云計算訪問控制模型研究

劉玨

摘要：訪問控制的任務是保證信息資源不被非法使用和訪問。在具有開放性、動態性和異構性特征的云計算環境下，訪問控制技術朝著細粒度、層次化的方向發展，認證授權憑據也越來越多地加入了主客體的相關屬性，出現了基于任務、屬性、UCON、行為和信任等一系列新型訪問控制模型及其管理模型。對現有訪問控制模型進行分析和梳理，從安全性和機密性等個多方面進行對比，最后提出云計算環境下訪問模型的發展趨勢。

關鍵詞：云計算；訪問控制；UCON模型

DOIDOI：10.11907/rjdk.161006

中圖分類號：TP393

文獻標識碼：A 文章編號：1672-7800（2016）005-0176-03

0 引言

訪問控制是指在鑒別用戶的合法身份后，通過某種途徑顯式地準許或限制用戶對數據信息的訪問能力及范圍，從而控制對關鍵資源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作造成破壞。

經典的訪問控制模型主要包括3種：①自主訪問控制模型（DAC），該模型是由主體把客體的訪問權或部分訪問權授予其它主體的訪問控制模型。通過比對訪問主體和受訪客體對象，及相應權限構成的訪問控制矩陣表進行判定；②強制訪問控制模型（MAC），用戶（或其它主體）與文件（或其它客體）都被標記了固定的安全屬性（如安全級、訪問權限等），在每次訪問發生時，系統檢測安全屬性以便確定一個用戶是否有權訪問該文件；③基于角色的訪問控制模型（RBAC）[1]，該模型在用戶和權限之間加入了“角色”這一概念，“角色”可以靈活地集成和繼承權限，解決了在傳統訪問控制中主體始終與特定實體捆綁在一起而導致的不靈活問題。

在此基礎上，很多學者從不同層面解決了系統中的訪問控制問題。但在云計算環境下，機構的信任邊界變成動態的，傳統訪問控制機制面臨云計算用戶缺乏身份認證、云計算用戶對獲得的資源權限缺乏控制、用戶和云服務提供商之間缺乏信任、多租戶間的惡意搶占資源等新的挑戰。訪問控制技術朝著細化粒度、多級層次的方向發展，認證授權憑據也越來越多地加入了主客體的相關屬性，出現了基于任務、屬性、UCON、行為和信任等一系列新型訪問控制模型及其管理模型。

1 基于任務的訪問控制模型

云計算環境中，執行操作的用戶是動態變化的。因此，用戶權限也隨之改變，傳統的訪問控制技術已經不能滿足動態授權的安全需求。工作流是按一定的業務邏輯將一組任務組織起來達到一個目標。工作流中的數據在不同的任務和用戶間進行傳遞與執行[2]，在訪問控制模型中引入任務概念，實現云計算環境下的動態授權。基于任務的訪問控制模型（TBAC）[3]是從任務的角度來建立訪問控制模型和授權機制，隨著任務的切換提供動態實時的安全管理。由于同一工作流可以創建不同任務實例，該模型同樣適用[4]。文獻[5]基于RBAC模型，提出了T-RBAC模型。該模型在角色和客體之間插入工作流的多個任務節點，將任務分配給角色，角色通過即將執行的任務獲得權限。文獻[6]將RBAC 應用于可擴展的分布式工作流系統中，增強了對執行任務用戶的授權控制，但對工作流在虛擬環境下訪問控制的問題沒有加以考慮。

2 基于安全屬性的訪問控制模型

2.1 基于屬性的訪問控制模型

基于屬性的訪問控制模型（ABAC）將云環境歸納為若干實體，例如用戶、資源、環境等。該模型通過對用戶、資源和環境等實體安全屬性的統一建模，描述授權和訪問控制策略，使其具有足夠的靈活性和可擴展性，較好地解決了細粒度訪問控制和大規模用戶動態擴展問題。

在多域環境下，ABAC訪問控制決策所需的屬性可能來自不同的組織域，多重組織域間的決策描述是ABAC研究中需要解決的一個重要問題。語義Web技術的引入，為實體屬性提供了更精確的描述，進而定義更靈活的訪問規則，實現語義推理功能，有效解決屬性語義互操作問題。目前研究使用的安全斷言標記語言（SAML）[7]、服務供應標記語言（SPML）[8]和可擴展的訪問控制標記語言（XACM）[9]都是基于XML的標準。SAML側重于不同安全域之間的交換認證和授權數據；SPML致力于IT配置任務的自動化和標準化，以及通過標準的SPM接口實現不同配置系統間的互操作；XACML定義了一種表示授權規則和策略的標準格式，還定義了一種評估規則和策略，以做出授權決策的標準方法，但上述描述語言都沒有考慮到屬性間的語義關系。文獻[10]提出了一種新的語義訪問控制策略描述語言（SACPL），并設計了一個面向本體的訪問控制模型（ACOOS）。在該模型中使用SACPL描述了主體、客體、行為和屬性四大本體元素之間的元數據模型。SACPL在（S，O，A）三元組的基礎上增加了優先級、條件和機密性3個元素成為六元組來描述訪問規則，并增加了優先級規則生成算法。ACOOS解決了云計算環境下跨機構分布式資源訪問中的語義互通和互操作問題。文獻[11]在資源描述框架下利用統一資源定位（URI）來描述屬性，不僅實現了屬性在全局范圍內的標準化，還管理了整個服務的訪問決策過程。在該模型中，服務和用戶想要獲得特定的權限必須獲得對應的安全標記，安全標記擁有若干屬性，即要求服務或用戶也具有這些屬性才能獲得該安全標記。ABAC策略合成不僅應考慮組織域間不同的安全約束，還應保證合成策略對資源訪問判決結果的確定性，避免策略沖突。針對ABAC具有訪問控制規則沖突這一問題，文獻[12]提出了基于本體理論的云服務訪問控制（CSAC）的元數據模型，根據該元數據模型，定義了規則的對立沖突、排斥沖突和對立許可，一旦用戶出現上述沖突，則拒絕為該用戶授權。

2.2 基于UCON的云計算訪問控制模型

基于UCON[13]的模型不僅繼承了傳統的DAC、MAC和RBAC的安全策略，而且還包括數字版權管理所覆蓋的安全和隱私問題，是一個最綜合的模型。UCON模型由6部分組成：主體、權利、客體、授權、義務和條件，每個元素都有其相關屬性。其中主體、權利、客體和授權都是傳統訪問控制模型中涉及的元素，義務（obligation）就是在訪問請求執行以前或執行過程中必須由義務主體履行的行為；條件（condition）是訪問請求的執行必須滿足某些系統和環境的約束，比如系統負載、訪問時間限制等，如圖1所示。

義務代表行為元素，條件代表環境元素，加上訪問控制模型原有的元素，很好地實現了傳統訪問控制模型、信任管理和數字版權管理3種技術的融合[14-15]，還因為共同作用使得控制范圍有所擴展，極大地提高了模型的靈活性和描述能力，從而更好地應用于云計算環境。

基于協商的UCON模型是在原來的基礎上，增加協商模塊，允許用戶在訪問請求被拒后，通過改變相關參數和屬性進行協商從而獲得第二次訪問的機會，提高了云訪問控制的靈活性[16]。蔡婷等[17]針對云環境下使用中的安全授權管理難的問題，提出一種基于加密方式的授權管理控制模型，該模型以多方驗證的方法提高了UCON模型中屬性更新的可信性以及授權的正確性。

2.3 基于行為的訪問控制模型

關于行為訪問控制模型的研究主要集中在與BLP模型相結合構建多級安全模型。BLP模型是強制訪問控制模型，主要用于強調安全等級的系統。該模型中允許下讀、上寫兩個安全特性，使信息單向流動，保證了信息的機密性。BLP模型[18]的不足之處在于對完整性控制不夠且多以主客體的安全等級為依據進行授權的判定，對時態因素的論述較為簡單，忽略了云計算環境下環境信息對訪問授權的影響，權限管理缺乏靈活性和通用性。文獻[19]綜合考慮了角色、時態狀態和環境狀態之間的依賴關系以及對行為的影響，形式化描述了行為狀態管理函數，使該模型靈活地處理各種信息系統中的訪問控制問題。文獻[20]提出了CCACSM模型，將訪問控制分為權限層次和行為層次，權限層次繼承了BLP 模型的上讀下寫特性，行為層次綜合了角色時態和環境因素，行為隨之動態改變。該模型兼顧了完整性和保密性。

2.4 基于信任的訪問控制模型

云計算模式的松散架構為信任評估這一彈性機制引入云計算提供了廣闊空間。信任管理使用表達性更強的憑證，此類憑證可以將公鑰綁定到授予的權限、密鑰持有者的各種屬性或者完全可編程的“能力”，使得信任管理可以統一表示安全策略、憑證以及信任關系，并以靈活、通用、可靠的方式解決開放分布式系統的訪問控制和授權問題。文獻[21]中提出了基于信任的訪問控制模型TrustBAC。該模型首先為用戶劃分信任等級，然后通過信任級別決定角色。文獻[22]將信任機制應用到網格社區授權服務中，根據信任度評估算法計算網格實體的信任度，使CAS服務器能依據實體的信任度動態改變實體的角色，從而實現訪問控制的動態性。文獻[23]將信任管理與群簽名機制相結合，將用戶信任度作為群簽名分組的依據，再利用群簽名機制實現用戶認證，能有效識別惡意用戶，但該模型信任度計算與群簽名機制是松散耦合的，從而降低了簽名效率。

在動態開放的云計算環境中，由于有大量的實體動態訪問云服務，即使用戶身份可信，其行為仍然存在相當程度的不確定性。因此，需要在身份認證后，繼續對實體行為進行檢測，根據實體的歷史行為記錄對其進行等級評價。文獻[24]提出了一種基于用戶行為信任的云計算訪問控制模型，根據綜合用戶的直接和間接信任值得到的信任值確定其信任等級，激活其所對應的角色以及賦予該角色一定的訪問權限，提供請求的資源，但該模型沒有考慮不可信的云服務。文獻[25]從動態授權、角色擴散和性能方面進行考慮，提出了基于用戶行為信任評估的動態角色訪問控制（UT-DRBAC）模型，該模型通過動態指派角色實現了模型授權的動態性，并將身份信任和行為信任相結合，改變了現有訪問控制模型單一基于身份信任的靜態授權機制。但該模型追求角色數量和屬性數量之間的平衡時，從而在一定程度上偏離了最小權限原則。

3 結語

通過上述對各種類型訪問控制模型的分析和梳理，引用文獻[26]中定義的指標，并進行了比較。這些指標包括安全性、機密性、最小特權、描述能力、細粒度控制、云環境屬性、約束描述、動態授權，如表1所示。

綜上所述，訪問控制模型在云計算環境下的相關研究取得了一些進展，但是仍然有許多尚待解決的問題。 訪問控制技術的發展將呈現如下趨勢：①云計算環境中，用戶和租戶都稱為模型的主體，都有各自的安全屬性，因此需進一步形式化描述云計算中用戶和租戶的關系及其在模型中的作用；②充分考慮云計算環境中安全屬性的影響，研究訪問權限的可伸縮性動態調整方法；③由于不同信息域之間的差異，相應的安全策略存在語義不一致甚至相互矛盾的問題，因此消解訪問控制策略的沖突也是訪問控制模型需要重點關注的方面。

參考文獻：

[1]FERRAIOLO D，KUHN DR.Role-based access control[C]. In： Proc. of the 15th National Computer Security Conf.，1992：554-563.

[2]E BERTINO，E FERRARI，V ATLURI.The specification and enforcement of authorization constraints in workflow management systems[J].ACM Transaction on Information System Security，1999，2（1）：65-104 .

[3]THOMAS R，SANDHU R.Task-Based authorization controls （TBAC）：a family of models for active and enterprise oriented authorization management[C].Proc. of the 11th IFIP WG11.3 Conf.on Database Security， 1997：166-181.

[4]DENG JB，HONG F.Task-based access control model[J]. Ruan Jian Xue Bao/Journal of Software， 2003，14（1）：76-82.

[5]王小威，趙一鳴.一種基于任務角色的云計算訪問控制模型[J].計算機工程[J]，2012，38（24）：9-13.

[6]SUN YQ，MENG XX，LIU SJ，et al.Flexible workflow incorporated with RBAC[C].In： Proc. of the 9th Intl Conf. in Computer Supported Cooperative Work in Design （CSCWD 2005）， 2005：525-534.

[7]CANTOR S，MOREH J，PHILPOTT R，et al.Metadata for the OASIS security assertion markup language （SAML）[M].V2.0. OASIS Open，2005.

[8]GARY C，SUN M，OASIS.Service provisioning markup language （SPML）[M].Versions 2.0.OASIS Open，2006.

[9]ERIK R，AXIOMATICS AB.OASIS extensible access control markup language （XACML） [M].Versions 3.0.OASIS Open，2013.

[10]LUOKAI HU，SHI YING，XIANGYANG JIA，et al.Towards an approach of semantic access control for cloud computing cloud[M].LNCS 5931，2009：145-156.

[11]ZAHID IQBAL，JOSEF NOLL.Towards semantic-enhanced attribute-based access control for cloud services[C].Proc. of the 11th Trust， Security and Privacy in Computing and Communications Conf.，2012.

[12]CHI-LUN LIU.Cloud service access control system based on ontologies[J].Advances in Engineering Software，2014（4）：26-36.

[13]PARK J，SANDHU R.Towards usage control models：beyond traditional access control[C].Proc. of the 7th ACM Symp.on Access Control Models and Technologies （SACMAT 2002），2002：57-64.

[14]聶麗平.基于UCON訪問控制模型的分析與研究[D].合肥：合肥工業大學，2006.

[15]崔永泉，洪帆，龍濤，等.基于使用控制和上下文的動態網絡訪問控制模型研究[J].計算機科學，2008，35（2）：37-41.

[16]C DANWEI，H XIULI，R XUNYI.Access control of cloud service based on UCON[M].Cloud LNCS 5931，2009：559-564.

[17]蔡婷，陳昌志.云環境下基于UCON的訪問控制模型研究[J].計算機科學，2014，41（zl）：262-264.

[18]LIN T，BELL Y，AXIOMS L.A new paradigm for an old model[C].Proc 1992 ACM SIGSAC New Security Paradigms Workshop，1992.

[19]李鳳華，王巍，馬建峰，等.基于行為的訪問控制模型及其行為管理[J].電子學報， 2008，10，36（10）：1881-1890.

[20]林果園，賀珊，黃皓，等.基于行為的云計算訪問控制安全模型[J].通信學報，2012，33（3）：59-66.

[21]S CHAKRABORTY，I RAY.TrustBAC：integrating trust relationships into the RBAC model for access control in open systems[C].California：In Proceedings of the 11th ACM Symposium on Access Control Models and Technologies （SACMAT' 2006），2006：49-58.

[22]鄧勇，張琳，王汝傳，等.網格計算中基于信任度的動態角色訪問控制的研究[J].計算機科學， 2010，37（2）：51-54.

[23]李丙戌，吳禮發，周振吉，等.基于信任的云計算身份管理模型設計與實現[J].計算機科學， 2014，41（3）：144-148.

[24]張凱，潘曉中.云計算下基于用戶行為信任的訪問控制模型[J].計算機應用， 2014，34（4）：1051-1054.

[25]田立勤，冀鐵果，林闖，等.一種基于用戶行為信任的動態角色訪問控制[J].計算機工程與應用，2008，44（6）：12-15.

[26]王于丁，楊家海，徐聰，等.云計算訪問控制技術研究綜述[J].軟件學報， 2015，26（5）：1129-1150.

（責任編輯：孫 娟）