非關系型大數據層間并行訪問權限控制仿真

王鳳領，王 涵，2，趙方珍，薛 亮

(1.澳門城市大學數據科學研究院，中國 澳門 999078；2.珠海中科先進技術研究院，廣東 珠海 519000；3.暨南大學信息科學技術學院，廣東 廣州 510632)

1 引言

互聯網技術的迅速發展和廣泛應用以及企業規模的不斷擴大，使得信息系統中的數據日益多樣化。同時，在用戶訪問中，存在并行訪問請求情況，并行訪問請求是一個主體并行發送給一個或多個對象的一組訪問請求，當主體請求訪問時，訪問控制策略決定主體是否被授權訪問，如果請求被授權，則對象資源的訪問權限向主體開放。并發訪問請求是伴隨網絡應用的界面渲染和數據獲取而產生的，并發訪問請求被發送到訪問控制策略中以獲得諸如圖片，視頻，文本等對象資源信息。在這一背景下，如何對數據資源進行安全有效的管理是一個重要問題，所以數據資源的訪問控制對信息系統的發展起著舉足輕重的作用。

當前，已經有較多學者開展了關于數據層間并行訪問控制的研究，其中，文獻[1]中，陳大勇研究了大數據傳輸中授權訪問多層次控制方法，該方法采用可信計算技術，建立了在大數據傳輸中的多層授權訪問控制模型，這種模型具有較強的訪問控制粒度，可以有效地支持對角色和服務的多角度訪問控制；文獻[2]中，李英杰研究了基于大數據分析的艦船通信網絡訪問權限控制方法，該方法采用大數據分析技術，對用戶角色進行精確劃分，并根據角色的劃分給予相應的訪問權限，從而實現船舶信息的安全訪問。上述研究成果中能夠獲得一定的控制效果，但是存在準確性低與效率低的問題，為此設計一個非關系型大數據層間并行訪問權限控制方法，從而有效的解決目前存在的問題。實驗結果表明，此次研究的非關系型大數據層間并行訪問權限控制方法有效解決了目前存在的問題，滿足了數據并行訪問的控制方法的設計需求。

2 并行訪問權限控制協調框架

開放式網絡中，對非關系型大數據的控制必須有序進行，才能保證最大程度的網絡資源共享和數據資源保護。在訪問權限控制設計中，重點依據請求內容對訪問控制，以保證控制的準確性與實時性。在訪問控制機制中，當主體需要對對象資源進行請求時，需要將請求發送到訪問控制策略組件，以便根據訪問控制策略要求的格式申請對對象資源的使用授權。對訪問請求的內容進行分析后，訪問控制策略組件將授權結果返回給主體。在授權主體使用資源時，它會相應地調用對象的資源信息。

圖1顯示了該框架的組件：

圖1 并行訪問權限控制協調框架圖

圖1中，在訪問控制協調框架中，主體是具有用戶登錄身份的終端或應用程序[3]，主要包括實體控制請求對象與存取對象。

“客體”為被動實體，主要實行的業務包括咨詢、服務以及控制策略等的限制內容。

“并行緩沖隊列”是一個緩沖執行并發訪問請求的裝置，存取控制協調框架規定存取要求所需的內容實體，包括資訊、資源及服務。

“協調處理監控器”主要對訪問對象的裝置進行檢測，并能夠對資源響應以及監控。

“資源關系數據庫”主要存儲訪問主體與客體之間的訪問數據關系。

3 非關系型大數據層間并行訪問權限控制

3.1 登錄認證

通過上面的控制協調框架可知，當用戶訪問數據時，首先會出現訪問請求[4-6]。訪問請求的特性可分為兩類：本身特性和安全性特性，本身屬性是訪問請求本身的屬性特性，安全屬性是由被訪問對象所決定。基于上述分析，首先對本身屬性進行訪問控制，即用戶登錄認證，登錄認證：

通過對用戶身份的認證能夠檢驗訪問對象的身份是否是合法的，如果審核通過則能夠進入下一步驟中，如果身份認證不通過則進行危險警告，不給予認可。

登錄認證的流程如下：

步驟一：用戶通過 URL請求一個系統頁面；

步驟二：檢測用戶是否成功登陸，如果沒有登陸，則進入登陸頁面進行登陸；

步驟三：用戶在登錄頁面輸入用戶名和密碼；

步驟四：數據庫對用戶信息檢驗，并存取用戶信息；

步驟五：對成功登陸的用戶進行身份驗證，在驗證通過后，將信息保存在當前會話框中，如果用戶加密口令與數據庫存儲口令一致，返回用戶請求的 URL頁面。如果身份驗證失敗[7-10]，則返回登錄頁并顯示錯誤信息，通過上述用戶訪問需求，能夠獲取主體、操作、客體的基本信息，然后根據這些基本信息分被獲取主體、客體的全部屬性信息并連接成訪問控制請求。

3.2 并行訪問權限控制

在用戶成功登陸后，能夠分析用戶的訪問權限，為了對用戶并行訪問權限有效控制，建立訪問請求圖。存取要求存取圖中的每個并發存取要求都作為存取圖中的一個節點，存取圖構造的過程是一種遞歸方法，將有關聯的節點構造成一個存取圖，建立存取要求的過程如下：

第二，根據訪問請求的屬性對其進行分組，將觸發訪問控制的訪問請求節點分成(A)組，未觸發訪問控制的訪問請求節點分成(B)組。

第三，A組根據訪問請求節點的訪問資源的訪問控制安全級別將節點分層，在分層后將關聯節點進行創建，創建為一個新的節點，將其記作匯聚節點；

第四，由于層次和層次之間的關系有關，高層節點通過集合節點與低層次節點組合，然后將新建的集合節點連接起來。

不斷重復上述步驟以生成訪問請求訪問圖如圖2所示。

在上述訪問請求圖建立完成的基礎上，分析訪問數據的從屬類別，通過對存取數據的依賴分類進行分析，指出一個大的分類可能包含多個子類，也可以對子類進行劃分，因為訪問數據類之間存在著依賴關系。而在訪問控制中，分類特征和屬性的相似性被表示為上下級之間的主導關系，為此完整序列集，S={level1，level2，…，leveln∣n∈N+}，并定義分類范疇集C={C1，C2，…，Cn}，將訪問對象標記為三元組，Lo=A1，…，Am，{C1，…，Cn}，level，用戶標記也是一個三元組，Ls=A1，…，Am′，{C1，…，Cn′}，level，其中Am′代表對象數據或用戶的普通屬性，Cn′代表目標資料或使用者的分類分類屬性，即主體和目標所屬的分類屬性；level代表對象數據或者用戶的安全等級。對非關系大數據的訪問控制，通過對數據的屬性模式和安全級分類，定義了訪問控制結構，并將數據加密后上傳到對象服務器。在用戶具有滿足細粒度訪問控制策略的通用屬性集和分類類別集的情況下，可以下載和解密數據，由用戶的分類類別決定數據的分類屬性，由用戶安全級別決定數據安全級別。如果不符合則繼續下一步，同時，為了進一步保證數據的安全性，對各層數據加密處理[11]，其表達式為

(1)

式(1)中，S代表一個訪問元素的集合，x代表訪問數據類型，j代表實體屬性，∏代表加密參數。

加密處理后，經過如下操作，得到訪問信息

納入標準：(1)年齡≥18歲；(2)患者心衰的癥狀及體征符合《中國心力衰竭診斷和治療指南》中慢性失代償性心力衰竭的診斷標準；(3)NYHA分級Ⅲ～Ⅳ級；(4)LVEF<40%；(5)體質指數<35 kg/m2。排除標準：(1)對托伐普坦過敏者；(2)各種原因所致的對口渴不能做出正常反應及不敏感者；(3)存在腦血管疾病、重度肝腎功能損傷、心源性休克、明顯感染及惡性腫瘤等高危因素；(4)低容量性低鈉血癥；(5)不同意長期隨訪的患者。

其中信息解密[12]公式為

(2)

式(2)中，o代表身份信息，n代表獲取信息數量，a代表解密信息判斷參數，SI代表第I個信息的解密參數。

在此基礎上，分析訪問用戶的安全等級，其表達式如下所示

(3)

最后對用戶訪問請求進行排序，其表達式為

(4)

為了縮短可行性分析算法的計算時間，引入原子謂詞，其集合為

B(P)={b1，…，bm}

(5)

數據集合代表通過該端口的數據集合。在這一個步驟中，能夠快速識別黑洞信息以及危險信息等。基于上述過程對用戶訪問情況進行規劃，對并發用戶處理，解決并發用戶帶來的問題，以此完成對非關系型大數據層間并行訪問權限控制。

4 實驗對比

為驗證此次研究的非關系型大數據層間并行訪問權限控制方法的有效性，進行實驗分析。

實驗采用的軟硬件配置如下所示：處理程序：Inter (R) Core (TM)/i5mr2430 m/CPU@2.40 GHz/處理器；內存安裝情況："6.00 GB"；操作系統：Ubuntu14.04" LTS"(主機為 Windows"7"64位操作系統)。

同時，為了保證實驗的嚴謹性，將傳統的大數據傳輸中授權訪問多層次控制方法、基于大數據分析的艦船通信網絡訪問權限控制方法與此次研究的控制方法進行對比，以提高實驗的嚴謹性。

4.1 控制時間對比

分別采用傳統兩種方法與此次研究的非關系型大數據層間并行訪問權限控制方法對數據訪問權限控制，其控制時間對比結果如圖4所示。

圖4 控制時間對比

通過分析上圖能夠發現，采用此次研究的控制方法控制后，能夠在較短時間就能夠實現對數據的訪問權限控制。而傳統的兩種數據訪問權限控制方法在數據控制上，花費的時間較多。原因是，此次提出的控制方法受到訪問文件大小與用戶數量的影響較小，所以不僅能夠降低控制時間，還能夠較好的保證數據的完整性。

4.2 用戶訪問權限控制準確率對比

下圖為傳統的大數據傳輸中授權訪問多層次控制方法、基于大數據分析的艦船通信網絡訪問權限控制方法與此次研究的控制方法的用戶訪問權限控制準確率。

圖5 用戶訪問權限控制準確率

基于上圖能夠發現，此次研究的控制方法對于用戶訪問權限控制上的準確性較高，因為此次研究的方法預先就對用戶登錄情況進行了分析，所以能夠合理分析用戶訪問權限，用戶訪問權限提高才能提高數據的安全性。而傳統的兩種控制方法對于用戶訪問權限的控制上準確率較低，不能夠合理分析用戶情況，從而會在不同程度上降低數據的安全性。

4.3 數據丟包率對比

數據在并行訪問權限控制過程中，會存在數據丟包的情況，為此將數據丟包率作為對比控制方法的一個指標，對比結果如圖6所示。

圖6 數據丟包率對比

通過分析上圖能夠發現，此次研究的非關系型大數據層間并行訪問控制方法在控制后，數據丟包率明顯較低，基本不存在丟包情況。而傳統兩種控制方法在控制中，數據丟包情況較多，沒有此次研究的控制方法的應用效果好。

綜上所述，此次研究的非關系型大數據層間并行訪問權限控制方法控制時間短，用戶訪問權限控制準確率高，并且數據丟包率較傳統兩種方法丟包率低。原因是此次研究的控制方法預先對用戶登錄認證，并根據用戶權限設定了不同的訪問內容，對象資源的安全性越高，對象訪問請求的安全性越高，對用戶訪問請求進行了排序，從而提高了訪問權限控制效果，具備一定的實際應用意義。

5 結束語

設計了一個非關系型大數據層間并行訪問權限控制方法，并通過實驗驗證了此次研究的控制方法的有效性。通過此次研究的方法有效提高了數據的安全性，并降低了控制開銷。但是由于研究時間與研究內容的限制，此次研究的方法還有一定的不足，下一步驟中主要研究的內容如下所示：

1)在存在許多復雜的臨時授權操作時，如何協調正常的授權操作是進一步的工作，其最終目標是確保業務流程安全有效地運行。

2)行為與行動之間只有有序的關系，而沒有考慮如何處理其它關系，比如說并、或及分支等關系。