基于信任度與策略相似度的訪問策略合成研究*

張亞萍 郭銀章

（太原科技大學計算機科學與技術(shù)學院 太原 030024）

1 引言

云計算環(huán)境下資源分布的特殊性及信息共享的必要性，決定了我們需要一種安全的訪問控制機制，解決分布式環(huán)境下多個安全域之間信息共享的需求，并且能夠適應(yīng)云用戶和云資源動態(tài)變化的需求，同時在多個安全域資源協(xié)同工作時能夠進行不同策略之間的合成。基于屬性的訪問控制是利用屬性條件對訪問請求進行評估，實體狀態(tài)的動態(tài)變化可以通過屬性來描述，滿足云環(huán)境下對資源細粒度訪問的需求。

最早提出用代數(shù)方法來合成訪問控制策略的是Mclean［1］，該代數(shù)合成方法最先應(yīng)用于強制訪問控制模型中，該模型對訪問主體的安全等級有很高的要求，不適合對主體安全等級要求較低的訪問控制模型。Bonatti［2］將訪問控制策略合成轉(zhuǎn)化為數(shù)學當中的集合問題，利用集合間的運算關(guān)系對訪問控制策略進行了合成，該方法為訪問控制策略合成代數(shù)的研究奠定了基礎(chǔ)，但是該方法只能計算屬性值之間的交集，并集，無法解決屬性值的復(fù)雜計算。比如一條策略要求安全等級為7 的用戶可以獲得一級護理，另一條策略的安全級別為5 的用戶可以獲得一級護理，如果雙方協(xié)商安全級別為6 的主體可以獲得一級護理，對于這樣的問題，該文獻中提出的合成算子無法進行合成。文獻［3］在已有的研究基礎(chǔ)之上，提出了基于屬性且支持策略協(xié)商的訪問控制策略合成代數(shù)，使得合成的策略語義更加明確，表達能力更強。但是在策略合成當中通過協(xié)商來選擇算子存在合成效率低下等問題，并且在算子的設(shè)計過程中沒有考慮一方網(wǎng)絡(luò)異常等情況下策略的合成，同時在更進一步的細粒度授權(quán)方面還有待研究。

本文在文獻［3］的基礎(chǔ)之上，通過引入異常算子，首次使用算子，弱一致算子對訪問控制策略合成算子進行擴充，使得合成的策略能夠表達豐富的語義。同時提出利用策略之間主體信任度和訪問控制策略相似性相結(jié)合的自動算子選擇機制，給出了云計算環(huán)境下策略合成流程。對文獻［4］當中的策略相似性計算方法及文獻［5］當中的主體信任度［6~8］計算方法進行了改進，并用實驗驗證了策略相似性分析算法的可行性。

2 基于屬性的訪問控制策略合成代數(shù)機制

2.1 算子設(shè)計

本文在前人的研究基礎(chǔ)之上，引入了弱一致算子?，異常算子∠，首次匹配算子?，相關(guān)算子的定義如下，所有定義中，AC代表訪問請求，PAC代表合成的訪問控制策略。

定義1弱一致性算子?

PAC=PAC1?PAC2該算子表示的含義為

1）若AC被PAC1評估為允許且PAC2的評估結(jié)果為不拒絕，或PAC2評估為允許且PAC1的評估結(jié)果為不拒絕，則該AC被新合成的策略PAC評估為允許；

2）若AC被PAC1評估為拒絕且PAC2的評估結(jié)果為不允許，或被PAC2評估為拒絕且PAC1的評估結(jié)果為不允許，則該AC被新合成的策略PAC評估為拒絕；

3）若AC被PAC1和PAC2評估為不確定，則被新合成的策略PAC評估為不確定；

4）其余情況下，其他情況下，該訪問請求AC被新合成的策略PAC評估為使用。

其中P 表示評估結(jié)果為允許，R 表示評估結(jié)果為拒絕，UN 表示評估結(jié)果為不確定，NA 表示評估結(jié)果為不使用；

?算子的含義評估結(jié)果可以用如表1 的矩陣來表示。

表1 PAC=PAC1 ?PAC2 的合成矩陣

定義2異常算子∠

PAC=PAC1∠PAC2該算子表示的含義為

在策略合成的過程當中，由于網(wǎng)絡(luò)異常，數(shù)據(jù)庫操作異常等原因造成訪問控制策略PAC2的評估結(jié)果出現(xiàn)錯誤，那么對該訪問請求AC的評估結(jié)果由PAC1的評估結(jié)果決定，其他情況下，訪問請求AC被新合成的策略PAC評估為不確定。

∠算子的含義評估結(jié)果可以用如表2 的矩陣來表示。

表2 PAC=PAC1∠PAC2 的合成矩陣

定義3首次匹配算子?

PAC=PAC1?PAC2該算子表示的含義為

1）若訪問請求AC滿足訪問控制策略PAC1，那么新合成的策略PAC對該請求的評估結(jié)果和PAC1對該請求的評估結(jié)果相同；

2）若該請求不滿足訪問控制策略PAC1，但滿足訪問控制策略PAC2，則新合成策略PAC對該訪問請求AC的評估結(jié)果與PAC2的評估結(jié)果相同；

3）若該訪問請求既不滿足訪問控制策略PAC1也不滿足訪問控制策略PAC2，那么該請求被新合成的訪問控制策略評估為不適用；

4）其他情況下，訪問請求被新合成的策略評估為不確定。

?算子的含義評估結(jié)果可以用如表3 的矩陣來表示。

表3 PAC=PAC1?PAC2 的合成矩陣

2.2 基于信任度屬性相似性度量的租戶域間信任度算法

對于策略的相似性分析，目前業(yè)界研究主要集中在以下兩個方面：一種是利用邏輯推理或者布爾函數(shù)的方法進行計算，但是邏輯推理及布爾函數(shù)在計算策略相似性過程中涉及復(fù)雜的推理過程和計算，不適合云計算環(huán)境下大量策略的相似性計算。文獻［9］基于模型檢測的方法就是利用了布爾函數(shù)進行策略相似性計算，文獻［10］則是利用邏輯推理方法對訪問控制策略相似性進行研究。另一種策略相似性是基于語義的分析方法。該方法重點研究具有相同描述語言的策略相似性分析，對于異構(gòu)策略的相似性分析效果不佳，要想提高異構(gòu)策略相似性分析的準確性，需要對異構(gòu)訪問控制策略進行統(tǒng)一化描述。Lin Dan［11］首次提出了用XACML 語言描述的策略相似度匹配算法。Liu Yi［12］等提出了一種基于特征提取的文本相似性方法，提取文本中若干特征并為每個特征賦予不同的值組成權(quán)值集合，然后根據(jù)權(quán)值算得文本是否相似。然而，該方法沒有考慮多特征在句子中的所占權(quán)重問題。文獻［4］基于語義相似性分析對訪問控策略相似性分析進行了研究，但是該方法沒有考慮資源環(huán)境屬性的相似性，并且屬性權(quán)重的確定依據(jù)利用屬性使用記錄計算缺乏一定的客觀性。

本文對域間信任度的計算引入了主體信任度屬性相似性度量，簡稱信任度相似度，該方法可以減少對主體信任度的復(fù)雜計算，提高了訪問控制策略的執(zhí)行速度。思想是首先利用文獻［5］當中租戶域間信任度的計算公式計算某個租戶的域間信任度，如果該請求主體的信任度屬性滿足訪問控制策略需求，那么該為絕對安全租戶，然后計算其他租戶和該絕對安全租戶的信任度相似度，利用該租戶的信任度值和信任度相似度計算其他租戶的信任度值，當計算出的租戶信任度滿足訪問控制策略對信任度的要求時，可以允許對其進行授權(quán)，低于某個訪問控制策略需求時，則利用文獻［5］當中的方法計算該租戶的信任度值，或者對該訪問租戶進行權(quán)限的限制和拆分，具體步驟如下。

定義4信任度屬性表明主體在當前系統(tǒng)環(huán)境或外界因素下的安全等級，信任特征是用來反應(yīng)用戶在當前上下文環(huán)境中安全等級的屬性，信任度屬性用符號Ta表示。

為了在計算機中進行存儲和處理，信任度值用二進制數(shù)1或0來表示，1代表安全，0代表不安全。

定義5信任度屬性特征向量a=(Ta1，Ta2，…，Tam)。其中m 為信任度屬性的維數(shù)，系統(tǒng)將主體在當前環(huán)境下及上下文所處的信任度作為信任度屬性向量。

定義6絕對安全信任度屬性特征向量a*=(1，1，…，1)，向量的維數(shù)為m，在該向量中，每一維度信任度屬性的值全為1，表示所有信任度屬性均滿足當前系統(tǒng)的安全需求。如果一個主體擁有絕對安全信任度屬性特征向量，那么該主體稱為一個絕對安全主體。

定義7信任度屬性相似度是指主體的信任度屬性特征向量與絕對安全信任度屬性特征向量之間的相似度。文中用符號α表示，α的取值范圍為［0，1］。

pnm是一個n×m的主體-信任度屬性特征矩陣，第一行為絕對安全信任度屬性特征向量，剩余每行代表著一個普通主體的信任度屬性特征向量。

信任相似度計算方法如下：

Tiju'是通過絕對安全主體的信任度值和信任度相似度計算得出的租戶信任度。

2.3 訪問控制策略相似性計算方法設(shè)計

由于訪問控制策略的制定缺乏統(tǒng)一標準，同時資源屬性在訪問控制策略當中有著不可替代的作用，本文對屬性權(quán)重的計算采用層次分析法，同時在相似性分析中加入環(huán)境因素，使得對策略的相似性分析更加準確。

主體屬性相似性計算：由于訪問控制策略的主體可以通過角色來描述，角色之間又存在繼承的層次關(guān)系，所以對于主體相似度的計算采用如下方法計算：

該式當中，Patlen(N1，N2)的含義為層次樹中兩個主體N1和N2之間的路徑長度，Max(Patlen)為層次關(guān)系樹中的最長距離，屬性間最長距離為樹高度的二倍，因此Max(Patlen)≈2Height。主體之間距離越近，說明兩個主體之間的繼承性越強，其相似度也就越高。

數(shù)值范圍性性屬性之間相似性計算：由于數(shù)值范圍性屬性之間不存在層次關(guān)系，所以對于該類屬性的計算采用集合間的交集和并集來完成。

對于值為常量的數(shù)值性屬性和字符串屬性，其值相等則相似度為1，不等相似度值則為0。

對于主體、資源、操作等會有相應(yīng)的條件對其進行限制，所以在計算主體、資源、操作等屬性的相似度時需要將條件屬性考慮在內(nèi)。

訪問控制策略中屬性權(quán)重的計算：本文對屬性權(quán)重的計算采用層次分析法［13］，訪問控制策略相似性計算公式如下：

3 基于屬性的訪問控制策略合成機制

3.1 算子優(yōu)先級及作用域的確定

按照算子設(shè)計原則計及安全域?qū)υL問控制策略條件的需求程度，對訪問控制策略的合成算子設(shè)置相應(yīng)的優(yōu)先級，算子優(yōu)先級越高，說明安全域?qū)υL問控制策略的執(zhí)行限制條件越嚴格。按照這一原則，本文將算子的優(yōu)先級和作用域設(shè)置如表4。

表4 合成算子的優(yōu)先級與作用域

其中算子的優(yōu)先級數(shù)越大，優(yōu)先級越高，作用域區(qū)間表示算子作用范圍。

3.2 合成算子選擇

訪問控制策略合成過程中策略協(xié)商［14~15］扮演著重要的作用，協(xié)商的過程就是對聚合資源進行最大限度共享的過程。文獻［3］提出的代數(shù)合成方法中支持屬性的協(xié)商，對復(fù)雜策略的合成奠定了一定的基礎(chǔ)，將策略合成轉(zhuǎn)化為對屬性授權(quán)項的合成，通過屬性協(xié)商產(chǎn)生了更加豐富的提案，但是通過協(xié)商進行算子選擇效率低下，沒法滿足云計算環(huán)境對實時性的要求，并且協(xié)商過程中可能出現(xiàn)權(quán)限的放大，使得不滿足條件的主體進行非法訪問，對云系統(tǒng)的安全性造成一定程度的破壞。

本文嘗試給出一種云計算環(huán)境下自動算子選擇機制，利用策略的相似性和域間信任度計算得出算子執(zhí)行力常量，將該常量與算子的作用域區(qū)間進行比較，如果該值落在某一個算子的作用域區(qū)間，那么該算子被選中。

算子執(zhí)行力常量計算公式：

其中δ+γ=1，本文中，我們將δ和γ的值都定為0.5。

3.3 訪問控制策略合成流程

流程如圖1所示。

圖1 訪問控制策略合成流程

實驗分析：為了對本文提出的訪問控制策略相似性計算方法進行驗證，實驗中隨機地從訪問控制策略當中獲取200 條策略，為了方便實驗分析，我們將200條策略分成10組進行相似性分析，每一組策略中由于相似值較多，所以我們用平均相似度來描述組類策略的相似性，將該方法與余弦相似度方法和文獻［4］中的計算方法進行了比較，實驗結(jié)果表明，本文提出的方法是可行的。

為了進一步驗證該方法比其他兩種方法在計算策略相似性上更好，設(shè)計了如下實驗對其計算方法進行驗證。在策略相似性分析中，對于同一組策略，不同的相似度閾值對應(yīng)的相似策略數(shù)目是不同的，本實驗中，我們將相似性閾值分別設(shè)置為0.7和0.85，統(tǒng)計該閾值下相似策略的數(shù)目，與兩種方法進行對比。

圖2 幾種策略相似性計算方法相似值比較

圖3 相似度閾值為0.7時的相似策略數(shù)

從實驗結(jié)果可以看出，隨著相似度閾值的增大，本文提出的方法檢測的相似策略數(shù)目多于其他兩種方法，這是因為余弦相似度計算方法只關(guān)注屬性的相似性，并沒有考慮屬性值之間的相似關(guān)系，文獻［4］的方法對策略的相似性計算忽略了資源屬性，不支持資源異構(gòu)的策略相似性分析，本文的方法改進了屬性權(quán)重計算方法并且支持資源異構(gòu)的策略相似性分析，所以該方法對相似度閾值越高的策略能夠進行更細粒度的劃分。

圖4 相似度閾值為0.85時的相似策略數(shù)

4 結(jié)語

本文對云計算當中的跨域訪問控制策略合成進行了研究，重點研究了訪問控制策略合成算子的自動選擇問題，對原有的訪問控制策略相似性計算方法進行了改進，改進的方法還可以消除合成策略當中的冗余策略，在策略相似性計算中考慮了資源環(huán)境屬性的重要性，同時為了避免對主體信任度的復(fù)雜計算，提出了主體信任度屬性相似度計算方法，最后提出了利用策略之間主體信任度屬性相似度和訪問控制策略相似性結(jié)合的自動算子選擇機制。但是算子的作用域區(qū)間劃分僅僅依據(jù)主體信任度屬性和算子的設(shè)計原則人為劃分缺乏一定的合理性，算子的作用域區(qū)間劃分需要進一步的研究。