摘 要： 合理的授權(quán)和訪問(wèn)控制是當(dāng)前云計(jì)算應(yīng)用迫切需要解決的問(wèn)題之一，尤其是在實(shí)體間動(dòng)態(tài)建立信任關(guān)系的角度研究開放環(huán)境下的安全訪問(wèn)問(wèn)題。提出了一種由信譽(yù)評(píng)估上升到信任管理的跨域訪問(wèn)控制策略生成方法，在信任的跨域訪問(wèn)控制策略生成方法的基礎(chǔ)上設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于信任的云計(jì)算的訪問(wèn)控制系統(tǒng)。該系統(tǒng)主要分成四個(gè)功能模塊：信譽(yù)評(píng)估模塊、信任關(guān)系挖據(jù)模塊、信任管理策略生成模塊、訪問(wèn)策略實(shí)施模塊，闡述了對(duì)應(yīng)方法的主要過(guò)程以及設(shè)計(jì)、實(shí)現(xiàn)方法，最后對(duì)生成的系統(tǒng)根據(jù)不同的訪問(wèn)控制文件進(jìn)行了驗(yàn)證，得到了預(yù)期的訪問(wèn)控制結(jié)果。

關(guān)鍵詞： 訪問(wèn)控制； 信譽(yù)評(píng)估； 信任管理； XACML

中圖分類號(hào)： TN911?34； TM417 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2016）11?0082?04

Abstract： The reasonable authorization and access control is one of the urgent problems to be solved in current cloud computing application， especially the safety access problem in open environment is studied proceeding from the dynamic establishment of trust relashionship among the entities. A generation method of the cross?domain access control strategy from reputation assessment to trust management is proposed. And on this basis， a cloud computing access control system based on trust was designed and implemented. The system is composed of the function modules of reputation assessment module， trust relationship mining module， trust management strategy generating module and access strategy implementation module. The main processes of the corresponding methods， design and implemetation method of the four modules are described. Finally， the generated system was verified according to different access control files to obtain the expected access control results.

Keywords： access control； reputation assessment； trust management； XACML

目前，云計(jì)算優(yōu)勢(shì)得到了普遍的認(rèn)可，云計(jì)算成為全球信息產(chǎn)業(yè)的主要發(fā)展方向，但云計(jì)算現(xiàn)在仍然處于初期發(fā)展的階段，面臨著許多挑戰(zhàn)及問(wèn)題[1]。由于用戶的信任邊界延伸到云服務(wù)提供商的安全域內(nèi)且會(huì)動(dòng)態(tài)變化、數(shù)據(jù)和基礎(chǔ)設(shè)施的分離、還有不同于傳統(tǒng)IT外包的多租戶等新特性，信息安全成為在全球范圍內(nèi)部署云計(jì)算的最大障礙，這也是云計(jì)算領(lǐng)域中最需要迫切解決的問(wèn)題之一[2]。

1 相關(guān)技術(shù)介紹

1.1 用戶認(rèn)證與授權(quán)

用戶的認(rèn)證與授權(quán)意在對(duì)合法的用戶進(jìn)入系統(tǒng)和訪問(wèn)數(shù)據(jù)進(jìn)行相應(yīng)的授權(quán)[3]。主流的云計(jì)算用戶認(rèn)證與授權(quán)措施應(yīng)該具有身份管理、訪問(wèn)授權(quán)、分布式環(huán)境下的用戶管理以及多因素認(rèn)證等功能，能夠提供個(gè)人信息變更以及執(zhí)行口令的自助Web接口，并且基于 LDAP協(xié)議的統(tǒng)一身份認(rèn)證的完成將分散的用戶和系統(tǒng)權(quán)限資源進(jìn)行了統(tǒng)一，通過(guò)集中的管理，實(shí)現(xiàn)了用戶只用單點(diǎn)登錄就能對(duì)多個(gè)系統(tǒng)進(jìn)行訪問(wèn)[4]。

1.2 訪問(wèn)控制模型

（1） 基于角色的訪問(wèn)控制模型

基于角色的訪問(wèn)控制模型是一種非自主型的訪問(wèn)控制模型。在基于角色的訪問(wèn)控制模型中，用戶的角色成為訪問(wèn)的主體。基于角色的訪問(wèn)控制模型系統(tǒng)建立之后，主要的工作就是授權(quán)或取消某用戶相應(yīng)的角色。該模型另外還有一個(gè)優(yōu)勢(shì)，系統(tǒng)的管理員是在一種與企業(yè)相關(guān)業(yè)務(wù)的管理相類似的且比較抽象的層次上面[5]。

（2） 信任管理

當(dāng)前的主流信任管理主要有兩方面的研究：第一種是基于訪問(wèn)控制策略和信任證書的信任管理，這種信任管理對(duì)應(yīng)的是理性的信任或者可以說(shuō)是客觀的信任關(guān)系的管理；第二種研究是基于信譽(yù)的信任管理，這種信任管理對(duì)應(yīng)的是一種主觀或者是感性的信任關(guān)系管理。

（3） 基于屬性的訪問(wèn)控制模型

在系統(tǒng)運(yùn)行的過(guò)程中，屬性作為一個(gè)易變量，但是策略則相對(duì)比較穩(wěn)定，可以通過(guò)基于屬性的策略描述方式很好地將屬性的管理與訪問(wèn)的判定相分離[6]。通過(guò)引入角色的中間元素，基于角色的訪問(wèn)控制模型可以使權(quán)限先經(jīng)過(guò)角色進(jìn)行聚合后，再將權(quán)限分配給相應(yīng)的主體，這種方式可以對(duì)授權(quán)進(jìn)行一定的簡(jiǎn)化，將角色信息當(dāng)成一種屬性，這樣就將基于角色的訪問(wèn)控制模型變成了一種基于屬性的訪問(wèn)控制模型[7]。

2 基于信任的跨域訪問(wèn)控制策略

2.1 信譽(yù)評(píng)估和信任管理

提供了一種由信譽(yù)評(píng)估上升到信任管理的跨域訪問(wèn)控制策略生成方法，能夠根據(jù)實(shí)體的行為和環(huán)境屬性動(dòng)態(tài)生成授權(quán)策略，具有很好的自適應(yīng)性，可以應(yīng)用在有大量陌生實(shí)體的云計(jì)算等跨域環(huán)境中[6]。本方法是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的，包括如下四個(gè)流程：

（1） 建立信譽(yù)評(píng)估模型，實(shí)現(xiàn)相應(yīng)的信譽(yù)評(píng)估子系統(tǒng)，根據(jù)交互實(shí)體給出的評(píng)價(jià)信息對(duì)被評(píng)價(jià)實(shí)體的信譽(yù)度進(jìn)行不確定性評(píng)估；

（2） 根據(jù)信譽(yù)評(píng)估的結(jié)果應(yīng)用分類關(guān)聯(lián)規(guī)則挖掘方法，提取出評(píng)估實(shí)體的屬性、被評(píng)估實(shí)體的屬性、資源屬性、行為屬性、環(huán)境屬性與實(shí)體信譽(yù)度之間的關(guān)聯(lián)關(guān)系；

（3） 根據(jù)過(guò)程（2）得到的關(guān)聯(lián)關(guān)系生成基于屬性的訪問(wèn)控制策略，并用可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言XACML進(jìn)行描述；

（4） 將過(guò)程（3）中生成的通用訪問(wèn)控制策略轉(zhuǎn)化為具體信任管理系統(tǒng)的策略。

2.2 信譽(yù)評(píng)估模型的設(shè)計(jì)

信譽(yù)T是論域空間（n為任意正整數(shù)）上的一個(gè)定量概念，用信譽(yù)云T（Ex，En，He）表示。信譽(yù)云的Ex的計(jì)算采用貝葉斯網(wǎng)絡(luò)，云滴對(duì)應(yīng)根節(jié)點(diǎn)Trust，每一種上下文信息對(duì)應(yīng)一個(gè)葉節(jié)點(diǎn)，云滴的期望值就是Ex。云滴r的取值為個(gè)離散值，用level1，level2，…，leveln表示。上下文信息有種，每種上下文有km種取值。用表示第i種下文的第j個(gè)值，每次交互的上下文信息用元組表示。

完整的信譽(yù)評(píng)估算法如下：

輸入：含有上下文信息的評(píng)價(jià)集R

輸出：信譽(yù)云的三個(gè)參數(shù)：Ex，En，He，具體步驟如下：

在得到了每一個(gè)被評(píng)估實(shí)體的信譽(yù)云以后，就能夠?qū)υu(píng)估實(shí)體的準(zhǔn)確度進(jìn)行計(jì)算。對(duì)于每一個(gè)被評(píng)估實(shí)體來(lái)說(shuō)，每個(gè)評(píng)價(jià)過(guò)它的實(shí)體都能夠利用上述信譽(yù)評(píng)估算法計(jì)算出該實(shí)體的信譽(yù)云[8]。被評(píng)估實(shí)體的綜合信譽(yù)云與由具體評(píng)估實(shí)體給出的信譽(yù)云的三個(gè)參數(shù)的余弦距離可以衡量?jī)蓚€(gè)信譽(yù)云的相似程度，相似度越高，實(shí)體的評(píng)估準(zhǔn)確度也就越高。

2.3 信任關(guān)聯(lián)關(guān)系的挖掘

關(guān)聯(lián)關(guān)系挖掘方法主要包括以下兩個(gè)步驟：

（1）根據(jù)實(shí)體的行為信譽(yù)度，挖掘出被評(píng)估實(shí)體的屬性、資源屬性、行為屬性、環(huán)境屬性與實(shí)體信譽(yù)度之間的關(guān)聯(lián)關(guān)系；

（2） 針對(duì)每一個(gè)信譽(yù)度關(guān)聯(lián)關(guān)系，計(jì)算出實(shí)體的評(píng)估準(zhǔn)確度，然后挖掘出可信評(píng)估實(shí)體的屬性與被評(píng)估實(shí)體的屬性、資源屬性、行為屬性、環(huán)境屬性之間的關(guān)聯(lián)關(guān)系。

對(duì)于上述兩次挖掘，所述的分類關(guān)聯(lián)規(guī)則挖掘方法的分類項(xiàng)目分別是行為信譽(yù)度的等級(jí)和信譽(yù)度關(guān)聯(lián)規(guī)則標(biāo)識(shí)，非分類項(xiàng)目是相關(guān)實(shí)體的屬性和/或環(huán)境屬性；信譽(yù)度的取值區(qū)間劃分成多個(gè)子區(qū)間，每一個(gè)子區(qū)間對(duì)應(yīng)一個(gè)等級(jí)。

所挖掘出的兩種關(guān)聯(lián)關(guān)系的格式如下：

（1） 實(shí)體信譽(yù)度關(guān)聯(lián)規(guī)則ID：（被評(píng)估實(shí)體屬性1，被評(píng)估實(shí)體屬性值1），（資源屬性1，資源屬性值1），（行為屬性1，行為屬性值1），（環(huán)境屬性1，環(huán)境屬性值1）→信譽(yù)度等級(jí)。

（2） 評(píng)估準(zhǔn)確度關(guān)聯(lián)規(guī)則ID：（評(píng)估實(shí)體屬性1，值1）→實(shí)體信譽(yù)度關(guān)聯(lián)規(guī)則標(biāo)識(shí)ID。

準(zhǔn)確度關(guān)聯(lián)規(guī)則挖掘使用基于Apriori的分類關(guān)聯(lián)規(guī)則挖掘算法，采用（屬性，值）格式。非分類項(xiàng)目是評(píng)估實(shí)體的屬性，分類項(xiàng)目是對(duì)應(yīng)的信譽(yù)度關(guān)聯(lián)規(guī)則標(biāo)識(shí)（包含被評(píng)估實(shí)體屬性、環(huán)境屬性和信譽(yù)度等級(jí)）。

2.4 訪問(wèn)策略的XACML描述

基于屬性的訪問(wèn)控制策略包括兩種類型，分別對(duì)應(yīng)生成的兩種關(guān)聯(lián)關(guān)系：一種描述了具有特定屬性的實(shí)體在特定的環(huán)境屬性下對(duì)具有特定屬性的資源所允許或不允許的訪問(wèn)操作；另一種描述了是否允許具有特定屬性的實(shí)體推薦具有特定屬性的其他實(shí)體。所述的訪問(wèn)控制策略用XACML語(yǔ)言描述時(shí)，將每一個(gè)信譽(yù)度關(guān)聯(lián)規(guī)則及相關(guān)的準(zhǔn)確度關(guān)聯(lián)規(guī)則轉(zhuǎn)換成一個(gè)策略集，該策略集包括兩個(gè)具有委托關(guān)系的策略，策略的字段中的屬性匹配描述了關(guān)聯(lián)規(guī)則中的項(xiàng)目。

第一個(gè)策略描述了對(duì)實(shí)體推薦（委托）行為的授權(quán)，是一個(gè)可信的管理策略，用于描述推薦實(shí)體（策略發(fā)布者）的屬性；第二個(gè)策略描述了對(duì)實(shí)體訪問(wèn)行為的授權(quán)，是一個(gè)委托的訪問(wèn)策略。

2.5 基于XACML的信任管理策略轉(zhuǎn)化

具體信任管理系統(tǒng)的策略雖然采用不同的自定義格式表達(dá)委托授權(quán)關(guān)系，但所涉及的授權(quán)方、被授權(quán)方和訪問(wèn)權(quán)限三個(gè)方面分別與通用訪問(wèn)控制策略中的推薦實(shí)體、被推薦實(shí)體、訪問(wèn)權(quán)限相對(duì)應(yīng)。將生成的XACML訪問(wèn)控制策略轉(zhuǎn)化為典型信任管理系統(tǒng)dRBAC（distributed Role Based Access Control，基于角色的分布式訪問(wèn)控制）的策略。

dRBAC策略的語(yǔ)法是將Subject，Object和Issuer都定義為角色，分別為Subject，Object和Signer。dRBAC沒有給出有關(guān)角色具體含義的格式和語(yǔ)法，由應(yīng)用系統(tǒng)自定義。本系統(tǒng)沿用XACML語(yǔ)法進(jìn)行表示，內(nèi)容包括：Subject角色包含的訪問(wèn)實(shí)體屬性，Object角色包含的資源屬性、行為屬性和環(huán)境屬性，Signer角色包含的推薦實(shí)體屬性。

與現(xiàn)有技術(shù)相比，本方法具有如下有益效果：

（1） 主流的訪問(wèn)控制技術(shù)本質(zhì)上是基于身份的授權(quán)，無(wú)法滿足開放的跨域環(huán)境中大量陌生實(shí)體的訪問(wèn)需求。

（2） 現(xiàn)有信任管理策略是預(yù)先設(shè)定的，無(wú)法達(dá)到動(dòng)態(tài)反映具體應(yīng)用實(shí)體行為特點(diǎn)的更細(xì)的粒度，借助信譽(yù)評(píng)估結(jié)果也只能在預(yù)設(shè)范圍內(nèi)進(jìn)行微調(diào)。

（3） 用標(biāo)準(zhǔn)的訪問(wèn)控制策略語(yǔ)言XACML描述生成的策略，便于轉(zhuǎn)化為其他格式的策略，方便與現(xiàn)有遺留系統(tǒng)中的訪問(wèn)控制機(jī)制無(wú)縫集成。

3 系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

3.1 系統(tǒng)概述

原型系統(tǒng)將信譽(yù)評(píng)估與信任管理相融合，首先根據(jù)云模型和貝葉斯網(wǎng)絡(luò)實(shí)現(xiàn)了信譽(yù)的表示與評(píng)估，再根據(jù)評(píng)估的結(jié)果對(duì)評(píng)估實(shí)體的屬性與被評(píng)估實(shí)體的屬性、資源屬性、行為屬性、環(huán)境屬性之間的關(guān)聯(lián)關(guān)系進(jìn)行信任挖據(jù)。再將挖據(jù)出的準(zhǔn)確度關(guān)聯(lián)規(guī)則及相關(guān)的信譽(yù)度關(guān)聯(lián)規(guī)則生成XACML訪問(wèn)控制策略。最后將XACML訪問(wèn)控制策略轉(zhuǎn)化為dRBAC的策略并實(shí)施訪問(wèn)控制。該原型系統(tǒng)是基于jsp架構(gòu)的JavaWeb程序，開發(fā)平臺(tái)為EclipseJEEIDEv1.4，Web服務(wù)器為Tomcatv7.0。

3.2 系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

基于信任的云計(jì)算訪問(wèn)控制系統(tǒng)主要分為四個(gè)功能模塊：信譽(yù)評(píng)估、信任關(guān)系挖掘、信任管理策略生成、訪問(wèn)控制實(shí)施。系統(tǒng)架構(gòu)如圖1所示。

（1） 信譽(yù)評(píng)估模塊，主要功能是根據(jù)原始評(píng)估信息，針對(duì)信譽(yù)的隨機(jī)性、不確定性、模糊性通過(guò)將李毅德院士提出的云模型和貝葉斯網(wǎng)絡(luò)相結(jié)合，用于表示和評(píng)估信譽(yù)。建立并實(shí)現(xiàn)了信譽(yù)的不確定性評(píng)估模型。信譽(yù)評(píng)估模塊的主要工作流程如圖2所示。

（2） 信任關(guān)系挖掘模塊，主要功能是根據(jù)上一模塊信譽(yù)評(píng)估模塊得出的信譽(yù)評(píng)估結(jié)果，應(yīng)用分類關(guān)聯(lián)規(guī)則挖掘方法提取出評(píng)估實(shí)體的屬性、被評(píng)估實(shí)體的屬性、資源屬性、行為屬性、環(huán)境屬性與實(shí)體信譽(yù)度之間的關(guān)聯(lián)關(guān)系。信任關(guān)系挖掘模塊處理流程如圖3所示。

（3） 信任管理策略生成模塊，主要功能是根據(jù)信任關(guān)系挖掘模塊得到的關(guān)聯(lián)關(guān)系生成基于屬性的訪問(wèn)控制策略，并用可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言XACML進(jìn)行描述。

（4） 訪問(wèn)控制實(shí)施模塊，主要功能是將信任管理策略生成的通用訪問(wèn)控制策略轉(zhuǎn)化為dRBAC（基于角色的分布式訪問(wèn)控制）信任管理系統(tǒng)的策略。該模塊的主要數(shù)據(jù)流程如圖4所示。

4 系統(tǒng)驗(yàn)證

本系統(tǒng)是基于jsp的Web應(yīng)用程序，基本上實(shí)現(xiàn)了基于信任的訪問(wèn)控制架構(gòu)。下面將系統(tǒng)的各個(gè)模塊功能進(jìn)行驗(yàn)證。

點(diǎn)擊信譽(yù)評(píng)估進(jìn)入到信譽(yù)評(píng)估模塊系統(tǒng)，進(jìn)行信譽(yù)評(píng)估。需要對(duì)參數(shù)進(jìn)行填寫，再讀取已存儲(chǔ)的CSA格式的原始評(píng)價(jià)信息文件。填寫完相關(guān)參數(shù)后，讀取原始評(píng)價(jià)信息文件后點(diǎn)擊“開始信譽(yù)評(píng)估”鏈接進(jìn)行信譽(yù)評(píng)估。

點(diǎn)擊重新進(jìn)行信譽(yù)評(píng)估或“下一步：信任關(guān)系挖掘”鏈接，可以重復(fù)執(zhí)行信譽(yù)評(píng)估或開始執(zhí)行信任關(guān)系挖掘。這里評(píng)估人ID輸入Value1，信譽(yù)度閾值設(shè)為2.0，信任關(guān)系采信度設(shè)為0.8，點(diǎn)擊“挖掘信任關(guān)系”鏈接開始挖掘信任關(guān)系，生成信任挖掘關(guān)系結(jié)果。

點(diǎn)擊“生成信任管理策略”按鈕后，包括直接授權(quán)策略和間接授權(quán)策略（集）。在結(jié)果頁(yè)面中，點(diǎn)擊“重新生成信任管理策略”鏈接或“下一步：訪問(wèn)控制實(shí)施”鏈接，可重新進(jìn)行信任關(guān)系的挖掘或進(jìn)行訪問(wèn)控制實(shí)施功能。

訪問(wèn)控制實(shí)施需要的參數(shù)行為信譽(yù)度閾值這里設(shè)為2。訪問(wèn)請(qǐng)求文件選擇預(yù)先設(shè)置名稱為requst_permit.xml的文件實(shí)施訪問(wèn)控制。同時(shí)，保存訪問(wèn)控制策略的文件為directAuthPolicyFile.xml和indirectAuthPolicy File.xml，點(diǎn)擊“進(jìn)行訪問(wèn)控制決策”按鈕后，顯示訪問(wèn)成功。而選擇request_deny.xml文件實(shí)施訪問(wèn)控制的話， 顯示訪問(wèn)失敗。根據(jù)所生成的策略，使用不同的請(qǐng)求文件得到不同的訪問(wèn)控制決策結(jié)果。

5 結(jié) 論

通過(guò)研究云計(jì)算安全中訪問(wèn)控制的現(xiàn)狀，總結(jié)現(xiàn)有研究技術(shù)的不足，主流的訪問(wèn)控制技術(shù)本質(zhì)上是基于身份的授權(quán)，無(wú)法滿足開放的跨域環(huán)境中大量陌生實(shí)體的訪問(wèn)需求。本課題從建立信任關(guān)系的角度出發(fā)，提出一種基于信任的跨域訪問(wèn)控制策略方法，并且對(duì)方法的生成做出了詳盡的描述。最后給出了基于信任的跨域訪問(wèn)控制策略生成方法，完成了基于信任的云計(jì)算訪問(wèn)控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。

參考文獻(xiàn)

[1] 吳吉義，平玲娣，潘雪增，等.云計(jì)算：從概念到平臺(tái)[J].電信科學(xué)，2009，25（12）：23?30.

[2] WINSBOROUGH W H， SEAMONS K E， JONES V E. Automated trust negotiation [C]// Proceedings of 2000 DARPA Information Survivability Conference and Exposition. Hilton Head： IEEE， 2000： 88?102.

[3] 田春岐，鄒仕洪，王文東，等.一種基于推薦證據(jù)的有效抗攻擊P2P網(wǎng)絡(luò)信任模型[J].計(jì)算機(jī)學(xué)報(bào)，2008，31（2）：270?281.

[4] 王守信，張莉，李鶴松.一種基于云模型的主觀信任評(píng)價(jià)方法[J].軟件學(xué)報(bào)，2010，21（6）：1341?1352.

[5] 黃海生，王汝傳.基于隸屬云理論的主觀信任評(píng)估模型研究[J].通信學(xué)報(bào)，2008，29（4）：13?19.

[6] 房晶，吳昊，白松林.云計(jì)算安全研究綜述[J].電信科學(xué)，2011，27（4）：37?42.

[7] 郭力爭(zhēng)，胡偉，單栗燁.基于Web服務(wù)的 XACML體系結(jié)構(gòu)研究[J].微處理機(jī)，2006（3）：35?37.

[8] 林曉鵬.云計(jì)算及其關(guān)鍵技術(shù)問(wèn)題[J].現(xiàn)代電子技術(shù)，2013，36（12）：67?70.