云計算環境基于客體屬性匹配的逆向混合訪問控制方案

葛麗娜，胡雨谷，張桂芬，2，陳園園

（1.廣西民族大學人工智能學院，南寧 530006；2.廣西民族大學網絡通信工程重點實驗室，南寧 530006；3.廣西混雜計算與集成電路設計分析重點實驗室，南寧 530006）

（?通信作者電子郵箱66436539@qq.com）

0 引言

云計算結合了網絡新技術與分布式技術，提供超大規模計算、存儲及軟件等服務。本地數據脫離了數據所有者的束縛而被存儲到云上，引起了數據擁有者對數據安全的憂慮。而作為數據大密度聚集、不分界限流動的云環境，也因自身開放共享資源的體量、設施與服務公有化、應用環境復雜多變等問題使得云安全邊界難以區分。

智慧城市、醫療、農業、金融等產生大量的數據，需要進行存儲、使用和傳播，而在應用數據過程中的安全問題尤為突出，比如云服務能為醫院的病例管理提高效率和降低成本，但是也給患者帶來了對云服務提供商安全保障的擔憂。為了解決云服務環境下，訪問控制中存在的數據安全性問題，本文提出了基于客體屬性匹配的逆向混合訪問控制方法，并以醫療健康數據應用為例，用以解決以下的應用場景:用戶甲向云端服務器上傳一份私人的醫療健康數據文件A（醫學影像數據，心率數據、血液檢查數據等等），乙、丙、丁等用戶作為數據使用者可以向云端提出申請訪問、使用數據文件A，如圖1所示。

圖1 應用場景示意圖Fig.1 Schematic diagram of application scene

作為數據的擁有者和使用者通常會有如下顧慮:

1）數據擁有者甲擔心其上傳的醫療健康數據文件A包含的隱私數據被泄露；

2）甲對訪問、使用數據的乙、丙、丁等的真實身份和其對數據操作行為是否惡意的擔憂；

3）乙、丙、丁等如何確保云端數據文件A 等的真實性、可用性等。

以上場景，從用戶甲（亦為“數據貢獻者”）的角度出發，他考慮自身數據的隱私性、安全性能否得到保障。因此，保障數據貢獻者共享數據的安全性、數據依照用戶自身的意愿被使用、保障合法用戶進行合理訪問等是需要解決的問題。從使用數據的用戶乙、丙、丁等（亦為“數據訪問者”）的角度而言，保障所請求的數據的完整性、可用性等是主要關心的問題。

綜上，本文設計了一種基于客體屬性匹配的逆向混合訪問控制方法，可用于解決多個自治域進行云計算環境數據共享的場景。

1 基本概念

1.1 基于角色的訪問控制

文獻［1］在訪問控制技術中引入了“角色”的概念，用于用戶和訪問權限之間的關聯，提出了基于角色的訪問控制（Role Based Access Control，RBAC）模型，每一種角色對應一組相應的權限，用戶組、用戶、角色、權限和客體這五者之間的關系結構如圖2所示，“角色”的引入簡化了授權，方便了系統管理。

圖2 不同組成部分的關聯圖Fig.2 Association diagram of different components

Sandhu 等［2］對模型角色關系通過制定層次規則和會話約束進行管理改進；Bertino 等［3］提出引入觸發器和時間控制的基于時間角色的訪問控制（Temporal RBAC，TRBAC）模型，改進了權限間的管理；Joshi等［4］對文獻［3］中依賴關系等不足進行改進，提出基于時間角色的通用訪問控制（Generalized TRBAC，GTRBAC）模型；Crampton［5］基于責任與權力約束分離等擴展了RBAC 模型。這些方法應用于數據量較小、單一自治系統的環境，為復雜的云計算、多自治域訪問控制奠定了基礎。

RBAC 具有以下優點:1）簡化了權限管理，只需將分配了特定權限的角色授權給相應用戶；2）實現責權分離原則；3）支持最小特權原則；4）符合企業內部管理結構，方便實用。

隨著應用場景的不斷復雜，RBAC 的缺點顯現出來，它無法做到對未知訪問需求的權限設置，濫用角色導致虛無角色的“角色爆炸”問題，在超大規模的用戶場景中，角色的管控、權限授予的復雜度也在呈指數級別的增長。此時，基于屬性的訪問控制（Attribute-Based Access Control，ABAC）為解決這些新問題提供了新的方法。

1.2 基于屬性的訪問控制

隨著應用的發展，企業的數據應用與交互越來越復雜，應用邊界越來越大甚至消失，傳統的單個部門封閉應用環境的RBAC 面臨著新的難題，需要細粒度的、易于理解、實現和控制運維的訪問控制機制來適應新型復雜的業務場景，基于屬性的訪問控制ABAC為其帶來了解決方案。

ABAC 通過對不同屬性依據策略得出結果，判斷一個用戶是否能訪問某項資源［6］；通過定義一種訪問控制范式，使用將屬性組合在一起的策略，為不同用戶提供動態、上下文感知和風險智能防護的訪問權限。策略可使用各類屬性，且允許簡單的與非邏輯判別，例如:“IF 請求者是管理者，THEN 允許對敏感數據的讀/寫訪問”。

如圖3 所示，策略決策點（Policy Decision Point，PDP）與策略執行點（Policy Enforcement Point，PEP）便是訪問控制機制的核心。ABAC 機制的核心是主體的請求發起后，聯合主體的屬性、客體的屬性與環境狀態作為輸入，從PEP 獲取規則，PDP計算，最后判定主體的請求是否合理予以執行。

圖3 ABAC結構核心圖Fig.3 Architecture core diagram of ABAC

文獻［7］為ABAC 設計了動態移動授權策略，其結合上下文信息的捕捉，使其適應動態的移動環境的訪問控制。

ABAC應用在復雜場景下有如下的優點:1）比RBAC更細粒度授權管理；2）訪問控制管理成本較低；3）屬性易于集中化管理；4）動態的總體控制。

但是，面對過于繁雜的應用場景，ABAC 仍然會存在著一些不足:1）主客體之間的關系在權限的定義時無法直接看出；2）過于復雜或設計混亂的規則，增加系統管理員對策略庫的管理成本；3）過多的主客體以及環境屬性的增加導致規則數量的不斷增加，從而引起策略沖突的問題；4）過多的規則會導致需要實時執行的權限判斷性能受限，難以保證系統的安全性與穩定性；5）權限判斷的執行效率的降低，延長了授予與回收權限時間。

1.3 基于屬性和角色的訪問控制RBAC-A

RBAC 訪問控制與授權方法便于管理但難以應付復雜的控制場景；而基于屬性的訪問控制（ABAC）與授權方法易于實現，但難以對用戶權限進行審計。但是無論哪種方式，使用最少數量的過濾器來構建安全環境是非常重要的。將兩者進行結合，分層次地使用，即由前者確定誰有權訪問資源，后者確定使用資源進行什么操作，以滿足復雜應用環境訪問控制管理的需要［8］。

Kuhn 等［9］根據主次的關系，給出了三種側重點不同的基于角色和屬性混合的訪問控制（Attributes with Role Based Access Control，RBAC-A）方法，包括了:1）“以屬性為中心”，以屬性為主，角色作為一種屬性的訪問控制；2）“以角色為中心”，以角色為主，屬性被添加到角色中限制權限的訪問控制；3）“動態角色”，屬性被用于確定受試者的作用，讓屬性決定用戶哪些角色應該被激活，實現用戶-角色與權限-角色管理的訪問控制。

三者諸方面特征的比較如表1所示。

表1 RBAC-A的三種訪問控制模型特征比較Tab.1 Characteristic comparison of three access control models of RBAC-A

隨著云計算的應用，其數據的訪問控制問題逐漸獲得關注:文獻［10］引入以角色層次映射表示屬性偏序關系模型，來解決云服務中存在的訪問控制兼容性問題；文獻［11］以角色為中心、限制權限、縮減會話等策略緩解了角色爆炸問題；文獻［12］結合角色、屬性對訪問控制進行優化，縮短系統響應時間，提高系統效率；文獻［13］采用動態角色策略，優化權限分配，使得系統能靈活適應用戶的改變；文獻［14］提出基于角色和屬性的云計算數據訪問控制模型，該模型引入實體的屬性元素，用戶能夠通過自身和所在租戶的屬性及當前的狀態分配角色，來訪問不同屬性的數據；文獻［15］實現了個人數據的一對多的安全傳輸和數據的細粒度訪問控制；文獻［16］根據用戶的行為設計了一種云計算訪問控制模型，其添加了用戶行為管理模塊，考慮了用戶的角色、時態、環境等屬性對用戶的資源服務請求進行訪問控制。這些方案為解決云計算訪問控制的某些局部問題提出了解決方案，但均未能從數據貢獻者的角度出發，未能體現數據貢獻者對數據的控制權。

2 基于客體屬性匹配的逆向混合訪問控制

本文提出了一種基于客體屬性匹配的逆向混合訪問控制（Object Attributes Matching Based Reverse Access Control，OAMBRAC）方法，以解決圖1中云環境下數據貢獻者、數據訪問者及共享數據的訪問控制的問題。OAMBRAC 是基于下一代訪問控制（Next Generation Access Control，NGAC）［17］的體系結構進行設計，結合了基于屬性和角色的訪問控制方法，針對本文應用場景進行改進，成為一種適合多自治域、互聯企業、分布式、云計算環境的形式。

2.1 OAMBRAC的功能架構

OAMBRAC 設計主體上分為以下三個部分:1）對數據訪問者自身的訪問控制；2）數據訪問者對客體資源請求的訪問控制；3）客體資源自身權限的訪問控制。

下面對這三個部分分別進行詳細的描述，后文中的所有信息流描述都假定在經過身份驗證的用戶與屬性點之間建立會話，并且功能體系結構中的所有交互實體都已建立通信，彼此進行了身份驗證。

2.2 對數據訪問者自身的訪問控制

OAMBRAC 系統中存在一些不同類別的數據訪問者:衛生行政部門（例如衛生局管理人員）、高?；蚩蒲性核ɡ?從事健康數據研究的研究員）、醫療機構（例如:醫院的醫生）、商業機構（例如:保險公司、保健品公司）、個人用戶（例如:對健康數據感興趣的人）等。

系統在對外部訪問控制（External Access Control，EAC）進行設計時，采用以屬性為中心的RBAC-A 訪問控制，把用戶的角色作為一種屬性，來表達用戶的一種權限。

由于外部各個不同的機構、不同類別的數據訪問者，屬于跨域的數據訪問，OAMBRAC 系統對外來的訪問者提供統一的外部接口，在其所在的機構系統中，如若已經存在訪問控制機制（無論是自主訪問控制（Discretionary Access Control，DAC）、強制訪問控制（Mandatory Aces Control，MAC）、RBAC，還是ABAC 或其他的訪問控制機制），在統一外部接口處對其所擁有的權限通過EAC 部分進行轉化表示后，轉入等級授權表（Level Management Table，LMT）中，對用戶的屬性值進行權限ID比對與分配。

將文件訪問權限設置為“絕密”“機密”“秘密”“敏感”“公開”五個類別。其中，“絕密”級別為權限最高，“機密”“秘密”“敏感”的權限依次遞減。并寫入LMT 中。等級授權表設定如表2所示。

表2 等級授權設定示例Tab.2 Examples of level authorization set

文件訪問權限有包含性，若某用戶擁有“絕密”文件訪問權限，即權限ID=1，則其有權訪問“機密”“秘密”“敏感”和“公開”四個類別的文件；同樣，用戶擁有“機密”文件訪問權限，即權限ID=2 時，有權訪問“秘密”“敏感”和“公開”三個類別的文件。

如果某用戶要跨越訪問，則該用戶需要利用自身域內的訪問控制機制獲取其個人對應的權限最高不超過機構所能獲得訪問權限的最高級別。用戶在其域內所具有的權限設定不在本文的討論范圍之內。

OAMBRAC 第一部分（對數據訪問者自身的訪問控制）功能架構中的資源訪問信息流如圖4所示。

圖4 中的數字標簽指代步驟編號，其資源訪問信息流如下:

圖4 OAMBRAC第一部分功能架構示意圖Fig.4 Schematic diagram of functional architecture of OAMBRAC’s first part

①訪問者通過其域內的訪問控制系統獲取相應權限，并通過外部訪問控制（External Access Control，EAC）模塊接入OAMBRAC系統接口；

②EAC 把用戶的權限進行格式化處理，生成統一格式的文件，發送給等級授權表（Level Management Table，LMT）；

③LMT 根據文件中的屬性權限進行比對，將結果即訪問者對應的權限告知訪問者，并且為訪問者生成唯一的ID，寫入權限文件中。

2.3 數據訪問者對客體資源的請求訪問控制

訪問者對客體資源請求的訪問控制是OAMBRAC 結構的核心功能。本部分在NGAC［17］的思想基礎上，根據本文的應用場景設計［18］。

1）基本概念定義。

首先對屬性執行點（Attribute Enforcement Point，AEP）、屬性管理點（Attribute Administration Point，AAP）、屬性信息點（Attribute Information Point，AIP）、屬性決策點（Attribute Decision Point，ADP）、客體訪問點（Object Access Point，OAP）及其相關的術語進行定義。

定義1AEP，確保僅滿足特定要求的那些訪問請求才被授予對受保護資源的訪問權限。

定義2AIP，保留實體數據結構的功能實體，這些數據結構代表構成屬性的基本元素、容器和關系。

定義3AAP，提供訪問和管理駐留在AIP 中屬性信息的唯一方法的功能實體。

定義4ADP，評估與訪問請求或事件響應有關屬性的加權權限值計算的功能實體，作出訪問決策。ADP 根據以下內容提供訪問決策:a）訪問請求具有所有必需的特權；b）不存在抵消任意特權的限制。如果同時滿足a）和b），則ADP 會授予訪問請求。所有其他可能性均拒絕訪問請求。

AEP 發送查詢給AAP，然后從AIP 檢索與請求有關的授權信息以獲得仲裁訪問請求所必需的其他詳細信息，最后AEP 將個人訪問請求提交給ADP 進行裁決。通過強制執行ADP所提供的有關訪問請求的訪問決定來執行訪問控制的功能實體。

定義5OAP，一種功能實體，提供訪問某些受保護資源的唯一方法。如果訪問請求被批準，則ADP 檢索用于定位請求中標識的資源信息（即通過關聯對象的標識符，在與指定OAP關聯的指定位置轉換為特定系統資源），并將該位置所獲得的信息以及決策結果發送給接收請求的AEP。AEP與特定的OAP 通信，以對所標識的資源執行訪問請求中指定的操作。一旦操作完成，AEP 隨后將有關該操作的狀態信息以及由此產生的數據（可選）返回給原始進程。

資源訪問是用戶獲得OAMBRAC 中受保護資源的唯一途徑。當用戶創建嘗試通過AEP 訪問資源的過程時，資源訪問即開始。進程在單個會話中代表特定用戶運行，并且可以實例化其他進程。用戶的每個進程都應使用用戶已與其建立會話的AEP來請求訪問受保護的資源。

2）資源訪問信息流。

OAMBRAC 第二部分功能架構中的資源訪問信息流如圖5所示，數字標簽指代步驟編號，資源訪問信息流如下:

圖5 OAMBRAC第二部分功能架構示意圖Fig.5 Schematic diagram of functional architecture of OAMBRAC’s second part

①經由第一部分生成的含有用戶角色屬性的文件傳入AEP；

②AEP 向AAP 查詢AIP 有關信息，以備計算訪問屬性所需；

③AAP驗證查詢，向AIP發出一個或多個相應命令；

④AAP從AIP接收響應；

⑤AAP將查詢結果送回AEP；

⑥AEP將查詢結果向ADP發出訪問請求裁決；

⑦ADP 向與資源相關聯的OAP 發出指令以執行訪問，該指令傳達操作，資源定位符以及（如果需要）數據；

⑧OAP啟動對資源的操作；

⑨接收返回的狀態信息和數據（如果有）；

⑩狀態信息和數據（如果有）從OAP返回到ADP；

?狀態信息和數據（如果有）從ADP 返回到AEP 進而返回到進程。

在RBAC-A 中，策略數量隨著使用情況的復雜會帶來的管理困難問題，為了解決該問題，現把基于策略的匹配改為更易于計算的基于權重加權的匹配機制，提出“二重變異系數權重賦值法”，簡化匹配難度，提高匹配速度。

3）二重變異系數權重賦值法。

各個屬性值的表示方式以及量綱方面存在差異，而又需要對這些屬性值進行橫向和縱向的評估比較，為了使得具有可比性，有必要對數據作無綱量化的歸一化處理。

若已經處在［0，1］范圍內的數值，則無需再作處理；而不在［0，1］范圍內的數值，利用式（1）將其進行歸一化，即:

其中:aij為原值；eij為量化后的值；(aij)max為原值最大值；(aij)min為原值最小值。

變異系數權重賦值法的權重是直接通過計算各個指標的信息后得到。在計算前為了消除各屬性值的不同量綱之間差異，需要先對數據進行量化處理。假定量化處理后的數據矩陣為Y=(yij)m*n，m表示評價方案的數量，n表示指標個數，具體計算方法如下。

計算每列向量平均值為式（2）:

計算每列向量標準差為式（3）:

計算各指標變異系數為式（4）:

計算各指標權重為式（5）:

本文提出的二重變異系數權重賦值法通過對變異系數權重的兩次計算，得到了各屬性的權重；再結合訪問者訪問時候的屬性數值，可以得出訪問者的訪問加權權限值。

首先，對各個部門（自治域）不同的訪問等級角色權限A～E 分別計算相應的“屬性-等級”的權重，從而得出每一個訪問權限等級對應權限的權重。此處，m表示所有屬性的數量，n表示所有角色的等級數量。

然后，通過上面計算得出的部門等級的權重值作為一種屬性再次計算，計算出“屬性-部門”之間的權重，此處的m表示所有訪問者所屬部門（自治域）的數量，n表示參考的屬性數量，其中角色等級的權重值即為上面第一次的計算結果。

對于數據貢獻者，規定其對數據文件的設定權限值的加權系數，由系統對各個屬性計算進行配置，從而在數據貢獻者設定屬性權限后計算訪問權限最小值。當某個訪問者的訪問加權權限值不低于數據貢獻者設置的客體資源的訪問權限的加權數值時，就可以獲得訪問的機會。

對于個人數據訪問者，同樣使用系統設定的默認權重進行處理。當數據訪問者所在部門（自治域）的某一行為或者信譽等有所降低時，便直接影響部門內部分用戶的使用，因此也同樣能夠激勵數據訪問者保持良好的行為和信譽。

OAMBRA 方法引入變異系數權重法，通過數值加權計算后，直接對數值數據進行比較，省去了策略檢索匹配的所需的時間，雖然在管理的規則上OAMBRAC 比不上RBAC-A 的多元化的組合靈活，但是在很多較為復雜的應用場景，能夠在很大程度上優化訪問速度，節省管理成本，實現更高效的訪問控制。

2.4 客體資源自身權限的訪問控制

本文采用逆向篩選的方法實現數據貢獻者的個性化隱私保護。一般的訪問控制都是主體去尋找客體的主動過程，而OAMBRAC 的設計思想是，客體擁有者具有主管權限，能夠“主動地”挑選數據訪問者。這樣很大程度上保證了用戶對自身上傳數據隱私的控制。

在上傳數據文件之前，數據貢獻者設置了文件訪問權限級別，基于該訪問權限級別計算出其加權數值，即允許訪問者獲取文件的最低加權數值，將該值存入文件中。

當有訪問申請時，對數據訪問者的申請訪問權限加權計算結果與數據庫中眾多已經設置了被訪問權限的文件計算出的加權權限值進行對比，篩選出滿足數據訪問者訪問權限的數據文件。

如圖6 所示，描述該部分功能架構資源訪問信息流如下。圖6 中的數字標簽指代步驟編號，第三部分的功能架構的資源訪問信息流如下:

圖6 OAMBRAC第三部分功能架構示意圖Fig.6 Schematic diagram of functional architecture of OAMBRAC’s third part

①數據貢獻者設置需要上傳的數據可訪問的最低權限值，計算出加權權限值后寫入文件中，再把數據上傳到客體庫（Object Library，OL）中；

②接收來自第二部分的數據訪問者的加權權限值，并也傳入客體庫OL中；

③客體庫依照數據貢獻者設定的權限閾值，對庫進行查詢篩選，把滿足訪問者權限的相關客體數據傳給第二部分的客體訪問點（Object Access Point，OAP）。

2.5 方案的安全性分析

OAMBRAC 方案分別實現了對跨域數據訪問者的訪問控制與授權、數據訪問者對客體資源的請求訪問控制、對客體資源權限的訪問控制。

1）由于系統在對外部訪問控制是采用以屬性為中心的RBAC-A 訪問控制，把用戶的角色作為一種屬性，來表達用戶的一種權限。對各個不同機構、不同類別的跨域數據訪問者，首先其授權操作由所在機構系統的訪問控制系統完成授權，然后OAMBRAC 系統為他們提供統一的外部接口，在統一外部接口處對其所擁有的權限通過EAC 部分進行轉化表示，轉入等級授權表LMT中，對用戶的屬性值進行權限ID 比對與分配，實現了對跨域訪問者的訪問控制。即OAMBRAC 方案對跨域數據訪問者實現了有效的訪問控制與授權。

2）對跨域訪問者獲得權限并進行轉化表示，轉入等級授權表LMT中之后，AEP發送訪問者的查詢給AAP，根據AIP檢索與該用戶請求有關的授權信息，獲得仲裁訪問請求所必需的其他詳細信息，返回給AEP，AEP 將個人訪問請求提交給ADP 進行裁決。通過強制執行ADP 所提供的有關訪問請求的訪問決定來執行訪問控制的功能實體，完成了將客體資源授權予訪問者。這個過程采用了基于權重加權的匹配機制，即二重變異系數權重賦值法，當某個訪問者的訪問加權權限值不低于數據貢獻者設置的客體資源的訪問權限的加權數值時，才可以獲得訪問權限。即OAMBRAC 方案實現了對數據訪問者請求客體資源時有效的訪問控制。

3）OAMBRAC 方案對客體資源權限的訪問控制方面，數據貢獻者在上傳數據文件之前，就設置了文件訪問權限級別，基于該訪問權限級別計算出其加權數值，即允許訪問者獲取文件的最低加權數值。當有訪問申請時，OAMBRAC 對數據訪問者的申請訪問權限進行加權計算，將其結果與數據庫中被訪問權限的文件計算出的加權權限值進行對比，只有滿足數據訪問者訪問權限的數據文件才授予訪問者。即OAMBRAC方案對客體資源權限的訪問控制與合法授權。

3 實驗與結果分析

3.1 實驗環境

實驗的環境為:主頻2.50 GHz 的4 核CPU，16 GB 內存，4 TB 硬盤；實驗的軟件采用CloudSim 仿真平臺，實驗的數據集通過編寫2 000條數據訪問者的訪問請求以及4 000條數據貢獻者貢獻的數據進行實驗。

實驗中，數據貢獻者的數據為個人心率數據，選取的心率數據取值范圍限制在每分鐘40～130次。

數據訪問者的屬性選取六種屬性:時間、地點、身份、目的、操作以及信譽。例如:某數據訪問者的屬性數據為〈24，GZ，3，KY，R，1〉，即表示為他的申請數據使用時間為24 h，所在地為廣州，身份等級為3 級，使用目的為科研，進行的操作為讀操作，信譽為1。所有的這些屬性值均會被經過各自對應的等級量化表處理以及歸一化處理為0～1 的數值，用以進行加權權限值計算。

3.2 數據分析

1）訪問成功率實驗。

OAMBRAC 模型實驗中，系統中云端存儲有2 000 條數據貢獻者所貢獻的數據，實驗采用200 條數據訪問者的訪問請求，對云端數據進行10次訪問，如圖7描述了檢測匹配的成功率?？梢钥闯?，最終的訪問成功率并不是1，原因是其中一些數據訪問者存在惡意行為、權限不足（包括被降級等），或者是沒有匹配資源等情況導致的；初始時訪問成功率較高，是由于個體重復訪問次數較少，對惡意行為、訪問降級等行為的判斷依據不足，從而訪問失敗的用戶較少，成功率較高，并有一定的波動性；但隨著訪問次數的增多，對惡意行為、權限不足行為等的判斷基準趨于穩定，檢測能力越來越強，成功率便緩步下降到一個較為平穩的水平。通過實驗有效地驗證了所提出訪問控制的可行性。

圖7 數據訪問者訪問請求的成功率Fig.7 Success rate of data visitor access requests

2）變異系數加權對比實驗。

為了避免因策略量的激增而導致效率的降低，在對用戶屬性值的處理上，提出了變異系數加權的方法用以直接計算各屬性的加權值。實驗選取五個部門（自治域）各200 份的數據訪問者屬性值，計算出每個訪問者的各屬性權重以及各訪問者最終的加權權限值；為了均勻采樣，不同級別的角色權限分別取40 人，個人用戶則直接采用系統設定的權重值，將屬性約束在相同的種類中以便進行對比；選取50 份數據貢獻者貢獻的數據（包含較高權限設定、中等權限設定、較低權限設定以及最低權限設定），并依據系統設定的參考加權系數計算出客體資源的訪問權限閾值，用以實驗變異系數加權后對訪問數據成功率的影響，實驗結果如圖8 所示。從圖8 可以看出，機構所擁有的各個屬性的值越高，其訪問成功率也越高，但是當機構的屬性值所處水平不高時，經過變異系數加權處理后反而會降低匹配率，而個人用戶由于直接使用與數據貢獻者設置權限相同的加權系數，其匹配率反而較機構更高；為了更好地調節訪問匹配的合理性，可以通過對系統設定的默認權限加權系數進行不定期的糾正與更新，使得加權結果更加可靠。

圖8 變異系數加權對訪問成功率的影響Fig.8 Influence of variation coefficient weighting on access success rate

3）訪問時間對比實驗。

相較于RBAC-A，本文的OAMBRAC 取消了以屬性為中心的RBAC-A 中策略規則匹配的過程，采用已知屬性的加權匹配，并把數據貢獻者對數據文件設定的加權權限值定為數據訪問者被允許訪問的閾值。實驗選取了4 000 條數據貢獻者共享的數據，2 000 條數據訪問者的訪問請求；同時編寫同樣屬性數目（用以模擬數據訪問者的自身不同屬性的情況）的訪問控制策略規則（每條策略包含數個到數十個不等的屬性謂詞對）用于以屬性為中心的RBAC-A的訪問控制中。

如圖9 展示了OAMBRAC 與RBAC-A 訪問時間消耗的對比。實驗數據表明:初始時，由于用戶請求量較少，基于RBAC-A 訪問策略數也較少，其策略的匹配時間相較于需要進行加權計算和文件篩選排序的OAMBRAC 的時間消耗更少；但是隨著訪問用戶的不斷增加，基于RBAC-A 需要匹配的策略規則的條數不斷增多，RBAC-A 的請求決策匹配時間消耗也隨之變長，而OAMBRAC 的請求決策時間則更少且穩定，在一定時間之后，OAMBRAC 的時間消耗比RBAC-A 更少。由此可見，OAMBRAC 訪問控制方法在用戶訪問數量較大的環境下相較傳統的訪問控制方法能夠實現更高的決策效率。

圖9 決策時間消耗與策略規則數目的關系Fig.9 Relationship between decision time consumption and number of policy rules

4 結語

本文結合了基于角色訪問控制與基于屬性訪問控制，采用權限數值化計算的方式，提出了一種基于客體屬性匹配的逆向混合訪問控制方法OAMBRAC，該方法基于下一代訪問控制NGAC 的體系結構進行設計，便于在云計算場景中安全地進行數據共享與數據挖掘。該方法還實現了對訪問控制功能的完善，通過對數據貢獻者和數據訪問者之間的屬性權限值進行匹配的方法來實現更可靠的訪問控制管理。為了實現訪問者身份和相關隱私信息的包含，下一步將研究匿名可溯源的逆向混合訪問控制方案。