諸天逸，李鳳華，成林，郭云川

跨域訪問控制技術(shù)研究

諸天逸1,2，李鳳華1,2，成林3，郭云川1,2

（1．中國科學院信息工程研究所，北京 100195；2. 中國科學院大學網(wǎng)絡空間安全學院，北京 100049；3. 中國信息安全測評中心，北京 100085）

根據(jù)國內(nèi)外最新研究，對跨域數(shù)據(jù)流動中的訪問控制技術(shù)進行了總結(jié)和展望。首先，結(jié)合復雜應用環(huán)境下的訪問控制，概括了訪問控制模型、數(shù)據(jù)安全模型的發(fā)展。其次，分別從數(shù)據(jù)標記、策略匹配和策略沖突檢測方面對訪問控制策略管理的研究展開論述。最后，總結(jié)歸納了統(tǒng)一授權(quán)管理中數(shù)據(jù)標記技術(shù)和授權(quán)與延伸控制技術(shù)的研究現(xiàn)狀。

跨域數(shù)據(jù)流動；訪問控制模型；策略授權(quán)管理

1 引言

隨著網(wǎng)絡與信息技術(shù)的持續(xù)快速發(fā)展，不同的政府部門、企事業(yè)單位均建設有若干不同的業(yè)務信息系統(tǒng)。由于受控對象和業(yè)務場景的不同、客觀實際應用中管理模式的不同，這些業(yè)務系統(tǒng)呈現(xiàn)域內(nèi)互聯(lián)、域間孤立特征，使現(xiàn)實應用中各個業(yè)務系統(tǒng)的數(shù)據(jù)未被充分利用，這與系統(tǒng)互聯(lián)的信息傳播與共享協(xié)同本質(zhì)相悖。在此背景下，一些管理部門要求打破不同管理域、不同安全域、不同業(yè)務系統(tǒng)間的數(shù)據(jù)流動壁壘，建立統(tǒng)一的數(shù)據(jù)中心來存儲不同管理域、不同安全域、不同業(yè)務系統(tǒng)所產(chǎn)生的海量異構(gòu)數(shù)據(jù)，在確保數(shù)據(jù)細粒度受控使用的前提下，實現(xiàn)所有被授權(quán)的數(shù)據(jù)使用者能依據(jù)自身需求在任何時間、任何地點，使用任意終端設備、通過任意渠道接入任何網(wǎng)絡依規(guī)獲取跨管理域、跨安全域、跨業(yè)務系統(tǒng)的數(shù)據(jù)。

毫無疑問，跨管理域、跨安全域、跨系統(tǒng)數(shù)據(jù)流動的服務模式必將大幅提升業(yè)務部門的處理效率。然而，這種服務模式要求將現(xiàn)有孤立系統(tǒng)進行物理連接和邏輯隔離，勢必打破原有信息系統(tǒng)在管理上數(shù)據(jù)隔離的信息孤島現(xiàn)狀；同時跨管理域、跨安全域的信息系統(tǒng)在業(yè)務服務、安全管理等方面存在差異，敏感數(shù)據(jù)會在不同信息系統(tǒng)中存留，產(chǎn)生了新的訪問控制問題：如何確保跨域的數(shù)據(jù)訪問者只有在受控模式下才能獲得完成業(yè)務功能所必需的數(shù)據(jù)，并確保所獲取的數(shù)據(jù)不被非授權(quán)傳播。

跨管理域、跨安全域、跨業(yè)務互聯(lián)系統(tǒng)所產(chǎn)生的數(shù)據(jù)來自不同的機構(gòu)、組織與個人，具有多源特征；不同數(shù)據(jù)源持續(xù)生成大量的數(shù)據(jù)，呈現(xiàn)海量特征；這些海量數(shù)據(jù)類型包含多媒體數(shù)據(jù)、業(yè)務數(shù)據(jù)、管理數(shù)據(jù)等，缺乏統(tǒng)一的格式與規(guī)范，具有明顯的半結(jié)構(gòu)化和非結(jié)構(gòu)化特征。上述特征直接導致了數(shù)據(jù)使用在授權(quán)與鑒權(quán)方面面臨兩個挑戰(zhàn)。

1) 信息控制模式：由于計算成本、存儲成本和維護成本等約束，單個機構(gòu)難以獨自建立數(shù)據(jù)中心，因此，各個機構(gòu)不得不將數(shù)據(jù)存儲到第三方管理的數(shù)據(jù)中心，使數(shù)據(jù)所有權(quán)和管理權(quán)分離，直接導致了信息控制模式有別于傳統(tǒng)的訪問控制，即傳統(tǒng)訪問控制中數(shù)據(jù)所有權(quán)和管理權(quán)屬于同一機構(gòu)或個人，數(shù)據(jù)所有者信任數(shù)據(jù)管理者，而管理數(shù)據(jù)中心的第三方是半可信甚至不可信的。

2) 細粒度訪問授權(quán)與延伸控制：首先，由于各種不同數(shù)據(jù)在安全保護等級、知悉范圍和管理者利益等方面存在差異，來自不同管理域、不同安全域、不同信息系統(tǒng)的數(shù)據(jù)不能完全無條件共享，需在約束條件下進行受控共享，而實踐過程中約束條件缺乏清晰準確的定義，且訪問權(quán)限隨訪問者訪問時間、地點和所使用設備等環(huán)境動態(tài)變化。其次，現(xiàn)有訪問控制系統(tǒng)中訪問控制主體/客體數(shù)量有限，且屬性定義單一，使數(shù)據(jù)訪問過程中細粒度控制困難。此外，現(xiàn)有訪問控制系統(tǒng)主要控制域內(nèi)數(shù)據(jù)，一旦數(shù)據(jù)交換，數(shù)據(jù)復制的所有者就可能對數(shù)據(jù)進行任意傳播，從而導致傳播失控。

針對上述問題，學術(shù)界和產(chǎn)業(yè)界展開了廣泛的研究，本文從復雜應用環(huán)境下的訪問控制模型與數(shù)據(jù)訪問安全模型、訪問控制策略管理、統(tǒng)一授權(quán)與延伸控制等角度梳理跨域訪問控制研究現(xiàn)狀，支撐用戶跨域訪問與數(shù)據(jù)跨域流動。

2 訪問控制模型與安全模型

2.1 復雜應用環(huán)境下訪問控制模型

20世紀70年代至今，隨著IT技術(shù)發(fā)展和信息傳播方式演化，訪問控制技術(shù)經(jīng)歷了3個發(fā)展階段：以單機數(shù)據(jù)共享為目的的主機訪問控制（其代表性工作為BLP、Biba等模型）、以單域內(nèi)部數(shù)據(jù)共享為目的面向組織形態(tài)的訪問控制（其代表性工作為RBAC、UCON等模型）以及互聯(lián)網(wǎng)、云計算、在線社交網(wǎng)絡等新型復雜應用環(huán)境下的訪問控制。下面討論新型復雜應用環(huán)境下訪問控制模型研究現(xiàn)狀。

訪問控制模型方面：新型復雜應用環(huán)境的訪問控制模型主要包括基于屬性的訪問控制和基于關(guān)系的訪問控制兩類。基于屬性的訪問控制通過對主體、客體、權(quán)限和環(huán)境屬性的統(tǒng)一建模，描述授權(quán)和訪問控制約束；基于關(guān)系的訪問控制通過用戶間關(guān)系來控制對數(shù)據(jù)訪問權(quán)限的分配。

基于屬性的訪問控制將時間[1]、空間位置[2]、訪問歷史[3]、運行上下文[4]等要素作為訪問主體、訪問客體和環(huán)境的屬性來控制數(shù)據(jù)訪問行為，通過定義屬性間的關(guān)系來描述復雜的授權(quán)和訪問控制約束，確保授權(quán)的靈活性、匿名性與可靠性[5-11]，基于屬性的訪問控制的主要應用場景是云計算。基于關(guān)系的訪問控制中，資源所有者將與訪問者之間的關(guān)系（包括關(guān)系類型[12]、關(guān)系強度[13]等）作為控制要素，分配對數(shù)據(jù)的訪問權(quán)限，確保隱私個性化保護和數(shù)據(jù)共享需求間的平衡，滿足用戶個性化、細粒度和靈活的授權(quán)要求，但基于關(guān)系的訪問控制的主要應用場景是在線社交網(wǎng)絡。

綜上，目前新型應用環(huán)境下的訪問控制模型主要聚焦于云計算和在線社交網(wǎng)絡環(huán)境。但這些模型的本質(zhì)仍是建模單域內(nèi)數(shù)據(jù)控制，不適用于控制數(shù)據(jù)跨域流動；此外，這些模型未將多個要素進行融合控制，忽略了信息所有權(quán)和管理權(quán)分離等特征，不能直接建模跨管理域、跨安全域、跨業(yè)務系統(tǒng)的數(shù)據(jù)按需受控使用。筆者及所在團隊在跨域受控共享訪問控制模型方面取得了一些成果，即提出了基于行為的訪問控制模型[14]和面向網(wǎng)絡空間的訪問控制模型[15]，并從信息傳播方式演進規(guī)律的角度預測了訪問控制的未來發(fā)展趨勢[16-17]：資源訪問請求者請求訪問所需資源時，應考慮所處的時間狀態(tài)、采用的終端設備、從何處接入、經(jīng)由的網(wǎng)絡/廣義網(wǎng)絡，以及要訪問信息資源的安全屬性等要素，確保“通過‘網(wǎng)絡之網(wǎng)絡’訪問‘系統(tǒng)之系統(tǒng)’”的安全。這些工作為跨域受控共享訪問控制建模提供了技術(shù)思路。

2.2 數(shù)據(jù)訪問安全模型

針對數(shù)據(jù)訪問中的核心操作及其操作規(guī)則的研究，目前學術(shù)界主要聚焦于以BLP為代表的信息流控制，確保數(shù)據(jù)不被直接或間接泄露。信息流控制的核心思想是：將標簽附在數(shù)據(jù)上，并隨著數(shù)據(jù)在整個系統(tǒng)中流動，限制數(shù)據(jù)流向。防止信息直接泄露的核心思想是準確執(zhí)行“下讀/上寫”操作，防止間接泄露的核心概念是無干擾：確保系統(tǒng)在讀/寫執(zhí)行過程中，受保護數(shù)據(jù)（高密級數(shù)據(jù)）與不受保護數(shù)據(jù)（低密級數(shù)據(jù)）間不相互干擾[18-19]。

無干擾方面近期典型工作如下。Giacobazzi等[20]針對安全程序語言讀/寫原語所導致的數(shù)據(jù)間接泄露問題，基于抽象無干擾概念，提出了弱信息流的統(tǒng)一檢測框架，有效地提高了檢測能力。Nielson等[21]針對內(nèi)容依賴的信息流，提出了基于Hoare邏輯和內(nèi)容依賴的信息流檢測機制，采用指令操作語義證明所提出的Hoare邏輯的可靠性。Zhang等[22]針對三維干擾的數(shù)據(jù)傳輸方法，提出了一種基于蜂窩集群結(jié)構(gòu)的干擾感知數(shù)據(jù)傳輸協(xié)議。筆者及所在團隊[23]針對結(jié)構(gòu)化文檔缺乏多級安全控制機制所產(chǎn)生的信息泄露問題，在BLP模型基礎上對行為安全級別進行了細化，定義行為的讀、寫安全與基本的安全規(guī)則，采用無干擾理論證明其安全性。

綜上，數(shù)據(jù)訪問安全模型僅考慮讀/寫等操作及其規(guī)則，忽略了復雜應用環(huán)境下跨業(yè)務、管理、接入等系統(tǒng)中的其他操作與規(guī)則，不能滿足數(shù)據(jù)訪問安全性評估的需要。針對該問題，筆者及所在團隊在前期研究中針對在線社交網(wǎng)絡中的數(shù)據(jù)訪問安全模型進行了初步研究，提出了7個原子操作[24]，這為構(gòu)建數(shù)據(jù)訪問安全模型提供了技術(shù)思路。

3 訪問控制策略管理

訪問控制策略管理主要聚焦于策略匹配、沖突檢測與策略生成等方面的研究。

3.1 數(shù)據(jù)標記與策略生成

海量異構(gòu)數(shù)據(jù)的細粒度自動標記是使用授權(quán)的基礎，最早數(shù)據(jù)安全標記源自BLP模型，其安全標簽包含密級和知悉范圍。自BLP模型之后，國內(nèi)外學者對數(shù)據(jù)標記展開了一系列研究，目前的研究主要聚焦于數(shù)據(jù)標簽挖掘，包括標簽補全、標簽發(fā)現(xiàn)和標簽排序等技術(shù)。

標簽補全方面：針對Web文本中標簽挖掘中的部分標簽缺失問題，Yu等[25]提出了基于經(jīng)驗風險最小化的多標簽學習技術(shù)，該技術(shù)可有效解決小規(guī)模數(shù)據(jù)集下標簽缺失。針對智能傳感數(shù)據(jù)中標簽缺失問題，Cong等[26]提出了半監(jiān)督的多任務學習模型（S2MTL），通過整合矩陣分解、映射特征詞典、屬性空間信息學習技術(shù)，大幅度提升屬性補全效率。Guo等[27]提出了一種基于深度卷積神經(jīng)網(wǎng)絡（CNN）的標簽完成和校正方法（LCC），并設計一種策略來補全標簽并校正噪聲標記數(shù)據(jù)，使用完成和校正的結(jié)果不斷修改模型以取得更好的效果。

標簽發(fā)現(xiàn)方面：基于社會媒體中的眾包數(shù)據(jù)，Yin等[28]提出了面向地理空間視頻的時空標簽挖掘方案，該方案所挖掘的標簽與用戶直覺較為一致。Xu等[29]提出了基于屬性的訪問控制策略挖掘方法，該方法通過合并和簡化候選規(guī)則，可有效地改善挖掘效率。Yang等[30]提出了跨媒體的標簽遷移學習模型，該模型先創(chuàng)建了從圖像到音頻的知識轉(zhuǎn)移渠道，提高了標簽挖掘效率和準確度。基于異構(gòu)網(wǎng)絡，王瑜等[31]提出了面向多標簽系統(tǒng)的推薦模型，該模型將不同類型不可比較的標簽映射到可比較的相同空間中，實現(xiàn)標簽推薦優(yōu)化。

標簽排序方面：針對不同標簽對數(shù)據(jù)描述影響重要性不同，Xin等[32]提出了多標簽分布式學習模型，提升了多標簽挖掘的準確度和實用性。針對多模式圖像檢索（MIR）訓練期間視覺和文本模態(tài)間不一致問題，Li等[33]提出一種從圖像文字描述中測量物體和場景標記重要性的方法，該方法能顯著提升MIR性能。Wang等[34]為無源標簽提出了一種二維排序方法（HMO），通過觀察標簽的時間序列RSS變化，HMO可以獲得標簽的順序以及特定的水平方向。

策略生成方面：吳迎紅等[35]提出了能描述策略間屬性關(guān)聯(lián)的精化算法、記錄策略和策略間關(guān)聯(lián)屬性的策略精化樹構(gòu)建方法，為策略精化中的策略關(guān)聯(lián)問題處理提供基礎；林莉等[36]從規(guī)范策略合成和策略合成正確性目標出發(fā)，通過屬性值的計算結(jié)構(gòu)，建立了新的基于屬性的策略合成代數(shù)模型。

目前，數(shù)據(jù)標簽技術(shù)主要聚焦于挖掘單數(shù)據(jù)域單類型的標簽，缺乏海量多源異構(gòu)數(shù)據(jù)的歸一化描述，需從分級標簽自動融合、差異化數(shù)據(jù)按語義細粒度標記等方面展開研究，支撐海量異構(gòu)數(shù)據(jù)的自動細粒度標記。

3.2 策略匹配

策略匹配方面：目前訪問控制策略匹配主要聚焦于XACML策略匹配和XML策略匹配兩類。

（1）XACML策略匹配研究主要包括3類：基于統(tǒng)計的策略順序調(diào)整、策略緩存、高效策略匹配結(jié)構(gòu)設計。基于統(tǒng)計的策略順序調(diào)整首先對策略/規(guī)則進行聚類，并依據(jù)策略訪問頻率對策略/規(guī)則類進行降序排列，確保優(yōu)先匹配經(jīng)常調(diào)用的策略[37-38]。策略緩存機制將頻繁調(diào)用的策略保存在高速單級或多級緩沖區(qū)中，避免從低速存儲區(qū)進行重復檢索[37-39]，并建立緩存索引，提高策略檢索速度。上述兩種方案未考慮嵌套層級等因素對策略匹配效率的影響，針對上述問題，學界提出了策略匹配結(jié)構(gòu)設計方法，該方法采用決策圖、決策樹等數(shù)據(jù)結(jié)構(gòu)對層級嵌套的策略/規(guī)則進行重新編排，并對數(shù)據(jù)類型進行轉(zhuǎn)化；基于圖/樹結(jié)構(gòu)，將策略匹配過程由順序匹配變?yōu)闃淦ヅ浠蛴啥纹ヅ渥優(yōu)橐淮纹ヅ洌档筒呗云ヅ鋸碗s度[40-42]。

（2）XML策略匹配研究主要包括3類：預處理、后處理和視圖方式。預處理匹配發(fā)生在數(shù)據(jù)查詢執(zhí)行前，通過訪問請求重寫等方式將用戶查詢請求轉(zhuǎn)化為被授權(quán)的安全請求，采用狀態(tài)自動機等方式進行策略匹配，降低了訪問請求的匹配時間[43-44]。后處理方式發(fā)生在數(shù)據(jù)查詢結(jié)果返回給用戶前，先在數(shù)據(jù)庫中執(zhí)行用戶的所有請求，再對非授權(quán)數(shù)據(jù)進行剪枝[45]，采用宏森林自動機等方式[46]實現(xiàn)單層/多層嵌套數(shù)據(jù)匹配；基于視圖的方式為每個用戶/角色建立視圖，并使用代數(shù)式增量、物化視圖同步等方式維護視圖，用戶基于視圖進行匹配，提高內(nèi)存利用率和匹配速度[47-49]。

現(xiàn)有訪問控制策略匹配主要聚焦于對匹配過程的優(yōu)化，未從策略優(yōu)化構(gòu)建的角度來提升匹配效率，需從訪問控制策略冗余消除、屬性約簡等方面展開研究，支撐多源訪問控制策略快速匹配。

3.3 策略沖突檢測

沖突檢測主要包括兩類：基于邏輯的沖突檢測和基于非邏輯的沖突檢測。基于邏輯的方式中，用邏輯系統(tǒng)（如Belnap邏輯、狀態(tài)修改邏輯）等來表達策略，而后設計基于邏輯的安全策略查詢高效評估算法，判斷不同策略的相容性。如果相容，則合成，否則基于反例生成等技術(shù)溯源沖突點[50-51]。基于非邏輯的策略沖突檢測方面，利用圖或樹等數(shù)據(jù)結(jié)構(gòu)表示訪問控制策略，并用圖/樹匹配等方式發(fā)現(xiàn)權(quán)限分配、傳遞等過程中的沖突，基于優(yōu)先級、交互式策略協(xié)商等方式自動或半自動消解策略[52-55]。在策略沖突檢測方面，Berkay等[56]提出了一種策略實施系統(tǒng)IoTGUARD系統(tǒng)用于識別IoT安全策略，針對單個應用或一組交互應用的動態(tài)模型實施相關(guān)策略并監(jiān)視策略的實施，能對違規(guī)策略及時有效處置。

但現(xiàn)有沖突檢測存在效率與可靠性間平衡問題，策略生成技術(shù)只適用于簡單語義環(huán)境，缺乏有效的策略分發(fā)與部署機制，未考慮不同節(jié)點間協(xié)同，需從復雜語義場景下策略自動生成、沖突檢測與快速消解、指令有序分發(fā)等方面展開研究，支撐跨層級、跨系統(tǒng)、跨域的訪問控制策略按需生成。

4 統(tǒng)一授權(quán)與延伸控制

授權(quán)確保數(shù)據(jù)使用者擁有為完成任務所必須具備的最小權(quán)限，延伸控制是對交換后數(shù)據(jù)的控制。針對海量多源異構(gòu)數(shù)據(jù)的授權(quán)和延伸控制的研究主要包括權(quán)限分配、權(quán)限自動調(diào)整和權(quán)限延伸控制等方面。

4.1 權(quán)限細粒度分配

目前學術(shù)界研究重點是云環(huán)境下基于屬性的權(quán)限分配。針對公共云存儲環(huán)境下單屬性授權(quán)中心的單點瓶頸和低效率問題，Xue等[57]設計了基于多屬性授權(quán)中心的授權(quán)框架，實現(xiàn)了安全高效授權(quán)。針對云存儲環(huán)境下權(quán)限動態(tài)變更導致的密文頻繁更新問題，王晶等[58]提出了面向云存儲的動態(tài)授權(quán)訪問控制機制，從而降低密文更新代價，提高了授權(quán)的靈活性。針對授權(quán)方不可信或遭受惡意攻擊的權(quán)限分配問題，關(guān)志濤等[59]提出基于屬性加密的多授權(quán)中心權(quán)限分配方案，提高系統(tǒng)授權(quán)效率。針對設備類型多樣、用戶身份多元等特點，Saxena等[60]設計了基于屬性的授權(quán)方案，大幅降低了通信和計算開銷，但方案未考慮授權(quán)過程的錯誤檢測與容錯性。基于KP-ABE（key-policy attribute-based encryption），考慮用戶關(guān)系動態(tài)變化，Zhang等[61]提出了權(quán)限動態(tài)分配方案。Bai等[62]提出了一種基于多域信息的新型角色挖掘框架，利用用戶間權(quán)限分配關(guān)系擴展了角色挖掘技術(shù)的能力。現(xiàn)有權(quán)限分配主要針對單域信任體系內(nèi)授權(quán)，未考慮多信任體制下權(quán)限分配，當前權(quán)限分配主要依據(jù)單一控制要素，未考慮傳播路徑等要素對權(quán)限分配的影響，需從多信任體制下多要素融合授權(quán)等方面展開研究，支撐跨信任域數(shù)據(jù)訪問權(quán)限的自動分配。

4.2 權(quán)限自動調(diào)整

目前訪問權(quán)限自動調(diào)整主要包括兩類：基于風險的權(quán)限調(diào)整和基于時間的權(quán)限調(diào)整。在基于風險的權(quán)限調(diào)整中，首先依據(jù)用戶場景，定義數(shù)據(jù)訪問所面臨的風險指標；而后計算權(quán)限調(diào)整前和調(diào)整后所帶來的風險，當風險小于預定閾值時，可調(diào)整訪問權(quán)限[63-66]。基于時間的權(quán)限調(diào)整方案中，首先設定用戶僅在某個時間域內(nèi)對數(shù)據(jù)的訪問權(quán)限，在系統(tǒng)執(zhí)行過程中，一旦在超出預定時間域，系統(tǒng)自動檢測并撤銷或調(diào)整已分配權(quán)限[67-68]。此外，Yan等[69]將上下文感知的信任與聲譽評估集成到加密系統(tǒng)，提出了基于信任的訪問控制方案，支持訪問權(quán)限隨策略動態(tài)變化而調(diào)整。綜上，現(xiàn)有訪問權(quán)限的調(diào)整主要基于風險和時間等要素，尚未做到權(quán)限隨訪問場景變化而自適應調(diào)整。

4.3 權(quán)限延伸控制

目前的研究主要聚焦于兩方面：基于起源的訪問控制（PBAC，provenance-based access control)和SP（sticky policy）技術(shù)。其中，PBAC將起源數(shù)據(jù)作為決策依據(jù)，保護起源敏感資源；SP采用密碼學技術(shù)將訪問控制策略綁定到數(shù)據(jù)中，確保數(shù)據(jù)流轉(zhuǎn)。在PBAC方面，Sandhu團隊[70-71]做出了一系列開創(chuàng)性工作，給出了形式化策略規(guī)約語言和模型、動態(tài)權(quán)責分離方案和實施框架。在SP技術(shù)中，Siani等[72]和Spyra等[73]使用加密機制將策略與數(shù)據(jù)相關(guān)聯(lián)，并對策略進行屬性編碼和匿名化處理以防止被惡意利用，為全生命周期內(nèi)數(shù)據(jù)訪問控制提供支持。但這些工作未限定使用哪些要素制定控制決策，未考慮審計信息，不能做到對數(shù)據(jù)非授權(quán)操作的溯源。未來需從延伸策略綁定、共享過程監(jiān)測、異常共享溯源等方面展開研究，支撐數(shù)據(jù)全生命周期的可管可控。

5 結(jié)束語

隨著網(wǎng)絡技術(shù)、通信技術(shù)、安全技術(shù)的發(fā)展，以及信息利用方式的持續(xù)演進，業(yè)界期望滿足“數(shù)據(jù)跨域行、按需受控用”的應用需求，確保安全受控用。本文根據(jù)國內(nèi)外最新研究，對跨域數(shù)據(jù)流動中的訪問控制技術(shù)進行了總結(jié)和展望，結(jié)合復雜應用環(huán)境下的訪問控制，綜述了訪問控制模型、數(shù)據(jù)訪問安全模型的發(fā)展，分析了訪問控制策略管理、統(tǒng)一授權(quán)管理、延伸控制等方面的研究現(xiàn)狀，總結(jié)了存在的問題。

[1] HONG J N, XUE K P, XUE Y G, et al. TAFC: time and attribute factors combined access control for time-sensitive data in public cloud[J]. IEEE Transactions on Services Computing, 2017.

[2] XUE Y J, HONG J N, LI W, et al. LABAC: a location-aware attribute-based access control scheme for cloud storage[C]// Proceedings of Global Communications Conference (GLOBECOM). 2016: 1-6.

[3] DECAT M, LAGAISSE B, JOOSEN W. Scalable and secure concurrent evaluation of history-based access control policies[C]//Proceedings of ACM Computer Security Applications Conference (ACSAC), 2015: 281-290.

[4] YIANNIS V. Context-aware Policy Enforcement for PaaS-enabled Access Control[J]. IEEE Transactions on Cloud Computing , 2019.

[5] WANG Y C, LI F H, XIONG J B, et al. Achieving lightweight and secure access control in multi-authority cloud[C]//Proceedings of IEEE International Conference on Trust, Security and Privacy in Computing and Communications (TRUSTCOM). 2015: 459-466.

[6] ATLAM H F, ALENEZI A, WALTERS R J, et al. Developing an adaptive Risk-based access control model for the internet of things[C]//Proceedings of IEEE International Conference on Internet of Things (iThings). 2017.

[7] 楊騰飛, 申培松, 田雪, 等. 對象云存儲中分類分級數(shù)據(jù)的訪問控制方法[J]. 軟件學報, 2017, 28(9): 2334-2353.

YANG T F, SHEN P S, TIAN X, et al. Access control mechanism for classified and graded object storage in cloud computing[J]. Journal of Software, 2017, 28(9): 2334-2353.

[8] LIU J K, AU M H, HUANG X Y, et al. Fine-grained two-factor access control for web-based cloud computing services[J]. IEEE Transactions on Information Forensics and Security, 2016, 11(3): 484-497.

[9] ALAM Q, MALIK S U R, AKHUNZADA A, et al. A cross tenant access control (CTAC) model for cloud computing: formal specification and verification[J]. IEEE Transactions on Information Forensics and Security, 2017, 12(6): 1259-1268.

[10] 孫奕, 陳性元, 杜學繪, 等. 一種具有訪問控制的云平臺下外包數(shù)據(jù)流動態(tài)可驗證方法[J]. 計算機學報, 2017, 40(2): 337-350.

SUN Y, CHEN X Y, DU X H, et al. Dynamic authenticated method for outsourcing data stream with access control in cloud[J]. Chinese Journal of Computers, 2017, 40(2): 337-350.

[11] RONIT N. PolTree: a data structure for making efficient access decisions in ABAC[C]//Proceedings of the 24th ACM Symposium on Access Control Models and Technologies. 2019.

[12] CHENG Y, PARK J, SANDHU R. An access control model for online social networks using user-to-user relationships[J]. IEEE Transactions on Dependable and Secure Computing, 2016, 13(4): 424-436.

[13] SQUICCIARINI A C, LIN D, SUNDARESWARAN S, et al. Privacy policy inference of User-Uploaded images on content sharing sites[J]. IEEE Transactions on Knowledge and Data Engineering, 2015, 27(1): 193-206.

[14] LI F H, WANG W, MA J F, et al. Action-based access control model[J]. Chinese Journal of Electronics, 2008, 17(3):396-401.

[15] 李鳳華, 王彥超, 殷麗華, 等. 面向網(wǎng)絡空間的訪問控制模型[J]. 通信學報, 2016, 37(5): 9-20.

LI F H, WANG Y C, YING L H, et al. Novel cyberspace-oriented access control model[J]. Journal on Communications, 2016, 37(5): 9-20.

[16] 李鳳華, 熊金波. 復雜網(wǎng)絡環(huán)境下訪問控制技術(shù)[M]. 北京: 人民郵電出版社, 2015.12.

LI F H, XIONG J B. Access control technology for complex network environment[M]. Beijing: POSTS & TELECOM PRESS Co., LTD., 2015.12.

[17] 李鳳華, 蘇铓, 史國振, 等. 訪問控制模型研究進展及發(fā)展趨勢[J]. 電子學報, 2012, 40(4): 805-813.

LI F H, SU M, SHI G Z, et al. Research status and development trends of access control model[J]. Acta Electronica Sinica, 2012, 40(4): 805-813.

[18] 林果園, 賀珊, 黃皓, 等. 基于行為的云計算訪問控制安全模型[J]. 通信學報, 2012, 33(3): 59-66.

LIN G Y, HE S, HUANG H, et al. Behavior-based cloud computing access control security model[J]. Journal on Communications, 2012, 33(3): 59-66.

[19] 吳澤智, 陳性元, 楊智, 等. 信息流控制研究進展. 軟件學報, 2017, 28(1): 135-159.

WU Z Z, CHEN X Y, YANG Z, et al. Survey on information flow control[J]. Journal of Software, 2017, 28(1): 135-159.

[20] GIACOBAZZI R, MASTROENI I. Abstract non-interference: a unifying framework for weakening information-flow[J]. ACM Transactions on Privacy and Security, 2018, 21(2): 1-31.

[21] NIELSON H, NIELSON F. Content dependent information flow control[J]. Journal of Logical and Algebraic Methods in Programming, 2017, 87: 6-32.

[22] ZHANG J. Cellular clustering-based interference-aware data transmission protocol for underwater acoustic sensor networks[J]. IEEE Transactions on Vehicular Technology (2020).

[23] 蘇铓, 李鳳華, 史國振. 基于行為的多級訪問控制模型[J]. 計算機研究與發(fā)展, 2014, 51(7): 1604-1613.

SU M, LI F H, SHI G Z. Action-based multi-level access control model[J]. Journal of Computer Research and Development, 2014, 51(7): 1604-1613.

[24] LI F H, LI Z F, HAN W L, et al. Cyberspace-oriented access control: model and policies[C]//Proceedings of IEEE International Conference on Data Science in Cyberspace (DSC). 2017: 261-266.

[25] YU H, JAIN P, KAR P, et al. Large-scale multi-label learning with missing labels[C]//Proceedings of International conference on machine learning (ICML). 2014: 593-601.

[26] CONG Y, SUN G, LIU J, et al. User attribute discovery with missing labels[J]. Pattern Recognition, 2018, 73: 33-46.

[27] GUO K H. LCC: towards efficient label completion and correction for supervised medical image learning in smart diagnosis[J]. Journal of Network and Computer Applications, 2019(133): 51-59.

[28] YIN Y F, SHEN Z J, ZHANG L M, et al. Spatial-temporal tag mining for automatic geospatial video annotation[J]. ACM Transactions on Multimedia Computing, Communications, and Applications, 2015, 11(2).

[29] XU Z Y, STOLLER S D. Mining attribute-based access control policies[J]. IEEE Transactions on Dependable and Secure Computing, 2015, 12(5): 533-545.

[30] YANG Y, YANG Y, SHEN H T. Effective transfer tagging from image to video[C]//ACM Transactions on Multimedia Computing, Communications and Applications, 2013, 9(2).

[31] 王瑜, 武延軍, 吳敬征, 等. 基于異構(gòu)網(wǎng)絡面向多標簽系統(tǒng)的推薦模型研究[J]. 軟件學報, 2017, 28(10): 2611-2624.

WANG Y, WU Y J, WU Y Z, et al. Multi-dimensional tag recommender model via heterogeneous networks[J]. Journal of Software, 2017, 28(10): 2611-2624.

[32] XIN G. Label distribution learning[J]. IEEE Transactions on Knowledge and Data Engineering, 2016, 28(7): 1734-1748.

[33] LI S W, PURUSHOTHAM S, CHEN C, et al. Measuring and predicting tag importance for image retrieval[J]. IEEE Transactions on Pattern Analysis and Machine Intelligence, 2017, 39(12): 2423-2436.

[34] WANG G. Hmo: ordering RFID tags with static devices in mobile environments[J]. IEEE Transactions on Mobile Computing, 2019(9): 74-89.

[35] 吳迎紅, 黃皓, 曾慶凱. 面向服務訪問控制策略精化描述[J]. 計算機研究與發(fā)展, 2014, 51(11): 2470-2482.

WU Y H, HUANG H, ZENG Q K. Description of service oriented access control policy refinement[J]. Journal of Computer Research and Development, 2014, 51(11): 2470-2482.

[36] 林莉, 懷進鵬, 李先賢. 基于屬性的訪問控制策略合成代數(shù)[J]. 軟件學報, 2009, 20(2): 403-414.

LIN L, HUAI P J, LI X X. Attribute-based access control policies composition algebra[J]. Journal of Software, 2009, 20(2): 403-414.

[37] MAROUF S, SHEHAB M, SQUICCIARINI A, et al. Adaptive reordering and clustering-based framework for efficient XACML policy evaluation[J]. IEEE Transactions on Services Computing, 2011, 4(4): 300-313.

[38] 牛德華, 馬建峰, 馬卓, 等. 基于統(tǒng)計分析優(yōu)化的高性能XACML策略評估引擎[J]. 通信學報, 2014, 35(8): 206-215.

NIU D H, MA J F, MA Z, et al. HPEngine: high performance XACML policy evaluation engine based on statistical analysis[J]. Journal on Communications, 2014, 35(8): 206-215.

[39] 王雅哲, 馮登國, 張立武, 等. 基于多層次優(yōu)化技術(shù)的XACML策略評估引擎[J]. 軟件學報, 2011, 22(2): 323-338.

WANG Y Z, FENG D G, ZHANG L W, et al. XACML policy evaluation engine based on multi-level optimization technology[J]. Journal of Software, 2011, 22(2): 323-338.

[40] NGO C, DEMCHENKO Y, LAAT C. Decision diagrams for XACML policy evaluation and management[C]//Computers & Security. 2015: 1-16.

[41] ROSS P, LISCHKAM, MARMOL F G. Graph-based XACML evaluation[C]//Proceedings of ACM symposium on Access Control Models and Technologies (SACMAT). 2012: 83-92.

[42] LIU A X, CHEN F, HWANG J H, Et al. Designing fast and scalable XACML policy evaluation engines[J]. IEEE Transactions on Computers, 2011, 60(12): 1802-1817.

[43] LOU B, LEE D, LEE W C, et al. Qfilter: rewriting insecure XML queries to secure ones using non-deterministic finite automata[J]. The International Journal on Very Large Data Bases, 2011, 20(3): 397-415.

[44] FAN D. Establishment of rule dictionary for efficient XACML policy management[J]. Knowledge-Based Systems, 2019(175): 26-35.

[45] DIAO Y, FISCHER P, FRANKLIN M J, et al. YFilter: efficient and scalable filtering of XML documents[C]//Proceedings of International Conference on Data Engineering (ICDE). 2002: 341-342.

[46] HAKUTA S, MANETH S, NAKANO K, et al. XQuery streaming by forest transducers[C]//Proceedings of International Conference on Data Engineering (ICDE). 2014: 952-963.

[47] WU X Y, THEODORATOS D, KEMENTSIETSIDIS A. Configuring bitmap materialized views for optimizing XML queries[J]. World Wide Web, 2015, 18(3): 607-632.

[48] BONIFATI A, GOODFELLOW M, MANOLESCU I, et al. Algebraic incremental maintenance of XML views[J]. ACM Transactions on Database Systems, 2013, 38(3): 177-188.

[49] THIMMA M, LIU F, LIN J Q, et al. HyXAC: hybrid XML access control integrating view-based and query-rewriting approaches[J]. IEEE Transactions on Knowledge and Data Engineering, 2015, 27(8): 2190-2202.

[50] BRUNS G, HUTH M. Access control via Belnap logic: intuitive, expressive, and analyzable policy composition[J]. ACM Transactions on Information and System Security, 2011, 14(1): 1-27.

[51] 吳迎紅, 黃皓, 呂慶偉, 等. 基于開放邏輯R反駁計算的訪問控制策略精化[J]. 軟件學報, 2015, 26(6): 1534-1556.

WU Y H, HUANG H, LYU Q W, et al. Access control policy refinement technology based on open logic r-refutation calculus[J]. Journal of Software, 2015, 26(6): 1534-1556.

[52] HU H X, AHN G, JORGENSEN J. Multiparty access control for online social networks: model and mechanisms[J]. IEEE Transactions on Knowledge and Data Engineering, 2013, 25(7): 1614-1627.

[53] SUCH J M, CRIADO N. Resolving multi-party privacy conflicts in social media[J]. IEEE Transactions on Knowledge and Data Engineering, 2016, 28(7): 1851-1863.

[54] SARKIS L C, SILVA V T D, BRAGA C. Detecting indirect conflicts between access control policies[C]//Proceedings of Annual ACM Symposium on Applied Computing (SAC). 2016: 1570-1572.

[55] 李瑞軒, 魯劍鋒, 李添翼, 等. 一種訪問控制策略非一致性沖突消解方法[J]. 計算機學報, 2013, 36(6): 1210-1223.

LI R X, LU J F, LI T Y, et al. An approach for resolving inconsistency conflicts in access control policies[J]. Chinese Journal of Computers, 2013, 36(6): 1210-1223.

[56] BERKAY C Z, TAN G, MCDANIEL P D. IoTGuard: dynamic enforcement of security and safety policy in commodity IoT[C]//NDSS. 2019.

[57] XUE K P, XUE Y J, HONG J N, et al. RAAC: robust and auditable access control with multiple attribute authorities for public cloud storage[J]. IEEE Transactions on Information Forensics and Security, 2017, 12(4): 953-967.

[58] 王晶, 黃傳河, 王金海. 一種面向云存儲的動態(tài)授權(quán)訪問控制機制[J]. 計算機研究與發(fā)展, 2016, 53(4): 904-920.

WANG J, HUANG C H, WANG J H. An access control mechanism with dynamic privilege for cloud storage[J]. Journal of Computer Research and Development, 2016, 53(4): 904-920.

[59] 關(guān)志濤, 楊亭亭, 徐茹枝, 等. 面向云存儲的基于屬性加密的多授權(quán)中心訪問控制方案[J]. 通信學報, 2015, 36(6): 116-126.

GUAN Z T, YANG T T, XU R Z, et al Multi-authority attribute-based encryption access control model for cloud storage[J]. Journal on Communications, 2015, 36(6): 116-126.

[60] SAXENA N, CHOI B J, LU R. Authentication and authorization scheme for various user roles and devices in smart grid[J]. IEEE Transactions on Information Forensics and Security, 2016, 11(5): 907-921.

[61] ZHANG Y, CHEN J, DU R Y, et al. FEACS: a flexible and efficient access control scheme for cloud computing[C]//Proceedings of IEEE International Conference on Trust, Security and Privacy in Computing and Communications (TRUSTCOM). 2015: 310-319.

[62] BAI W. RMMDI: a novel framework for role mining based on the multi-domain information[C]//Security and Communication Networks 2019.

[63] KHAMBHAMMETTU H, BOULARES S, ADI K, et al. A framework for risk assessment in access control systems[J]. Computers & Security, 2013, 39: 86-103.

[64] MIETTINEN M, HEUSER S, KRONZ W, et al. ConXsense: automated context classification for context-aware access control[C]//Proceedings of ACM Symposium on Information, Computer and Communications Security (ASIA CCS). 2014: 293-304.

[65] SANTOS D, RICARDO D, WESTPHALL C M, et al. A dynamic risk-based access control architecture for cloud computing[C]//Proceedings of Asia-Pacific Network Operations and Management Symposium (NOMS). 2014: 1-9.

[66] 惠榛, 李昊, 張敏, 等. 面向醫(yī)療大數(shù)據(jù)的風險自適應的訪問控制模型[J]. 通信學報, 2015, 36(12): 190-199.

HUI Z, LI H, ZHANG M, et al. Risk-adaptive access control model for big data in healthcare[J]. Journal on Communications, 2015, 36(12): 190-199.

[67] NING J T, CAO Z F, DONG X L, et al. Auditable -time outsourced attribute-based encryption for access control in cloud computing[J]. IEEE Transactions on Information Forensics and Security, 2018, 13(1): 94-105.

[68] YANG K, LIU Z, JIA X H, et al. Time-domain attribute-based access control for cloud-based video content sharing: a cryptographic approach[J]. IEEE Transactions on Multimedia, 2016, 18(5): 940-950.

[69] YAN Z, LI X Y, WANG M J. Flexible data access control based on trust and reputation in cloud computing[J]. IEEE Transactions on Cloud Computing, 2017, 5(3): 485-498.

[70] NGUYEN D, PARK J, SANDHU R. A provenance-based access control model for dynamic separation of duties[C]//Proceedings of International Conference on Privacy, Security and Trust (PST). 2013: 247-256.

[71] SUN L, PARK J, NGUYEN D, et al. A provenance-aware access control framework with typed provenance[J]. IEEE Transactions on Dependable and Secure Computing, 2016, 13(4): 411-423.

[72] SIANI P, CASASSA-MONT M. Sticky policies: an approach for managing privacy across multiple parties[C]//Computer, 2011, 44(9): 60-68.

[73] SPYRA G, BUCHANAN W J, EKONOMOU E. Sticky policies approach within cloud computing[J]. Computers & Security, 2017, 70: 366-375.

Research on cross-domain access control technology

ZHU Tianyi1,2, LI Fenghua1,2, CHENG Lin3, GUO Yunchuan1,2

1. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100195, China 2. School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049, China 3. China Information Technology Security Evaluation Center, Beijing 100085, China

Based on the latest research at home and abroad, the access control technology in cross-domain data flow were summarized and prospected. Firstly, combined with access control in complex application environments, the development of access control models and data security modelswere summarized. The advantages and disadvantages of access control policy management were analyzed. Secondly, the research on access control policy management from the aspects of data marking, policy matching and policy conflict detection were discussed respectively. Finally, the research status of data marking technology and authorization and extension control technology in unified authorization management were summarized.

cross-domain data flow, access control model, policy authorization management

TN 929

A

10.11959/j.issn.2096?109x.2021003

2020?05?08；

2020?07?21

諸天逸，zhutianyi@iie.ac.cn

國家重點研發(fā)計劃（2016QY06X1203）；國家自然科學基金（U1836203）；山東省重點研發(fā)計劃（重大科技創(chuàng)新工程）（2019JZZY020127）

The National Key Research and Development Program of China (2016QY06X1203), The National Natural Science Foundation of China (U1836203), Shandong Provincial Key Research and Development Program (2019JZZY020127)

諸天逸, 李鳳華, 成林, 等. 跨域訪問控制技術(shù)研究[J]. 網(wǎng)絡與信息安全學報, 2021, 7(1): 20-27.

ZHU T Y, LI F H, CHENG L, et al. Research on cross-domain access control technology[J]. Chinese Journal of Network and Information Security, 2021, 7(1): 20-27.

諸天逸（1995? ），男，江蘇無錫人，中國科學院信息工程研究所博士生，主要研究方向為跨域訪問控制。

李鳳華（1966? ），男，湖北浠水人，博士，中國科學院信息工程研究所研究員、博士生導師，主要研究方向為網(wǎng)絡與系統(tǒng)安全、大數(shù)據(jù)安全與隱私保護、密碼工程。

成林（1983? ），男，河北邢臺人，博士，中國信息安全測評中心助理研究員，主要研究方向為云計算安全、大數(shù)據(jù)安全。

郭云川（1977?），男，四川營山人，中國科學院信息工程研究所正研級高級工程師、博士生導師，主要研究方向為訪問控制、形式化方法。