，包括讀、寫、主體行為等，e. O ut =e.F(e. I n,e.L)；e.G為實體e對函數e.F輸出數據e.Out進行的傳播操作，包括保存、備份、刪除、轉發等。

圖3 數據流模型

數據在不同實體之間的傳播生成一個數據流（data flow）或數據傳播鏈（data chain）。

定義3 抽象的數據傳播鏈 ＜q1,… ,qi, … ,qn＞ ，其中，q1為數據傳播鏈的起點，qn為數據傳播鏈的終點，qi=＜ei. In,ei.L,ei. Out,ei.F,e.G＞。其中，ei.In為第i個實體輸入數據；ei.L為第i個實體從本地數據容器中獲得的數據資源；ei. Out 為第i個實體輸出數據，ei. Out =ei.F(ei.In,ei.L)；ei.F為第i個實體對數據進行的操作；ei.G為第i個實體對輸出數據ei.Out進行的傳播操作。

3.3 基于屬性的訪問控制模型

面向數據跨域流轉的延伸訪問控制機制中，基于實體屬性和客體屬性進行訪問授權。

實體屬性包括實體的通用屬性、安全屬性、環境屬性。令實體EATT = {＜ e attu, eatts, eattc＞ |eattu∈EAttU, eatts∈EAttS,eattc∈ E AttC}。其中，EAttU表示實體的通用屬性集合，包括實體類別（人、軟件、硬件）、實體角色、運行的平臺等；EAttS表示實體的安全屬性集合，包括實體的安全等級、安全域等；EAttC表示實體的環境屬性集合，包括時間、位置等。

客體屬性包括數據資源的通用屬性、安全屬性、環境屬性。令客體OATT = {＜ o attu,oatts,oattc＞|oattu∈ O AttU,oatts∈OAttS,oattc∈ O AttC}。其中，OAttU表示客體的通用屬性集合，包括客體生成者、生成客體所進行的操作、客體起源數據等，客體起源數據用于表示客體生成過程中所有涉及的相關客體及其屬性，客體o的起源數據o.P= {＜o1,o1.att＞,＜o2,o2.att＞,… , ＜on,on.att＞} ；OAttS表示客體的安全屬性集合，包括客體的安全等級、安全域等；OAttC表示客體的環境屬性集合，包括客體生成的時間、設備等。

在進行延伸授權的訪問控制時，除了考慮主體和客體屬性外，還需要考慮數據容器的屬性。令數據容器屬性DCATT = {＜ d cattu,dcatts, dcattc＞|dcattu∈ D CAttU,dcatts∈DCAttS,dcattc∈ D CAttC}。其中，DCAttU表示數據容器的通用屬性集合，包括數據容器位置、數據容器IP地址、數據庫名、視圖名等；DCAttS表示數據容器的安全等級、安全域等；DCAttC表示容器的環境屬性集合。

面向數據跨域流轉的延伸訪問控制機制中，在實體和客體的眾多屬性中，有一部分屬性是全局屬性，如時間等；還有一部分屬性是域內的局部屬性，如位置、角色、身份等。域內的數據流轉可以采用域內的局部屬性直接進行訪問控制，這樣一方面可以保護隱私性，另一方面可以避免屬性轉化帶來的空間和時間開銷。在多域的環境中，跨域的訪問控制是不可避免的。為了實現數據跨域安全流轉和訪問，每個域都存在一個或多個屬性映射函數，實現域內屬性與全局屬性映射。在進行跨域訪問時，例如A域數據流轉到B域，首先調用A域的屬性映射函數，將本域屬性映射為全局屬性，當數據流轉到B域時，再調用B域的屬性映射函數，將全局屬性映射為B域的域內屬性。這樣每個域只需要維護本域與全局屬性映射關系，提高了屬性映射的效率，不同域間的屬性互相不可知，降低了隱私泄漏的風險。

4 面向數據跨域流轉的延伸訪問控制機制

本文提出的面向數據跨域流轉的延伸訪問控制機制根據數據流轉過程中的起源數據進行訪問授權，并將訪問控制分為約束訪問控制和傳播訪問控制兩類。約束訪問控制主要解決實體在何種條件下能夠對數據進行何種操作的問題，也就是控制上述數據傳播鏈中e.F函數的操作。傳播訪問控制用于解決實體得到數據后，在何種條件下能進行何種傳播操作的問題，也就是e.G函數的操作。通過約束訪問控制和傳播訪問控制解決數據跨域延伸訪問控制的問題。

4.1 約束訪問控制

在約束訪問控制中，實體可以進行操作集合OP主要包括讀、寫、主體行為，即OP={read,write,useactions}。

權限 perms：實體到操作的映射。perms={＜e, op＞|e∈E,op ∈ O P}。

授權函數auth：根據實體屬性、客體屬性和對應的訪問控制策略分配實體對應的權限。

auth=perms ×o= {＜e, op,o＞ |e∈E, op ∈ O P,o∈O}

在判斷實體對數據資源的讀訪問權限時，不僅考慮直接讀權限，還需要考慮數據流轉過程中所有涉及的數據間接讀權限，即

auth(e, read,o) ? auth(e, read,o) ∧ auth(e, read,o.P)?auth(e, read,o) ∧ auth(e, read,oi.P)，i= 1,… ,n

其中，數據資源o的起源數據為o.P= {＜o1,o1.att＞,＜o2,o2.att＞,… ,＜on,on.att＞}。

寫操作與讀操作類似，同樣需要考慮數據流轉過程中所有涉及的數據寫權限，即

用戶行為（useactions）是實體對客體進行的一些特殊行為，如加密、簽名、驗簽、計算摘要、隱私保護、噪聲干擾等操作都屬于用戶行為。不同的操作對應的訪問控制策略不同，在實際應用中，根據具體的行為類型和安全需求制定對應的訪問控制策略。

4.2 傳播訪問控制

訪問請求實體在得到數據訪問權限后，數據的管理權和所有權就產生了分離。訪問請求實體可以在本地任意留存、備份，留存的時間、備份的份數也沒有限制；還可以將得到的數據任意轉發給其他訪問實體或系統。傳播訪問控制主要解決訪問請求實體得到數據后進一步的權限管理問題，用于判斷控制訪問請求實體在得到數據的訪問權限后，在什么條件下可以進一步對數據進行哪些傳播操作。傳播訪問控制中，訪問請求實體進行的操作集合主要包括保存、備份、刪除、接收、發送、轉發等操作，即OP = {save,backup,delete,receive,send,forward}。

訪問請求實體在得到數據訪問授權后，將數據保存在數據容器 dc中。在對保存操作進行訪問控制判斷時，不僅需要考慮訪問請求實體是否對數據有保存的權限，還需要考慮保存數據的數據容器的屬性是否滿足數據保存的條件，以及保存的時間等。此外，還需要考慮整個數據流轉過程中所有涉及的數據保存權限。

其中，數據o的起源數據o.P= {＜o1,o1.att＞,＜o2,o2.att＞, … ,＜on,on.att＞}；dc.att指數據容器的屬性，只有數據容器的屬性滿足保存條件時，數據容器才可以保存數據，例如只有數據容器安全等級大于或等于數據的安全等級時，才可以保存數據；time表示數據在數據容器中保存的時間。

為防止數據丟失，經常將數據備份在數據容器中。

其中，Number為備份的份數，Number=1時可以省略不寫。數據可以備份在不同的容器中，同一個容器可以備份多份數據。

對接收、保存和備份的數據資源，到了一定時間期限需要執行刪除操作。

接收操作涉及不同實體之間數據流轉以及流轉的路徑。在進行訪問控制時，不僅要考慮數據本身和接收數據的實體，還需要考慮發送數據的實體、發送的方式和經過的路徑等因素，同時還需要考慮數據流轉過程中所有涉及的數據。接收操作可表示為

其中，ei.Out表示第i+1個實體接收第i個實體輸出的數據資源；ei.manner為接收的方式，ei. manner ∈MANNER，MANNER為數據傳輸的方式，可以通過網絡傳輸，也可以通過光盤、U盤或紙質文件傳輸；ei.path為發送的路徑，ei. path ∈ P ATH，PATH為數據傳輸的路徑集合，包括數據在不同網絡節點傳播時形成的傳播路徑，或通過光盤、U盤或紙質文件傳輸等人工傳播時形成的傳播路徑。

其中，ei.Out.P為第i個實體輸出的數據ei.Out的起源數據。

對于發送操作同樣要考慮發送數據的實體、發送的方式、經過的路徑、接收的實體以及數據流轉過程中所有涉及的數據。第i個實體將自己輸出的數據資源ei.Out發送給第i+1個實體的發送操作可表示為

其中，ei. manner 為發送的方式，ei. path 為發送的路徑。

如果發送的數據是從上一個實體轉發來的，在進行轉發控制時，需要增加轉發的次數。轉發操作表示為

數據轉發時，需要判斷轉發次數是否超過上界，轉發成功后，轉發次數加1。

在對數據進行跨域延伸的訪問控制時，對于域內流轉直接采用域內的屬性進行授權判斷；對于跨不同域的數據流轉通過屬性映射函數實現域內屬性全局屬性的映射，進而實現域間不同實體和客體的屬性映射，提高訪問控制效率，降低隱私泄露的風險。

4.3 安全性分析

現有訪問控制機制重點考慮訪問請求實體e得到數據資源o前的訪問權限的控制。當訪問請求實體e得到數據資源o后，資源所有者就失去了對數據資源o的控制權限，訪問請求實體e可以對數據資源o進行任意操作，如保存、備份、刪除等操作，甚至轉發給其他訪問請求實體，例如訪問請求實體e轉發給e1，e1再轉發給e2，不同實體之間任意轉發造成資源的任意擴散。為解決上述問題，本文提出的跨域延伸訪問控制機制從約束控制和傳播控制2個方面進行訪問控制，不僅考慮讀、寫等操作，還進一步考慮訪問請求實體得到資源后延伸控制，分別從保存、備份、刪除、轉發等操作進行細粒度延伸控制。在對保存和備份操作進行控制時，不僅考慮實體對資源是否有保存的權限，同時考慮保存的容器屬性是否滿足條件。對資源備份時，還需要考慮備份的份數等條件。對于轉發操作，不僅考慮發送實體和接收實體，同時考慮資源轉發的路徑、方式和次數，保證資源在受控的實體范圍內通過受控的方式和平臺進行消息發布和共享。利用延伸授權的訪問控制機制有效解決了上述數據資源在不同實體之間任意擴散的情況。同時，在實體得到數據資源后，也不可以對數據資源任意修改、刪除和保存，有效限制了數據資源在傳播過程失真的情況。文獻[8]分別從發送和接收 2種不同操作限制數據傳播，在一定程度上解決了數據流轉過程中的訪問控制問題，但該文獻只考慮發送和接收2個單獨動作，沒有考慮數據整個流轉過程，對數據在不同實體之間的多次轉發造成的泄露問題不能有效解決。

另一方面，現有訪問控制重點考慮對數據資源o的直接訪問控制，但數據資源o通常由不同實體通過對不同數據資源進行各種不同操作得到。假設數據資源o由實體e1、e2、e3分別對數據資源o1、o2、o3進行不同操作得到。假設實體e有對數據資源o讀的訪問權限，但對數據資源o1、o2沒有讀的權限，而資源o是由o1、o2組成的，那么e通過o得到了o1、o2的讀權限，導致數據資源o1、o2的間接泄露。本文利用數據傳播鏈（或者數據流）記錄了數據的起源信息，在進行訪問控制判斷時，不僅判斷對數據資源本身是否有訪問權限，同時考慮對整個數據傳播鏈中所有參與數據資源的生成和傳播的數據資源和實體的訪問權限，有效降低了數據資源在不同實體之間流轉造成的間接泄露風險。文獻[15]利用OPM（open provenance model）記錄起源數據，并利用起源數據進行訪問控制判斷，但存在起源數據過于復雜，并且在數據跨域流轉過程中由于起源數據過于復雜導致訪問控制效率低。本文利用數據傳播鏈（或者數據流）記錄了數據的起源數據，不考慮數據生成過程中不同實體對數據組成部分進行的操作以及不同實體與數據組成部分的關系，簡化了起源數據，提高了訪問控制效率。

5 用例分析

本節通過電子發票全生命周期的流轉過程給出數據跨域流轉延伸訪問控制機制的實現方法。

5.1 電子發票數據流分析

電子發票數據流轉過程如圖4所示，共有6個實體。

圖4 電子發票數據流轉過程

稅務機構(e1)。稅務機構從電子發票模板庫中提取要頒發的電子發票模板(e1.in1)，然后生成空白發票的 ID號、有效期等相關數據e1.l1，以及銷售方名稱等銷售方的相關數據e1.l2。為了保證空白發票的合法性，稅務機構使用自己的私鑰ske1=e1.l3調用簽名算法 sig，對空白發票相關數據

(e1. in1e1.l1e1.l2) 進行簽名，得到稅務機構的簽名sige1(e1.l4) ,sige1=sig(ske1,e1. in1e1.l1e1.l2)。稅務機構將空白發票相關數據和稅務機構簽名一起生成空白電子發票e1.out，e1. out =e1. in1e1.l1e1.l2e1.l4，并將生成的空白電子發票發送給銷售方。

銷售方(e2)。銷售方得到稅務機構頒發的空白電子發票e1.out后，首先使用稅務機構的公鑰pke1(e2.in1)調用簽名驗證算法verify驗證稅務機構的簽名，即 verify(pke1,e1.out)，驗證通過說明該空白發票為合法發票。銷售方生成銷售數據e2.l1，為了保證銷售數據的真實性，銷售方使用自己的私鑰ske2=e2.l2調用簽名算法對銷售數據和空白電子發票進行簽名，得到銷售方的簽名 s ige2(e2.l3) ，e2.l3= s ige2= s ig(ske2,e2.l1| |e1.out)。銷售方將空白電子發票、銷售數據、銷售方簽名一起生成有效電子發票e2. out =e1. out||e2.l1||e2.l3，發送給買方（個人/企業）。

個人/企業(e3)。個人/企業得到有效電子發票e2.out后，首先使用稅務機構的公鑰pke1(e3.in1)和銷售方公鑰 pke2(e3.in2)驗證電子發票的合法性和真實性，即 verify(pke1,e1.out)與 verify(pke2,e2.out)。驗證通過后，根據電子發票生成電子發票記賬憑證e3.l1，并將有效電子e2.out和電子記賬憑證e3.l1一起發送給財務部門進行報銷，即e3. out =e2. out||e3.l1。

財務部門(e4)。財務部門根據有效電子發票e2.out和電子記賬憑證e3.l1對電子發票進行報銷，并生成賬單數據e4.l1=e4. out1發送給銀行；根據下一步銀行生成的劃賬數據e5. out =e4. in1生成電子發票報銷數據e4.l2，并將有效電子發票e2.out、電子記賬憑證e3.l1和電子發票報銷數據e4.l2存檔保存，根據需要接受審計部門的審查。

銀行(e5)。銀行根據財務部門生成的賬單數據e4.l1=e4. out1對個人/企業劃賬，生成電子發票劃賬數據e5.out，發送給財務部門。

審計部門(e6)。審計部門從財務部門調取電子發票、電子發票記賬憑證和電子發票報銷e4.out2，e4. out2=e2. oute3.l1e4.l2，進行財務審計，生成審計結果e6.out。

電子發票模板庫是一個數據容器，存放各種電子發票模板。稅務機構根據需要從電子發票模板庫調用電子發票模板。

為簡化，本文假設稅務機構屬于域 A，銷售方都屬于域B，個人/企業和各自的財務部門屬于域 C，銀行屬于域 D，審計機構屬于域 E，假設電子發票流轉過程中，所有的實體已經完成了身份認證。

5.2 電子發票流轉中的訪問控制需求和訪問控制策略

下面從電子發票流轉過程中的訪問控制需求解釋數據跨域延伸的訪問控制機制的實施方法。

約束訪問控制需求。在上述電子發票流轉過程中，各個實體對輸入數據和本地數據有讀和寫的需求。如稅務機構對電子發票模板和稅務機構私鑰有讀的需求；銷售方需要根據空白電子發票、銷售數據和銷售方的簽名生成有效電子憑據，銷售方有對上述數據寫的需求。此外，各個實體有進行主體行為的需求，如稅務機構需要對空白電子發票進行簽名，電子發票流轉過程中的主體行為包括簽名和驗證簽名、生成銷售數據和電子記賬憑證等。

傳播訪問控制需求。各個實體在得到數據后還需要進一步進行傳播操作，如各個實體有接收輸入數據的需求，對生成的輸出數據有發送需求。部分實體對輸入數據和生成的數據有保存的需求，比如銷售方從稅務機構拿到空白的電子發票后有保存的權限，但保存空白電子發票的數據容器有一定安全要求，空白電子發票只能保存在特殊的數據容器內?？瞻纂娮影l票有一定的使用期限，超過使用期限，銷售方需要將空白電子發票返還給稅務機構，而且銷售方沒有備份空白電子發票的權限。

針對上述約束訪問控制需求和傳播訪問控制需求，生成下述約束訪問控制策略和傳播訪問控制策略。

1) 約束訪問控制

根據約束訪問控制，電子發票流轉過程中各個實體讀和寫的訪問控制策略為

進行讀、寫訪問授權判斷時，不僅需要判斷直接訪問權限，還需要根據起源數據判斷間接訪問權限。

本實例中的主體行為主要涉及簽名和驗簽操作。在執行簽名和驗簽操作前，訪問請求實體對所有輸入數據有讀權限、對輸出數據有寫權限。

2) 傳播訪問控制

在傳播訪問控制中，接收和發送的訪問控制策略為

5.3 電子發票流轉實例

本節通過銷售方保存空白電子發票，財務部門接收、保存、備份有效電子發票和電子記賬憑證具體實例，詳細解釋傳播控制訪問控制中保存、接收操作的訪問控制實現。

銷售方將空白電子發票保存在自己的數據容器 dc2中，銷售方保存空白電子發票的訪問控制策略可以表示為

其中，dc2.att保存空白電子發票的數據容器的屬性，假設規定只有安全等級大于2級的數據容器才可以保存空白電子發票，那么銷售方要保存空白電子發票，需要dc2.att.securitylevel＞2。假設空白電子發票的有效期為[t1,t2]，在有效期內銷售方才可以保存空白電子發票；如果不在有效期內，銷售方將保存的空白電子發票返回給稅務機構。

財務部門接收個人或企業有效電子發票和電子記賬憑證e3.out = e2. out e2. l1，審核通過后對有效電子發票進行報銷。財務部份接收有效電子發票和電子記賬憑證的訪問控制策略為

其中，有

在數據接收時，需要考慮數據傳送的方式和傳送的路徑。比如，有的財務部門規定只能使用域內網絡進行相關數據的發送和接收，財務部門在接收數據時，可以拒絕接收通過外網發送來的有效電子發票和電子記賬憑證。本文假設個人或企業和財務部門屬于同一個安全域，在進行數據發送和接收時，不需要進行屬性的映射，可以直接使用域內屬性進行訪問控制判斷。財務部門把相關數據發送給銀行或審計部門時，其屬于不同的安全域，需要進行跨域的屬性映射，可以通過全局屬性映射實現域間不同實體和客體的屬性映射。

報銷結束后，財務部門會對e3.Out進行保存和備份。假設財務部門將有效電子發票和電子記賬憑證保存和備份在自己的數據容器 dc4中，且只備份一份。財務部門保存有效電子發票和電子記賬憑證的訪問控制策略為

備份有效電子發票和電子記賬憑證的訪問控制策略為

對于備份多份的情況，可以對不同的數據容器采用上述策略單獨考慮。

6 結束語

數據跨系統跨域流轉已成為復雜網絡環境中數據共享的趨勢，如何確保數據跨系統跨域流轉后的受控共享是訪問控制的重大挑戰?，F有訪問控制機制主要解決訪問請求前的訪問控制問題，而對于訪問請求實體得到訪問權限后進一步延伸控制的研究很少。針對上述問題，本文提出了面向數據跨域流轉的延伸訪問控制機制，將訪問控制分為約束訪問控制和傳播訪問控制2類，根據數據流轉過程中的起源數據進行訪問授權，解決數據跨域共享延伸授權的問題。安全性和性能分析表明，所提機制解決了數據跨域流轉過程中的延伸控制問題，在保證安全性的前提下，有效提高了訪問控制的效率，并通過電子發票全生命流轉過程展示了數據跨域流轉的延伸訪問控制機制實施方法。

未來還需要在以下方面進一步研究：結合不同的應用背景，給出面向數據跨域流轉的延伸訪問控制機制實施方法和訪問控制執行效率優化措施。