基于標簽的數據流轉控制策略冗余與沖突檢測方法

謝絨娜，范曉楠，李蘇浙，黃宇欣，史國振

基于標簽的數據流轉控制策略冗余與沖突檢測方法

謝絨娜1，范曉楠2，李蘇浙2，黃宇欣2，史國振1

（1. 北京電子科技學院密碼科學與技術系，北京 100070；2. 北京電子科技學院網絡空間安全系，北京 100070）

基于標簽的數據流轉控制機制通過主客體標簽實現數據流轉控制，具有輕量級、延伸控制的優勢，引起了廣泛關注。數據流轉時，標簽變更不可避免，而在標簽變更時，新標簽與已有標簽難免存在冗余或者沖突。如何對標簽進行冗余與沖突檢測是基于標簽的數據流轉控制中急需解決的問題。針對上述問題，提出了基于原子操作的標簽描述方法?？腕w標簽由多個原子標簽的邏輯組合生成。其中，原子標簽用于描述最小的安全需求，解決了標簽描述簡潔性和豐富性問題。為降低標簽冗余與沖突檢測難度、提高檢測效率，基于標簽中不同集合的相關性，提出了基于標簽的數據流轉控制策略冗余與沖突檢測方法。該方法通過分析原子標簽中各要素的集合關系對原子標簽進行冗余與沖突檢測，基于原子標簽檢測結果和邏輯關系對客體標簽進行檢測，提高了檢測效率；基于不同原子標簽中包含操作的關系對原子標簽進行冗余與沖突檢測，對于包含相同操作的不同原子標簽，通過分析不同原子標簽中主體屬性、環境屬性以及規則類型之間關系進行檢測，對于包含不同操作的原子標簽，如果不同操作之間沒有關系，那么原子標簽不存在冗余與沖突，如果不同操作之間存在偏序關系，則通過分析不同原子標簽中操作的偏序關系、主體屬性、環境屬性以及規則類型之間關系進行檢測。從理論和實驗兩個角度對提出的冗余與沖突檢測方法性能進行分析，通過實驗驗證了原子標簽數量和復雜度對檢測性能的影響。

標簽；數據流轉控制；原子標簽；集合相關性；策略冗余與沖突檢測

0 引言

大數據、互聯網等信息技術快速發展并廣泛普及，使得協同辦公、在線教育、社交網絡等各類互聯網應用用戶數量大幅上升。為滿足上述需求，數據往往需要在不同應用之間頻繁地流轉。數據的頻繁流轉大大增加了信息泄露的風險，如何確保數據全生命周期的受控流轉成為數據流轉中的關鍵問題。

基于標簽的數據流轉控制機制通過給主體和客體設置標簽的方式實現對數據的流轉控制，具有標簽設置靈活、便捷等優點。同時，標簽可以隨著數據全生命周期流轉，實現對數據全生命周期的流轉控制，引起人們的廣泛關注。在基于標簽的數據流轉控制機制中，針對如何提高用戶便捷性和流轉控制粒度等問題，Xie等[1]提出了一種基于標簽的數據流轉控制（LBDFC，label based data flow control）機制。該機制從易于用戶理解使用、標簽豐富度等角度出發，基于對客體的操作，充分考慮了主體、客體、環境等屬性進行標簽設計，實現了數據靈活的受控流轉。

在數據跨域流轉中，會有各種不同新的流轉控制需求，標簽的增加、修改、刪除是基于標簽數據跨域流轉中經常面臨的問題。目前在大多應用場景中，標簽設置與變更一般由非安全專業人員操作，在標簽變更中，新的標簽與已有標簽不可避免存在冗余或者沖突。如何解決不同標簽的冗余與沖突問題是基于標簽的數據流轉控制中亟須解決的問題。

如何快速檢測不同標簽之間是否存在冗余或者沖突，并準確定位存在冗余或者沖突的位置，是設計基于標簽的數據流轉控制策略冗余與沖突檢測方法首要解決的問題。標簽的復雜度直接影響檢測效率，不同描述方法會大大影響檢測性能。簡單的描述方式一般檢測效率高，但一定程度上會影響策略描述的豐富程度。如何平衡標簽描述的豐富度與檢測效率是設計基于標簽的策略冗余與沖突檢測方法面臨的挑戰?，F有的策略冗余與沖突檢測方法大多基于圖[2]、樹[3]等，存在復雜度高、檢測效率低等問題，而且，通用的冗余與沖突檢測方法難以直接遷移到基于標簽的流轉控制機制中。針對上述問題，本文從標簽描述方法入手，通過分析標簽中不同元素之間集合相關性，提出了基于標簽的策略冗余與沖突檢測方法，主要貢獻如下。

1) 提出了基于原子操作的標簽描述方法，基于原子操作生成多個原子標簽，原子標簽用于描述最小的安全需求，客體標簽為多個原子標簽的邏輯組合，解決了標簽描述豐富性問題。

2) 提出了基于標簽的策略冗余與沖突檢測方法，通過分析原子標簽中各要素的關系對原子標簽進行冗余與沖突檢測，并基于原子標簽檢測結果和邏輯關系實現對客體標簽的檢測，提高了檢測效率。

3) 從理論和實驗兩個角度對基于標簽的策略冗余與沖突檢測方法進行分析，評估了原子標簽數量和復雜度對檢測效率的影響，驗證了檢測方法的高效性和可用性。

1 相關工作

基于標簽的訪問控制具有標簽設置靈活、便捷等優點，同時標簽隨著數據全生命周期流轉，實現對數據全生命周期的控制，引起了學術界和工業界的廣泛關注。研究成果主要聚焦于模型構建、策略冗余與沖突檢測等方面[4-5]。

在基于標簽的訪問控制模型構建方面，不少學者通過引入標簽或屬性標記的方式構建訪問控制模型。李鳳華等[6]提出通過給客體設置隱私標簽用于對接收信息的節點進行隱私保護和流轉控制，但文獻沒有給出形式化定義。王媛等[7]提出按照主體屬性實現訪問者和角色間的映射，并根據客體標簽實現角色和權限間的映射，支持個性化隱私偏好授權，但該文獻存在模型復雜、決策評估效率低等問題。Liu等[8]以標記的形式將資源與訪問控制列表關聯，提出基于資源和屬性的訪問控制模型，但該模型只有允許權限，導致靈活性低等。Li等[9]提出了一種矩陣結構，并建立了符合矩陣域特征的矩陣安全標簽以及安全標簽和必要約束的定義，該文獻中的安全標簽相對比較復雜，不易于用戶理解和使用。Wang等[10]提出了一種基于安全標簽的最小擴散和跨域安全授權策略。基于安全標簽屬性，通過引入多級約束機制，來實現跨域授權。

在策略冗余與沖突檢測方面，也有不少研究成果。戚湧等[3]采用有向無環圖的拓撲排序計算規則合并優先級，按優先級順序為每個規則構建一棵空間區域選擇樹，完成沖突消解，但該方法不適用于復雜策略情況。吳迎紅等[11]提出了基于集合求交的遞推算法，以權限賦值單元集合為單位提高策略沖突的計算粒度，但存在效率不高的問題。Chen等[12]利用矩陣描述復雜策略，通過一致性檢查完成沖突檢測和消解，但存在效率不高、空間消耗大的問題。江澤濤等[13]針對基于屬性的訪問控制模型存在的靜態策略沖突及冗余問題，提出了一種基于屬性集有序化及二進制屏蔽碼的靜態策略沖突檢測算法，支持屬性的增加及策略的增加或刪除。但算法在規則數量較大時檢測效率較低。Liu等[14]通過補充缺失的屬性表達式，將隱式沖突規則轉換為顯式沖突規則，再對比所有規則實現對規則集中所有可能的沖突規則，但該檢測方法同樣存在規則數量較大時檢測效率較低的問題。為提高訪問控制策略冗余與沖突檢測效率，Chowdhary等[15]提出了一種新的面向對象的策略沖突檢測解析框架，按照規則依賴關系創建依賴關系圖，提高策略沖突檢測效率，但該方法僅適用于防火墻、負載均衡器等虛擬網絡應用。劉敖迪等[2]將沖突檢測問題轉換為圖的連通性問題，提出了一種基于策略生成圖模型的沖突檢測機制，但適用場景較為單一。

因此，在基于標簽的數據流轉控制機制中，如何提高復雜流轉控制策略冗余與沖突檢測的效率是亟待解決的問題。

2 基于標簽的數據流轉控制機制

本節對基于標簽的數據流轉過程進行分析，并對基于標簽的數據流轉控制機制進行闡述。

2.1 基于標簽的數據流轉場景

在復雜網絡環境下，數據在流轉時往往涉及不同的信息系統、訪問主體和訪問環境，數據流轉控制需要根據具體應用場景的安全需求設計對應的控制策略?；跇撕灥臄祿鬓D控制機制通過為客體和主體設置不同標簽來描述流轉控制策略，標簽隨著客體在不同主體之間流轉，實現客體在不同訪問主體之間的靈活受控流轉。基于標簽的數據流轉場景如圖1所示，具體流程如下。

Step 1 數據所有者（S，subject）1生成客體資源（O，object），根據安全需求為其設置標簽OL1，該標簽用于對后續接收客體的主體進行約束控制。

Step 2S?1發送帶有標簽OL?1的客體發送給后面的主體S（>2）。

Step 3 后面的主體S接收S?1發送的客體及其標簽OL?1，并根據客體標簽OL?1進行授權控制。

Step 4 當主體S存在變更標簽的權限時，根據新的安全需求生成標簽OL'，并由OL'和OL?1生成新的標簽OL。

Step 5 如果主體S有轉發權限，則主體S可以將客體和更新后的標簽OL發送給下一個主體S+1。

上述流轉過程中，當所有者1在給客體設置標簽OL1時，OL1中會包含多個不同的安全需求，不同安全需求之間會存在冗余或者沖突。除此之外，當主體S根據新的安全需求生成新的標簽OL'時，一方面，如果S設定的新的安全需求，在已有的標簽OL?1中已經描述，那么根據新的安全需求生成的標簽OL'與OL?1可能存在冗余，導致基于OL'和OL?1生成的標簽OL表達的冗余信息越來越多，這樣不僅增加了通信量，還大大降低了數據流轉控制的效率；另一方面，如果S設定的新的安全需求與已有的標簽OL?1中的安全意圖相反，那么根據新的安全需求生成的標簽OL'與OL?1存在沖突，基于OL'和OL?1生成的標簽OL存在沖突，導致基于標簽OL將得不到有效流轉控制結果。因此，如何實現標簽的冗余與沖突檢測，如何提高標簽冗余與檢測的效率，繼而實現數據受控流轉以及流轉控制的效率，是基于標簽的數據流轉控制機制中急需解決的問題。本文從標簽描述入手，提出基于原子操作的標簽描述方法，并基于原子標簽的描述方法，通過分析原子標簽中不同要素之間的相關性，提出基于標簽的策略冗余與沖突檢測方法，實現對客體標簽進行冗余與沖突檢測。

圖1 基于標簽的數據流轉場景

Figure 1 Label-based data flow scene

2.2 基于原子操作的標簽描述方法

標簽描述方法是影響基于標簽的數據流轉控制效率、冗余與沖突檢測效率的關鍵。基于標簽的數據流轉控制機制表示為六元組<,SL,,OL, OP,>，表示主體，表示客體，OP表示操作，表示權限，主體標簽（SL，subject label）和客體標簽（OL，object label）用來表示流轉控制策略，也就是說通過主體標簽和客體標簽描述客體流轉時，必須滿足的條件。在設計標簽時，充分考慮了主體、客體、環境等屬性，在提高標簽描述的豐富性和粒度的同時，盡量降低標簽復雜度。

主體標簽：用于描述訪問主體的屬性（SA，subject attribute），形式化描述為SL={SA}。

客體標簽：指所有者或者訪問主體為客體設置的標簽，用于描述對客體進行某種操作必須滿足的條件或者在某種條件下禁止對客體進行某種操作?？腕w標簽包括標簽類型、操作、主體屬性和環境屬性。為提高流轉控制評估以及冗余與沖突檢測效率，客體標簽分為多個原子標簽的邏輯組合。原子標簽是最小的標簽，原子標簽中包含一種類型、一個操作以及最小屬性集合。用tag表示客體標簽OL中第個原子標簽，tag= , type, SA, CA>。op表示操作；type表示標簽規則類型，type=or，type=表示允許操作，反之type=表示不允許；SA表示主體屬性；CA表示上下文環境。原子標簽tag表示主體屬性滿足SA、環境屬性滿足CA的情況下，允許/不允許對客體執行操作op?？腕w標簽由多個原子標簽組合生成，可以形式化描述為

OL={tag1,…,tag}={,…, ,type,SA,CA>}

將客體標簽表示為多個原子標簽的邏輯組合，即使沒有很多安全知識的普通用戶也可以根據需求設置針對客體進行某種操作時必須滿足的主體屬性、環境屬性，或者如果滿足某些主體屬性、環境屬性就不能對客體進行某種操作，大大降低了描述的難度。同時，原子標簽只包含一種操作以及最小屬性集合，無論控制評估還是策略冗余與沖突檢測都相對容易些。

3 基于標簽的策略冗余與沖突檢測方法

基于上述基于原子操作的標簽描述方法，本節提出基于標簽的策略冗余與沖突檢測方法。該檢測方法通過分析客體標簽中原子標簽不同要素的關系實現。為降低檢測難度、提高檢測效率，從客體標簽包含的原子標簽入手，基于不同原子標簽中的操作關系進行檢測，主要分為以下幾種情況。對于包含相同操作的不同原子標簽，通過分析不同原子標簽中主體屬性、環境屬性以及規則類型之間關系進行檢測。對于包含不同操作的原子標簽，如果不同操作之間沒有關系，那么不存在冗余與沖突，如果不同操作之間存在偏序關系，則通過分析不同原子標簽中操作的偏序關系、主體屬性、環境屬性以及規則類型之間的關系進行檢測。下面詳細介紹如何通過分析集合相關性進行策略冗余與沖突檢測。

3.1 原子標簽的冗余與沖突分析

定義1 策略冗余：如果兩個客體標簽表示的策略有重復或部分重復，那么這兩個客體標簽表示的策略存在冗余。

例如，以下兩個原子標簽，tag1= 表示允許用戶組1和2的用戶讀，tag2= 表示允許用戶組2和3的用戶讀，則顯然tag1和tag2關于用戶組2的讀策略描述存在冗余。

定義2 策略沖突：如果一個訪問請求根據不同客體標簽得到相反的授權結果，那么這兩個客體標簽表示的策略存在沖突。

例如，以下兩個原子標簽，tag1= 表示允許用戶組1和2的用戶讀，tag2= 表示不允許用戶組2和3的用戶讀，則當2組的用戶提出讀操作申請時，顯然tag1和tag2的授權結果相反，產生沖突。

在對不同原子標簽冗余與沖突檢測時，從原子標簽包含操作出發，分成相同操作和不同操作進行檢測，通過分析不同原子標簽中操作間偏序關系、主體屬性、環境屬性以及規則類型之間關系進行冗余與沖突檢測。下面分別詳細介紹同操作冗余與沖突檢測、不同操作冗余與沖突檢測方法。

（1）操作偏序關系

本文將數據流轉操作分為兩類：傳播操作和運算操作。其中，傳播操作包括發送（send）、轉發（forward）、接收（receive）；運算操作包括讀（read）、寫（write）、保存（save）、刪除（delete）、變更標簽（alter label）、加密（encrypt）、解密（decrypt）、簽名（sign）、驗簽（verify signature）、計算摘要（hash）等。不同操作之間具有一定的偏序關系。

（2）集合關系

兩個集合之間的相關關系可以分為以下5種形式（不相交、相等、A包含B、B包含A、相交），如圖2所示。

圖2 集合之間的相關關系

Figure 2 The correlation of sets

原子標簽的冗余與沖突檢測基于原子標簽中操作的關系，以及主體屬性和環境屬性不同集合間相關關系進行。本文將冗余與沖突的檢測結果細分為6種（完全沖突、部分沖突、無沖突；完全冗余、部分冗余、無冗余），并采用原子標簽冗余列表（LR，list_redundancies）和原子標簽沖突列表（LC，list_conflicts）來表示兩個客體標簽中原子標簽的檢測結果。

原子標簽冗余列表：指存在策略冗余的原子標簽列表，包括發生冗余的原子標簽、冗余的屬性集合以及冗余檢測結果result，形式化描述為LR = {…, listredundancyj, …}={…, , result, tag, result, SA, CA >,…}。其中list_redundancy= , result, tag, result, SA, CA >表示原子標簽tag與原子標簽tag存在冗余，SA, CA表示冗余的主體屬性和環境屬性，result和result表示冗余檢測結果，complete表示完全冗余，part表示部分冗余。

原子標簽沖突列表：指存在沖突的原子標簽列表，包括發生沖突的原子標簽、沖突的屬性集合、沖突檢測結果result，形式化描述為LC = {…,list_conflict,…}={…, , result, tag, result, SA，CA >,…}。其中，list_conflict= , result, tag, result, SA，CA >表示原子標簽tag與原子標簽tag存在沖突，SA, CA表示沖突的主體屬性和環境屬性，result和result表示沖突檢測結果，complete表示完全冗余，part表示部分冗余。

3.2 同操作原子標簽的冗余與沖突檢測

對于包含相同操作的原子標簽，冗余與沖突檢測通過分析原子標簽中的主體屬性集合SA、環境屬性集合CA之間的相關性及規則類型進行。

對于tag= , type, SA, CA>，tag= , type, SA, CA>且op=op，tag與tag之間通過規則1和規則2進行檢測。

規則1 若環境屬性CA=CA，根據主體屬性集合相關性進行冗余與沖突檢測。

2) 當兩個原子標簽主體屬性集合相等時，即SA=SA，如果規則類型type=type，則原子標簽tag和tag完全冗余且無沖突，如果規則類型type≠type，則原子標簽tag和tag無冗余但完全沖突。

規則2 若環境屬性CA≠CA，按環境屬性集合相關性分情況進行冗余與沖突檢測。

基于規則1和規則2，本文提出了同操作間策略冗余沖突檢測算法，如算法1所示。若兩個原子標簽的環境屬性相同，則基于原子標簽間主體屬性集合相關性、規則類型進行冗余與沖突檢測；若兩個原子標簽的環境屬性不同，則根據原子標簽中的環境屬性集合相關性分別討論，若環境屬性集合不相交，則這兩個原子標簽沒有關系，既不冗余也不沖突；若環境屬性集合為包含和相交關系，則根據兩個原子標簽環境屬性的關系，將原子標簽再細分成環境屬性相同和不相交的兩個原子標簽，環境屬性不相交的原子標簽既不冗余也不沖突，環境屬性相同的原子標簽按照規則1進行分析。

算法1 同操作間策略冗余沖突檢測

輸入 同操作的原子標簽tag和tag（op= op）

輸出 List_redundancies_A，原子標簽冗余列表或者List_conflicts_A，原子標簽沖突列表

1) if CA=CA//兩個標簽的環境屬性相同

2) if SA=SA//兩個標簽的主體屬性相同

3) if type=type//兩個標簽類型相同，標簽完全冗余

4) list_redundancy_A= , complete, tag, complete,SA>;

//兩個標簽類型不同，標簽完全沖突

5) else list_conflict_A= , complete, tag,complete, SA>;

//環境屬性相同，主體屬性為包含關系

//如果類型相同，標簽tag相對tag完全冗余，標簽tag相對tag部分冗余

7) if type=type

8) list_redundancy_A= , complete, tag,part, SA>;

//如果類型不同，標簽tag相對tag完全沖突，標簽tag相對tag部分沖突

9) else list_conflict_A= , complete, tag,part, SA>;

//環境屬性相同，主體屬性為相交關系

//如果類型相同，部分冗余

11) if type=type

12) list_redundancy_A= , part, tag,part, SA>;

//如果類型不同，部分沖突

13) else list_conflict_A= , part, tag,part, SA>;

//如果環境屬性為包含關系，將標簽拆分成環境屬性相同部分和不同部分分別進行判斷

15) tag= tag1+tag2= ,type, SA, CA> + , type, SA, CA?CA>;

//如果環境屬性為相交關系，同樣將標簽拆分成環境屬性相同部分和不同部分進行判斷

假設針對同一客體，現有3個原子標簽tag1= ，tag2= ，tag3= ，由于3個原子標簽均針對讀操作設置，按照算法1進行冗余沖突檢測。

3.3 不同操作的原子標簽的冗余與沖突檢測

對于包含不同操作的原子標簽，如果兩個操作間沒有偏序關系，那么這兩個原子標簽不存在冗余和沖突。如果不同操作存在偏序關系，那么這兩個原子標簽可能存在冗余或沖突。因此，在對包含不同操作原子標簽進行冗余與沖突檢測時，只需要檢測具有偏序關系的不同操作的原子標簽之間的關系。下面詳細介紹具有偏序關系的不同操作的原子標簽冗余與沖突檢測方法。

規則3 若環境屬性CA=CA，則根據主體屬性集合相關性進行冗余與沖突檢測。

2) 當兩個原子標簽主體屬性集合相等時，即SA=SA，如果規則類型type=type，則tag對于tag部分冗余且無沖突，原子標簽tag對于tag完全冗余；如果規則類型type≠type，當type=且type=時，標簽tag和tag完全沖突，當type=且type=時，tag和tag無冗余和沖突。

若環境屬性CA≠CA，則按環境屬性集合相關性分情況進行冗余與沖突檢測。此時參考規則2，依據環境屬性的關系拆分成環境屬性相同部分和不同部分，對于環境屬性相同部分按照規則3進行檢測，對于環境屬性不同部分，兩個標簽無冗余與沖突。

基于規則3和規則2，本文提出了偏序操作間策略冗余沖突檢測算法，如算法2所示。與算法1基本思想類似，同樣按照環境屬性相同和環境屬性不同分別展開檢測。若兩個原子標簽的環境屬性相同，基于原子標簽間主體屬性集合相關、規則類型以及原子標簽操作間的偏序關系進行冗余與沖突檢測；若兩個原子標簽的環境屬性不同，根據原子標簽中的環境屬性集合相關性分別討論，如果環境屬性集合不相交，那么這兩個原子標簽沒有關系，既不冗余也不沖突；如果環境屬性集合為包含和相交關系，那么根據兩個原子標簽環境屬性的關系，將原子標簽再細分成環境屬性相同和不相交的兩個原子標簽，環境屬性不相交的原子標簽既不冗余也不沖突，環境屬性相同的原子標簽按照規則3進行分析。

算法2 偏序操作間策略冗余與沖突檢測

輸出 List_redundancies_A，原子標簽冗余列表；List_conflicts_A，原子標簽沖突列表

1) if CA=CA//兩個標簽的環境屬性相同

2) if SA=SA//兩個標簽的主體屬性相同

3) if type=type

//如果類型相同，標簽tag相對tag部分冗余，標簽tag相對tag完全冗余

4) list_redundancy_A= , part, tag,complete,SA>;

//如果類型不同，tag類型為，tag類型為，完全沖突

5) else if (type=Y) && (type=)

6) list_conflict_B= , complete, tag,complete,SA>;

//環境屬性相同，主體屬性為包含關系

//如果類型相同，標簽tag對于tag部分冗余但無沖突，tag對于tag部分冗余但無沖突

8) if type=type

9) list_redundancy_A= , part, tag,part, SA>;

//如果類型不同，tag類型為，tag類型為，完全沖突

10) else if (type=) && (type=)

11) list_conflict_B=, complete,tag, part, SA>;

//環境屬性相同，主體屬性為相交關系

//如果類型相同，部分冗余

13) if type=type

14) list_redundancy_A= , part, tag,part, SA>;

//如果類型不同，tag類型為，tag類型為，部分沖突

15) if (type=) && (type=)

16) list_conflict_B= , part,tag, part, SA>;

//如果環境屬性為包含關系，將標簽拆分成環境屬性相同部分和不同部分，分別進行判斷

18) tag= tag1+tag2= ,type, SA, CA> + , type, SA,CA?CA>;

//如果環境屬性為相交關系，同樣將標簽拆分成環境屬性相同部分和不同部分進行判斷

20) tag= tag1+tag2=,type,SA, CA? CA∩CA> + ,type,SA,CA∩CA>;

21) tag= tag1+tag2=,type,SA, CA? CA∩CA>+,type,SA,CA∩CA>;

基于標簽的數據流轉控制機制描述了各種不同的流轉控制策略?？腕w標簽冗余與沖突消解基于客體標簽包括的原子標簽的檢測結果、原子標簽的優先級以及不同原子標簽的邏輯關系實現。在實際應用過程中，原子標簽的優先級可以根據原子標簽設置的順序、設置原子標簽主體的優先級確定。例如，按照主體的等級確定原子標簽的優先級，主體等級高，其設置的原子標簽對應的優先級也相對比較高。原子標簽的邏輯關系依據不同的安全需求由主體進行設置。

4 實驗與分析

本節從理論和實驗兩個角度對LBDFC策略冗余與沖突檢測方法的性能進行分析。

4.1 理論分析

本文提出的基于標簽的數據流轉控制策略由客體標簽描述，客體標簽通過原子標簽的邏輯組合生成。在對客體標簽進行冗余與沖突檢測時，首先分析客體標簽中不同原子標簽是否存在冗余與沖突，基于原子標簽的檢測結果以及原子標簽的邏輯關系，得到不同客體標簽是否存在冗余與沖突。對不同原子標簽進行檢測時，從原子標簽包含的操作出發，按照相同操作和不同操作展開，通過分析不同原子標簽中操作間的偏序關系、主體屬性、環境屬性以及規則類型之間的關系進行冗余與沖突檢測，并且將屬性相關性分析歸結為數學中的集合間關系判定問題，有效地降低了檢測難度。本文提出的策略冗余與沖突檢測最終歸結為判斷集合間關系這種簡單的數學問題，大大降低了策略冗余與沖突檢測的復雜度。

基于標簽的策略冗余與沖突檢測主要的時間消耗在于原子標簽的檢測。假設客體標簽OL1和OL2分別包含1和2個原子標簽，要分析OL1和OL2是否存在冗余與沖突，首先分析OL1中的1個原子標簽和OL2中的2個原子標簽是否存在冗余與沖突。最簡單的情況是，OL1中的1個原子標簽包含的操作和OL2中的2個原子標簽包含的操作不相同也不存在偏序關系，那么原子標簽不存在冗余與沖突，客體標簽OL1和OL2也不存在冗余與沖突。最復雜的情況是，OL1中的原子標簽與OL2中的原子標簽包含的操作，要么相同要么具有偏序關系，需要將OL1中的1個原子標簽與OL2中的2個原子標簽一一進行檢測分析，也就是要做（12）/2次檢測。原子標簽的檢測調用算法1或算法2，算法1或算法2從原子標簽中包含的主體屬性、環境屬性以及規則類型的關系進行分析，也就是說，進行一次原子標簽冗余與沖突檢測，要進行3次集合關系的分析。根據上面的分析，客體標簽OL1和OL2冗余與沖突檢測最復雜的情況是進行1.512次集合關系的分析。

4.2 實驗仿真

基于標簽的數據流轉控制機制通過標簽來描述流轉控制需求，標簽具有輕量級的特點，冗余與沖突檢測的性能相比其他策略描述方法具有明顯優勢。為進一步驗證本文提出的標簽描述方法以及檢測方法的性能優勢，下面通過實驗將本文方法與基于標簽的訪問控制（LBAC，label based access control）策略的冗余沖突檢測性能進行對比分析。其中，LBAC通過XACML 語言描述訪問控制策略，本文通過原子標簽的方式描述控制策略。實驗時，兩類標簽表達相同的安全需求，通過調整原子標簽數量、原子標簽復雜度進行分析和對比。本文在Windows 10操作系統上利用C語言編寫測試代碼進行實驗，硬件環境為Intel Core i5-6200U CPU 2.40 GHz，8 GB RAM。實驗分別測試了同操作、具有偏序關系的不同操作原子標簽冗余沖突檢測性能，對檢測方法性能進行驗證。

下面通過實驗測試原子標簽的數量和標簽復雜度對策略冗余與沖突檢測效率的影響。原子標簽復雜度主要受屬性類型和屬性值影響，下面實驗以標簽中屬性類型的數量表示標簽的復雜度，記為λ。為便于對比，在實驗時假設環境屬性類型的數量不變，λ的變化體現在主體屬性類型的數量上，原子標簽總數記為Num。實驗1測試同操作原子標簽的冗余與沖突檢測方法的性能。實驗采取控制變量法進行兩組實驗。第一組實驗在保證原子標簽復雜度不變的條件下，也就是在原子標簽包含的屬性類型數量不變的情況下，通過改變原子標簽的數量，將LBAC的策略冗余與沖突檢測方法的性能與本文所提方法進行對比，分析原子標簽數量對冗余與沖突檢測方法性能的影響。第二組實驗在原子標簽數量一定的條件下，通過調整原子標簽中屬性的復雜度進行，也就是通過調整原子標簽類型的數量進行，將本文所提方法與LBAC的策略冗余與沖突檢測方法的性能進行對比，分析原子標簽復雜度對冗余與沖突檢測性能的影響。

實驗1測試同操作下標簽數量對冗余與沖突檢測效率的影響。第一組實驗取原子標簽復雜度λ=1不變，也就是說主體屬性中只包含一種類型，對原子標簽總數Num=50、100、150、200分別進行測試，分析標簽中屬性的數量對冗余與沖突檢測效率的影響。第二組實驗取原子標簽總數Num=50不變，分別對復雜度=1、2、3、4、5進行測試，也就是說主體屬性中分別包含1、2、3、4、5種類型的屬性。第二組實驗測試分析標簽中屬性類型數量對冗余與沖突檢測效率的影響。實驗結果如圖3和圖4所示。

實驗2的思路與實驗1基本相同，區別在于實驗2中原子標簽的操作不同，不同操作之間存在偏序關系。實驗結果如圖5和圖6所示。

圖3 同操作原子標簽冗余沖突檢測時間與原子標簽總數間的關系

Figure 3 The relationship between the redundant conflict detection time and the number of atomic tags containing same operation

圖4 同操作原子標簽冗余沖突檢測時間與標簽復雜度間的關系

Figure 4 The relationship between the redundant conflict detection time and the complexity of atomic tags containing same

圖5 不同操作原子標簽冗余沖突檢測時間與原子標簽總數間的關系

Figure 5 The relationship between the redundant conflict detection time and the number of atomic tags containing different operations

圖6 不同操作原子標簽冗余沖突檢測時間與標簽復雜度間的關系

從實驗1和實驗2的結果來看，本文提出的基于標簽的數據流轉控制策略冗余與沖突檢測方法消耗的時間與原子標簽數量和復雜度呈線性關系，消耗時間遠低于LBAC策略冗余與沖突檢測方法，而且隨著標簽復雜度和數量增加，這種優勢越發明顯。實驗1和實驗2測試的是最復雜的情況，所有原子標簽包含的操作要么相同，要么具有偏序關系，實際中檢測的性能會比實驗高。這種性能優勢最關鍵在于LBDFC將客體標簽劃分為單一操作的原子標簽，通過集合相關性對原子標簽進行冗余與沖突檢測。而其他LBAC策略冗余與沖突檢測方法，標簽描述的復雜度與原子標簽不是同一個數量級，性能會遠低于LBDFC策略冗余與沖突檢測方法。驗證了原子標簽數量和復雜度對檢測性能的影響。未來將針對物聯網、社交網絡等不同場景下的不同安全需求對本文方法進行仿真驗證。

5 結束語

基于標簽的數據流轉控制機制通過主客體標簽實現數據流轉控制，具有輕量級、延伸控制的優勢，受到廣泛關注。在客體流轉中，標簽修改、增加不可避免，不同標簽之間不可避免地出現冗余與沖突，如何快速高效檢測不同標簽之間是否存在冗余與沖突，是基于標簽的數據流轉控制中急需解決的問題。針對上述問題，本文從標簽描述方法入手，提出了基于原子操作的標簽描述方法。該方法基于操作生成多個原子標簽，原子標簽用于描述最小的安全需求，客體標簽是多個原子標簽的邏輯組合，解決了標簽描述簡潔性和豐富性問題。在策略冗余與沖突檢測時，基于原子標簽檢測結果和邏輯關系實現對客體標簽的檢測。原子標簽分為同操作和不同操作兩類，通過分析原子標簽中各要素的關系對原子標簽進行冗余與沖突檢測，提高了檢測效率。從理論和實驗兩個角度對本文方法進行分析，驗證了原子標簽數量和復雜度對檢測性能的影響。驗證了原子標簽數量和復雜度對檢測性能的影響。未來將針對物聯網、社交網絡等不同場景下的不同安全需求對本文方法進行仿真驗證。

[1] XIE R N, FAN X N, ZHU J Y, et al. Research on label based data flow control mechanism[C]//2021 IEEE Sixth International Conference on Data Science in Cyberspace (DSC). 2021: 233-239.

[2] 劉敖迪, 王娜, 劉磊. 面向云服務組合的策略沖突檢測機制[J]. 計算機應用研究, 2017, 34(4): 1145-1150.

LIU A D, WANG N, LIU L. Policy conflict detection mechanism for cloud service composition[J]. Computer Application Research, 2017, 34(4): 1145-1150.

[3] 戚湧, 陳俊, 李千目. 基于冗余消除和屬性數值化的XACML策略優化方法[J]. 計算機科學, 2016, 43(2): 163-168.

QI Y, CHEN J, LI Q M. XACML policy optimization method based on redundancy elimination and attribute numeralization[J]. Computer Science, 2016, 43(2): 163-168.

[4] 吳澤智, 陳性元, 楊智, 等. 信息流控制研究進展[J]. 軟件學報, 2017, 28(1): 135-159.

WU Z Z, CHEN X Y, YANG Z, et al. Research progress on information flow control[J]. Journal of Software, 2017, 28(1): 135-159.

[5] 諸天逸, 李鳳華, 成林, 等. 跨域訪問控制技術研究[J]. 網絡與信息安全學報, 2021, 7(1): 20-27.

ZHU T Y, LI F H, CHENG L, et al. Research on cross-domain access control technology[J]. Journal of Network and Information Security, 2021, 7(1): 20-27.

[6] 李鳳華, 謝絨娜, 李暉, 等. 一種信息流轉方法、裝置及系統: 中國, CN109347845B[P]. 2020-08-07.

LI F H, XIE R N, LI H, et al. An information transfer method, device and system: China, CN109347845B[P]. 2020-08-07.

[7] 王媛, 孫宇清, 馬樂樂. 面向社會網絡的個性化隱私策略定義與實施[J]. 通信學報, 2012, 33(S1): 239-249.

WANG Y, SUN Y Q, MA L L. Definition and implementation of personalized privacy policies for social networks[J]. Journal on Communication, 2012, 33(S1): 239-249.

[8] LIU G, FANG L, WANG Q, et al. Resource and attribute based access control model for system with huge amounts of resources[C]//International Conference on Green, Pervasive and Cloud Computing. 2018.

[9] LI L Q, HAI L. An access control model based on matrix domain security label[J]. IOP Conference Series: Materials Science and Engineering, 2021, 1043(4).

[10] WANG Y T. A cross-domain authorization access control model based on security label attribute[J]. Journal of Physics: Conference Series, 2021, 1955(1).

[11] 吳迎紅, 黃皓, 周靖康, 等. 分布式應用訪問控制策略精化沖突分析[J]. 計算機應用, 2014, 34(2): 421-427.

WU Y H, HUANG H, ZHOU J K, et al. Refinement conflict analysis of distributed application access control policy[J]. Computer Applications, 2014, 34(2): 421-427.

[12] CHEN M, HONG J, XIAO Y, et al. A method of conflict detection and resolution for security policy based on matrix description[C]//2017 7th IEEE International Conference on Electronics Information and Emergency Communication(ICEIEC). 2017: 548-551.

[13] 江澤濤, 謝朕, 王琦, 等. 一種基于屏蔽碼的ABAC靜態策略沖突與冗余檢測算法[J]. 計算機科學, 2018, 45(2): 197-202.

JIANG Z T, XIE Z, WANG Q, et al. An ABAC static policy conflict and redundancy detection algorithm based on masking code[J]. Computer Science, 2018, 45(2): 197-202.

[14] LIU G, PEIW, TIAN Y, et al. A novel conflict detection method for ABAC security policies[J]. Journal of Industrial Information Integration, 2021, 22: 100200.

[15] CHOWDHARY A, SABUR A, HUANG D, et al. Object oriented policy conflict checking framework in cloud networks (OOPC)[J]. IEEE Transactions on Dependable and Secure Computing, 2021.

Redundancy and conflict detection method for label-based data flow control policy

XIE Rongna1, FAN Xiaonan2, LI Suzhe2,HUANG Yuxin2, SHI Guozhen1

1. Department of Cryptography and Science Technology, Beijing Electronic Science and Technology Institute, Beijing 100070, China 2. Department of Cyberspace Security, Beijing Electronic Science and Technology Institute, Beijing 100070, China

To address the challenge of redundancy and conflict detection in the label-based data flow control mechanism, a label description method based on atomic operations has been proposed. When the label is changed, there is unavoidable redundancy or conflict between the new label and the existing label. How to carry out redundancy and conflict detection is an urgent problem in the label-based data flow control mechanism. To address the above problem, a label description method was proposed based on atomic operation. The object label was generated by the logical combination of multiple atomic tags, and the atomic tag was used to describe the minimum security requirement. The above label description method realized the simplicity and richness of label description. To enhance the detection efficiency and reduce the difficulty of redundancy and conflict detection, a method based on the correlation of sets in labels was introduced. Moreover, based on the detection results of atomic tags and their logical relationships, redundancy and conflict detection of object labels was carried out, further improving the overall detection efficiency. Redundancy and conflict detection of atomic tags was based on the relationships between the operations contained in different atomic tags. If different atomic tags contained the same operation, the detection was performed by analyzing the relationship between subject attributes, environmental attributes, and rule types in the atomic tags. On the other hand, if different atomic tags contained different operations without any relationship between them, there was no redundancy or conflict. If there was a partial order relationship between the operations in the atomic tags, the detection was performed by analyzing the partial order relationship of different operations, and the relationship between subject attribute, environment attribute, and rule types in different atomic tags. The performance of the redundancy and conflict detection algorithm proposed is analyzed theoretically and experimentally, and the influence of the number and complexity of atomic tags on the detection performance is verified through experiments.

label, data flow control, atomic tag, set correlation, policy redundancy and conflict detection

The National Natural Science Foundation of China (61932015), The National Key R&D Program of China (2017YFB0802705)

謝絨娜, 范曉楠, 李蘇浙, 等. 基于標簽的數據流轉控制策略冗余與沖突檢測方法[J]. 網絡與信息安全學報, 2023, 9(5): 21-32.

TP302

A

10.11959/j.issn.2096?109x.2023074

謝絨娜（1976? ），女，山西永濟人，博士，北京電子科技學院教授，主要研究方向為網絡與系統安全、訪問控制、密碼工程。

范曉楠（1997? ），女，河北邢臺人，北京電子科技學院碩士生，主要研究方向為信息安全、訪問控制。

李蘇浙（1999? ），女，浙江紹興人，北京電子科技學院碩士生，主要研究方向為訪問控制。

黃宇欣（1999? ），女，湖南長沙人，北京電子科技學院碩士生，主要研究方向為信息安全、訪問控制。

史國振（1974? ），男，河南濟源人，北京電子科技學院教授、博士生導師，主要研究方向為密碼信息安全、信息論與編碼理論。

2023?02?13；

2023?08?18

謝絨娜，486503266@qq.com

國家自然科學基金（61932015）；國家重點研發計劃（2017YFB0802705）

XIE R N, FAN X N, LI S J, et al. Redundancy and conflict detection method for label-based data flow control policy[J]. Chinese Journal of Network and Information Security, 2023, 9(5): 21-32.