軟件定義邊界下的可信動態訪問控制模型研究

王駿彪

【摘 ?要】

針對傳統訪問控制模型引發的數據泄露和安全問題，結合企業不斷提升的數據泄漏防范要求，提出軟件定義邊界下的可信動態訪問控制模型，利用數據的語義信息、數據來源信息、數據使用模式計算數據訪問的可信度，以此來強化動態訪問策略，在評估數據的可信度上用戶干預性最小，根據訪問數據集實時情況所引起的可信度變化來調整訪問控制策略。實驗結果表明，該模型能夠以較少的開銷增強對多源數據集的訪問控制，解決了當前軟件定義邊界下云平臺中訪問控制模型安全性不足的問題。

【關鍵詞】可信度;動態;訪問控制策略;數據語義信息

[Abstract]

In view of the data leakage and security problems caused by the traditional access control model and the continuous requirements of data leakage prevention from the enterprises， this paper proposes a trusted dynamic access control model under the software-defined boundary， which uses the semantic information， data source information and data usage mode to calculate the credibility of data access， so as to strengthen the dynamic access strategy and minimize the user intervention in evaluating the data credibility. Furthermore， the access control strategy is adjusted according to the credibility change caused by the real-time situation of the access data set. The experimental results show that the proposed model can enhance the access control of multi-source data sets with less overhead， and solve the problem of insufficient security of access control model in cloud platform under the current software-defined boundary.

[Key words]credibility; dynamic; access control policy; data semantic information

0 ? 引言

隨著通信技術和信息化技術的快速發展，企業從各種來源獲取的數據會引發安全漏洞和數據安全問題。在企業使用的各種數據中，非結構化數據是企業數據庫的重要組成部分，這源于非結構化數據內容豐富，呈現多樣化。如此信息豐富的數據一旦泄露，將會對公司造成損失。基于傳統文件級別的訪問控制技術，數據的可靠性只能從人工經驗或者從提供的信息中進行識別，不能滿足現代數據量激增的訪問控制要求，因此，構建一個能夠根據數據可信度的動態訪問控制模型很有必要。本文提出一種軟件定義邊界下的可信動態訪問控制模型。

軟件定義邊界是基于用戶上下文而不是憑證來授權企業資產訪問，通過以用戶為中心的動態訪問控制來驗證連接用戶的身份，采用訪問控制模型來解決大數據環境下授權的即時性和訪問的動態性。這種新的安全架構技術能夠應對平臺風險和權限提升，用戶與系統和應用間的互動是實時的，當用戶行為或者環境發生變化，軟件定義邊界會持續監視上下文，基于位置、時間、安全狀態和自定義屬性實時訪問控制的策略，真正實現用戶中心化認證授權和設備資源訪問控制的目的。目前已有不少學者對軟件定義安全架構的相關技術進行了研究，比如：田圣彪[1]提出用戶中心化認證授權的方法來構建物聯網安全架構，以此解決用戶授權即時性和用戶權限互操性問題;梁棟[2]提出一種基于角色和屬性的復合訪問控制模型，實現細粒度、擴展性強、易于管理的訪問控制模塊;劉莎[3]提出一種用戶信任度實時、動態地進行更新的用戶可信監控模式，以此實現Hadoop云平臺的訪問控制;付強[4]提出一種多粒度安全控制器架構，通過基礎控制模塊和多粒度安全定制模塊實現多粒度的自定義安全功能。上述學者從不同層面來探討軟件定義邊界安全架構的相關技術，目前研究者對軟件定義邊界安全架構技術還沒有形成統一的見解。

本文結合本企業的云平臺的特性，探討軟件定義邊界下可信動態訪問模型的研究思路，結合現有模型的使用現狀和缺陷，提出一種云平臺的用戶可信動態訪問控制模型。該模型采用語義解析器實時提取文件的語義向量，然后采用可信度評估器實時評估用戶訪問可信度，結合訪問控制器實現用戶訪問數據的動態控制策略。通過實驗可知，本文提出的算法在不可信數據識別上與傳統的人工識別相比具有一定的優勢。

1 ? 訪問控制模型

1.1 ?傳統訪問控制模型

自主訪問控制技術（Discretionary Access Control，DAC）是指主體可以決定授予或者撤銷對客體資源的訪問權限，但是訪問控制的實現方式一般采用控制列表或者控制矩陣。因此，當平臺的用戶量巨大時，維護控制列表將是一項艱巨的任務。特別是當前擁有多租戶的云平臺，租戶訪問權限的授予和撤銷的工作量是不可估量的，因此，自主訪問控制技術不適用于分布式新型網絡環境中進行全局管控。

強制訪問控制技術（Mandatory Access Control，MAC）避免了DAC權限隨意授予或者撤銷所帶來的全局管控的問題，由網絡安全管理員去衡量每一個主體和客體的安全級別并以此為依據判斷主體是否有權限去訪問客體。MAC采用多層次安全標簽實現信息的單向流動[5]，適用于安全性要求高的應用場面，但是由于其具有安全等級強制性太強，不能頻繁變更權限的缺陷，不適用于電信運營商等具有多租戶管理、具有高度靈活要求的領域。

基于角色的訪問控制技術（Role Based Access Control，RBAC），引入角色的概念，將客體的訪問權限授予角色，然后對用戶分配對應的角色，如此一來，用戶就通過角色關聯的方式獲得訪問權限。在大型的系統中，由于角色數量龐大，因此角色管理的工作量也是不可小覷的。另外，一旦角色被盜用，那么將會對整個系統的安全造成嚴重威脅。

基于任務的訪問控制技術（Task Based Access Control，TBAC），從任務的角度完成動態授權，用戶的權限隨著任務的變化而變化。作為一種動態訪問的授權技術，TBAC并沒有將任務與角色進行清晰劃分，因此在大型的系統中，這種訪問控制技術所帶來的工作量也是非常巨大的。

基于屬性的訪問控制技術（Attribute-Based Access Control，ABAC），將屬性信息作為決策與授權的依據，解決了大型系統中細粒度管控的問題，具有很強的靈活性和擴展性。但是該方法由于缺乏對策略檢索的考量，在檢索匹配的時候往往采用遍歷數據庫的方式，因此造成檢索效率低下，查找速度過慢。

1.2 ?大數據環境下訪問控制模型分析

經典的大數據環境下的訪問控制模型利用Kerberos協議驗證用戶的身份信息，結合預先設定的控制表（Access Control List， ACL）授權機制與令牌配合實現集群環境中用戶的訪問控制。眾所周知，上述的訪問控制模型是一個基于文件級別、靜態的關口式模型，無法結合訪問數據內容發現授權人員濫用權限獲取敏感信息的行為。針對上述問題，本文提出一種自動化的基于文件語義的訪問控制模型，該模型通過記錄用戶已經訪問的數據制定一個基礎集，結合基礎集與訪問客體之間的相似度進行訪問判斷，如果相似度小于設定的閾值，則判定該行為不可信，根據數據語義變化來調整訪問控制策略。

2 ? 基于數據語義的訪問控制模型

基于數據語義的訪問控制模型包含的模塊如圖1所示，訪問策略記錄了用戶訪問數據的可信度，網絡管理有權調整用戶訪問數據對應的可信度。

用戶通過訪問控制器對數據進行訪問，數據跟蹤器能夠實時跟蹤用戶使用數據的來源、數據使用模式。Spark集群對數據跟蹤器所產生的數據進行集中存儲并處理，來源跟蹤器能夠對數據的所屬出處、創建者等信息進行提取，語義解析器能夠提取數據的語義信息，包括所屬專題、創建時間、修改時間、格式以及瀏覽次數。然后基于歷史的信息對待訪問數據的屬性變量與訪問偏好屬性向量進行相似度判斷。最后采用數據可信度評估器來判斷當前用戶的訪問行為，并告知管理員，管理員通過訪問策略文檔來控制用戶的訪問行為。

2.1 ?數據語義解析器

由于大數據平臺存放的是多源異構數據，因此需要制定一個利用數據語義、使用模式來獲取數據的可信度來強化訪問控制策略，在評估數據可信度基礎上對用戶干預最小，實現策略的動態控制。

本文利用解析器EKEL和屬性知識庫對在線文檔進行匹配，生成語義樹。在此基礎上，根據語義文法對應的謂詞形式從生成樹中抽取關鍵的文本語義知識，該文本語義知識以元祖形式出現，也就是實現了文本知識的結構化。以下重點說明屬性知識庫的構建過程（如圖2所示）。

屬性知識庫的構建過程包括基于人工經驗的術語提取、語料選擇、語料聚類、文法解析并構建屬性知識庫五大模塊。

首先，人工經驗定義不同領域的術語，比如大數據、云計算、人工智能、語義、自然語言處理等術語。然后基于術語的語料選擇模塊篩選出包含上述術語的句子，再利用語料聚類模塊將含有上述術語的句子進行聚類分析，那么，將含有相同語義的句子聚到一類。

基于屬性知識的語料選擇模塊也會篩選出滿足規則的句子，經過語料聚類后進入下一輪的文法構建中。

系統隨機將每一類分到語料1和語料2。語料1用于人工經驗構建文法，語料2用于測試文法的準確率，結合人工經驗對文法進行擴充、修改并實現文法解析。

最后，將解析正確的屬性知識放入屬性知識庫中。反之，修改原有的文法，重新利用文法解析器進行解析，保證屬性提取的正確性。

在獲取結構化的文本屬性（包括專題、創建時間、修改時間、格式以及瀏覽次數）后，需要對文本屬性進行數據語義表示，以實現數據語義信息的表達，數據語義信息表示通常采用內嵌表示的方式實現數據語義向量的提取。

2.2 ?數據可信度評估器

數據可信度評估器如圖3所示，本文通過構建基于時間衰減因子的加權屬性信任度模型來反映用戶使用數據在時間上的變化情況，并設計數據可信度評估器。

數據可信度是指數據信任度的概率值，也就是通過用戶待訪問數據的屬性向量與系統中設定的屬性向量進行相似度比較，其相似性結果就是文本可信度。

本文數據可信度判斷過程為：以在一定時間段內用戶訪問若干數據集的信任度作為訓練數據集，通過向量平均后，得到該用戶在一段時間內的訪問偏好屬性向量;然后將用戶待訪問數據的屬性變量與訪問偏好屬性向量進行相似度計算，如果相似度大于設定的閾值，那么則認為用戶當前訪問是正常的，否則，則會向管理員發出預警，管理員通過訪問策略文檔控制用戶的訪問行為。

2.3 ?數據可信度模型

網絡管理員一般關注當前較近時間段內用戶使用數據的偏好，用戶近期訪問數據使用模式、數據來源、語義信息等屬性更能反映數據的可信程度。數據的模式指數據格式、使用語言種類、數據是否加密，數據格式包括PDF、EXCEL、WORD等。數據來源指數據的出處、數據公開程度、數據來源可信度，數據出處包括內部信息數據庫、網站、論壇;數據公開程度包括全公開、保密兩個屬性;數據來源可信度包括正式來源、半正式來源以及非正式來源。正式來源是指數據從企業內部數據庫產生的，可信度最高;半正式來源是指從權威網站獲得的信息，可信度一般;非正式來源是指在一些常見的論壇上獲取，可信度不能保證。語義信息包括數據的專題、創建時間以及瀏覽次數等。隨著用戶訪問時間的推進，越早訪問行為對當前的可信度值計算影響越小，因此，本文在計算用戶訪問數據的可信度時，引入時間衰減因子來描述在一段時間內訪問不同數據使用模式、數據來源、語義信息的變化程度。用戶在第k次訪問數據所產生的可信度值的時間衰減因子為γn-k。γ的取值范圍為0～1，表示可信度值對某種數據類型、專題、方向的重視程度，γ越接近1，表示越重視。因此，引入時間衰減因子后，用戶訪問數據的可信度為：

其中，n為在一定的時間內（比如觀察周期為1個星期）用戶訪問數據的總次數;k用戶第i次訪問數據。M、O、S分別為數據的模式向量、來源向量、語義信息向量，每個向量具有n個樣本，d維特征。其中，mn1是指數據格式向量，mn2是指語言種類向量，其中mn3是指數據加密屬性向量;on1是指數據出處向量，on2是指數據公開程度向量，on3是指數據可信度向量;sn1是指數據專題向量，sn2是指創建時間向量，其中sn3是指數據瀏覽次數向量。a1、a2、a3分別為數據使用模式、數據來源、語義信息的影響系數，且a1+a2+a3=1。

將公式（1）的模式向量、來源向量、語義信息向量進行均值計算后，得到用戶在一段時間內的訪問偏好屬性向量，其大小為3*d維。

2.4 ?訪問控制器

訪問控制器是可信動態訪問控制模型的核心，負責接收用戶的請求并將用戶訪問查看數據的結果返回用戶。訪問控制規則決定了用戶是否有權訪問其需求的數據，通過可信度評估器，訪問控制規則如下：

ACR={user， data， action， decision} ? ? ? ? ? ? ? ? ? ? ? （2）

其中，action表示用戶的操作，decision表示根據可信度評估器評估訪問數據的可信度進而作出允許用戶訪問或者拒絕用戶訪問的決定。通過可信度評估器評估用戶訪問數據的可信度，以返回值的形式出現。如果可信度大于設定的閾值，則表示允許用戶對數據執行操作，反之，則不允許用戶對數據執行操作。

3 ? 實驗與分析

為了驗證本文提出模型的能力，本實驗將本企業數據庫的一些數據進行脫敏處理之后，對本文提出的算法進行驗證。本文驗證的數據包括結構化數據、半結構化數據和非結構化數據。

結構化數據是指脫敏后的生產運營數據所形成的關系型數據集;半結構數據是指經過脫敏后的企業用戶合同數據集;非結構化數據包括各種網站和論壇爬下來的各種用戶學習的報告、學習材料、安裝工具軟件等文件。上述文件包含了數據格式信息、語言種類信息、加密屬性信息、數據出處信息、公開程度信息、數據可信度信息、數據專題信息、創建時間信息、瀏覽信息等。三個數據集分別被分割為20G、40G、80G。本文通過命令行的方式獲取訪問數據的時間開銷，通過對比訪問結構化、半結構化和非結構化三種數據類型在使用可信動態訪問控制模型前后訪問時間開銷對比，以測試該模型是否具有實用性。

在本實驗中，數據使用模式、數據來源、語義信息的影響系數分別設為0.2、0.2、0.6。假如用戶在一段時間內訪問數據的總數為3，那么信任值的數據維度為3*3。用戶訪問數據的可信度計算表達式為：

從圖4～圖6可知，訪問結構化數據時間開銷最小，訪問非結構化數據時間開銷最大，半結構化數據的時間開銷在兩者之間。與結構化數據相比，半結構化數據的時間增長速度比較慢，這是因為結構化數據必須遍歷整個記錄才能得到可信度結果，而半結構化數據只需要進行標記就能得到所需要的信息。經過分析，引入了可信動態訪問控制模型后，模型的額外平均開銷為9.8%。

由于一些非結構化數據是在一些網站上隨意爬出來的，為了驗證本文提出模型的可靠性，結合知識工程師的經驗對企業內部信息數據以及網站、論壇爬下來的數據進行打標簽。每一次隨機選擇20個非結構化文本進行多次模擬，本文采用可信動態訪問控制模型，得到最終的文本可信度值如表1所示：

為了驗證本文算法的有效性，本文將動態訪問控制模型的識別結果與知識工程師的標簽結果進行對比，得到的準確率結果如圖7所示。

由多次模擬的對比結果可知，本文提出的動態訪問控制模型對不可信數據的識別準確率均值為80%。第一次模擬中，模型對不可信數據識別準確率為80%，其中錯誤識別率為15%，漏識別率為5%;第二次模擬中，模型對不可信數據的識別準確率均值為75%，其中錯誤識別率為15%，漏識別率為10%;第三次模擬中，模型對不可信數據識別準確率均值為80%，其中錯誤識別率為20%，漏識別率為0%;第四次模擬中，模型對不可信數據識別準確率均值為85%，其中錯誤識別率為10%，漏識別率為5%。從上述的分析結果來看，雖然本文提出的動態訪問模型對不可信數據具有較高的識別準確率，相比人工識別而言，模型對不可信數據識別準確率在海量訪問控制上還是具有一定的優勢的。

4 ? 結束語

在軟件定義邊界下采用訪問控制模型來解決大數據環境下授權即時性和訪問動態性的問題，但是相關的研究不足以保證數據免遭濫用，此外，很多數據訪問控制策略根據專家的經驗且沒有統一的標準。本文分析了當前環境下訪問控制模型的不足，提出一種基于時間衰減的加權屬性可信度模型來實現數據的可信動態訪問控制。實驗表明，本文所提出的模型能夠實現多源異構數據的高效訪問控制，能夠結合用戶本身的訪問偏好動態調整用戶的可信度值并執行動態的訪問控制策略，能夠有效保護大數據平臺的數據資產。

參考文獻：

[1] ? ?田圣彪. 面向物聯網的用戶中心化認證授權系統設計與實現[D]. 北京： 北京郵電大學， 2017.

[2] ? ?梁棟. 基于角色和屬性的復合訪問控制模型的研究與應用[D]. 天津： 天津大學， 2014.

[3] ? ? 劉莎. Hadoop云平臺的用戶可信訪問控制模型研究與實現[D]. 成都： 四川師范大學， 2014.

[4] ? ?付強. 軟件定義網絡多粒度安全架構研究及實現[D]. 重慶： 重慶郵電大學， 2016.

[5] ? ? 孫建勛. 基于多屬性的訪問控制安全策略管理系統設計與實現[D]. 北京： 北京郵電大學， 2019.

[6] ? ? 李玲瑞，劉勝. 云存儲的動態授權可驗證訪問控制仿真[J]. 計算機仿真， 2019，36（10）： 153-156.

[7] ? ? 馬丁義，郭銀章. 基于信任和屬性的云服務訪問控制模型研究[J]. 太原科技大學學報， 2019，40（4）： 258-263.

[8] ? ?張芃，周良. 基于信任的動態多級訪問控制模型[J]. 計算機與現代化， 2019（7）： 116-121.

[9] ? ?郭凱麗. 基于用戶屬性和動態信任值的云平臺訪問控制模型研究[D]. 鄭州： 鄭州大學， 2019.

[10] ? 石興華，曹金璇，朱衍丞. 基于可信計算的動態訪問控制策略研究[J]. 網絡安全技術與應用， 2019（3）： 18-20.