基于二進(jìn)制序列的屬性訪問(wèn)控制策略檢索方法

摘要：在基于屬性訪問(wèn)控制策略中，如何快速響應(yīng)檢索的訪問(wèn)控制請(qǐng)求至關(guān)重要，而通過(guò)遍歷策略集合每條規(guī)則中的所有屬性值去匹配相應(yīng)規(guī)則的檢索方法是低效的。提出一種基于二進(jìn)制序列的屬性訪問(wèn)控制策略檢索方法，采用二進(jìn)制標(biāo)志和二進(jìn)制編碼表示基于屬性的訪問(wèn)控制策略和訪問(wèn)控制請(qǐng)求，通過(guò)對(duì)二進(jìn)制標(biāo)志的邏輯運(yùn)算選擇合適的分組，在組內(nèi)，通過(guò)訪問(wèn)控制請(qǐng)求的二進(jìn)制編碼和所有規(guī)則的二進(jìn)制編碼的匹配來(lái)查找合適的規(guī)則，減少策略集合內(nèi)規(guī)則的屬性與訪問(wèn)控制請(qǐng)求屬性匹配的過(guò)程，從而提高策略檢索效率。在實(shí)驗(yàn)中從策略預(yù)處理、策略評(píng)估時(shí)間和策略檢索總時(shí)間三個(gè)方面類比相似檢索方法的效率，實(shí)驗(yàn)結(jié)果表明，提出的策略檢索方法具有更高的檢索效率。

關(guān)鍵詞：云計(jì)算； 屬性訪問(wèn)控制策略； 檢索效率； 匹配； 二進(jìn)制序列

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1001-3695（2022）10-041-3141-05

doi： 10.19734/j.issn.1001-3695.2022.03.0126

Retrieval method of attribute access control policy based on binary sequence

Huang Hengjie1， Pan Ruijie2， Wang Gaocai2， Qin Lizhong1

（1. Educational Technology Center， Yulin Normal University， Yulin Guangxi 537000， China; 2. School of Computer amp; Electronic Information， Guangxi University， Nanning 530004， China）

Abstract：

In attribute-based access control （ABAC）， how to respond quickly to the retrieved access control request is very important， and it is undoubtedly time-consuming to traverse all attribute values in each rule of the policy set until finding the appropriate rule. This paper proposed an ABAC retrieval method based on binary sequence， and used binary identification and binary coding to represent attribute based access control policies and access control requests. Through the logical operation of binary identification， it selected the appropriate group. In the group， it found the appropriate rules by matching the binary code of access control request with the binary code of all rules， and reduced the process of matching the attributes of rules in the policy set with the attributes of access control request to improve the efficiency of policy retrieval. In the experiment， this paper compared the efficiency of similar retrieval methods from three aspects： strategy preprocessing， strategy evaluation time and total strategy retrieval time. The results show that the strategy retrieval method proposed in this paper has higher retrieval efficiency.

Key words：cloud computing; attribute access control policy; retrieval efficiency; matching; binary sequence

云計(jì)算技術(shù)的興起和發(fā)展為現(xiàn)代社會(huì)提供了便捷的數(shù)據(jù)共享和融合計(jì)算等服務(wù)，也使計(jì)算和存儲(chǔ)資源能夠得到充分利用。其資源中包含了大量的用戶隱私數(shù)據(jù)，然而相關(guān)機(jī)構(gòu)對(duì)這些數(shù)據(jù)的保護(hù)卻并不令人滿意。隱私數(shù)據(jù)一旦泄露，可能給個(gè)人和機(jī)構(gòu)帶來(lái)不可估量的損失［1］，例如西太平洋銀行（Westpac）近10萬(wàn)客戶的私人信息遭到泄露和Instagram用戶的4 900萬(wàn)數(shù)據(jù)遭到曝光，都是源于非法用戶的訪問(wèn)和合法用戶對(duì)資源的越權(quán)訪問(wèn)。因此，訪問(wèn)控制技術(shù)作為保護(hù)資源的有效手段備受?chē)?guó)內(nèi)外研究人員的關(guān)注。在訪問(wèn)控制中，通過(guò)驗(yàn)證訪問(wèn)者的身份信息和制定合適策略來(lái)規(guī)范和限制訪問(wèn)請(qǐng)求者的權(quán)限，從而保護(hù)客體資源。這些策略確保合法用戶在復(fù)雜的網(wǎng)絡(luò)環(huán)境中訪問(wèn)和使用資源服務(wù)，同時(shí)阻止非法用戶竊取資源和合法用戶的非法訪問(wèn)行為等。其中，基于屬性的訪問(wèn)控制（attribute-based access control，ABAC）因具有細(xì)粒度和靈活性，并能解決大規(guī)模的用戶激增問(wèn)題而在云計(jì)算場(chǎng)景得到廣泛應(yīng)用。雖然，現(xiàn)有的ABAC模型［2］在安全策略的表達(dá)和制定上具有較大優(yōu)勢(shì)，但如果應(yīng)用到大規(guī)模訪問(wèn)策略的云計(jì)算環(huán)境下還是會(huì)存在檢索效率低下的問(wèn)題。根據(jù)ABAC和XACML（extensible access control markup language）的相關(guān)理論［3］，當(dāng)用戶發(fā)起訪問(wèn)客體資源的請(qǐng)求時(shí)，策略決策點(diǎn)會(huì)調(diào)用相關(guān)屬性進(jìn)行解析并匹配到所有的策略，這意味著基于XACML的訪問(wèn)控制策略的評(píng)估需要遍歷所有的策略進(jìn)行判斷，其中屬性匹配需要對(duì)訪問(wèn)控制請(qǐng)求的所有屬性信息和策略集合中的規(guī)則屬性信息進(jìn)行比較。其中，信息匹配包括字符串匹配和數(shù)值比較，且只有該策略全部的屬性信息都和屬性訪問(wèn)請(qǐng)求（attribute access request，AAR）匹配才會(huì)授予主體訪問(wèn)客體的權(quán)限。此外，在對(duì)策略集合中的規(guī)則逐個(gè)匹配的過(guò)程中，若每次都是最后一個(gè)屬性被匹配時(shí)才發(fā)現(xiàn)它與AAR不一致，如果此類規(guī)則太多就會(huì)增加策略檢索的時(shí)間。本文針對(duì)上述問(wèn)題提出一種基于二進(jìn)制序列的屬性訪問(wèn)控制策略檢索方法，以提高策略檢索效率。

1相關(guān)理論及研究工作

傳統(tǒng)的訪問(wèn)控制由于其本身的一些局限已經(jīng)不再適合云計(jì)算多域的特點(diǎn)。ABAC根據(jù)用戶的主體屬性、客體屬性、環(huán)境屬性等信息來(lái)授予主體訪問(wèn)權(quán)限，因其具有動(dòng)態(tài)性、細(xì)粒度和靈活性而備受關(guān)注。ABAC可用四元組（S，O，E，P）來(lái)表示，其中，S為主體（subject）、O為客體（object）、E為環(huán)境（environment）、P為權(quán)限（privilege）。

訪問(wèn)控制策略由主體、客體、環(huán)境和權(quán)限組成，可形式化定義為（permit，deny）←（attr（S），attr（O），attr（E），attr（P）），分別表示相應(yīng)的屬性取值范圍。一條訪問(wèn)控制策略通常是由一個(gè)或多個(gè)訪問(wèn)控制規(guī)則組成，表示主體S在環(huán)境條件E下是否被允許對(duì)客體O進(jìn)行P權(quán)限的操作，其具體形式如下所示：

rule： access（S，O，E，P） ← f（SA，OA，EA，PA）

這里，f是一個(gè)布爾函數(shù)，其作用是根據(jù)訪問(wèn)控制規(guī)則對(duì)具體的主體、客體、環(huán)境和權(quán)限的屬性進(jìn)行判斷。若返回結(jié)果為真，則允許訪問(wèn)，否則拒絕訪問(wèn)。在ABAC的授權(quán)步驟中，策略判定點(diǎn)（policy decision point，PDP）、策略執(zhí)行點(diǎn)（policy enforcement point，PEP）、策略管理點(diǎn)（policy administrate point，PAP）和策略信息點(diǎn)（policy information point，PIP）是其最為重要的支撐，整個(gè)過(guò)程分為兩個(gè)階段。

1）準(zhǔn)備階段

a）PIP對(duì)所有的主體、客體、權(quán)限和環(huán)境的屬性信息進(jìn)行搜集和管理，并將屬性、權(quán)限關(guān)系進(jìn)行關(guān)聯(lián)。

b）PAP從PIP獲得構(gòu)建ABAC策略所需的屬性信息和屬性—權(quán)限關(guān)系構(gòu)建ABAC策略。

2）執(zhí)行階段

a）當(dāng)PEP接收到主體發(fā)送的原始訪問(wèn)請(qǐng)求（natural access request，NAR）時(shí)，PEP向PIP請(qǐng)求獲取構(gòu)建AAR所需的主體屬性、客體屬性、環(huán)境屬性和權(quán)限屬性來(lái)構(gòu)建基于屬性的訪問(wèn)控制請(qǐng)求。

b）PDP根據(jù)PIP提供的主體屬性、客體屬性、環(huán)境屬性信息和權(quán)限屬性等屬性信息對(duì)主體的身份信息進(jìn)行驗(yàn)證。

c）根據(jù)PAP提供的策略查詢結(jié)果對(duì)PEP轉(zhuǎn)發(fā)來(lái)的AAR進(jìn)行判定，決定是否對(duì)AAR進(jìn)行授權(quán)。

d）PAP將判定結(jié)果傳遞給PAP，PEP執(zhí)行決策結(jié)果。

ABAC的成功部署需要兩個(gè)關(guān)鍵部分，一是定義良好的策略描述語(yǔ)言，二是為ABAC制定一種有效的策略檢索方法。其中，前者有利于防止云平臺(tái)資源數(shù)據(jù)泄露和非法授權(quán)訪問(wèn)，后者能確保訪問(wèn)控制請(qǐng)求到來(lái)時(shí)得到及時(shí)響應(yīng)。一方面，在如何定義良好的訪問(wèn)控制的授權(quán)策略描述語(yǔ)言方面，學(xué)者們對(duì)不同的訪問(wèn)控制模型和應(yīng)用場(chǎng)景進(jìn)行研究，提出了XACML、應(yīng)用于Web服務(wù)的基于圖的策略可視化描述語(yǔ)言［4］，適用于RESTful接口的策略描述語(yǔ)言RestPL［5］等。其中，較為常用且適用于ABAC模型的是XACML。但在實(shí)際的云部署中，各個(gè)企業(yè)更傾向于自己的策略描述語(yǔ)言。另一方面，對(duì)于一些大型的組織，隨著ABAC的規(guī)模越來(lái)越大，其用戶在同一時(shí)刻發(fā)出訪問(wèn)請(qǐng)求的數(shù)量會(huì)也越來(lái)越多。因此，有效的檢索ABAC策略對(duì)實(shí)時(shí)響應(yīng)用戶的AAR是至關(guān)重要的，也直接影響著用戶的體驗(yàn)。

在如何有效地檢索ABAC策略方面，目前研究人員已經(jīng)取得了一些成果。這些研究工作大致分為兩類：a）對(duì)策略訪問(wèn)控制語(yǔ)言為XACML標(biāo)準(zhǔn)的策略檢索方法的改進(jìn)；b）根據(jù)下一代訪問(wèn)控制NGAC［6，7］標(biāo)準(zhǔn)進(jìn)行策略檢索方法的改進(jìn)。

對(duì)于如何提高策略的檢索效率、縮短策略檢索時(shí)間方面的研究較少，在傳統(tǒng)的策略檢索方法的檢索過(guò)程中，當(dāng)有訪問(wèn)控制請(qǐng)求時(shí)，需要對(duì)所有的策略進(jìn)行遍歷，若出現(xiàn)策略冗余和沖突，XACML需支持優(yōu)先適用、只適用一項(xiàng)、允許—覆蓋和拒絕—覆蓋［8］四種組合算法。為了提高策略的檢索效率，文獻(xiàn)［9］提出了一種基于圖的XACML策略評(píng)估方法，該方法對(duì)匹配樹(shù)和合并樹(shù)兩個(gè)評(píng)估策略數(shù)據(jù)結(jié)構(gòu)進(jìn)行優(yōu)化，并且針對(duì)策略匹配樹(shù)提出一種二進(jìn)制查找算法，該方法不支持多值屬性。文獻(xiàn)［10］提出了一種新的基于統(tǒng)計(jì)學(xué)分析的策略評(píng)估引擎HPEnigne來(lái)提高分布式環(huán)境下XACML策略評(píng)估引擎的效率，該引擎將策略由文本形式轉(zhuǎn)換成數(shù)值形式，縮減了策略規(guī)模，同時(shí)采用多緩存機(jī)制來(lái)提高策略的查找速度。文獻(xiàn)［11］提出一種基于前綴的標(biāo)記運(yùn)算的策略檢索方法，該方法根據(jù)策略屬性的取值添加二進(jìn)制前綴，從而縮小策略檢索的范圍。這種檢索方法確實(shí)提高了檢索效率，但是在訪問(wèn)控制策略與訪問(wèn)請(qǐng)求屬性名匹配的情況下，其前綴計(jì)算反而造成時(shí)間上的浪費(fèi)。針對(duì)該問(wèn)題，文獻(xiàn)［12］在基于屬性訪問(wèn)控制策略添加二進(jìn)制標(biāo)志之后，在屬性值級(jí)別引入策略決策樹(shù)提高檢索效率，并且該方法具有良好的可擴(kuò)展性，但是該方法在訪問(wèn)控制策略屬性比較多的情況時(shí)存在一定的局限性。文獻(xiàn)［13］在文獻(xiàn)［11］的基礎(chǔ)上進(jìn)行研究，提出了一種基于屬性分組的訪問(wèn)控制策略檢索方法，通過(guò)對(duì)策略集進(jìn)行基于屬性的分組而縮減策略檢索的范圍，從而減少不必要的計(jì)算以及比較過(guò)程，由此實(shí)現(xiàn)對(duì)訪問(wèn)控制策略的高效率檢索。

在下一代訪問(wèn)控制標(biāo)準(zhǔn)中，策略決策點(diǎn)負(fù)責(zé)在訪問(wèn)控制策略中檢索符合訪問(wèn)控制請(qǐng)求的規(guī)則［14］。在進(jìn)行策略檢索時(shí)，需要將AAR的屬性和訪問(wèn)控制策略中的每一條規(guī)則的屬性信息進(jìn)行比較，直到找到符合的規(guī)則，這無(wú)疑是費(fèi)時(shí)的。為此，文獻(xiàn)［15］提出了一種名為PolTree的數(shù)據(jù)結(jié)構(gòu)，它通過(guò)兩個(gè)變體PolTree和N-PolTree來(lái)存儲(chǔ)ABAC策略，并減少策略檢索時(shí)的屬性—值對(duì)的比較次數(shù)，從而提高策略的檢索效率。

總的來(lái)說(shuō)，各種ABAC檢索方法都有優(yōu)勢(shì)和缺點(diǎn)，其檢索效率與傳統(tǒng)的策略檢索方法相比也有所提高，但仍然存在一定的局限性。基于路由中二叉線索樹(shù)能快速在轉(zhuǎn)發(fā)表中找到匹配的葉節(jié)點(diǎn)，從而提高查找效率的思想。本文提出一種基于二進(jìn)制序列的屬性訪問(wèn)控制策略檢索方法，通過(guò)對(duì)策略進(jìn)行二進(jìn)制標(biāo)志，根據(jù)二進(jìn)制標(biāo)志對(duì)其進(jìn)行分組形成若干策略集合組，對(duì)組內(nèi)的策略進(jìn)行二進(jìn)制編碼。當(dāng)進(jìn)行訪問(wèn)時(shí)，先對(duì)訪問(wèn)控制請(qǐng)求進(jìn)行二進(jìn)制標(biāo)志與編碼，然后通過(guò)訪問(wèn)控制請(qǐng)求與策略的邏輯運(yùn)算選擇合適的組，過(guò)濾掉大量無(wú)關(guān)策略。最后，訪問(wèn)控制請(qǐng)求的二進(jìn)制編碼的值與組內(nèi)策略的值進(jìn)行邏輯運(yùn)算而避免對(duì)策略中屬性信息的單個(gè)匹配，從而提高檢索效率。

2基于二進(jìn)制序列的屬性訪問(wèn)控制策略檢索方法

2.1構(gòu)建基于二進(jìn)制標(biāo)志的策略和AAR

為了對(duì)ABAC策略和AAR進(jìn)行二進(jìn)制標(biāo)志，需要統(tǒng)計(jì)出現(xiàn)在訪問(wèn)控制策略集合中所有屬性，并對(duì)該屬性按照主體、客體、環(huán)境和權(quán)限的特定順序排列；并且主體、客體、環(huán)境和權(quán)限屬性的內(nèi)部屬性也要按一定的順序進(jìn)行排列，以此來(lái)保證二進(jìn)制標(biāo)志的有效性。通常，屬性分為目錄屬性和非目錄屬性，目錄屬性指的是一些決策信息屬性值，包括{allow，denny}，每條規(guī)則有且僅有一個(gè)決策屬性；非目錄屬性指的是作出決策需要衡量的屬性信息，包括主體屬性、客體屬性、環(huán)境屬性和操作屬性。對(duì)規(guī)則的編碼只是針對(duì)非目錄屬性，分別用二進(jìn)制數(shù)字0和1來(lái)表示該屬性在訪問(wèn)控制請(qǐng)求和策略集合中是否出現(xiàn)，0表示未出現(xiàn)，1表示出現(xiàn)，從而形成ABAC策略和AAR的二進(jìn)制標(biāo)志。

在云計(jì)算環(huán)境中，用戶通過(guò)各自的終端設(shè)備請(qǐng)求服務(wù)，首先構(gòu)建如表1所示的屬性信息，再利用這些屬性信息去構(gòu)建如表2所示的ABAC策略。二進(jìn)制標(biāo)志只是針對(duì)非目錄屬性，其維度就是非目錄屬性的個(gè)數(shù)，即統(tǒng)計(jì)訪問(wèn)控制規(guī)則中所有屬性個(gè)數(shù)，其屬性的總數(shù)就是二進(jìn)制標(biāo)志的位數(shù)。例如，表2中單個(gè)規(guī)則中擁有最多的非目錄屬性個(gè)數(shù)是6，所以二進(jìn)制標(biāo)志位的長(zhǎng)度為6。規(guī)則中存在該條屬性，就把對(duì)應(yīng)的值置為1，否則為0，也就是說(shuō)，每一個(gè)二進(jìn)制位表示該條規(guī)則中是否存在該屬性。

如前文所述，ABAC的訪問(wèn)控制分為準(zhǔn)備階段和執(zhí)行階段。在準(zhǔn)備階段，PAP需要對(duì)策略集合中的每條規(guī)則進(jìn)行二進(jìn)制標(biāo)志。 在策略執(zhí)行階段，只需要對(duì)AAR進(jìn)行二進(jìn)制標(biāo)志，然后與策略的二進(jìn)制標(biāo)識(shí)進(jìn)行邏輯與運(yùn)算，當(dāng)運(yùn)算結(jié)果與訪問(wèn)控制規(guī)則的二進(jìn)制標(biāo)識(shí)一致時(shí)，則對(duì)該規(guī)則的其他屬性進(jìn)行檢測(cè)，即判斷AAR的屬性是否符合規(guī)則的屬性信息。為進(jìn)一步減少策略檢索時(shí)間，根據(jù)ABAC策略的二進(jìn)制標(biāo)識(shí)進(jìn)行分組，構(gòu)建類似路由中二叉線索樹(shù)。在該樹(shù)中，除了第一層根節(jié)點(diǎn)外的每個(gè)節(jié)點(diǎn)都表示一個(gè)分組，二進(jìn)制標(biāo)識(shí)相同的規(guī)則在同一組，二進(jìn)制標(biāo)識(shí)不同的在不同的組。

訪問(wèn)控制規(guī)則的屬性代表的是對(duì)AAR的要求，即要與該條訪問(wèn)控制規(guī)則匹配成功，AAR需要擁有規(guī)則所要求的屬性和屬性值，這就意味著AAR和規(guī)則的匹配并非毫無(wú)差別地匹配。實(shí)際上在策略檢索的時(shí)候，只檢測(cè)AAR的屬性是否符合訪問(wèn)控制規(guī)則的屬性信息，對(duì)于AAR中多出的屬性并不做額外的匹配要求，即AAR中的額外屬性并不影響其匹配成功與否。例如，某AAR為（SA_role=“student”，SA_trust=“l(fā)ow”，OA_type=“personal”，OA_trust=“l(fā)ow”，EA_network=“public”，PA_permisssion=“denny”），其二進(jìn)制標(biāo)識(shí)為111111，但是對(duì)其二進(jìn)制標(biāo)識(shí)位011111，101111，…，111110的分組也有可能存在符合該AAR的規(guī)則。若在表2所示的訪問(wèn)控制策略集合中查找合適的規(guī)則，二進(jìn)制標(biāo)識(shí)為011111的分組中的R2規(guī)則也符合該AAR。

2.2屬性信息的二進(jìn)制編碼

實(shí)際上，如果對(duì)ABAC策略進(jìn)行二進(jìn)制標(biāo)志并進(jìn)行分組，在進(jìn)行策略檢索時(shí)，就能有效地縮短策略檢索的范圍，使得策略的范圍局限到符合二進(jìn)制標(biāo)志的幾個(gè)組內(nèi)，過(guò)濾掉大量無(wú)關(guān)的規(guī)則，從而縮短策略檢索的時(shí)間。但是當(dāng)在本組檢索的時(shí)候，需要對(duì)每條規(guī)則的每個(gè)屬性的取值與AAR的對(duì)應(yīng)取值進(jìn)行匹配，檢驗(yàn)AAR是否滿足該條規(guī)則，最壞情況就是每次檢測(cè)到規(guī)則的最后一個(gè)屬性時(shí)才發(fā)現(xiàn)該規(guī)則不符，這樣將會(huì)造成時(shí)間上的浪費(fèi)。如果存在這樣的規(guī)則過(guò)多，將會(huì)造成策略檢索時(shí)間過(guò)長(zhǎng)，為此提出對(duì)每個(gè)組的訪問(wèn)控制策略進(jìn)行二進(jìn)制編碼。這樣只需要對(duì)AAR的二進(jìn)制編碼與ABAC策略的二進(jìn)制編碼進(jìn)行邏輯運(yùn)算并作出授權(quán)決策，而無(wú)須對(duì)策略集合的每條訪問(wèn)控制策略的每個(gè)屬性值進(jìn)行判斷，從而節(jié)省策略檢索的時(shí)間，提高策略檢索效率。ABAC的屬性值由以下兩種類型組成：

a）離散屬性編碼。例如，上文中出現(xiàn)的主體屬性的SA_role屬性值的取值為{student，teacher，admin}，是離散屬性值。如果主體s1的屬性sa1是離散屬性，說(shuō)明sa1的取值是相互獨(dú)立的，其取值范圍可以通過(guò)枚舉的方式表示。本文對(duì)其采用啞變量編碼方式進(jìn)行編碼。其中，1表示該屬性值存在，0表示該屬性值不存在。對(duì)于該屬性位都不存在的情況，則把所有位置全置為0。假設(shè)sa1的取值為{sa1v0，sa1v1，sa1v2}，一共三個(gè)值可取，則采用三個(gè)二進(jìn)制位進(jìn)行編碼。若sa1的取值范圍為attr（sa1）≠{sa1v1}，對(duì)其編碼時(shí)除了第二位，其余位全置為0，即編碼為101。若為attr（sa1）={sa1v1，sa1v2}，則把二進(jìn)制序列的第二位和第三位置為1，其余位置全置為0，即110。主體s1的屬性sa2的取值為{sa2v0，sa2v1}，一共有兩個(gè)值可取。因此，采用五個(gè)二進(jìn)制位對(duì)主體si屬性進(jìn)行編碼，如表3所示。

b）連續(xù)屬性編碼。在特定訪問(wèn)控制環(huán)境中會(huì)指定在某個(gè)時(shí)間段內(nèi)允許訪問(wèn)資源或者需要設(shè)置主體屬性的信任等級(jí)處于每個(gè)信任值之間，這就需要設(shè)置連續(xù)屬性，對(duì)連續(xù)的無(wú)法枚舉的屬性值需要將其離散化。在訪問(wèn)控制系統(tǒng)中比較常用的連續(xù)屬性是信任連續(xù)屬性和時(shí)間連續(xù)屬性。以信任連續(xù)屬性為例對(duì)連續(xù)屬性如何離散進(jìn)行說(shuō)明，時(shí)間連續(xù)屬性和信任連續(xù)屬性的編碼和離散化過(guò)程類似。如前述主體的SA_trust屬性和客體的OA_trust屬性表示的都是主體所具備的信任值和訪問(wèn)客體的主體需要滿足的信任值，主體所具備的信任值是采用一定的計(jì)算方法計(jì)算出來(lái)的值，如文獻(xiàn)［16］所提出的計(jì)算方法。

2.3基于二進(jìn)制序列的策略檢索方法分析

訪問(wèn)控制策略中每個(gè)屬性的取值范圍代表的是對(duì)訪問(wèn)控制請(qǐng)求的屬性組合的要求，即想要獲得訪問(wèn)客體的特定權(quán)限需要滿足的屬性和屬性值，這意味著策略和訪問(wèn)控制請(qǐng)求的匹配并非是完全一致無(wú)差別的匹配。實(shí)際上，策略的匹配都是字符串的匹配，訪問(wèn)控制策略只檢測(cè)訪問(wèn)控制請(qǐng)求是否擁有相關(guān)屬性信息，訪問(wèn)控制請(qǐng)求有額外的屬性信息并不影響其匹配的成功與否。例如存在這樣的一條策略，主體可以在工作時(shí)間訪問(wèn)客體資源，如果主體在工作時(shí)間發(fā)出訪問(wèn)客體資源的請(qǐng)求，在該請(qǐng)求中包含了該主體的角色信息，那么該主體的訪問(wèn)仍然是被允許的。

以表2中的策略集合為例，選取表1中的屬性值構(gòu)建基于屬性的訪問(wèn)控制請(qǐng)求{SA_role=student，SA_trust=low，OA_trust=low，EA_network=work，PA_permission=delete}，首先根據(jù)本文提到的基于二進(jìn)制序列屬性訪問(wèn)控制策略檢索方法，對(duì)表2中的規(guī)則進(jìn)行編碼的結(jié)果依次為（R1，10010010100 100100），（R2，00010010100001100），（R3，10000000100010100），（R4，10000000100100100）；然后對(duì)AAR進(jìn)行二進(jìn)制標(biāo)志，除了OA_type未設(shè)置屬性值外，每個(gè)屬性都有屬性值，所以AAR的二進(jìn)制標(biāo)志為110111。按照前述提到的編碼方法對(duì)AAR進(jìn)行編碼為（AAR，10010000100010100）。訪問(wèn)控制請(qǐng)求的二進(jìn)制標(biāo)識(shí)和策略的二進(jìn)制標(biāo)識(shí)進(jìn)行邏輯與運(yùn)算110111 amp; 111111=110111≠111111，說(shuō)明R1規(guī)則所在的組不符合訪問(wèn)控制請(qǐng)求的屬性要求，跳過(guò)R1所在的組，對(duì)第二個(gè)組的規(guī)則進(jìn)行查詢110111 amp; 011111=010111≠011111，所以R2所在的第二組也不符合屬性要求，過(guò)濾掉該組。對(duì)第三個(gè)組二進(jìn)制標(biāo)識(shí)為100111的規(guī)則組進(jìn)行查詢，110111 amp; 100111=100111，說(shuō)明在R3規(guī)則所在的組是需要進(jìn)一步查找的組，R3規(guī)則的二進(jìn)制編碼10000000100010100與訪問(wèn)控制請(qǐng)求的二進(jìn)制編碼10010 000100010100進(jìn)行邏輯與運(yùn)算的結(jié)果為10000000100010100策略的二進(jìn)制編碼相等，即10000000100010100 amp; 1001000010 0010100= 10000000100010100，則該條規(guī)則就是要找的規(guī)則，因?yàn)槠錄Q策屬性為denny，所以PDP的決策結(jié)果將是拒絕本次訪問(wèn)，本次策略檢索結(jié)束。

在以上的策略檢索過(guò)程中，如果采用傳統(tǒng)的策略檢索方法，則需要對(duì)策略集合中每條規(guī)則的每個(gè)屬性進(jìn)行匹配，直到找到所需要的規(guī)則為止，因此需要執(zhí)行的匹配次數(shù)為18次，如果采用根據(jù)二進(jìn)制標(biāo)志分組的方法，則需要AAR的二進(jìn)制標(biāo)識(shí)和訪問(wèn)控制策略的二進(jìn)制標(biāo)識(shí)進(jìn)行邏輯與運(yùn)算，并判斷是否與策略的二進(jìn)制標(biāo)識(shí)一致，減少了不合適規(guī)則屬性的匹配次數(shù)，因此進(jìn)行匹配的次數(shù)為10次。采用基于二進(jìn)制序列的屬性訪問(wèn)控制策略檢索方法只需要進(jìn)行二進(jìn)制標(biāo)識(shí)匹配和二進(jìn)制編碼匹配，因此只執(zhí)行的匹配次數(shù)為4次，其具體的策略檢索過(guò)程如圖1所示。

基于二進(jìn)制序列的屬性訪問(wèn)控制策略檢索方法的核心算法如算法1所示。

算法1基于二進(jìn)制標(biāo)識(shí)的策略檢索算法

輸入： policy_set，AAR。 //策略集合，要進(jìn)行判別的訪問(wèn)控制請(qǐng)求

輸出： decision。 //決策結(jié)果

begin

a）identify and encode attribute-based access control requests

init（AAR.policy_groupbinary）;

init（AAR.policy_code）；

/*對(duì)訪問(wèn)控制請(qǐng)求的二進(jìn)制標(biāo)識(shí)和策略編碼位進(jìn)行初始化*/

for （i=0;ilt;AAR.size（）;i++） do

if （AAR［i］） exist then

AAR.policy_groupbinary.setposition（p）=1;

/*對(duì)訪問(wèn)控制請(qǐng)求進(jìn)行二進(jìn)制標(biāo)志*/

end if

end for

for （j=0;jlt;AAR.policy_code.size（）;j++）do

/*對(duì)訪問(wèn)控制請(qǐng)求進(jìn)行二進(jìn)制編碼*/

if （AAR［j］.attrvale） exit then

a=getposition（AAR［j］.attrvale）;

AAR.policycode.setposition（a）=1;

end if

end for

b）retrieve policy table

for （i=0;ilt;group.size;i++） do /*進(jìn)行策略檢索*/

if （group.［i］.groupbinaryamp;AAR.groupbinary）==group［i］.groupbinary） then

for （g=0;glt;group［i］.size;g++）do

if （group［i］.ruleset［g］. policycode amp; AAR.policy_code）==（group［i］.ruleset［g］.policycode） then

decide（）; /*作出決策*/

end if

end if

end for

根據(jù)前述的對(duì)AAR進(jìn)行二進(jìn)制標(biāo)志和編碼的算法來(lái)看，本文對(duì)AAR處理的最多次數(shù)是ARR的數(shù)量，所以其時(shí)間復(fù)雜度為O（n）。當(dāng)進(jìn)行策略檢索時(shí)，要對(duì)每個(gè)分組的每條規(guī)則進(jìn)行判斷，所以其時(shí)間復(fù)雜度為O（n2），通常，n取值不大，如后面實(shí)驗(yàn)中取n=6。

3實(shí)驗(yàn)結(jié)果與分析

為評(píng)估基于二進(jìn)制序列策略檢索方法的效率，本文在Windows 10平臺(tái)上利用C++語(yǔ)言在Qt Creator中編寫(xiě)測(cè)試代碼，并用MATLAB作為數(shù)據(jù)分析工具。通常，評(píng)估檢索方法需要大量的ABAC策略和AAR，不幸的是，由于訪問(wèn)控制策略屬于機(jī)密性內(nèi)容，無(wú)法獲得真實(shí)的行業(yè)數(shù)據(jù)。通常，路由器上的訪問(wèn)控制策略條數(shù)是300～500條。如文獻(xiàn)［13］選取策略總數(shù)量為105、210、315、433、525的五種情況進(jìn)行實(shí)驗(yàn)。為了說(shuō)明算法的高效性以及出現(xiàn)大規(guī)模的訪問(wèn)控制策略問(wèn)題，本文選取更多的訪問(wèn)控制策略條數(shù)，如2 000、2 500和3 000。參考上述提到的屬性信息，實(shí)現(xiàn)一個(gè)簡(jiǎn)單的策略和訪問(wèn)控制請(qǐng)求生成器，產(chǎn)生了4 000條ABAC策略和2 000條AAR，其中每條策略包含一個(gè)訪問(wèn)控制規(guī)則。為了保證二進(jìn)制標(biāo)識(shí)的有效性，參考了文獻(xiàn)［17］的數(shù)據(jù)分類方法進(jìn)行標(biāo)準(zhǔn)化。本文的實(shí)驗(yàn)以這些數(shù)據(jù)為基礎(chǔ)從策略預(yù)處理、策略評(píng)估時(shí)間、策略檢索總時(shí)間三個(gè)方面測(cè)試本文提出的檢索方法的效率。同時(shí)，為保證測(cè)試結(jié)果的一般性，以下實(shí)驗(yàn)得到的數(shù)據(jù)都是進(jìn)行10次實(shí)驗(yàn)并對(duì)其求平均值的結(jié)果。實(shí)驗(yàn)環(huán)境為：CPU為11th Gen Intel CoreTM i5-1135G7@2.40 GHz 2.42 GHz，RAM為16.00 GB; Qt Creator 3.3.0（open source） based on Qt 5.4.0（MSVC 2010，32 bit），MATLAB版本為8.6.0.267246 （R2015b）。

考慮到本文提出的二進(jìn)制標(biāo)識(shí)和編碼方法與文獻(xiàn)［11，13］方法都屬于分組型和前綴型查找方法，用SG-PRM表示文獻(xiàn)［11］提出的基于前綴的策略檢索方法，AG-PRM代表文獻(xiàn)［13］提出的基于屬性分組的訪問(wèn)控制策略檢索方法，而B(niǎo)-S-PRM代表本文提出的策略檢索方法。實(shí)驗(yàn)對(duì)比都是基于相同的訪問(wèn)控制策略和訪問(wèn)控制請(qǐng)求，策略復(fù)雜度指的是策略中每條規(guī)則所包含的屬性鍵值對(duì)的個(gè)數(shù)。

3.1策略預(yù)處理時(shí)間

策略預(yù)處理是在訪問(wèn)控制的準(zhǔn)備階段完成的，主要對(duì)策略屬性進(jìn)行部署。本文提出的策略檢索方法的策略預(yù)處理時(shí)間指的是PAP對(duì)策略集合中的每一條規(guī)則添加二進(jìn)制標(biāo)識(shí)、分組、編碼的時(shí)間；SG-PRM在策略預(yù)處理階段對(duì)策略進(jìn)行二進(jìn)制標(biāo)志。AG-PRM在策略預(yù)處理階段對(duì)策略進(jìn)行二進(jìn)制標(biāo)志、分組。由圖2可知，當(dāng)把策略數(shù)目設(shè)置為500、1 000、1 500、2 000、2 500時(shí)，B-S-PRM、SG-PRM和AG-PRM策略檢索時(shí)間都隨著策略數(shù)目的增多而逐漸增長(zhǎng)，且呈線性增長(zhǎng)趨勢(shì)。其中，AG-PRM和SG-PRM這兩種策略檢索方法的策略預(yù)處理時(shí)間比較接近，且低于B-S-PRM策略檢索方法的策略預(yù)處理時(shí)間，這是因?yàn)楸疚奶岢龅牟呗詸z索方法在前兩種策略檢索方法的基礎(chǔ)上增加了二進(jìn)制編碼的過(guò)程。基于二進(jìn)制序列的策略檢索方法（B-S-PRM）對(duì)策略的分析相比其他兩種策略檢索方法確實(shí)更費(fèi)時(shí)間；但是，對(duì)基于屬性訪問(wèn)控制策略的預(yù)處理發(fā)生在訪問(wèn)控制系統(tǒng)的準(zhǔn)備階段，并不會(huì)對(duì)策略檢索時(shí)間造成任何影響。因此，本文的策略檢索方法并不影響用戶的實(shí)時(shí)體驗(yàn)。

3.2策略評(píng)估時(shí)間

策略評(píng)估是指PDP在執(zhí)行階段完成的，主要是指PDP檢索符合訪問(wèn)控制請(qǐng)求的規(guī)則并作出決策的過(guò)程。圖3顯示了不同策略規(guī)則數(shù)目條件下，增加訪問(wèn)控制請(qǐng)求數(shù)量，觀察策略評(píng)估時(shí)間的變化。當(dāng)策略數(shù)目分別設(shè)置為2 000、2 500、3 000，這三種策略檢索方法的檢索時(shí)間都隨著訪問(wèn)控制請(qǐng)求的增多而加長(zhǎng)。其中，SG-PRM在策略檢索階段訪問(wèn)控制請(qǐng)求的前綴和策略的前綴做邏輯或運(yùn)算，運(yùn)算結(jié)果與策略的前綴一致再匹配屬性信息是否相符。AG-PRM對(duì)策略集進(jìn)行基于屬性的分組而縮減策略檢索的范圍。

通過(guò)圖3可以看出，在不同的訪問(wèn)控制策略條件下，隨著訪問(wèn)控制請(qǐng)求數(shù)量的增加，這三種策略檢索方法的策略評(píng)估時(shí)間都逐漸加長(zhǎng)。其中，B-S-PRM的策略評(píng)估時(shí)間隨著策略數(shù)量的增多呈下降趨勢(shì)，當(dāng)策略數(shù)量為3 000時(shí)，B-S-PRM的策略評(píng)估時(shí)間約為策略數(shù)量為2 000時(shí)的一半，其策略評(píng)估時(shí)間的波動(dòng)范圍也逐漸縮小，而其他兩種策略檢索方法的策略評(píng)估時(shí)間卻沒(méi)發(fā)生明顯變化。SG-PRM的策略評(píng)估時(shí)間在4～32 ms波動(dòng)，AG-PRM的策略評(píng)估時(shí)間在4～27 ms波動(dòng)，B-S-PRM在1～11 ms波動(dòng)。由此可以看出，本文提出的策略檢索方法的檢索時(shí)間更加穩(wěn)定，B-S-PRM的策略檢索效率約是SG-PRM和AG-PRM的三倍，說(shuō)明本文的策略檢索方法能夠應(yīng)用于高策略的環(huán)境下。

3.3策略檢索總時(shí)間

基于屬性訪問(wèn)控制策略的檢索總時(shí)間包括PEP對(duì)AAR處理的時(shí)間以及PDP對(duì)策略進(jìn)行評(píng)估的時(shí)間。如圖4所示，策略總數(shù)為3 000，隨著訪問(wèn)控制請(qǐng)求數(shù)量的增加，三種策略檢索方法對(duì)訪問(wèn)控制請(qǐng)求的處理時(shí)間都逐漸增長(zhǎng)，且接近于線性增長(zhǎng)。其中，SG-PRM和AG-PRM對(duì)訪問(wèn)控制請(qǐng)求的處理時(shí)間比較接近，B-S-PRM對(duì)訪問(wèn)控制請(qǐng)求的處理時(shí)間約是SG-PRM和AG-PRM的兩倍。這是因?yàn)樵趯?duì)訪問(wèn)控制的處理過(guò)程中，B-S-PRM更為復(fù)雜，SG-PRM對(duì)訪問(wèn)控制請(qǐng)求添加前綴，B-S-PRM需要對(duì)策略進(jìn)行二進(jìn)制編碼和標(biāo)志，AG-PRM只需要到對(duì)訪問(wèn)控制請(qǐng)求添加分組標(biāo)識(shí)和前綴標(biāo)識(shí)。但是，通過(guò)圖5可以看出，B-S-PRM雖然在PEP對(duì)AAR的處理中花費(fèi)了較長(zhǎng)的時(shí)間，但其總的檢索時(shí)間反而有大幅度下降。其中，B-S-PRM的檢索效率約比SG-PRM提高了4倍，比AG-PRM提高了3.5倍以上。隨著訪問(wèn)控制請(qǐng)求數(shù)量增加，B-S-PRM更具有優(yōu)勢(shì)，策略檢索時(shí)間更加穩(wěn)定。因?yàn)楫?dāng)策略增多時(shí)，不同于另外兩種策略檢索方法，B-S-PRM沒(méi)有對(duì)規(guī)則內(nèi)的屬性值進(jìn)行遍歷，而是選擇合適的分組對(duì)本組內(nèi)的規(guī)則進(jìn)行遍歷，從而減少了策略檢索的范圍，檢索效率得到極大的提高。

綜上所述，本文提出的策略檢索方法雖然在策略的預(yù)處理時(shí)間上比其他兩種策略檢索方法時(shí)間更長(zhǎng)，但是其策略的檢索時(shí)間卻顯著地縮短了，檢索效率優(yōu)勢(shì)明顯。隨著策略規(guī)模的增大，本文提出的策略檢索方法的檢索時(shí)間并未發(fā)生顯著變化。應(yīng)用到云計(jì)算、大規(guī)模的基于屬性訪問(wèn)控制的部署中，當(dāng)用戶的訪問(wèn)控制請(qǐng)求到來(lái)時(shí)，該方法能夠縮短用戶的等待時(shí)間，實(shí)時(shí)響應(yīng)用戶的訪問(wèn)控制請(qǐng)求。

4結(jié)束語(yǔ)

隨著云計(jì)算、物聯(lián)網(wǎng)技術(shù)的興起，當(dāng)今的網(wǎng)絡(luò)環(huán)境趨于海量性和動(dòng)態(tài)性，用戶和資源規(guī)模巨大，主客體的訪問(wèn)環(huán)境也實(shí)時(shí)動(dòng)態(tài)變化。用戶希望在較短的時(shí)間內(nèi)得到訪問(wèn)客體資源的權(quán)限，從而縮短策略檢索時(shí)間，減少對(duì)訪問(wèn)控制請(qǐng)求的響應(yīng)時(shí)間。然而，現(xiàn)有的基于屬性訪問(wèn)控制策略的檢索方法應(yīng)用于大規(guī)模訪問(wèn)的情況下存在著一定的不足，針對(duì)該問(wèn)題，本文提出一種基于二進(jìn)制序列的屬性訪問(wèn)控制策略檢索方法。實(shí)驗(yàn)結(jié)果驗(yàn)證了本文提出的策略檢索方法具有更低的策略檢索時(shí)間、更高的檢索效率。

在保證策略檢索效率的情況下，考慮將本文的策略檢索方法和屬性加密相結(jié)合來(lái)進(jìn)一步提高屬性的安全性是未來(lái)的研究方向。另外，本文提出的策略檢索方法只在理論層面，如何將該策略與實(shí)際情況相結(jié)合進(jìn)行優(yōu)化，以適應(yīng)于未來(lái)實(shí)際的應(yīng)用也是將來(lái)的研究方向。

參考文獻(xiàn)：

［1］Sun Panjun. Security and privacy protection in cloud computing： discussions and challenges ［J］. Journal of Network and Computer Applications， 2020，160（6）： 102642.

［2］Servos D，Osborn S L. Current research and open problems in attribute-based access control ［J］. ACM Computing Surveys，2017，49（4）： article No. 65.

［3］OASIS. OASIS standard，Extensible access control markup language XACML version 3. 0 ［S］. 2013.

［4］Nabil D，Slimani H，Nacer H，et al. ABAC conceptual graph model for composite Web services ［C］// Proc of the 5th IEEE International Congress on Information Science and Technology. Piscataway，NJ： IEEE Press，2018： 36-41.

［5］羅楊，沈晴霓，吳中海. 一種新的訪問(wèn)控制策略描述語(yǔ)言及其權(quán)限劃分方法 ［J］. 計(jì)算機(jī)學(xué)報(bào)，2018，41（6）： 1189-1206. （Luo Yang，Shen Qingni，Wu Zhonghai. A novel access control policy speci-fication language and its permission classification method ［J］. Chinese Journal of Computer，2018，41（6）： 1189-1206.）

［6］Huh J H，Bobba R B，Markham T，et al. Next-generation access control for distributed control systems［J］. IEEE Internet Computing，2016，20（5）： 28-37.

［7］American National Standards Institute （ANSI）. ANSI/INCITS 526，Information technology-next generation access control—generic operations and data structures （NGAC-GOADS）［S］. 2014.

［8］Mejri M，Yahyaoui H，Mouradc A，et al. A rewriting system for the assessment of XACML policies relationship ［J］. Computers amp; Secu-rity，2020，97（10）： 101957.

［9］Ros S P，Lischka M，Mármol F G. Graph-based XACML evaluation ［C］// Proc of 17th ACM Symposium on Access Control Models and Technologies. New York： ACM Press，2012： 83-92.

［10］牛德華，馬建峰，馬卓，等. 基于統(tǒng)計(jì)分析優(yōu)化的高性能XACML策略評(píng)估引擎［J］. 通信學(xué)報(bào)，2014，35（8）： 206-215. （Niu Dehua，Ma Jianfeng，Ma Zhuo，et al. HPEngine： high performance XACML policy evaluation engine based on statistical analysis ［J］. Journal of Communication，2014，35（8）： 206-215. ）

［11］鄒佳順，張永勝. ABAC中基于前綴標(biāo)記運(yùn)算的策略檢索方法 ［J］. 計(jì)算機(jī)工程與設(shè)計(jì)，2015，36（11）： 2943-2947. （Zou Jiashun，Zhang Yongsheng. Policy retrieval method based on prefix sign operation in ABAC model ［J］. Computer Engineering and Design，2015，36（11）： 2943-2947.）

［12］Liu Meiping，Cheng Yang，Li Hao，et al. An efficient attribute-based access control （ABAC） policy retrieval method based on attribute and value levels in multimedia networks ［J/OL］. Sensors，2020，20（6）. https：//doi.org/10.3390/s20061741.

［13］黃美蓉，歐博. 基于屬性分組的訪問(wèn)控制策略檢索方法 ［J］. 計(jì)算機(jī)應(yīng)用研究，2020，37（10）： 3096-3100，3106. （Huang Meirong，Ou Bo. Access control policy retrieval method based on attribute grouping ［J］. Application Research of Computers，2020，37（10）： 3096-3100，3106. ）

［14］Hu V，F(xiàn)erraiolo D F，Kuhn D R，et al. Implementing and managing policy rules in attribute based access control ［C］// Proc of the 16th IEEE International Conference on Information Reuse and Integration. Piscataway，NJ： IEEE Press，2015： 518-525.

［15］Nath R，Das S，Sural S. PolTree： a data structure for making efficient access decisions in ABAC ［C］// Proc of the 24th ACM Symposium on Access Control Models and Technologies. New York： ACM Press，2019： 25-35.

［16］Zhao Zhiyuan，Sun Lei. Attribute-based access control with dynamic trust in a hybrid cloud computing environment ［C］// Proc of International Conference on Cryptography，Security and Privacy. New York： ACM Press，2017： 112-118.

［17］Shaikh R A，Adi K，Logrippo L. A data classification method for inconsistency and incompleteness detection in access control policy sets ［J］. International Journal of Information Security，2017，16（2）： 91-113.

收稿日期：2022-03-06；修回日期：2022-05-16基金項(xiàng)目：國(guó)家自然科學(xué)基金資助項(xiàng)目（62062007）；玉林師范學(xué)院科研項(xiàng)目（2012YJQN29）；廣西高校中青年教師科研基礎(chǔ)能力提升項(xiàng)目（2020KY14020）；玉林師范學(xué)院高等教育本科教學(xué)改革工程項(xiàng)目（2022XJJGYB20）；玉林師范學(xué)院科研項(xiàng)目（2019YJKY15）

作者簡(jiǎn)介：黃恒杰（1980-），男，高級(jí)工程師，碩士，主要研究方向?yàn)榫W(wǎng)絡(luò)能耗優(yōu)化和網(wǎng)絡(luò)空間安全；潘瑞杰（1997-），女，碩士研究生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全技術(shù)；王高才（1976-），男（通信作者），教授，博導(dǎo)，碩導(dǎo)，博士，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)、性能評(píng)估和網(wǎng)絡(luò)安全（wanggcgx@163.com）；秦利忠（1983-），男，副教授，碩士，主要研究方向?yàn)樾问交椒?