郭 磊，楊 升

(武夷學(xué)院 數(shù)學(xué)與計(jì)算機(jī)學(xué)院,福建 武夷山 354300)

普適計(jì)算是由美國(guó)Xerox PAPC實(shí)驗(yàn)室的Mark Weiser在1991年提出的一種全新的計(jì)算模式．該計(jì)算建立在移動(dòng)計(jì)算、傳感網(wǎng)絡(luò)和嵌入式系統(tǒng)的基礎(chǔ)上，將信息空間與物理空間融合，為用戶提供隨時(shí)隨地的、透明的服務(wù)，已經(jīng)被認(rèn)為是今后主流的計(jì)算模式．但這種高度靈活的移動(dòng)計(jì)算也帶來了新的安全問題．首先，普適計(jì)算環(huán)境中的資源訪問者與擁有者雙方通常互不知道，而傳統(tǒng)的安全機(jī)制主要是針對(duì)已經(jīng)有明確授權(quán)用戶的系統(tǒng)，通過預(yù)先定義主體、客體、權(quán)限之間的映射關(guān)系，并對(duì)過程進(jìn)行有效控制，從而實(shí)現(xiàn)安全訪問控制．其次，普適環(huán)境的對(duì)權(quán)限控制的約束條件眾多，如時(shí)間、空間、資源狀態(tài)等.在實(shí)際生活中，客體的條件符合度也常會(huì)出現(xiàn)部分滿足的情況，而傳統(tǒng)的訪問控制模型則無法表達(dá)這種模糊性．再次，普適環(huán)境需要在沒有第三方權(quán)威的情況下建立主體與客體之間的信任關(guān)系，并且這種信任關(guān)系是動(dòng)態(tài)的，可根據(jù)主體的歷史行為進(jìn)行調(diào)整，而信任本身就具有模糊性．

早在1993年，Hosmer就對(duì)安全的模糊性進(jìn)行了論述[1-2]，著名的訪問控制專家R.Sandhu也認(rèn)為，模糊訪問控制將是未來智能訪問控制研究的重要方向[3-4]．目前，人們?cè)谠摲较蛞呀?jīng)做了許多工作.例如：文獻(xiàn)[5]提出了一個(gè)基于模糊的BLP模型，但模型具有較大限制.文獻(xiàn)[6]采用為不同實(shí)體定制不同信任策略的方式，實(shí)現(xiàn)了一個(gè)普適環(huán)境下的訪問控制模型，但無法解決用戶多樣性與動(dòng)態(tài)性的問題．文獻(xiàn)[7]在RBAC模型中引入時(shí)間、位置和用戶構(gòu)成的上下文信息，并計(jì)算出信任值，但RBAC模型無法有效解決訪問過程的授權(quán)問題．文獻(xiàn)[8]提出了一種具有訪問特征判斷能力的訪問控制模型，但該模型主要是針對(duì)非法用戶的權(quán)限的識(shí)別與控制．

針對(duì)以上問題，本文提出了一種基于信任的動(dòng)態(tài)模糊訪問控制模型DTFAC(Dynamic Trust-based Fuzzy Access Control Model)，針對(duì)普適環(huán)境中出現(xiàn)的訪問主體與客體之間互不相識(shí)的情況，將信任度分為原始信任度與動(dòng)態(tài)信任度兩部分，通過動(dòng)態(tài)信任度推理解決實(shí)際應(yīng)用中常出現(xiàn)的推薦信任的問題，并將區(qū)間值模糊推理用于用戶信任度計(jì)算，將用戶劃入相應(yīng)的信任域，以此實(shí)現(xiàn)授權(quán)控制[9]．

1 DTFAC模型

1.1 模型元素

用戶集(User，U):對(duì)資源訪問的主體，在這里主要指人、移動(dòng)設(shè)備等，用戶集U={u1,u2,…,un}．

角色集(Role，R)：角色反映組織中的一項(xiàng)工作的具體職責(zé)，角色集R=(r1,r2,…,rn)．

權(quán)限集(Permission，P)：對(duì)一個(gè)或多個(gè)客體進(jìn)行某種訪問的許可，與具體實(shí)現(xiàn)密切相關(guān)．權(quán)限集P={p1,p2,…,pn}．

會(huì)話集(Session，S)：表示相關(guān)用戶與角色間的一種交互，在會(huì)話中，用戶可激活一個(gè)或多個(gè)角色，會(huì)話集S={s1,s2…,sn}．

信任度(Trust-degree，T)：系統(tǒng)對(duì)用戶行為特性的評(píng)價(jià)值，反映一個(gè)實(shí)體對(duì)另一實(shí)體的信任程度，該值為[0，1]之間的一個(gè)實(shí)數(shù)，取值越高則信任度越高，[0，0]為完全不可信，[1，1]為完全信任．

信任域(Trust-domain，TD)：指信任度上的一切模糊集，可根據(jù)應(yīng)用定義多個(gè)模糊子集TDi(i=1,2,3…n)，來表示不同信任度對(duì)應(yīng)的信任集合，如可定義四個(gè)信任域，分別為：

TD1：信任域區(qū)間為[0.75，1.0]，表示完全信任；

TD2：信任域區(qū)間為[0.6，0.75]，表示基本信任；

TD3：信任域區(qū)間為[0.45，0.6]，表示一般信任；

TD4：信任域區(qū)間為[0.0，0.45]，表示不信任.

1.2 模型結(jié)構(gòu)

由于普適環(huán)境中主體、客體對(duì)象眾多，而且在普適環(huán)境中關(guān)心的主要為對(duì)象是否可靠，而與對(duì)象是誰無關(guān)，故本模型為了讓授權(quán)過程更易實(shí)現(xiàn)與控制，借鑒傳統(tǒng)基于角色訪問控制模型，引入了角色的概念．在模型中，主體均有一個(gè)表示自己信任度的區(qū)間值，該值也可稱為信任域，它是是否對(duì)主體授權(quán)的關(guān)鍵，對(duì)每個(gè)用戶，根據(jù)其信任域?qū)⑵溆成涞绞孪葎澐趾玫慕巧械囊粋€(gè)角色上，以此實(shí)現(xiàn)了主體到角色的指派[10]．圖1為模型結(jié)構(gòu)圖．

圖1DTFAC模型結(jié)構(gòu)圖

在本模型中，主要需解決以下兩個(gè)問題，首先，如何在普適環(huán)境中對(duì)用戶進(jìn)行有效的信任度評(píng)價(jià)；其次，如何對(duì)不同信任域進(jìn)行角色指派．對(duì)于角色指派的問題，主要依賴于具體應(yīng)用，不同應(yīng)用角色不同，所進(jìn)行的信任域劃分也不同．

2 信任度的模糊推理計(jì)算模型

由于在普適環(huán)境中，資源的管理與資源擁有者是隔離的，資源擁有者通常是通過定義訪問策略來進(jìn)行資源訪問控制的管理，因此訪問決策需在訪問過程中進(jìn)行評(píng)估．在實(shí)際應(yīng)用中，不論是主體訪問歷史行為還是領(lǐng)域?qū)＜乙庖姡哂幸欢ǖ哪：?，即無法用一個(gè)數(shù)字來準(zhǔn)確表示關(guān)于某主體信任度的值．在這里，通過引入?yún)^(qū)間值模糊理論，可以較客觀的反映實(shí)體間的信任模糊性．

在本模型中，將信任度分為初始信任度與動(dòng)態(tài)信任度.初始信任度是由授權(quán)方對(duì)用戶的一個(gè)可信度評(píng)估，該評(píng)估可根據(jù)用戶信息與用戶各方評(píng)價(jià)進(jìn)行評(píng)估并進(jìn)行模糊推理獲得．動(dòng)態(tài)信任度則是實(shí)現(xiàn)信任度傳遞的主要方法，它模擬人類對(duì)不可知實(shí)體的處理方式，通過推薦獲得用戶信任度．

2.1 原始信任度

在進(jìn)行信任度推理前，系統(tǒng)首先通過各種方式獲取用戶基礎(chǔ)信息，如用戶訪問設(shè)備、地點(diǎn)、時(shí)間等，具體信任度模糊推理過程如下：

w1：能力， 權(quán)重值a1=0.3；

w2：經(jīng)驗(yàn)， 權(quán)重值a2=0.2;

w3：社會(huì)地位， 權(quán)重值a3=0.25;

w4：歷史信譽(yù) 權(quán)重值a4=0.25.

則可建立各因素與評(píng)價(jià)值的隸屬矩陣，用模糊關(guān)系矩陣R={rij}4*4表示，設(shè)四因素隸屬矩陣為：

系統(tǒng)也可建立多個(gè)隸屬矩陣對(duì)各因素進(jìn)行推理．

設(shè)用戶U1的因素評(píng)價(jià)集的值為P={[75-78],[73-77],[70-74],[55-57]}，將各評(píng)價(jià)值帶入隸屬矩陣計(jì)算可得U1的評(píng)價(jià)模糊推理矩陣：

Ru1=([0.75,0.9],[0.65,0.85],[0.5,0.7],1)

綜合推理得：

Q=A·R=[0.7,0.865]

即U1的原始信任度區(qū)間為[0.7,0.865]．

此基于區(qū)間值的信任度模糊推理算法具有以下幾個(gè)有點(diǎn)：(a)該算法簡(jiǎn)單，計(jì)算復(fù)雜度小，而普適環(huán)境的終端主要是手持設(shè)備，無法完成太復(fù)雜的運(yùn)算．(b)采用區(qū)間值隸屬度對(duì)各因素進(jìn)行推理，更符合普適環(huán)境需要．(c)算法中充分考慮了各因素的動(dòng)態(tài)性，對(duì)各因素添加影響權(quán)重，較容易對(duì)模型進(jìn)行調(diào)整與擴(kuò)展．

2.2 動(dòng)態(tài)信任度

在普適環(huán)境中，動(dòng)態(tài)信任度主要體現(xiàn)為推薦信任，由于訪問主體與客體之間通常是互不相識(shí)，因此推薦信任成為一種主要的授權(quán)判定依據(jù)，文獻(xiàn)將推薦信任度分為了信任傳遞的衰減和聚合兩種關(guān)系，具體如圖2所示[11-12]．

圖2信任傳遞關(guān)系

在信任衰減關(guān)系中，假設(shè)設(shè)T(A,B)=[x1,x2]，T[A,C]=[y1,y2]，我們可以得到經(jīng)過推薦后的信任度計(jì)算公式為：

TT(A,C)=T(A,B)?T(A,C)=[x1*y1，x2*y2]

(1)

TT(A,C)比T(A,B)和T(A,C)都小．

類似，在信任聚合關(guān)系中，若T(A,B)=[x1,x2]，T[A,C]=[y1,y2]，T[C,D]=[z1,z2]，T[B,D]=[m1,m2]，則經(jīng)推薦后的信任度計(jì)算公式為：

TT(A,D)=TTC(A,D)?TTB(A,D)=
[max(y1*z1,x1*m1)，
max(y2*z2,x2*m2)]

(2)

2.3 信任度合成

通常情況，對(duì)用戶信任度的最終結(jié)果需參考原始信任度與動(dòng)態(tài)信任度兩部分后共同構(gòu)成．在本模型中，T表示最終用戶信任度，YD表示原始信任度，TT表示動(dòng)態(tài)信任度，則他們之間的推演公式為：

T(A,B)=α*YD(A,B)+(1-α)*TT(A,B)

(3)

其中，α(0<α<1)為信任度動(dòng)態(tài)調(diào)節(jié)參數(shù)，可通過對(duì)α來調(diào)整原始信任度與動(dòng)態(tài)信任度對(duì)最終信任度影響的比重．

3 結(jié)論

目前，普適計(jì)算已經(jīng)成為目前的研究熱點(diǎn)之一，對(duì)普適環(huán)境下的安全研究具有重要意義．本文針對(duì)普適環(huán)境的特點(diǎn)，提出了一種基于信任的動(dòng)態(tài)訪問控制模型DTFAC，將信任度分為原始信任度與動(dòng)態(tài)信任度兩部分，并結(jié)合區(qū)間值模糊推理方法，給出了對(duì)用戶信任度的帶權(quán)區(qū)間值模糊推理過程，根據(jù)推理過程實(shí)現(xiàn)用戶信任域劃分，并以此進(jìn)行授權(quán)決策．與傳統(tǒng)的訪問控制模型相比，本模型更能解決普適環(huán)境中主客體不相識(shí)與信任度動(dòng)態(tài)調(diào)整的問題．

[1]Hosmer H H.Security is fuzzy:applying the fuzzy logic paradigm to the mutipolicy paradigm[C]//Proceedings of the ACM Workshop on New Security Paradigms 1993:175～187.

[2]Bacon J,Moody K,Yao W.A model of OASIS role-based access control and its support for active security[J].TISSEC,2002,5(4)：492～540.

[3]Ovchinnikov S. Fuzzy sets and secure computer system[C]//Proceeding of the IEEE Workshop on Computer and System Security.IEEE Press,2002:81～86.

[4]Joshi James B.D.,Bertino E.,Latif U.,et al.A generalized temporal role-based access control model [J].IEEE Trans on Knowledge and Data Engineering,2005,17(1):4～23.

[5]Wang H-F,Huang Zhi-hao.Top-down fuzzy decision making with partial preference information[J].Fuzzy Optimization and Decision Making,2002,1(2):161～176.

[6]Shao B BM.Optimal redundancy allocation for information technology disaster recovery in the network economy[J].IEEE Trans on Dependable and Secure Computing,2005,2(3):262～267.

[7]辛 艷,羅長(zhǎng)遠(yuǎn),劉 輝,等.基于上下文普適計(jì)算角色訪問控制模型[J].計(jì)算機(jī)工程與設(shè)計(jì),2010,31(8):1693～1697.

[8]Chun S,Atluri V.Protecting Privacy form Continuous High-resolution Satellite Surveillance[R].Technical report.CIMIC,Rutgers University,1999.

[9]張 宏，賀也平，石志國(guó).一個(gè)支持空間上下文的訪問控制形式模型[J].中國(guó)科學(xué) E輯：信息科學(xué)，2007,37(2)：254～271.

[10]Bertino E,Catania B,Damiani M L,et al.GEO-RBAC:a spatially aw are RBAC[C]//Proceedings of Symposium on Access Control Models and Teachnologies,Stock holm,2005:29～37.

[11]Guillaume P,Maarten S.A Trust Model for Peer-to-Peer Content Distribution Networks,Draft paper,submitted for publication[Z].2001-11.

[12]張海娟.普適計(jì)算環(huán)境下基于信任的模糊訪問控制模型[J].計(jì)算機(jī)工程與應(yīng)用,2009,45(27):107～112.