云計(jì)算下動(dòng)態(tài)用戶信任度的屬性訪問(wèn)控制

◆黎佳

（廣東科學(xué)技術(shù)職業(yè)學(xué)院 廣東 519000）

在開(kāi)放的云計(jì)算系統(tǒng)中，如何約束參與者行為是一個(gè)很困難的問(wèn)題，動(dòng)態(tài)用戶信任度的屬性訪問(wèn)控制顯得尤為重要。云計(jì)算平臺(tái)應(yīng)該鼓勵(lì)良好行為，并及時(shí)阻止惡意行為，避免惡意行為產(chǎn)生的安全風(fēng)險(xiǎn)，云計(jì)算信用度模型目前被研究人員廣泛研究，在開(kāi)放的互聯(lián)網(wǎng)環(huán)境下，如云計(jì)算、網(wǎng)上金融交易、電子商務(wù)市場(chǎng)等得到了廣泛的應(yīng)用[1]。在訪問(wèn)控制系統(tǒng)中，主體是一個(gè)活躍的實(shí)體，通常以人、進(jìn)程或設(shè)備的形式存在，它可以對(duì)系統(tǒng)執(zhí)行操作，使信息在對(duì)象之間流動(dòng)，從而改變系統(tǒng)的狀態(tài)。

1 不同安全策略的訪問(wèn)控制模型

授權(quán)系統(tǒng)技術(shù)的存在已經(jīng)存在了幾十年，技術(shù)從簡(jiǎn)單到復(fù)雜，從理論到實(shí)踐，經(jīng)歷了巨大的變化。由于不同安全策略的需求差異，下面討論了不同的訪問(wèn)安全模型。

1.1 任意訪問(wèn)控制模型

任意訪問(wèn)控制模型是一種以用戶為中心的常規(guī)訪問(wèn)控制模型，它允許通過(guò)用戶的身份和授權(quán)給對(duì)象的信息來(lái)限制存儲(chǔ)在對(duì)象中的信息。任意訪問(wèn)控制模型通常比其他訪問(wèn)控制模型提供更少的安全性，因此，在更高級(jí)別的安全性的環(huán)境中使用，而不是主要的擔(dān)憂。任意訪問(wèn)控制模型容易被利用，以其已知的可訪問(wèn)性而不是其他模型。該模型應(yīng)用于各種操作系統(tǒng)，如UNIX 和基于Windows 的平臺(tái)。任意訪問(wèn)控制是自由裁量的，因?yàn)閷?duì)象的所有者負(fù)責(zé)管理訪問(wèn)權(quán)限。此外，可以使用基于身份的訪問(wèn)控制矩陣（ACM）實(shí)現(xiàn)任意訪問(wèn)控制模型。

1.2 強(qiáng)制訪問(wèn)控制模型

強(qiáng)制訪問(wèn)控制是傳統(tǒng)的降低用戶訪問(wèn)權(quán)限的模式。在強(qiáng)制訪問(wèn)控制中，一個(gè)至高無(wú)上的權(quán)威負(fù)責(zé)對(duì)受試者的訪問(wèn)分辨率，請(qǐng)求訪問(wèn)對(duì)象。與任意訪問(wèn)控制模型不同，強(qiáng)制訪問(wèn)控制模型控制了信息的移動(dòng)，因?yàn)樗鼣r截了從一個(gè)用戶到另一個(gè)用戶的信息傳播。對(duì)于在對(duì)象之間的有效信息，強(qiáng)制訪問(wèn)控制將一個(gè)訪問(wèn)類(lèi)分配給每個(gè)主題和對(duì)象。訪問(wèn)類(lèi)是一種安全級(jí)別，用于在對(duì)象和對(duì)象之間確保信息的安全性。根據(jù)信息的漏洞，安全標(biāo)簽將被用來(lái)稱為對(duì)象分類(lèi)，主體之間的相關(guān)性是安全級(jí)別，用來(lái)反映主體的可信度。強(qiáng)制訪問(wèn)控制模型的基本原理是根據(jù)受試者的批準(zhǔn)和對(duì)象的分類(lèi)來(lái)控制訪問(wèn)。強(qiáng)制訪問(wèn)控制模型也可以被稱為多級(jí)訪問(wèn)控制，因?yàn)榧?jí)別越高，信息的一致性就越高，分類(lèi)為非機(jī)密的、機(jī)密的、秘密的和絕密的。

1.3 基于角色的訪問(wèn)控制模型

基于角色的訪問(wèn)控制模型的出現(xiàn)，被認(rèn)為是一種控制不同資源獲取的自然方式?；诮巧脑L問(wèn)控制模型以及基于角色和權(quán)限擴(kuò)展訪問(wèn)權(quán)限，擁有大量用戶和權(quán)限的組織可以獲得管理安全性，為分配訪問(wèn)權(quán)限提供了安全的環(huán)境?；诮巧脑L問(wèn)控制提供了一種機(jī)制，用于降低向企業(yè)內(nèi)的用戶分配權(quán)限的復(fù)雜性和成本，其另一個(gè)基本特征是角色是分等級(jí)的，角色權(quán)限繼承自父本。

與任意訪問(wèn)控制和強(qiáng)制訪問(wèn)控制模型相比，基于角色的訪問(wèn)控制模型有許多優(yōu)勢(shì)，但在云計(jì)算環(huán)境中使用基于角色的訪問(wèn)控制之前，必須確保在合理的時(shí)間內(nèi)根據(jù)系統(tǒng)要求做出訪問(wèn)決策。它不支持任務(wù)與角色的主動(dòng)分離，因此提供了被動(dòng)訪問(wèn)控制模型。不支持動(dòng)態(tài)激活特定任務(wù)的訪問(wèn)權(quán)限，不包括時(shí)間和位置限制，以利用對(duì)系統(tǒng)文件的受限訪問(wèn)，并最大限度減少信息泄漏的可能性。由于云計(jì)算的動(dòng)態(tài)性和開(kāi)放性，基于角色的訪問(wèn)控制可能無(wú)法確保對(duì)云資源的安全訪問(wèn)。

1.4 基于屬性的訪問(wèn)控制模型

基于屬性的訪問(wèn)控制依賴于分配給主體、對(duì)象和環(huán)境條件的一組屬性，還包括一組用于做出訪問(wèn)決策的策略。具體來(lái)說(shuō)，基于屬性的訪問(wèn)控制允許基于系統(tǒng)中主體和對(duì)象的現(xiàn)有特征來(lái)創(chuàng)建訪問(wèn)策略，與傳統(tǒng)的訪問(wèn)控制模型不同，基于屬性的訪問(wèn)控制不要求系統(tǒng)管理員手動(dòng)管理角色、所有權(quán)或安全標(biāo)簽，對(duì)象的屬性來(lái)自其元數(shù)據(jù)，屬性可以是用戶的位置、用戶的角色、用戶的年齡、出生日期或所有這些。一個(gè)屬性被測(cè)量為在系統(tǒng)中使用的不同值，并且在所有屬性的值和一組允許或拒絕訪問(wèn)的策略之間進(jìn)行比較。

1.5 基于信任度的訪問(wèn)控制模型

基于信任度的訪問(wèn)控制模型是一種依賴于主體信任度的訪問(wèn)控制模型。對(duì)對(duì)象的訪問(wèn)被認(rèn)為是僅基于主體的信任度來(lái)提供的，不同的參數(shù)可以用來(lái)量化信任?？紤]主體的信任值，然后將其與閾值進(jìn)行比較，如果發(fā)現(xiàn)超過(guò)閾值，則授權(quán)訪問(wèn)，否則拒絕訪問(wèn)。

2 云計(jì)算下的訪問(wèn)控制

云計(jì)算作為一個(gè)動(dòng)態(tài)和開(kāi)放的環(huán)境，需要一個(gè)高度密集的訪問(wèn)控制系統(tǒng)來(lái)防止非法用戶訪問(wèn)云資源，如圖1所示。這樣的訪問(wèn)控制系統(tǒng)應(yīng)該能夠處理云用戶的動(dòng)態(tài)和隨機(jī)行為[2]。傳統(tǒng)的訪問(wèn)控制模型可能無(wú)法滿足云計(jì)算環(huán)境的所有安全要求。正因?yàn)槿绱?，云?jì)算環(huán)境中的傳統(tǒng)訪問(wèn)控制模型會(huì)遇到一些關(guān)鍵問(wèn)題，如異構(gòu)性、服務(wù)多樣性、屬性管理缺乏靈活性、互操作性、能力委托、策略管理和可擴(kuò)展性[3]。云計(jì)算是一個(gè)開(kāi)放的共享環(huán)境，本質(zhì)上是可擴(kuò)展的，云計(jì)算中的敏感信息更有可能在不同的實(shí)體之間共享，需要魯棒的隔離和高效的訪問(wèn)控制機(jī)制。傳統(tǒng)的訪問(wèn)控制模型無(wú)法承受云用戶的動(dòng)態(tài)和隨機(jī)行為，現(xiàn)有的解決方案可能無(wú)助于解決問(wèn)題，因?yàn)樗鼈兛赡軐?zhuān)注于特定平臺(tái)或環(huán)境中的特定問(wèn)題。新的訪問(wèn)控制系統(tǒng)可以從零開(kāi)始提出、設(shè)計(jì)和開(kāi)發(fā)，或者實(shí)踐各種各樣的現(xiàn)有模型和技術(shù)來(lái)組成一個(gè)訪問(wèn)控制系統(tǒng)，以滿足有效和高效的云環(huán)境的需求。

圖1 云計(jì)算環(huán)境下的訪問(wèn)控制系統(tǒng)

基于屬性的訪問(wèn)控制適用于高度分布式的動(dòng)態(tài)環(huán)境，由于訪問(wèn)控制策略的規(guī)范和維護(hù)，它具有很高的復(fù)雜性。事實(shí)上大型開(kāi)放分布式系統(tǒng)需要大量的用戶、屬性和策略，這使得管理如此大量的策略（即策略挖掘和策略工程）變得非常困難。類(lèi)似地，在基于屬性的訪問(wèn)控制系統(tǒng)中，包含多個(gè)屬性源，會(huì)導(dǎo)致由于評(píng)估屬性的信任價(jià)值和確保不同的屬性源使用相同命名空間和數(shù)據(jù)類(lèi)型的兼容屬性作為公共屬性而可能出現(xiàn)的困難。對(duì)基于屬性的訪問(wèn)控制系統(tǒng)的分析，需要考慮所有可能的單個(gè)屬性和相應(yīng)值的組合，因此會(huì)導(dǎo)致存儲(chǔ)問(wèn)題。主體需要向系統(tǒng)認(rèn)證其身份，然后向系統(tǒng)提供必要的屬性，以便訪問(wèn)云資源。

3 實(shí)驗(yàn)結(jié)果

為了實(shí)現(xiàn)和評(píng)估所提出的模型，設(shè)計(jì)了一個(gè)基于Web 的應(yīng)用程序來(lái)說(shuō)明。假設(shè)應(yīng)用程序和數(shù)據(jù)等資源存儲(chǔ)在云資源上，最初使用不同的信任參數(shù)來(lái)評(píng)估經(jīng)過(guò)身份驗(yàn)證的用戶的行為，并且根據(jù)0 到1范圍內(nèi)的總信任值，授予或拒絕對(duì)資源的訪問(wèn)。在注冊(cè)時(shí)，用戶的初始信任值被分配為0.5 作為靜態(tài)值，該靜態(tài)值隨后根據(jù)用戶在系統(tǒng)中的行為而改變，角色和任務(wù)被分配給用戶，并按照?qǐng)?zhí)行分配的任務(wù)所需的權(quán)限數(shù)量進(jìn)行分組。其中多個(gè)用戶向系統(tǒng)注冊(cè)，并且對(duì)于與系統(tǒng)的每次交互，用戶行為被量化。

4 總結(jié)

該模型采用角色和任務(wù)的概念，從具有實(shí)時(shí)安全管理的任務(wù)的角度建立動(dòng)態(tài)訪問(wèn)控制模型。這項(xiàng)工作的新穎之處在于，所提出的授權(quán)模型促進(jìn)了角色、任務(wù)和信任計(jì)算的原則，以實(shí)現(xiàn)訪問(wèn)控制策略，從而確保只有授權(quán)用戶才被允許訪問(wèn)云資源，信任計(jì)算被認(rèn)為是實(shí)踐當(dāng)前和過(guò)去經(jīng)驗(yàn)的可測(cè)量的東西，以做出準(zhǔn)確的決策。在所提出的方案中，引入了信任的概念，它驅(qū)動(dòng)高效的決策，并在用戶和云資源之間建立可靠的關(guān)系。所提出的系統(tǒng)基于用戶信任值以及權(quán)限、任務(wù)和角色的分配來(lái)提供對(duì)云數(shù)據(jù)和資源的訪問(wèn)，在云計(jì)算環(huán)境下形成動(dòng)態(tài)授權(quán)模式。