跨域訪問控制技術研究

諸天逸，李鳳華，成林，郭云川

跨域訪問控制技術研究

諸天逸1,2，李鳳華1,2，成林3，郭云川1,2

（1．中國科學院信息工程研究所，北京 100195；2. 中國科學院大學網絡空間安全學院，北京 100049；3. 中國信息安全測評中心，北京 100085）

根據國內外最新研究，對跨域數據流動中的訪問控制技術進行了總結和展望。首先，結合復雜應用環境下的訪問控制，概括了訪問控制模型、數據安全模型的發展。其次，分別從數據標記、策略匹配和策略沖突檢測方面對訪問控制策略管理的研究展開論述。最后，總結歸納了統一授權管理中數據標記技術和授權與延伸控制技術的研究現狀。

跨域數據流動；訪問控制模型；策略授權管理

1 引言

隨著網絡與信息技術的持續快速發展，不同的政府部門、企事業單位均建設有若干不同的業務信息系統。由于受控對象和業務場景的不同、客觀實際應用中管理模式的不同，這些業務系統呈現域內互聯、域間孤立特征，使現實應用中各個業務系統的數據未被充分利用，這與系統互聯的信息傳播與共享協同本質相悖。在此背景下，一些管理部門要求打破不同管理域、不同安全域、不同業務系統間的數據流動壁壘，建立統一的數據中心來存儲不同管理域、不同安全域、不同業務系統所產生的海量異構數據，在確保數據細粒度受控使用的前提下，實現所有被授權的數據使用者能依據自身需求在任何時間、任何地點，使用任意終端設備、通過任意渠道接入任何網絡依規獲取跨管理域、跨安全域、跨業務系統的數據。

毫無疑問，跨管理域、跨安全域、跨系統數據流動的服務模式必將大幅提升業務部門的處理效率。然而，這種服務模式要求將現有孤立系統進行物理連接和邏輯隔離，勢必打破原有信息系統在管理上數據隔離的信息孤島現狀；同時跨管理域、跨安全域的信息系統在業務服務、安全管理等方面存在差異，敏感數據會在不同信息系統中存留，產生了新的訪問控制問題：如何確保跨域的數據訪問者只有在受控模式下才能獲得完成業務功能所必需的數據，并確保所獲取的數據不被非授權傳播。

跨管理域、跨安全域、跨業務互聯系統所產生的數據來自不同的機構、組織與個人，具有多源特征；不同數據源持續生成大量的數據，呈現海量特征；這些海量數據類型包含多媒體數據、業務數據、管理數據等，缺乏統一的格式與規范，具有明顯的半結構化和非結構化特征。上述特征直接導致了數據使用在授權與鑒權方面面臨兩個挑戰。

1) 信息控制模式：由于計算成本、存儲成本和維護成本等約束，單個機構難以獨自建立數據中心，因此，各個機構不得不將數據存儲到第三方管理的數據中心，使數據所有權和管理權分離，直接導致了信息控制模式有別于傳統的訪問控制，即傳統訪問控制中數據所有權和管理權屬于同一機構或個人，數據所有者信任數據管理者，而管理數據中心的第三方是半可信甚至不可信的。

2) 細粒度訪問授權與延伸控制：首先，由于各種不同數據在安全保護等級、知悉范圍和管理者利益等方面存在差異，來自不同管理域、不同安全域、不同信息系統的數據不能完全無條件共享，需在約束條件下進行受控共享，而實踐過程中約束條件缺乏清晰準確的定義，且訪問權限隨訪問者訪問時間、地點和所使用設備等環境動態變化。其次，現有訪問控制系統中訪問控制主體/客體數量有限，且屬性定義單一，使數據訪問過程中細粒度控制困難。此外，現有訪問控制系統主要控制域內數據，一旦數據交換，數據復制的所有者就可能對數據進行任意傳播，從而導致傳播失控。

針對上述問題，學術界和產業界展開了廣泛的研究，本文從復雜應用環境下的訪問控制模型與數據訪問安全模型、訪問控制策略管理、統一授權與延伸控制等角度梳理跨域訪問控制研究現狀，支撐用戶跨域訪問與數據跨域流動。

2 訪問控制模型與安全模型

2.1 復雜應用環境下訪問控制模型

20世紀70年代至今，隨著IT技術發展和信息傳播方式演化，訪問控制技術經歷了3個發展階段：以單機數據共享為目的的主機訪問控制（其代表性工作為BLP、Biba等模型）、以單域內部數據共享為目的面向組織形態的訪問控制（其代表性工作為RBAC、UCON等模型）以及互聯網、云計算、在線社交網絡等新型復雜應用環境下的訪問控制。下面討論新型復雜應用環境下訪問控制模型研究現狀。

訪問控制模型方面：新型復雜應用環境的訪問控制模型主要包括基于屬性的訪問控制和基于關系的訪問控制兩類。基于屬性的訪問控制通過對主體、客體、權限和環境屬性的統一建模，描述授權和訪問控制約束；基于關系的訪問控制通過用戶間關系來控制對數據訪問權限的分配。

基于屬性的訪問控制將時間[1]、空間位置[2]、訪問歷史[3]、運行上下文[4]等要素作為訪問主體、訪問客體和環境的屬性來控制數據訪問行為，通過定義屬性間的關系來描述復雜的授權和訪問控制約束，確保授權的靈活性、匿名性與可靠性[5-11]，基于屬性的訪問控制的主要應用場景是云計算。基于關系的訪問控制中，資源所有者將與訪問者之間的關系（包括關系類型[12]、關系強度[13]等）作為控制要素，分配對數據的訪問權限，確保隱私個性化保護和數據共享需求間的平衡，滿足用戶個性化、細粒度和靈活的授權要求，但基于關系的訪問控制的主要應用場景是在線社交網絡。

綜上，目前新型應用環境下的訪問控制模型主要聚焦于云計算和在線社交網絡環境。但這些模型的本質仍是建模單域內數據控制，不適用于控制數據跨域流動；此外，這些模型未將多個要素進行融合控制，忽略了信息所有權和管理權分離等特征，不能直接建模跨管理域、跨安全域、跨業務系統的數據按需受控使用。筆者及所在團隊在跨域受控共享訪問控制模型方面取得了一些成果，即提出了基于行為的訪問控制模型[14]和面向網絡空間的訪問控制模型[15]，并從信息傳播方式演進規律的角度預測了訪問控制的未來發展趨勢[16-17]：資源訪問請求者請求訪問所需資源時，應考慮所處的時間狀態、采用的終端設備、從何處接入、經由的網絡/廣義網絡，以及要訪問信息資源的安全屬性等要素，確保“通過‘網絡之網絡’訪問‘系統之系統’”的安全。這些工作為跨域受控共享訪問控制建模提供了技術思路。

2.2 數據訪問安全模型

針對數據訪問中的核心操作及其操作規則的研究，目前學術界主要聚焦于以BLP為代表的信息流控制，確保數據不被直接或間接泄露。信息流控制的核心思想是：將標簽附在數據上，并隨著數據在整個系統中流動，限制數據流向。防止信息直接泄露的核心思想是準確執行“下讀/上寫”操作，防止間接泄露的核心概念是無干擾：確保系統在讀/寫執行過程中，受保護數據（高密級數據）與不受保護數據（低密級數據）間不相互干擾[18-19]。

無干擾方面近期典型工作如下。Giacobazzi等[20]針對安全程序語言讀/寫原語所導致的數據間接泄露問題，基于抽象無干擾概念，提出了弱信息流的統一檢測框架，有效地提高了檢測能力。Nielson等[21]針對內容依賴的信息流，提出了基于Hoare邏輯和內容依賴的信息流檢測機制，采用指令操作語義證明所提出的Hoare邏輯的可靠性。Zhang等[22]針對三維干擾的數據傳輸方法，提出了一種基于蜂窩集群結構的干擾感知數據傳輸協議。筆者及所在團隊[23]針對結構化文檔缺乏多級安全控制機制所產生的信息泄露問題，在BLP模型基礎上對行為安全級別進行了細化，定義行為的讀、寫安全與基本的安全規則，采用無干擾理論證明其安全性。

綜上，數據訪問安全模型僅考慮讀/寫等操作及其規則，忽略了復雜應用環境下跨業務、管理、接入等系統中的其他操作與規則，不能滿足數據訪問安全性評估的需要。針對該問題，筆者及所在團隊在前期研究中針對在線社交網絡中的數據訪問安全模型進行了初步研究，提出了7個原子操作[24]，這為構建數據訪問安全模型提供了技術思路。

3 訪問控制策略管理

訪問控制策略管理主要聚焦于策略匹配、沖突檢測與策略生成等方面的研究。

3.1 數據標記與策略生成

海量異構數據的細粒度自動標記是使用授權的基礎，最早數據安全標記源自BLP模型，其安全標簽包含密級和知悉范圍。自BLP模型之后，國內外學者對數據標記展開了一系列研究，目前的研究主要聚焦于數據標簽挖掘，包括標簽補全、標簽發現和標簽排序等技術。

標簽補全方面：針對Web文本中標簽挖掘中的部分標簽缺失問題，Yu等[25]提出了基于經驗風險最小化的多標簽學習技術，該技術可有效解決小規模數據集下標簽缺失。針對智能傳感數據中標簽缺失問題，Cong等[26]提出了半監督的多任務學習模型（S2MTL），通過整合矩陣分解、映射特征詞典、屬性空間信息學習技術，大幅度提升屬性補全效率。Guo等[27]提出了一種基于深度卷積神經網絡（CNN）的標簽完成和校正方法（LCC），并設計一種策略來補全標簽并校正噪聲標記數據，使用完成和校正的結果不斷修改模型以取得更好的效果。

標簽發現方面：基于社會媒體中的眾包數據，Yin等[28]提出了面向地理空間視頻的時空標簽挖掘方案，該方案所挖掘的標簽與用戶直覺較為一致。Xu等[29]提出了基于屬性的訪問控制策略挖掘方法，該方法通過合并和簡化候選規則，可有效地改善挖掘效率。Yang等[30]提出了跨媒體的標簽遷移學習模型，該模型先創建了從圖像到音頻的知識轉移渠道，提高了標簽挖掘效率和準確度。基于異構網絡，王瑜等[31]提出了面向多標簽系統的推薦模型，該模型將不同類型不可比較的標簽映射到可比較的相同空間中，實現標簽推薦優化。

標簽排序方面：針對不同標簽對數據描述影響重要性不同，Xin等[32]提出了多標簽分布式學習模型，提升了多標簽挖掘的準確度和實用性。針對多模式圖像檢索（MIR）訓練期間視覺和文本模態間不一致問題，Li等[33]提出一種從圖像文字描述中測量物體和場景標記重要性的方法，該方法能顯著提升MIR性能。Wang等[34]為無源標簽提出了一種二維排序方法（HMO），通過觀察標簽的時間序列RSS變化，HMO可以獲得標簽的順序以及特定的水平方向。

策略生成方面：吳迎紅等[35]提出了能描述策略間屬性關聯的精化算法、記錄策略和策略間關聯屬性的策略精化樹構建方法，為策略精化中的策略關聯問題處理提供基礎；林莉等[36]從規范策略合成和策略合成正確性目標出發，通過屬性值的計算結構，建立了新的基于屬性的策略合成代數模型。

目前，數據標簽技術主要聚焦于挖掘單數據域單類型的標簽，缺乏海量多源異構數據的歸一化描述，需從分級標簽自動融合、差異化數據按語義細粒度標記等方面展開研究，支撐海量異構數據的自動細粒度標記。

3.2 策略匹配

策略匹配方面：目前訪問控制策略匹配主要聚焦于XACML策略匹配和XML策略匹配兩類。

（1）XACML策略匹配研究主要包括3類：基于統計的策略順序調整、策略緩存、高效策略匹配結構設計。基于統計的策略順序調整首先對策略/規則進行聚類，并依據策略訪問頻率對策略/規則類進行降序排列，確保優先匹配經常調用的策略[37-38]。策略緩存機制將頻繁調用的策略保存在高速單級或多級緩沖區中，避免從低速存儲區進行重復檢索[37-39]，并建立緩存索引，提高策略檢索速度。上述兩種方案未考慮嵌套層級等因素對策略匹配效率的影響，針對上述問題，學界提出了策略匹配結構設計方法，該方法采用決策圖、決策樹等數據結構對層級嵌套的策略/規則進行重新編排，并對數據類型進行轉化；基于圖/樹結構，將策略匹配過程由順序匹配變為樹匹配或由二次匹配變為一次匹配，降低策略匹配復雜度[40-42]。

（2）XML策略匹配研究主要包括3類：預處理、后處理和視圖方式。預處理匹配發生在數據查詢執行前，通過訪問請求重寫等方式將用戶查詢請求轉化為被授權的安全請求，采用狀態自動機等方式進行策略匹配，降低了訪問請求的匹配時間[43-44]。后處理方式發生在數據查詢結果返回給用戶前，先在數據庫中執行用戶的所有請求，再對非授權數據進行剪枝[45]，采用宏森林自動機等方式[46]實現單層/多層嵌套數據匹配；基于視圖的方式為每個用戶/角色建立視圖，并使用代數式增量、物化視圖同步等方式維護視圖，用戶基于視圖進行匹配，提高內存利用率和匹配速度[47-49]。

現有訪問控制策略匹配主要聚焦于對匹配過程的優化，未從策略優化構建的角度來提升匹配效率，需從訪問控制策略冗余消除、屬性約簡等方面展開研究，支撐多源訪問控制策略快速匹配。

3.3 策略沖突檢測

沖突檢測主要包括兩類：基于邏輯的沖突檢測和基于非邏輯的沖突檢測。基于邏輯的方式中，用邏輯系統（如Belnap邏輯、狀態修改邏輯）等來表達策略，而后設計基于邏輯的安全策略查詢高效評估算法，判斷不同策略的相容性。如果相容，則合成，否則基于反例生成等技術溯源沖突點[50-51]。基于非邏輯的策略沖突檢測方面，利用圖或樹等數據結構表示訪問控制策略，并用圖/樹匹配等方式發現權限分配、傳遞等過程中的沖突，基于優先級、交互式策略協商等方式自動或半自動消解策略[52-55]。在策略沖突檢測方面，Berkay等[56]提出了一種策略實施系統IoTGUARD系統用于識別IoT安全策略，針對單個應用或一組交互應用的動態模型實施相關策略并監視策略的實施，能對違規策略及時有效處置。

但現有沖突檢測存在效率與可靠性間平衡問題，策略生成技術只適用于簡單語義環境，缺乏有效的策略分發與部署機制，未考慮不同節點間協同，需從復雜語義場景下策略自動生成、沖突檢測與快速消解、指令有序分發等方面展開研究，支撐跨層級、跨系統、跨域的訪問控制策略按需生成。

4 統一授權與延伸控制

授權確保數據使用者擁有為完成任務所必須具備的最小權限，延伸控制是對交換后數據的控制。針對海量多源異構數據的授權和延伸控制的研究主要包括權限分配、權限自動調整和權限延伸控制等方面。

4.1 權限細粒度分配

目前學術界研究重點是云環境下基于屬性的權限分配。針對公共云存儲環境下單屬性授權中心的單點瓶頸和低效率問題，Xue等[57]設計了基于多屬性授權中心的授權框架，實現了安全高效授權。針對云存儲環境下權限動態變更導致的密文頻繁更新問題，王晶等[58]提出了面向云存儲的動態授權訪問控制機制，從而降低密文更新代價，提高了授權的靈活性。針對授權方不可信或遭受惡意攻擊的權限分配問題，關志濤等[59]提出基于屬性加密的多授權中心權限分配方案，提高系統授權效率。針對設備類型多樣、用戶身份多元等特點，Saxena等[60]設計了基于屬性的授權方案，大幅降低了通信和計算開銷，但方案未考慮授權過程的錯誤檢測與容錯性。基于KP-ABE（key-policy attribute-based encryption），考慮用戶關系動態變化，Zhang等[61]提出了權限動態分配方案。Bai等[62]提出了一種基于多域信息的新型角色挖掘框架，利用用戶間權限分配關系擴展了角色挖掘技術的能力。現有權限分配主要針對單域信任體系內授權，未考慮多信任體制下權限分配，當前權限分配主要依據單一控制要素，未考慮傳播路徑等要素對權限分配的影響，需從多信任體制下多要素融合授權等方面展開研究，支撐跨信任域數據訪問權限的自動分配。

4.2 權限自動調整

目前訪問權限自動調整主要包括兩類：基于風險的權限調整和基于時間的權限調整。在基于風險的權限調整中，首先依據用戶場景，定義數據訪問所面臨的風險指標；而后計算權限調整前和調整后所帶來的風險，當風險小于預定閾值時，可調整訪問權限[63-66]。基于時間的權限調整方案中，首先設定用戶僅在某個時間域內對數據的訪問權限，在系統執行過程中，一旦在超出預定時間域，系統自動檢測并撤銷或調整已分配權限[67-68]。此外，Yan等[69]將上下文感知的信任與聲譽評估集成到加密系統，提出了基于信任的訪問控制方案，支持訪問權限隨策略動態變化而調整。綜上，現有訪問權限的調整主要基于風險和時間等要素，尚未做到權限隨訪問場景變化而自適應調整。

4.3 權限延伸控制

目前的研究主要聚焦于兩方面：基于起源的訪問控制（PBAC，provenance-based access control)和SP（sticky policy）技術。其中，PBAC將起源數據作為決策依據，保護起源敏感資源；SP采用密碼學技術將訪問控制策略綁定到數據中，確保數據流轉。在PBAC方面，Sandhu團隊[70-71]做出了一系列開創性工作，給出了形式化策略規約語言和模型、動態權責分離方案和實施框架。在SP技術中，Siani等[72]和Spyra等[73]使用加密機制將策略與數據相關聯，并對策略進行屬性編碼和匿名化處理以防止被惡意利用，為全生命周期內數據訪問控制提供支持。但這些工作未限定使用哪些要素制定控制決策，未考慮審計信息，不能做到對數據非授權操作的溯源。未來需從延伸策略綁定、共享過程監測、異常共享溯源等方面展開研究，支撐數據全生命周期的可管可控。

5 結束語

隨著網絡技術、通信技術、安全技術的發展，以及信息利用方式的持續演進，業界期望滿足“數據跨域行、按需受控用”的應用需求，確保安全受控用。本文根據國內外最新研究，對跨域數據流動中的訪問控制技術進行了總結和展望，結合復雜應用環境下的訪問控制，綜述了訪問控制模型、數據訪問安全模型的發展，分析了訪問控制策略管理、統一授權管理、延伸控制等方面的研究現狀，總結了存在的問題。

[1] HONG J N, XUE K P, XUE Y G, et al. TAFC: time and attribute factors combined access control for time-sensitive data in public cloud[J]. IEEE Transactions on Services Computing, 2017.

[2] XUE Y J, HONG J N, LI W, et al. LABAC: a location-aware attribute-based access control scheme for cloud storage[C]// Proceedings of Global Communications Conference (GLOBECOM). 2016: 1-6.

[3] DECAT M, LAGAISSE B, JOOSEN W. Scalable and secure concurrent evaluation of history-based access control policies[C]//Proceedings of ACM Computer Security Applications Conference (ACSAC), 2015: 281-290.

[4] YIANNIS V. Context-aware Policy Enforcement for PaaS-enabled Access Control[J]. IEEE Transactions on Cloud Computing , 2019.

[5] WANG Y C, LI F H, XIONG J B, et al. Achieving lightweight and secure access control in multi-authority cloud[C]//Proceedings of IEEE International Conference on Trust, Security and Privacy in Computing and Communications (TRUSTCOM). 2015: 459-466.

[6] ATLAM H F, ALENEZI A, WALTERS R J, et al. Developing an adaptive Risk-based access control model for the internet of things[C]//Proceedings of IEEE International Conference on Internet of Things (iThings). 2017.

[7] 楊騰飛, 申培松, 田雪, 等. 對象云存儲中分類分級數據的訪問控制方法[J]. 軟件學報, 2017, 28(9): 2334-2353.

YANG T F, SHEN P S, TIAN X, et al. Access control mechanism for classified and graded object storage in cloud computing[J]. Journal of Software, 2017, 28(9): 2334-2353.

[8] LIU J K, AU M H, HUANG X Y, et al. Fine-grained two-factor access control for web-based cloud computing services[J]. IEEE Transactions on Information Forensics and Security, 2016, 11(3): 484-497.

[9] ALAM Q, MALIK S U R, AKHUNZADA A, et al. A cross tenant access control (CTAC) model for cloud computing: formal specification and verification[J]. IEEE Transactions on Information Forensics and Security, 2017, 12(6): 1259-1268.

[10] 孫奕, 陳性元, 杜學繪, 等. 一種具有訪問控制的云平臺下外包數據流動態可驗證方法[J]. 計算機學報, 2017, 40(2): 337-350.

SUN Y, CHEN X Y, DU X H, et al. Dynamic authenticated method for outsourcing data stream with access control in cloud[J]. Chinese Journal of Computers, 2017, 40(2): 337-350.

[11] RONIT N. PolTree: a data structure for making efficient access decisions in ABAC[C]//Proceedings of the 24th ACM Symposium on Access Control Models and Technologies. 2019.

[12] CHENG Y, PARK J, SANDHU R. An access control model for online social networks using user-to-user relationships[J]. IEEE Transactions on Dependable and Secure Computing, 2016, 13(4): 424-436.

[13] SQUICCIARINI A C, LIN D, SUNDARESWARAN S, et al. Privacy policy inference of User-Uploaded images on content sharing sites[J]. IEEE Transactions on Knowledge and Data Engineering, 2015, 27(1): 193-206.

[14] LI F H, WANG W, MA J F, et al. Action-based access control model[J]. Chinese Journal of Electronics, 2008, 17(3):396-401.

[15] 李鳳華, 王彥超, 殷麗華, 等. 面向網絡空間的訪問控制模型[J]. 通信學報, 2016, 37(5): 9-20.

LI F H, WANG Y C, YING L H, et al. Novel cyberspace-oriented access control model[J]. Journal on Communications, 2016, 37(5): 9-20.

[16] 李鳳華, 熊金波. 復雜網絡環境下訪問控制技術[M]. 北京: 人民郵電出版社, 2015.12.

LI F H, XIONG J B. Access control technology for complex network environment[M]. Beijing: POSTS & TELECOM PRESS Co., LTD., 2015.12.

[17] 李鳳華, 蘇铓, 史國振, 等. 訪問控制模型研究進展及發展趨勢[J]. 電子學報, 2012, 40(4): 805-813.

LI F H, SU M, SHI G Z, et al. Research status and development trends of access control model[J]. Acta Electronica Sinica, 2012, 40(4): 805-813.

[18] 林果園, 賀珊, 黃皓, 等. 基于行為的云計算訪問控制安全模型[J]. 通信學報, 2012, 33(3): 59-66.

LIN G Y, HE S, HUANG H, et al. Behavior-based cloud computing access control security model[J]. Journal on Communications, 2012, 33(3): 59-66.

[19] 吳澤智, 陳性元, 楊智, 等. 信息流控制研究進展. 軟件學報, 2017, 28(1): 135-159.

WU Z Z, CHEN X Y, YANG Z, et al. Survey on information flow control[J]. Journal of Software, 2017, 28(1): 135-159.

[20] GIACOBAZZI R, MASTROENI I. Abstract non-interference: a unifying framework for weakening information-flow[J]. ACM Transactions on Privacy and Security, 2018, 21(2): 1-31.

[21] NIELSON H, NIELSON F. Content dependent information flow control[J]. Journal of Logical and Algebraic Methods in Programming, 2017, 87: 6-32.

[22] ZHANG J. Cellular clustering-based interference-aware data transmission protocol for underwater acoustic sensor networks[J]. IEEE Transactions on Vehicular Technology (2020).

[23] 蘇铓, 李鳳華, 史國振. 基于行為的多級訪問控制模型[J]. 計算機研究與發展, 2014, 51(7): 1604-1613.

SU M, LI F H, SHI G Z. Action-based multi-level access control model[J]. Journal of Computer Research and Development, 2014, 51(7): 1604-1613.

[24] LI F H, LI Z F, HAN W L, et al. Cyberspace-oriented access control: model and policies[C]//Proceedings of IEEE International Conference on Data Science in Cyberspace (DSC). 2017: 261-266.

[25] YU H, JAIN P, KAR P, et al. Large-scale multi-label learning with missing labels[C]//Proceedings of International conference on machine learning (ICML). 2014: 593-601.

[26] CONG Y, SUN G, LIU J, et al. User attribute discovery with missing labels[J]. Pattern Recognition, 2018, 73: 33-46.

[27] GUO K H. LCC: towards efficient label completion and correction for supervised medical image learning in smart diagnosis[J]. Journal of Network and Computer Applications, 2019(133): 51-59.

[28] YIN Y F, SHEN Z J, ZHANG L M, et al. Spatial-temporal tag mining for automatic geospatial video annotation[J]. ACM Transactions on Multimedia Computing, Communications, and Applications, 2015, 11(2).

[29] XU Z Y, STOLLER S D. Mining attribute-based access control policies[J]. IEEE Transactions on Dependable and Secure Computing, 2015, 12(5): 533-545.

[30] YANG Y, YANG Y, SHEN H T. Effective transfer tagging from image to video[C]//ACM Transactions on Multimedia Computing, Communications and Applications, 2013, 9(2).

[31] 王瑜, 武延軍, 吳敬征, 等. 基于異構網絡面向多標簽系統的推薦模型研究[J]. 軟件學報, 2017, 28(10): 2611-2624.

WANG Y, WU Y J, WU Y Z, et al. Multi-dimensional tag recommender model via heterogeneous networks[J]. Journal of Software, 2017, 28(10): 2611-2624.

[32] XIN G. Label distribution learning[J]. IEEE Transactions on Knowledge and Data Engineering, 2016, 28(7): 1734-1748.

[33] LI S W, PURUSHOTHAM S, CHEN C, et al. Measuring and predicting tag importance for image retrieval[J]. IEEE Transactions on Pattern Analysis and Machine Intelligence, 2017, 39(12): 2423-2436.

[34] WANG G. Hmo: ordering RFID tags with static devices in mobile environments[J]. IEEE Transactions on Mobile Computing, 2019(9): 74-89.

[35] 吳迎紅, 黃皓, 曾慶凱. 面向服務訪問控制策略精化描述[J]. 計算機研究與發展, 2014, 51(11): 2470-2482.

WU Y H, HUANG H, ZENG Q K. Description of service oriented access control policy refinement[J]. Journal of Computer Research and Development, 2014, 51(11): 2470-2482.

[36] 林莉, 懷進鵬, 李先賢. 基于屬性的訪問控制策略合成代數[J]. 軟件學報, 2009, 20(2): 403-414.

LIN L, HUAI P J, LI X X. Attribute-based access control policies composition algebra[J]. Journal of Software, 2009, 20(2): 403-414.

[37] MAROUF S, SHEHAB M, SQUICCIARINI A, et al. Adaptive reordering and clustering-based framework for efficient XACML policy evaluation[J]. IEEE Transactions on Services Computing, 2011, 4(4): 300-313.

[38] 牛德華, 馬建峰, 馬卓, 等. 基于統計分析優化的高性能XACML策略評估引擎[J]. 通信學報, 2014, 35(8): 206-215.

NIU D H, MA J F, MA Z, et al. HPEngine: high performance XACML policy evaluation engine based on statistical analysis[J]. Journal on Communications, 2014, 35(8): 206-215.

[39] 王雅哲, 馮登國, 張立武, 等. 基于多層次優化技術的XACML策略評估引擎[J]. 軟件學報, 2011, 22(2): 323-338.

WANG Y Z, FENG D G, ZHANG L W, et al. XACML policy evaluation engine based on multi-level optimization technology[J]. Journal of Software, 2011, 22(2): 323-338.

[40] NGO C, DEMCHENKO Y, LAAT C. Decision diagrams for XACML policy evaluation and management[C]//Computers & Security. 2015: 1-16.

[41] ROSS P, LISCHKAM, MARMOL F G. Graph-based XACML evaluation[C]//Proceedings of ACM symposium on Access Control Models and Technologies (SACMAT). 2012: 83-92.

[42] LIU A X, CHEN F, HWANG J H, Et al. Designing fast and scalable XACML policy evaluation engines[J]. IEEE Transactions on Computers, 2011, 60(12): 1802-1817.

[43] LOU B, LEE D, LEE W C, et al. Qfilter: rewriting insecure XML queries to secure ones using non-deterministic finite automata[J]. The International Journal on Very Large Data Bases, 2011, 20(3): 397-415.

[44] FAN D. Establishment of rule dictionary for efficient XACML policy management[J]. Knowledge-Based Systems, 2019(175): 26-35.

[45] DIAO Y, FISCHER P, FRANKLIN M J, et al. YFilter: efficient and scalable filtering of XML documents[C]//Proceedings of International Conference on Data Engineering (ICDE). 2002: 341-342.

[46] HAKUTA S, MANETH S, NAKANO K, et al. XQuery streaming by forest transducers[C]//Proceedings of International Conference on Data Engineering (ICDE). 2014: 952-963.

[47] WU X Y, THEODORATOS D, KEMENTSIETSIDIS A. Configuring bitmap materialized views for optimizing XML queries[J]. World Wide Web, 2015, 18(3): 607-632.

[48] BONIFATI A, GOODFELLOW M, MANOLESCU I, et al. Algebraic incremental maintenance of XML views[J]. ACM Transactions on Database Systems, 2013, 38(3): 177-188.

[49] THIMMA M, LIU F, LIN J Q, et al. HyXAC: hybrid XML access control integrating view-based and query-rewriting approaches[J]. IEEE Transactions on Knowledge and Data Engineering, 2015, 27(8): 2190-2202.

[50] BRUNS G, HUTH M. Access control via Belnap logic: intuitive, expressive, and analyzable policy composition[J]. ACM Transactions on Information and System Security, 2011, 14(1): 1-27.

[51] 吳迎紅, 黃皓, 呂慶偉, 等. 基于開放邏輯R反駁計算的訪問控制策略精化[J]. 軟件學報, 2015, 26(6): 1534-1556.

WU Y H, HUANG H, LYU Q W, et al. Access control policy refinement technology based on open logic r-refutation calculus[J]. Journal of Software, 2015, 26(6): 1534-1556.

[52] HU H X, AHN G, JORGENSEN J. Multiparty access control for online social networks: model and mechanisms[J]. IEEE Transactions on Knowledge and Data Engineering, 2013, 25(7): 1614-1627.

[53] SUCH J M, CRIADO N. Resolving multi-party privacy conflicts in social media[J]. IEEE Transactions on Knowledge and Data Engineering, 2016, 28(7): 1851-1863.

[54] SARKIS L C, SILVA V T D, BRAGA C. Detecting indirect conflicts between access control policies[C]//Proceedings of Annual ACM Symposium on Applied Computing (SAC). 2016: 1570-1572.

[55] 李瑞軒, 魯劍鋒, 李添翼, 等. 一種訪問控制策略非一致性沖突消解方法[J]. 計算機學報, 2013, 36(6): 1210-1223.

LI R X, LU J F, LI T Y, et al. An approach for resolving inconsistency conflicts in access control policies[J]. Chinese Journal of Computers, 2013, 36(6): 1210-1223.

[56] BERKAY C Z, TAN G, MCDANIEL P D. IoTGuard: dynamic enforcement of security and safety policy in commodity IoT[C]//NDSS. 2019.

[57] XUE K P, XUE Y J, HONG J N, et al. RAAC: robust and auditable access control with multiple attribute authorities for public cloud storage[J]. IEEE Transactions on Information Forensics and Security, 2017, 12(4): 953-967.

[58] 王晶, 黃傳河, 王金海. 一種面向云存儲的動態授權訪問控制機制[J]. 計算機研究與發展, 2016, 53(4): 904-920.

WANG J, HUANG C H, WANG J H. An access control mechanism with dynamic privilege for cloud storage[J]. Journal of Computer Research and Development, 2016, 53(4): 904-920.

[59] 關志濤, 楊亭亭, 徐茹枝, 等. 面向云存儲的基于屬性加密的多授權中心訪問控制方案[J]. 通信學報, 2015, 36(6): 116-126.

GUAN Z T, YANG T T, XU R Z, et al Multi-authority attribute-based encryption access control model for cloud storage[J]. Journal on Communications, 2015, 36(6): 116-126.

[60] SAXENA N, CHOI B J, LU R. Authentication and authorization scheme for various user roles and devices in smart grid[J]. IEEE Transactions on Information Forensics and Security, 2016, 11(5): 907-921.

[61] ZHANG Y, CHEN J, DU R Y, et al. FEACS: a flexible and efficient access control scheme for cloud computing[C]//Proceedings of IEEE International Conference on Trust, Security and Privacy in Computing and Communications (TRUSTCOM). 2015: 310-319.

[62] BAI W. RMMDI: a novel framework for role mining based on the multi-domain information[C]//Security and Communication Networks 2019.

[63] KHAMBHAMMETTU H, BOULARES S, ADI K, et al. A framework for risk assessment in access control systems[J]. Computers & Security, 2013, 39: 86-103.

[64] MIETTINEN M, HEUSER S, KRONZ W, et al. ConXsense: automated context classification for context-aware access control[C]//Proceedings of ACM Symposium on Information, Computer and Communications Security (ASIA CCS). 2014: 293-304.

[65] SANTOS D, RICARDO D, WESTPHALL C M, et al. A dynamic risk-based access control architecture for cloud computing[C]//Proceedings of Asia-Pacific Network Operations and Management Symposium (NOMS). 2014: 1-9.

[66] 惠榛, 李昊, 張敏, 等. 面向醫療大數據的風險自適應的訪問控制模型[J]. 通信學報, 2015, 36(12): 190-199.

HUI Z, LI H, ZHANG M, et al. Risk-adaptive access control model for big data in healthcare[J]. Journal on Communications, 2015, 36(12): 190-199.

[67] NING J T, CAO Z F, DONG X L, et al. Auditable -time outsourced attribute-based encryption for access control in cloud computing[J]. IEEE Transactions on Information Forensics and Security, 2018, 13(1): 94-105.

[68] YANG K, LIU Z, JIA X H, et al. Time-domain attribute-based access control for cloud-based video content sharing: a cryptographic approach[J]. IEEE Transactions on Multimedia, 2016, 18(5): 940-950.

[69] YAN Z, LI X Y, WANG M J. Flexible data access control based on trust and reputation in cloud computing[J]. IEEE Transactions on Cloud Computing, 2017, 5(3): 485-498.

[70] NGUYEN D, PARK J, SANDHU R. A provenance-based access control model for dynamic separation of duties[C]//Proceedings of International Conference on Privacy, Security and Trust (PST). 2013: 247-256.

[71] SUN L, PARK J, NGUYEN D, et al. A provenance-aware access control framework with typed provenance[J]. IEEE Transactions on Dependable and Secure Computing, 2016, 13(4): 411-423.

[72] SIANI P, CASASSA-MONT M. Sticky policies: an approach for managing privacy across multiple parties[C]//Computer, 2011, 44(9): 60-68.

[73] SPYRA G, BUCHANAN W J, EKONOMOU E. Sticky policies approach within cloud computing[J]. Computers & Security, 2017, 70: 366-375.

Research on cross-domain access control technology

ZHU Tianyi1,2, LI Fenghua1,2, CHENG Lin3, GUO Yunchuan1,2

1. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100195, China 2. School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049, China 3. China Information Technology Security Evaluation Center, Beijing 100085, China

Based on the latest research at home and abroad, the access control technology in cross-domain data flow were summarized and prospected. Firstly, combined with access control in complex application environments, the development of access control models and data security modelswere summarized. The advantages and disadvantages of access control policy management were analyzed. Secondly, the research on access control policy management from the aspects of data marking, policy matching and policy conflict detection were discussed respectively. Finally, the research status of data marking technology and authorization and extension control technology in unified authorization management were summarized.

cross-domain data flow, access control model, policy authorization management

TN 929

A

10.11959/j.issn.2096?109x.2021003

2020?05?08；

2020?07?21

諸天逸，zhutianyi@iie.ac.cn

國家重點研發計劃（2016QY06X1203）；國家自然科學基金（U1836203）；山東省重點研發計劃（重大科技創新工程）（2019JZZY020127）

The National Key Research and Development Program of China (2016QY06X1203), The National Natural Science Foundation of China (U1836203), Shandong Provincial Key Research and Development Program (2019JZZY020127)

諸天逸, 李鳳華, 成林, 等. 跨域訪問控制技術研究[J]. 網絡與信息安全學報, 2021, 7(1): 20-27.

ZHU T Y, LI F H, CHENG L, et al. Research on cross-domain access control technology[J]. Chinese Journal of Network and Information Security, 2021, 7(1): 20-27.

諸天逸（1995? ），男，江蘇無錫人，中國科學院信息工程研究所博士生，主要研究方向為跨域訪問控制。

李鳳華（1966? ），男，湖北浠水人，博士，中國科學院信息工程研究所研究員、博士生導師，主要研究方向為網絡與系統安全、大數據安全與隱私保護、密碼工程。

成林（1983? ），男，河北邢臺人，博士，中國信息安全測評中心助理研究員，主要研究方向為云計算安全、大數據安全。

郭云川（1977?），男，四川營山人，中國科學院信息工程研究所正研級高級工程師、博士生導師，主要研究方向為訪問控制、形式化方法。