基于IPv6環境的網絡信息安全訪問控制模型設計

王金威

(閩南理工學院，福建 泉州 362700)

在傳統的網絡應用模式中，隨著終端用戶系統資源的豐富和網絡帶寬的迅速增加，服務器單點失效的問題影響終端系統資源的利用率[1-2]。而信息技術在協同工作、分布式信息以及資源共享資源等方面顯示出的獨特優勢，使其成為全新的發展熱點，同時網絡信息安全訪問控制也成為當前研究的熱點話題。相關專家針對該方面進行了大量的研究，如王海勇等人在區塊鏈環境下，根據用戶信用度設計了信息訪問控制模型[3]。該模型首先將訪問控制策略保存于區塊鏈中，然后再評估用戶信用度的基礎上獲取對應角色的訪問權限。當用戶信用度達到閾值時，賦予該用戶訪問權限。賈政民通過優化CP-ABE算法來控制數據的安全訪問過程，該模型將文件按不同的訪問權限進行分級，然后通過整合多個權限模型結構實現密文分享，再利用權限模型控制存儲密文[4]。以上兩種模型雖然取得了較為顯著的研究成果，由于未能對網絡信息進行預處理，導致網絡信息安全訪問控制偏差以及延時上升，網絡信息利用率下降。國外的研究學者也對訪問控制模型展開了研究。Aftab M U等中設計了一種動態COI混合訪問控制模型，在設置用戶授權限制機制的基礎上，利用動態COI避免控制過程的過度和管理過載問題[5]。Lobo J等設計了一種基于關系的訪問控制模型，在分析網絡信息基本概念的基礎上劃分其所屬類別，然后根據訪客歷史查詢信息與網絡信息間的關系及其信任值設計控制模型[6]。然而在實際應用中發現上述兩種模型存在執行延遲較長的弊端。

IPv6環境既能夠克服IPv4環境中網絡地址資源短缺的不足，也能夠有效避免多設備的接入障礙。因此，針對上述問題，本研究基于IPv6環境設計了一種新的網絡信息安全訪問控制模型。

1 模型設計

與IPv4協議相比，IPv6協議中增加了“任播地址”，能夠支持組播功能的實現。因此，在設計網絡信息安全訪問控制模型時，為達到更好的控制效果，本研究在建立網絡信息安全訪問控制模型之前，設計了網絡信息預處理過程，通過預處理結果判斷信息的不同特征，從而實現更有針對性的安全訪問控制。

1.1 網絡信息選擇與預處理

本文在設計訪問控制模型前提取了網絡信息的特征，實現對網絡信息的預處理。

1.1.1 網絡信息特征選擇

特征選取的主要目的是選取最優特征子集，這些子集組建的分類模型具有可理解性。特征選擇算法是通過一種有效的手段獲取高相關特性用于數據降維。基本的特征選擇框架如圖1所示。

圖1 特征選擇流程圖

圖1中主要包含以下四個部分。

(1)子集形成：子集的過程就是特征子集的搜索策略，形成的候選特征子集將會被送入到評價函數中；

(2)評價函數：利用某種評價準則對輸入的特征子集進行評判，其中通過既定的評判準則對特征子集進行更新[5-6]；

(3)停止準則：通常和評價函數存在關聯，主要包含一個閾值，停止搜索的條件就是評價函數滿足閾值[7]；

(4)結果驗證：驗證最終獲取的特征子集是否有效。

假設特征選擇的過程中的自變量為X、因變量為Y，Fi代表相關特征，其計算式如式(1)所示。

SFi=P(X|S)+P(Y|S)

(1)

其中，S表示特征集中的變量總數。當特征Fi滿足公式(1)的要求時，說明特征Fi是相關的，在其他情況下，則認定Fi是不相關的。并且從上述過程中能夠看出，被認定的相關特征主要包含兩個方面的因素[8-9]：①特征Fi和類標簽之間存在緊密關聯；②當特征Fi和其他特征共同組成特征子集，則說明特征子集和類標簽之間存在緊密關聯。

網絡信息的冗余特征能夠表示為式(2)的形式，即：

(2)

在此基礎上，將網絡信息進行過濾的主要目的是獲取獨立的判定準則，同時不考慮各個特征間的相關性[10]，采用某種準則獲取最優特征子集將其應用于學習算法的輸入，具體結構如圖2所示。

圖2 ReliefF特征選擇流程圖

1.1.2 網絡信息預處理

過濾式特征選擇方法最大的優勢就是能夠以最快的速度降低噪聲對搜索特征子集產生的影響，同時加快高維數據處理方式，提升計算速率。為了簡化數據降維過程，以下給出數據降維的具體操作步驟。

(3)

協方差矩陣能夠表示為式(4)的形式。

C=E{[xi-E(xi)][xi-1-E(xi-1)]}

(4)

其中，E(xi)、E(xi-1)均為期望值。任意取a∈CN×N，那么a為協方差矩陣中N維線性空間V中某次線性變化k的基矩陣，對C進行對角化處理，存在式(5)所示關系。

C=V∧Vk

(5)

令d表示協方差矩陣C的秩，則存在rank(C)=d；若半正定矩陣含有非零特征值，其數量為k，則存在λ1,λ2,…,λk。在此基礎上，以前k個特征特征向量為對象[11-12]，構建特征向量矩陣如式(6)所示。

V={v1,v2,…,vk}

(6)

如果觀測數據是由多個獨立數據組成的，其可表示為式(7)的形式。

r=vk+Ar0

(7)

式(7)中，r代表觀測數據；A代表未知的混合矩陣；r0代表獲取的初始信號。

設定ρi代表信號源分布對應的密度函數，以此為依據獲取如下的聯合分布函數，如式(8)所示。

(8)

由于不同的信號源不存在依存關系，因此，假設W為A的偽逆矩陣，獲取信號r的聯合分布函數如式(9)所示。

(9)

結合概率學理論可知，對于隨機變量來說，其累積分布函數如式(10)所示。

(10)

其中，z0表示z的初始值。在上述分析的基礎上，當網絡信息依次經過主成分分析和獨立成分分析降維后可以有效完成預處理。

1.2 建立網絡信息安全訪問控制模型

基于上述處理后的網絡信息，在IPv6的網絡環境中，需要確保提出的請求和提供的服務都具有較高的匿名性以及動態性，要求訪問控制系統能夠動態適應這種變化，通過網絡的動態變化即可給出對應的訪問控制策略。

在復雜的網絡系統中，信任機制能夠保障不同實體間的信息交互，同時也能夠將信任度作為訪問控制策略一部分，根據實體的歷史行為不斷調整信任度[13]。因此，本研究引入信任值以及上下文約束概念構建訪問控制模型。與傳統控制模型不同的是，本研究設計的控制模型在主體與客體之間增加了角色層，從而形成一個應用了RBCA角色權限控制的模型，其具體結構如圖3所示。

圖3 本文模型和傳統訪問控制模型兩者的對比

標準的RBCA角色權限控制模型主要由主體、角色層、資源以及訪問請求四個部分組成，它在傳統模型的基礎上加入了角色層次的相關概念，定義了決策之間的繼承關系，同時也反映了職權間的線性關系，確保系統的保密級別。

角色的集成是通過角色訪問控制模型將全部角色組織起來，有效反映組織的特權以及職責機構。在RBAC模型中，如果某用戶被委派到幾個本身就存在沖突的角色上，那么勢必會造成安全沖突。此時，靜態責任分離機制就會在賦予用戶角色時實施約束，從而有效避免安全沖突的產生。在具有角色層次的前提下，需要重新設定固態硬盤，并對其進行靜態分離。

上述構建控制模型主要具有以下兩方面的優勢：

(1)其應用了與策略不存在關聯的RBCA方位控制技術，且不局限于特性的安全策略，能夠描述全部的安全策略；

(2)RBCA模型具有自我管理能力，通過RABC模型能夠更好完成模型的管理工作。

在上述研究的基礎上，為了進一步有效實現網絡信息安全訪問控制，本研究將上下文約束以及信任值同時引入到RBCA模型控制過程中，通過上下文信息確定用戶的身份以及使用權限，從而在RBCA模型中完成對網絡信息安全訪問控制模型的建立[14-15]。這一過程需要滿足以下的約束條件：

1)對各個實體之間的交互情況進行監控，同時將信任參數全部反映到授權過程中，當資源請求點的信任度高于或者等于信任值閾值時，才能夠賦予其對應的角色權限；

2)在動態方位控制的過程中需要采用信任參數，交互雙方能夠對信任參數提出要求，當交互雙方的信任值高于或者等于信任值閾值時，才能夠進行交易。這一過程中，用戶和角色間存在多對多的關系，用戶針對許可的執行可以利用角色進行聯系，進而全面提升對網絡信息安全訪問控制。

上述過程中，角色和用戶兩者間的關系如圖4所示。

圖4 角色和用戶兩者的關系

綜上所述，完成了對基于IPv6環境的網絡信息安全訪問控制模型的構建，具體流程如圖5所示。

圖5 模型構建流程

2 仿真實驗與結果分析

為驗證基于IPv6環境的網絡信息安全訪問控制模型的綜合有效性，設計如下仿真實驗。

2.1 仿真實驗設計

選取Cora、PubMed、Citeseer三個數據集，主要使用Matlab格式進行信息特征存儲，其中共計包含200個文檔集合以及10000個特征屬性和15個類別。實驗在Windows 10系統中展開，電腦配置為I7-4210，內存為24TB。

為避免實驗結果過于單一，將文獻[3]模型、文獻[4]、文獻[5]模型作為對比方案，從網絡信息安全訪問控制延時、網絡信息利用率以及控制偏差3個角度，與本文模型共同完成性能驗證。

2.2 結果與分析

2.2.1 網絡信息安全訪問控制延時分析

網絡信息安全訪問控制延時代表控制指令下達和執行的效率，其能夠直接體現不同模型的有效性。因此，分別對比4種模型的網絡信息安全訪問控制延時，具體實驗對比結果如圖6所示。

圖6 不同模型的網絡信息安全訪問控制延時對比結果

分析圖6中的實驗數據可知，在測試樣本數量不斷增加的情況下，不同模型的網絡信息安全訪問控制延時也在不斷增加。但是本文模型的控制延時始終少于3種對比模型，其實驗過程的最大值僅為4ms。這是因為本文模型對網絡信息進行降維處理，全面提升了數據的安全性，剔除存在安全隱患的信息，從而使得控制過程的延時得到有效降低，且明顯低于另外兩種傳統模型。

2.2.2 網絡信息利用率分析

網絡信息利用率是一項延伸性的指標，可以根據模型對信息的利用率來反映模型處理完了信息的能力。因此，在接下來的實驗對比階段，以網絡信息利用率為對象對不同模型展開性能測試，結果如表1所示。

表1 不同模型的網絡信息利用率對比結果

由表1可知，在實驗次數不斷增加的情況下，本文所構建模型的網絡信息利用率始終保持在96%～99%之間，一直處于相對穩定的狀態，而3種文獻模型的網絡信息利用率則在不斷下降。產生這一結果主要是因為本文模型在模型建立前期，對網絡信息進行了預處理，通過PCA有效降低了信息維度，確保全部網絡信息的利用率得到大幅度提升。

2.2.3 控制偏差分析

控制偏差是一項直觀性的指標，通過控制偏差的多少可以直接反映不同模型的控制效果。控制偏差越低，則說明控制效果越好；反之，則說明控制結果不理想。因此，為了進一步驗證不同模型控制結果的優劣，測試并對比4種控制模型的控制偏差，具體實驗對比結果如圖7所示。

圖7 不同模型的控制偏差對比結果

分析圖7中的實驗數據可知，與文獻[3]模型、文獻[4]模型以及文獻[5]模型相比，本文模型的控制偏差更小，始終保持在1.3%以下。這是因為本文模型由于加入了網絡信息預處理操作，整體的控制偏差明顯更低一些，同時也驗證了在本文模型中加入降維方法的正確性和可行性。

3 結論與展望

針對傳統模型存在的一系列問題，本研究提出并設計一種基于IPv6環境的網絡信息安全訪問控制模型。仿真實驗結果表明，該模型能夠有效降低網絡信息安全訪問控制延時以及偏差，同時提升網絡信息利用率。

盡管本文模型增加了對網絡信息的預處理過程，并引入了信任值以及上下文約束概念構建訪問控制模型，但預處理可以使網絡信息中的無效信息被剔除，且利用上下文約束概念在主體與客體之間增加了角色層，避免了用戶沖突，這也使得這些步驟不會對模型計算和存儲開銷造成較大影響。此外，相比于IPv4環境，IPv6環境的地址空間更大，支持組播和對流功能。本文模型可以很好地滿足在IPv6環境中使用要求，因此，也同樣適用于IPv4環境。

限于知識水平以及研究時間，本文模型仍然存在一定的不足，后續將重點針對以下幾方面的內容展開深入研究。

(1)現有的信任機制還需要進一步進行完善，同時還應該考慮在信息交互的過程中，要給予交互實體一定的獎勵，全面提升其信任度；

(2)進一步提升網絡信息的安全性，同時確保得到的上下文信息真實性以及可靠性。