基于合約的Web服務個性化訪問控制方法①

胡 斌 趙曉芳 宋永浩 于 雷 段東圣 張 程

(*中國科學院計算技術研究所 北京100190)

(**中國科學院大學 北京100049)

(***國家計算機網絡應急技術處理協調中心 北京100029)

0 引言

基于信任的動態訪問控制(trust based access control,TBAC)[1-2]是解決Web服務與用戶之間脆弱的信任關系[3]的一種重要方法。它基于用戶的歷史行為表現,結合服務提供商(service provider,SP)自定義的數據分析模型動態給出一個標量值作為調整訪問控制權限的依據。

然而,無中心網絡環境下,用戶歷史行為數據的準確收集是一項困難的工作。一方面,不存在中心化的機構或者服務來收集用戶的歷史行為數據。用戶與服務之間交互所產生的行為數據,往往分散在許多不同的服務之中。因此,指定用戶的行為數據收集是一項困難的工作[4-5]。另一方面,準確和全面的數據收集又與網絡用戶的隱私保護訴求沖突[3]。此外,圍繞個性化訪問控制研究,普遍停留在以角色或行為組為單位的層面。陸悠等人[6]及錢繼安等人[7]在研究中通過建立策略、規范與角色之間的映射關鍵,實現以角色為粒度的粗放型個性化訪問控制。Zerkouk 等人[8]雖然提出了基于用戶行為的細粒度個性化訪問控制,監控信息卻違背了用戶對隱私保護的訴求。如何調和數據收集及分享和隱私保護之間的沖突是制約動態訪問控制技術發展的難點。

本文經過問題分析和基于前期研究[9]基礎,提出一種基于合約的個性化動態訪問控制方法(smart contract based personalized access control,SC-PAC)。該方法中,SP 與用戶建立智能合約,并通過合約內的權益及規則定義,建立個性化訪問控制關系。用戶訪問Web服務前,通過合約在用戶本地自動運行SP 提供的計算模型,分析用戶的歷史行為數據,將計算結果反饋給SP 作為動態訪問控制的依據。這種方式在滿足SP 對用戶行為數據準確性要求的同時,也滿足了用戶對自身行為數據的隱私保護訴求。此外,基于SC-PAC 的訪問控制方法通過允許SP 配置和調整智能合約內的策略、模型和參數,可以有效提升SP 對用戶的個性化訪問控制,極大提升服務的安全防護程度。

本文組織如下,第1 節是相關研究工作,第2 節描述SC-PAC 設計,第3 節進行案例與實驗設計以及結果分析,最后在第4 節總結全文。

1 相關研究

1.1 TBAC

信任是社會關系中的重要方面,在安全領域、數據訪問領域、推薦系統等方面都有著重要的影響力。TBAC 就是這種社會關系在數據訪問領域融合的表現。區別于傳統的訪問控制技術,TBAC 在社會關系的動態性認識上向前邁出了一步。相較于其他的動態訪問控制技術,TBAC 則通過對用戶在社會關系中的可信度評估來分析和判斷應該分配怎樣的權限以及是否需要調整現有權限。

基于TBAC 的應用研究眾多,Sajjad 等人[10]提出一種基于鄰居節點可信度計算的方法來執行入侵檢測并在信任計算與安全等級之間建立了標量連接。Adams 等人[11]則將TBAC 運用到了Ad-hoc 網絡的協作,它綜合節點的歷史交互數據以及其他反饋信息評估節點可信度,動態建立協作。Toumi 等人[12]運用TBAC 管理多組織環境中的用戶和組織機構,引入兩種動態信任向量并基于知識、聲譽以及經驗分別進行計算和評估。Yan 等人[13]將TBAC運用到云計算領域,通過研究云服務提供商之間的信任關系來提升安全資源保護。Tran 等人[14]在研究中提出通過直接信任、間接信任、直接貢獻以及間接貢獻等指標來評估訪問權限的方法。Yu 等人[15]則指出,推薦、看法等不確定性信息會影響模型的計算結果可靠性。更重要的是,用戶行為數據收集與用戶的隱私保護訴求有沖突。Bedekar 等人[3]在研究中指出了用戶信息在隱私保護方面面臨的一些挑戰,例如個人隱私數據的售賣。為解決前述問題,Hu 等人[9]在研究中提出新的方法為計算模型提供可靠的用戶歷史行為數據和隱私保護的數據分享方法。

1.2 智能合約

合約是提供服務的一種重要方式。Ruohomaa和Kutvonen[16]指出,通過明確表達隱含期望的合約可以鼓勵更多的信任進而減少不確定性。然而,合約通常與商業服務內容密切相關。例如,Schnjakin等人[17]以合約形式呈現服務和業務,給用戶一個清晰的服務內容。由于技術難度和業務銜接問題,合約的適用具有挑戰性。智能合約概念最早由Szabo于1997 年提出,它主要是指依靠一段可執行的計算機代碼來完成一段確定的業務邏輯。智能合約通過以太坊[18]區塊鏈平臺被大家廣為熟知,并被許多知名區塊鏈平臺(如Hyperledger Fabric[19])廣泛采納和用于交易。區塊鏈提供了一個可靠的分散環境,其智能合約具有可以強制執行、交易可跟蹤的特點。

許多研究都利用區塊鏈和智能合約技術來解決當前的安全問題。例如,Chen 等人部署了基于區塊鏈技術的高性價比的支付收付監管系統[20]。隨著智能合約的使用及與食品行業標準的結合,Tao 等人[21]實現了整個產業鏈的不合格食品的自動檢測和預警。Yong 等人[22]通過區塊鏈和智能合約技術解決疫苗過期和疫苗記錄欺詐問題。Hu 等人[9]將分布式數據收集問題轉換為基于智能合約的數據管理,為信任計算提供了高質量的用戶歷史行為數據。

本文在前期工作[9]基礎上,即以基于智能合約的數據管理方法為基礎,為信任計算提供關于用戶的高質量歷史行為數據。本文更進一步地提出基于智能合約的個性化動態訪問控制方法(SC-PAC),將前述可靠的用戶歷史行為數據應用于服務安全控制,實現動態的訪問權限和安全策略的分配。同時,通過智能合約自動執行安全策略,對用戶的交互行為進行監控和更新。本文提出的SC-PAC 為基于TBAC 的方法提供了更準確的用戶行為數據,也為SP 提供了個性化和動態的訪問控制機制。

2 SC-PAC 設計

2.1 SC-PAC 框架

本文提出的基于智能合約的個性化動態訪問控制方法(SC-PAC)中合約服務是基礎,它包含對用戶歷史行為數據的管理,將SP 的訪問控制協議轉換為智能代碼并自動監管用戶行為,對發現的違規行為上報以及評估用戶可信度。

本文在前期研究工作[9]基礎上,給出了SCPAC 架構圖,如圖1 所示。它包括服務于用戶端的基于智能合約的數據服務(smart contract based data sharing,SCDS)模塊和用戶端本地存儲用戶交互行為數據的用戶信任證書(trust certificate,TC),以及服務于SP 的服務相關智能合約(service related smart contract,SRSC)管理模塊,還包括抵抗信息欺詐的區塊鏈基礎設施以及抗欺詐賬本模塊。TC 以及抗欺詐賬本設計參考文獻[9]。本文的SCDS 包含與文獻[9]一致的交互行為管理、數據分享設計。不同之處在于,前者統一通過一個智能合約管理、分享用戶數據,而SCDS 將許多服務以用戶的智能合約的方式進行獨立發布,即SCDS 包含了許多特定功能的智能合約,它是用戶端智能合約集合。例如:信任計算合約、哈希計算合約、TC 讀取合約等。這樣的設計,一方面減小了合約因智能代碼過多而可能包含的邏輯錯誤量,另一方面允許靈活的合約服務選擇與組合服務。SRSC 是服務端發布的服務交互監管協議,代表了依照SP 意志對用戶行為監控的服務過程,也是動態訪問控制的核心所在。它以SCDS 計算得到的用戶可信度作為輸入,匹配SP 的安全等級,動態分配訪問權限和安全策略并基于安全策略對交互行為進行監控。

圖1 SC-PAC 框架

個性化模塊則包含了SP 的安全策略、可信度計算模型及參數配置等內容,代表了SP 對服務安全的個性化需要。

2.2 SC-PAC服務流程

如圖2 所示,基于智能合約的網絡服務訪問控制方法包括如下步驟。

圖2 SC-PAC 流程

(1)初始狀態下,用戶發布其SCDS 智能合約集,包括驗證TC 有效性以及可信度計算等。服務端則發布自己的安全策略以及信任模型等。

(2)用戶發起訪問網絡服務端的訪問請求。

(3)服務端調取用戶發布的TC 有效性驗證服務,驗證簽名并計算出一個哈希值(root hash,RH)。服務端收到此RH 值,并通過用戶的TC 編號(ID)從賬本中讀取用戶的根哈希(RH)。通過二者比對區分是否存在數據欺詐。

(4)調用用戶的信任計算服務,并將其信任模型作為輸入和啟動信任計算。

(5)獲得用戶反饋的可信度結果。

(6)服務端依據可信度結果與安全等級的匹配,動態分配服務安全策略。

(7)服務端啟動SRSC 合約服務,并將前述安全策略作為交互的監控依據。

(8)服務端SRSC 將監控結果上報至SCDS。

(9)SCDS 據此結果更新用戶端TC 文件(包括TC 文件中的RH 更新)。

(10)如果結果存在不良記錄,則SCDS 將運算得到此不良記錄的哈希結果值。

(11)將哈希結果插入用戶的賬本,更新其賬本中的RH 值。

3 案例研究

為了評估SC-PAC,分別從信任模型、參數、訪問策略3 個維度綜合分析合約的個性化效果。首先,參照FIRE[23]、PET[24]及SPORAS[25]等出色的計算信任模型,設計了一個基于累積聲譽與風險的TBAC 模型,其次設計了實驗,最后對實驗結果進行分析。

3.1 信任模型設計

從Trustwave 近3 年的全球安全報告總結發現,數據泄露已經成為威脅網絡安全的一個重要因素并且以聚集的趨勢集中出現在某幾個服務行業。例如2019 年遭受影響的行業中有18%在零售業,11%在金融業。那么,顯然同行業的近況對于其他服務SP來說顯得非常重要。傳統信任模型的數據收集方法受限于其他不同服務在信息收集上的角度以及信息分享的意愿程度,評估者收集的關于特定用戶的行為數據一般是零碎、模糊的,難以形成有序、準確的用戶行為畫像。而指定行為發生的上下文環境對于分析和預測用戶下一次的行為表現又有極為重要的作用。例如,FIRE[23]、PET[24]、Dossier[25]等在信任模型建模中以時間函數作為評定行為影響力的重要方法。顯然,目前的模糊、不準確的行為數據對于進行下一步行為預測無法起到預期作用。本文在實驗設計中引入了服務關聯性參數來豐富計算信任模型。

考慮如下場景,用戶u通過交互I訪問服務p提供的服務。用戶u出示TC 作為信任證書,此證書包含了此用戶的網絡服務交互總量Nall和不良記錄的總量Nbad,并且通過服務p提供的信任計算模型可以計算得到一個可信度T。用戶u的交互歷史標記為I={Ii| i∈Nall},其不良交互歷史標記Ibad=。每次交互的評估結果被賦予0 或1 的值,其中Ii=1 代表了良好的交互,而Ii=0 代表了一次違規交互。

用戶u的不良交互歷史可能包含了許多的不同服務。那么,從不良交互歷史就能輕易得知u過去是否對特定p有過違規的記錄(稱之為相關度)以及在哪一次交互產生了違規行為。標記u與服務p之間的不良行為總量為Nrelated(Nrelated≤Nbad),并且這些與服務p相關的交互記錄構建起了一個相關性序列,標記為Irelated=。

用戶u在接下來訪問服務p交互行為中執行違規行為的概率(稱之為風險)記為R(u,p)。式(1)展示了u訪問服務p的風險方程。

式(1)中包含了兩類風險:第一,用戶u接下來執行違規行為的概率,記為Pbad(u);第二,用戶u接下來對服務p執行違規行為的概率,記為Prelated in bad(u| p)。參數γ是介于[0,1]區間內的服務相關性系數,其值越大意味著風險考慮中越關心用戶u可能對服務p執行違規行為的概率,越小則意味著更關心用戶u最近的交互行為對接下來的行為的影響程度。式(2)和(3)分別展示了式(1)中的兩種風險概率模型,并且都考慮了時間因素的影響,即隨著時間的推移,過去的行為對未來行為的影響力越來越小。式(4)使用了一個權重模型來模擬前述時間因素的影響,其系數θ定義了權重函數的衰減速率。

基于風險模型R,SP 就可以通過計算得知用戶u接下來在服務中的表現,并做出以何種訪問權限來提供服務的決定。這就為SP 提供了更積極和可靠的決策依據。一旦用戶u對服務p的服務請求得到通過,則意味著u通過了服務p的風險評估。同時服務p會為其動態分配一個合適的訪問權限。本文通過為服務p分配一個介于[0,D]之間的可信度標量(本文設置D=100),并將此標量與服務安全等級建立映射,實現自動化的動態權限分配機制。

定義信任(記為T)為用戶歷史行為的一種累積表現。從社會學的角度來看,需要引入懲罰或者獎勵機制來抑制或者鼓勵對應的網絡行為。因此,在第i次交互中,有可信度Ti-1的用戶u會因其行為受到獎勵,記為Re(i)。式(6)展示了可信度T的計算過程。

這種遞歸式的信任計算過程模擬了累計信任的過程。參數σ是阻尼函數Φ中加速因子,它控制了可信度T的變化速率。從文獻[26]的研究中可以知道,參數σ應該被設置為σ≤0.11D,并且Ti(u)已經被證實是大于0 且小于100 的值。系數1/μ是學習因子,它控制了獎勵效果。1/μ越小,則可信度T會越穩定。

3.2 實驗設計

SC-PAC 的個性化通過合約的可配置實現,即合約的個性化。它包括SP 可指定信任模型及其運行時參數,可以指定運行安全策略。

為分析SC-PAC 方法的個性化特點,本節設計了兩大類實驗:首先,設計實驗對3.1 節的信任模型在不同參數(學習因子、服務相關系數)控制下的表現,一方面驗證本文設計的信任模型的有效性,即作為一個有效的信任模型,在信任度學習速率表現、異常響應等方面有正確的表現。另一個方面,驗證參數調整對于個性化訪問控制的作用。它具體包括下文所述的實驗1 和2;其次,模擬了基于合約的訪問控制場景,分析基于合約的方法所能帶來的動態和個性化訪問控制效果。它具體包括下文所述的實驗3。

實驗1本實驗主要測試3.1 節中信任模型的信任獲取速率以及對異常行為的反應。實驗中隨機生成了包含2000 次訪問行為的序列S,它包含了3次異常交互行為且索引位置分別為977、997 和1117。本次實驗中的服務相關系數γ設置為0.6,衰減速率參數θ=11。阻尼函數Φ中的加速因子設置為σ=11。

實驗2該實驗的評估指標是不良行為容忍度(misbehaving tolerance)。本文將不良行為容忍度定義為模型在停止包含不良行為的請求之前所遇到的不良行為數量。假設所有這些模型都面對同一個用戶,初始狀態是包含1500 次已結束的交互記錄,其中包含30 次不良行為記錄,并且假定所有這些不良行為都與SP 無關。接下來,該用戶將故意違規訪問SPN次。

實驗3本實驗以hyperledger fabric 為區塊鏈實驗環境,基于GoAhead 搭建了2 個簡易網絡服務。用戶與2 個服務之間分別簽訂智能合約,合約包括3.1 節的信任模型,并設定兩個SP 使用了相同的風險閾值0.6 和相同的相關度0.4,也包括相同的4級訪問控制策略設置。初始狀態下,用戶連續訪問一個SP,當信任值大于75 時,它隨機執行不良行為。本文有意設置這個用戶執行幾個不良行為來觸發風險閾值,然后這個用戶因為風險太高而被拒絕服務。該用戶必須訪問第2 個SP,并始終保持良好的表現以賺取更多的累積信任,進而可以再次訪問第1 個SP。這個模擬實驗試圖說明基于合約的方法對用戶的訪問痕跡和權限、風險變化的動態性和個性化控制效果。

3.3 結果分析

合約可靠性分析智能合約作為可自動執行的、可驗證的代碼,能夠提供可靠的控制機制。此外,區塊鏈賬本可追溯的特性,也允許對合約執行歷史進行驗證。最重要的是,基于前期研究成果,合約方法能夠對平衡數據共享和隱私保護之間的沖突起到重要的作用。具體地,通過合約方法在用戶端管理和存儲歷史行為數據。SP 需要使用用戶數據時,通過在用戶端執行合約內的信任模型,計算得到可信度結果并反饋給SP,即在隱私保護前提下,為SP提供關于用戶的豐富歷史行為數據。

合約個性化分析智能合約是SP 與用戶之間建立的一對一的服務關系。SP 可以在合約中設置個性化的信任計算模型,研究者因對信任理解差異、選擇的數學方法不同等,會設計出不同的信任模型,例如FIRE[23]、PET[24]、Dossier[25]等研究中的信任模型。合約的機制允許SP 對指定用戶的分析采用不同的信任計算模型,極大豐富了SP 對用戶的分析方法。SP 也可以對相同的模型設置不同的參數。例如,采用3.1 節設計的信任模型,配置不同的學習因子、服務相關性系數等參數。圖3 所示為實驗1的結果,表示3.1 節的信任模型在不同的學習因子下信任獲取速率會有不同。學習因子越大則信任累積速率越快。一般,有較高安全需求的SP 可以設定較為緩慢的學習速率,即較小的學習因子值。這讓潛在的攻擊者通過積累足夠的可信度發起攻擊更為困難。即便發起了攻擊行為,信任模型也能夠通過迅速降低信任值做出響應。圖4 展示的是實驗2的結果,即在同樣的信任模型下,不同的風險閾值參數可以對異常行為有不同的反應速率。可以從圖4看到,設定γ=0.6 時,第一次異常交互的出現就觸發了風險閾值進而阻斷了后續的異常流量。當降低γ值至0.2 時,SP 需要7 次連續的異常交互才會阻斷后續的異常流量。允許SP 配置不同的服務相關系數γ,可以實現靈活控制服務。這種機制給了SP更多的個性化選擇空間,那些有較高安全需求的SP,可以設置一個較高的γ(通常等于或者接近風險閾值)。更重要的是,基于合約的方法能夠可靠地為SP提供關于用戶的歷史行為數據做分析,即具備準確刻畫用戶畫像的條件。這也有利于信任模型的設計,例如本文引入的服務相關性參數。基于豐富的歷史行為數據,研究者可以從各種不同的角度設計出豐富的信任模型,這也意味著有更多個性化的信任模型支撐下的訪問控制。

圖3 3 種不同學習因子下累積信任值變化速率

圖4 不同風險閾值參數下的異常攔截表現

合約的動態性訪問控制分析實驗3 在可信度與訪問控制權限間建立了4 級映射關系,擁有響應的可信度值才能擁有相應的訪問權限。圖5 顯示了模擬實驗3 的運行結果,從圖中可以看到,在第705次交互中,用戶觸發風險閾值并被拒絕服務。然后用戶轉向訪問其他SP 并以正常的訪問方式以圖降低其風險并獲得更多的信任值。如圖5 所示,間隙區域(gap)是此用戶在其他SP 上的訪問蹤跡。在其他SP 與原SP 之間沒有服務相關性的情況下,用戶基于原有的歷史交互行為訪問其他SP 也不會觸發風險閾值,進而可以通過良好的行為表現重新獲取較高的累積信任值。例如,原SP 是金融業服務,用戶基于合約方法執行了某些違反規定的操作,并被記錄到區塊鏈賬本。當此用戶繼續訪問此SP時,因前述操作被拒之門外。此時,如果此用戶轉而訪問其他類似的金融業服務時,仍有可能被其過往歷史拒之門外,這就動態地保護了類似的其他相關服務。此用戶可選的策略是訪問與金融業服務不相關的其他服務,例如食品服務,并以良好的表現來提升其綜合可信度。在圖5 中,約200 次交互之后,此用戶能夠再次訪問初始SP服務。如果此用戶在后續交互中再次執行異常行為并再次觸發風險閾值,SP 可以通過其合約中的個性化模塊動態調整參數,提高對此用戶服務的風險閾值,做到對用戶的個性化安全服務和動態的訪問控制。

圖5 基于合約自動響應的動態訪問控制表現

4 結論

對用戶畫像的準確刻畫是制約訪問控制可靠性的一個重要因素,尤其是在Web服務環境中,用戶的行為數據往往分布在許多不同的服務中,Web服務難以準確地掌握用戶的行為信息。許多研究在基于信任計算的訪問控制研究中,通過引入服務評價、推薦等信息,以期豐富對用戶的認識,提升可信度值的可靠性。然而,研究離準確描述用戶信息仍有距離,對用戶信息量的缺失也約束了信任計算模型的設計。此外,許多個性化訪問控制的研究集中在以角色為單位的粗粒度訪問控制,無法做到針對用戶的細粒度個性化訪問控制。在一些有限范圍的應用場景下,雖然實現了行為級別的細粒度控制,但又缺乏有效的隱私信息保護。本文在前期工作基礎上,提出了基于智能合約的個性化訪問控制方法,可以為Web服務提供關于指定用戶的高質量的行為數據信息,也充分考慮了用戶隱私保護。這種方法一方面可以提升現有信任模型的可信度結果可靠性,另一方面也允許Web服務通過智能合約的策略、模型以及參數控制實現對用戶的個性化訪問控制。