劉玨

摘要：訪問控制的任務(wù)是保證信息資源不被非法使用和訪問。在具有開放性、動(dòng)態(tài)性和異構(gòu)性特征的云計(jì)算環(huán)境下，訪問控制技術(shù)朝著細(xì)粒度、層次化的方向發(fā)展，認(rèn)證授權(quán)憑據(jù)也越來越多地加入了主客體的相關(guān)屬性，出現(xiàn)了基于任務(wù)、屬性、UCON、行為和信任等一系列新型訪問控制模型及其管理模型。對(duì)現(xiàn)有訪問控制模型進(jìn)行分析和梳理，從安全性和機(jī)密性等個(gè)多方面進(jìn)行對(duì)比，最后提出云計(jì)算環(huán)境下訪問模型的發(fā)展趨勢。

關(guān)鍵詞：云計(jì)算；訪問控制；UCON模型

DOIDOI：10.11907/rjdk.161006

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-7800（2016）005-0176-03

0 引言

訪問控制是指在鑒別用戶的合法身份后，通過某種途徑顯式地準(zhǔn)許或限制用戶對(duì)數(shù)據(jù)信息的訪問能力及范圍，從而控制對(duì)關(guān)鍵資源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作造成破壞。

經(jīng)典的訪問控制模型主要包括3種：①自主訪問控制模型（DAC），該模型是由主體把客體的訪問權(quán)或部分訪問權(quán)授予其它主體的訪問控制模型。通過比對(duì)訪問主體和受訪客體對(duì)象，及相應(yīng)權(quán)限構(gòu)成的訪問控制矩陣表進(jìn)行判定；②強(qiáng)制訪問控制模型（MAC），用戶（或其它主體）與文件（或其它客體）都被標(biāo)記了固定的安全屬性（如安全級(jí)、訪問權(quán)限等），在每次訪問發(fā)生時(shí)，系統(tǒng)檢測安全屬性以便確定一個(gè)用戶是否有權(quán)訪問該文件；③基于角色的訪問控制模型（RBAC）[1]，該模型在用戶和權(quán)限之間加入了“角色”這一概念，“角色”可以靈活地集成和繼承權(quán)限，解決了在傳統(tǒng)訪問控制中主體始終與特定實(shí)體捆綁在一起而導(dǎo)致的不靈活問題。

在此基礎(chǔ)上，很多學(xué)者從不同層面解決了系統(tǒng)中的訪問控制問題。但在云計(jì)算環(huán)境下，機(jī)構(gòu)的信任邊界變成動(dòng)態(tài)的，傳統(tǒng)訪問控制機(jī)制面臨云計(jì)算用戶缺乏身份認(rèn)證、云計(jì)算用戶對(duì)獲得的資源權(quán)限缺乏控制、用戶和云服務(wù)提供商之間缺乏信任、多租戶間的惡意搶占資源等新的挑戰(zhàn)。訪問控制技術(shù)朝著細(xì)化粒度、多級(jí)層次的方向發(fā)展，認(rèn)證授權(quán)憑據(jù)也越來越多地加入了主客體的相關(guān)屬性，出現(xiàn)了基于任務(wù)、屬性、UCON、行為和信任等一系列新型訪問控制模型及其管理模型。

1 基于任務(wù)的訪問控制模型

云計(jì)算環(huán)境中，執(zhí)行操作的用戶是動(dòng)態(tài)變化的。因此，用戶權(quán)限也隨之改變，傳統(tǒng)的訪問控制技術(shù)已經(jīng)不能滿足動(dòng)態(tài)授權(quán)的安全需求。工作流是按一定的業(yè)務(wù)邏輯將一組任務(wù)組織起來達(dá)到一個(gè)目標(biāo)。工作流中的數(shù)據(jù)在不同的任務(wù)和用戶間進(jìn)行傳遞與執(zhí)行[2]，在訪問控制模型中引入任務(wù)概念，實(shí)現(xiàn)云計(jì)算環(huán)境下的動(dòng)態(tài)授權(quán)?；谌蝿?wù)的訪問控制模型（TBAC）[3]是從任務(wù)的角度來建立訪問控制模型和授權(quán)機(jī)制，隨著任務(wù)的切換提供動(dòng)態(tài)實(shí)時(shí)的安全管理。由于同一工作流可以創(chuàng)建不同任務(wù)實(shí)例，該模型同樣適用[4]。文獻(xiàn)[5]基于RBAC模型，提出了T-RBAC模型。該模型在角色和客體之間插入工作流的多個(gè)任務(wù)節(jié)點(diǎn)，將任務(wù)分配給角色，角色通過即將執(zhí)行的任務(wù)獲得權(quán)限。文獻(xiàn)[6]將RBAC 應(yīng)用于可擴(kuò)展的分布式工作流系統(tǒng)中，增強(qiáng)了對(duì)執(zhí)行任務(wù)用戶的授權(quán)控制，但對(duì)工作流在虛擬環(huán)境下訪問控制的問題沒有加以考慮。

2 基于安全屬性的訪問控制模型

2.1 基于屬性的訪問控制模型

基于屬性的訪問控制模型（ABAC）將云環(huán)境歸納為若干實(shí)體，例如用戶、資源、環(huán)境等。該模型通過對(duì)用戶、資源和環(huán)境等實(shí)體安全屬性的統(tǒng)一建模，描述授權(quán)和訪問控制策略，使其具有足夠的靈活性和可擴(kuò)展性，較好地解決了細(xì)粒度訪問控制和大規(guī)模用戶動(dòng)態(tài)擴(kuò)展問題。

在多域環(huán)境下，ABAC訪問控制決策所需的屬性可能來自不同的組織域，多重組織域間的決策描述是ABAC研究中需要解決的一個(gè)重要問題。語義Web技術(shù)的引入，為實(shí)體屬性提供了更精確的描述，進(jìn)而定義更靈活的訪問規(guī)則，實(shí)現(xiàn)語義推理功能，有效解決屬性語義互操作問題。目前研究使用的安全斷言標(biāo)記語言（SAML）[7]、服務(wù)供應(yīng)標(biāo)記語言（SPML）[8]和可擴(kuò)展的訪問控制標(biāo)記語言（XACM）[9]都是基于XML的標(biāo)準(zhǔn)。SAML側(cè)重于不同安全域之間的交換認(rèn)證和授權(quán)數(shù)據(jù)；SPML致力于IT配置任務(wù)的自動(dòng)化和標(biāo)準(zhǔn)化，以及通過標(biāo)準(zhǔn)的SPM接口實(shí)現(xiàn)不同配置系統(tǒng)間的互操作；XACML定義了一種表示授權(quán)規(guī)則和策略的標(biāo)準(zhǔn)格式，還定義了一種評(píng)估規(guī)則和策略，以做出授權(quán)決策的標(biāo)準(zhǔn)方法，但上述描述語言都沒有考慮到屬性間的語義關(guān)系。文獻(xiàn)[10]提出了一種新的語義訪問控制策略描述語言（SACPL），并設(shè)計(jì)了一個(gè)面向本體的訪問控制模型（ACOOS）。在該模型中使用SACPL描述了主體、客體、行為和屬性四大本體元素之間的元數(shù)據(jù)模型。SACPL在（S，O，A）三元組的基礎(chǔ)上增加了優(yōu)先級(jí)、條件和機(jī)密性3個(gè)元素成為六元組來描述訪問規(guī)則，并增加了優(yōu)先級(jí)規(guī)則生成算法。ACOOS解決了云計(jì)算環(huán)境下跨機(jī)構(gòu)分布式資源訪問中的語義互通和互操作問題。文獻(xiàn)[11]在資源描述框架下利用統(tǒng)一資源定位（URI）來描述屬性，不僅實(shí)現(xiàn)了屬性在全局范圍內(nèi)的標(biāo)準(zhǔn)化，還管理了整個(gè)服務(wù)的訪問決策過程。在該模型中，服務(wù)和用戶想要獲得特定的權(quán)限必須獲得對(duì)應(yīng)的安全標(biāo)記，安全標(biāo)記擁有若干屬性，即要求服務(wù)或用戶也具有這些屬性才能獲得該安全標(biāo)記。ABAC策略合成不僅應(yīng)考慮組織域間不同的安全約束，還應(yīng)保證合成策略對(duì)資源訪問判決結(jié)果的確定性，避免策略沖突。針對(duì)ABAC具有訪問控制規(guī)則沖突這一問題，文獻(xiàn)[12]提出了基于本體理論的云服務(wù)訪問控制（CSAC）的元數(shù)據(jù)模型，根據(jù)該元數(shù)據(jù)模型，定義了規(guī)則的對(duì)立沖突、排斥沖突和對(duì)立許可，一旦用戶出現(xiàn)上述沖突，則拒絕為該用戶授權(quán)。

2.2 基于UCON的云計(jì)算訪問控制模型

基于UCON[13]的模型不僅繼承了傳統(tǒng)的DAC、MAC和RBAC的安全策略，而且還包括數(shù)字版權(quán)管理所覆蓋的安全和隱私問題，是一個(gè)最綜合的模型。UCON模型由6部分組成：主體、權(quán)利、客體、授權(quán)、義務(wù)和條件，每個(gè)元素都有其相關(guān)屬性。其中主體、權(quán)利、客體和授權(quán)都是傳統(tǒng)訪問控制模型中涉及的元素，義務(wù)（obligation）就是在訪問請(qǐng)求執(zhí)行以前或執(zhí)行過程中必須由義務(wù)主體履行的行為；條件（condition）是訪問請(qǐng)求的執(zhí)行必須滿足某些系統(tǒng)和環(huán)境的約束，比如系統(tǒng)負(fù)載、訪問時(shí)間限制等，如圖1所示。

義務(wù)代表行為元素，條件代表環(huán)境元素，加上訪問控制模型原有的元素，很好地實(shí)現(xiàn)了傳統(tǒng)訪問控制模型、信任管理和數(shù)字版權(quán)管理3種技術(shù)的融合[14-15]，還因?yàn)楣餐饔檬沟每刂品秶兴鶖U(kuò)展，極大地提高了模型的靈活性和描述能力，從而更好地應(yīng)用于云計(jì)算環(huán)境。

基于協(xié)商的UCON模型是在原來的基礎(chǔ)上，增加協(xié)商模塊，允許用戶在訪問請(qǐng)求被拒后，通過改變相關(guān)參數(shù)和屬性進(jìn)行協(xié)商從而獲得第二次訪問的機(jī)會(huì)，提高了云訪問控制的靈活性[16]。蔡婷等[17]針對(duì)云環(huán)境下使用中的安全授權(quán)管理難的問題，提出一種基于加密方式的授權(quán)管理控制模型，該模型以多方驗(yàn)證的方法提高了UCON模型中屬性更新的可信性以及授權(quán)的正確性。

2.3 基于行為的訪問控制模型

關(guān)于行為訪問控制模型的研究主要集中在與BLP模型相結(jié)合構(gòu)建多級(jí)安全模型。BLP模型是強(qiáng)制訪問控制模型，主要用于強(qiáng)調(diào)安全等級(jí)的系統(tǒng)。該模型中允許下讀、上寫兩個(gè)安全特性，使信息單向流動(dòng)，保證了信息的機(jī)密性。BLP模型[18]的不足之處在于對(duì)完整性控制不夠且多以主客體的安全等級(jí)為依據(jù)進(jìn)行授權(quán)的判定，對(duì)時(shí)態(tài)因素的論述較為簡單，忽略了云計(jì)算環(huán)境下環(huán)境信息對(duì)訪問授權(quán)的影響，權(quán)限管理缺乏靈活性和通用性。文獻(xiàn)[19]綜合考慮了角色、時(shí)態(tài)狀態(tài)和環(huán)境狀態(tài)之間的依賴關(guān)系以及對(duì)行為的影響，形式化描述了行為狀態(tài)管理函數(shù)，使該模型靈活地處理各種信息系統(tǒng)中的訪問控制問題。文獻(xiàn)[20]提出了CCACSM模型，將訪問控制分為權(quán)限層次和行為層次，權(quán)限層次繼承了BLP 模型的上讀下寫特性，行為層次綜合了角色時(shí)態(tài)和環(huán)境因素，行為隨之動(dòng)態(tài)改變。該模型兼顧了完整性和保密性。

2.4 基于信任的訪問控制模型

云計(jì)算模式的松散架構(gòu)為信任評(píng)估這一彈性機(jī)制引入云計(jì)算提供了廣闊空間。信任管理使用表達(dá)性更強(qiáng)的憑證，此類憑證可以將公鑰綁定到授予的權(quán)限、密鑰持有者的各種屬性或者完全可編程的“能力”，使得信任管理可以統(tǒng)一表示安全策略、憑證以及信任關(guān)系，并以靈活、通用、可靠的方式解決開放分布式系統(tǒng)的訪問控制和授權(quán)問題。文獻(xiàn)[21]中提出了基于信任的訪問控制模型TrustBAC。該模型首先為用戶劃分信任等級(jí)，然后通過信任級(jí)別決定角色。文獻(xiàn)[22]將信任機(jī)制應(yīng)用到網(wǎng)格社區(qū)授權(quán)服務(wù)中，根據(jù)信任度評(píng)估算法計(jì)算網(wǎng)格實(shí)體的信任度，使CAS服務(wù)器能依據(jù)實(shí)體的信任度動(dòng)態(tài)改變實(shí)體的角色，從而實(shí)現(xiàn)訪問控制的動(dòng)態(tài)性。文獻(xiàn)[23]將信任管理與群簽名機(jī)制相結(jié)合，將用戶信任度作為群簽名分組的依據(jù)，再利用群簽名機(jī)制實(shí)現(xiàn)用戶認(rèn)證，能有效識(shí)別惡意用戶，但該模型信任度計(jì)算與群簽名機(jī)制是松散耦合的，從而降低了簽名效率。

在動(dòng)態(tài)開放的云計(jì)算環(huán)境中，由于有大量的實(shí)體動(dòng)態(tài)訪問云服務(wù)，即使用戶身份可信，其行為仍然存在相當(dāng)程度的不確定性。因此，需要在身份認(rèn)證后，繼續(xù)對(duì)實(shí)體行為進(jìn)行檢測，根據(jù)實(shí)體的歷史行為記錄對(duì)其進(jìn)行等級(jí)評(píng)價(jià)。文獻(xiàn)[24]提出了一種基于用戶行為信任的云計(jì)算訪問控制模型，根據(jù)綜合用戶的直接和間接信任值得到的信任值確定其信任等級(jí)，激活其所對(duì)應(yīng)的角色以及賦予該角色一定的訪問權(quán)限，提供請(qǐng)求的資源，但該模型沒有考慮不可信的云服務(wù)。文獻(xiàn)[25]從動(dòng)態(tài)授權(quán)、角色擴(kuò)散和性能方面進(jìn)行考慮，提出了基于用戶行為信任評(píng)估的動(dòng)態(tài)角色訪問控制（UT-DRBAC）模型，該模型通過動(dòng)態(tài)指派角色實(shí)現(xiàn)了模型授權(quán)的動(dòng)態(tài)性，并將身份信任和行為信任相結(jié)合，改變了現(xiàn)有訪問控制模型單一基于身份信任的靜態(tài)授權(quán)機(jī)制。但該模型追求角色數(shù)量和屬性數(shù)量之間的平衡時(shí)，從而在一定程度上偏離了最小權(quán)限原則。

3 結(jié)語

通過上述對(duì)各種類型訪問控制模型的分析和梳理，引用文獻(xiàn)[26]中定義的指標(biāo)，并進(jìn)行了比較。這些指標(biāo)包括安全性、機(jī)密性、最小特權(quán)、描述能力、細(xì)粒度控制、云環(huán)境屬性、約束描述、動(dòng)態(tài)授權(quán)，如表1所示。

綜上所述，訪問控制模型在云計(jì)算環(huán)境下的相關(guān)研究取得了一些進(jìn)展，但是仍然有許多尚待解決的問題。 訪問控制技術(shù)的發(fā)展將呈現(xiàn)如下趨勢：①云計(jì)算環(huán)境中，用戶和租戶都稱為模型的主體，都有各自的安全屬性，因此需進(jìn)一步形式化描述云計(jì)算中用戶和租戶的關(guān)系及其在模型中的作用；②充分考慮云計(jì)算環(huán)境中安全屬性的影響，研究訪問權(quán)限的可伸縮性動(dòng)態(tài)調(diào)整方法；③由于不同信息域之間的差異，相應(yīng)的安全策略存在語義不一致甚至相互矛盾的問題，因此消解訪問控制策略的沖突也是訪問控制模型需要重點(diǎn)關(guān)注的方面。

參考文獻(xiàn)：

[1]FERRAIOLO D，KUHN DR.Role-based access control[C]. In： Proc. of the 15th National Computer Security Conf.，1992：554-563.

[2]E BERTINO，E FERRARI，V ATLURI.The specification and enforcement of authorization constraints in workflow management systems[J].ACM Transaction on Information System Security，1999，2（1）：65-104 .

[3]THOMAS R，SANDHU R.Task-Based authorization controls （TBAC）：a family of models for active and enterprise oriented authorization management[C].Proc. of the 11th IFIP WG11.3 Conf.on Database Security， 1997：166-181.

[4]DENG JB，HONG F.Task-based access control model[J]. Ruan Jian Xue Bao/Journal of Software， 2003，14（1）：76-82.

[5]王小威，趙一鳴.一種基于任務(wù)角色的云計(jì)算訪問控制模型[J].計(jì)算機(jī)工程[J]，2012，38（24）：9-13.

[6]SUN YQ，MENG XX，LIU SJ，et al.Flexible workflow incorporated with RBAC[C].In： Proc. of the 9th Intl Conf. in Computer Supported Cooperative Work in Design （CSCWD 2005）， 2005：525-534.

[7]CANTOR S，MOREH J，PHILPOTT R，et al.Metadata for the OASIS security assertion markup language （SAML）[M].V2.0. OASIS Open，2005.

[8]GARY C，SUN M，OASIS.Service provisioning markup language （SPML）[M].Versions 2.0.OASIS Open，2006.

[9]ERIK R，AXIOMATICS AB.OASIS extensible access control markup language （XACML） [M].Versions 3.0.OASIS Open，2013.

[10]LUOKAI HU，SHI YING，XIANGYANG JIA，et al.Towards an approach of semantic access control for cloud computing cloud[M].LNCS 5931，2009：145-156.

[11]ZAHID IQBAL，JOSEF NOLL.Towards semantic-enhanced attribute-based access control for cloud services[C].Proc. of the 11th Trust， Security and Privacy in Computing and Communications Conf.，2012.

[12]CHI-LUN LIU.Cloud service access control system based on ontologies[J].Advances in Engineering Software，2014（4）：26-36.

[13]PARK J，SANDHU R.Towards usage control models：beyond traditional access control[C].Proc. of the 7th ACM Symp.on Access Control Models and Technologies （SACMAT 2002），2002：57-64.

[14]聶麗平.基于UCON訪問控制模型的分析與研究[D].合肥：合肥工業(yè)大學(xué)，2006.

[15]崔永泉，洪帆，龍濤，等.基于使用控制和上下文的動(dòng)態(tài)網(wǎng)絡(luò)訪問控制模型研究[J].計(jì)算機(jī)科學(xué)，2008，35（2）：37-41.

[16]C DANWEI，H XIULI，R XUNYI.Access control of cloud service based on UCON[M].Cloud LNCS 5931，2009：559-564.

[17]蔡婷，陳昌志.云環(huán)境下基于UCON的訪問控制模型研究[J].計(jì)算機(jī)科學(xué)，2014，41（zl）：262-264.

[18]LIN T，BELL Y，AXIOMS L.A new paradigm for an old model[C].Proc 1992 ACM SIGSAC New Security Paradigms Workshop，1992.

[19]李鳳華，王巍，馬建峰，等.基于行為的訪問控制模型及其行為管理[J].電子學(xué)報(bào)， 2008，10，36（10）：1881-1890.

[20]林果園，賀珊，黃皓，等.基于行為的云計(jì)算訪問控制安全模型[J].通信學(xué)報(bào)，2012，33（3）：59-66.

[21]S CHAKRABORTY，I RAY.TrustBAC：integrating trust relationships into the RBAC model for access control in open systems[C].California：In Proceedings of the 11th ACM Symposium on Access Control Models and Technologies （SACMAT' 2006），2006：49-58.

[22]鄧勇，張琳，王汝傳，等.網(wǎng)格計(jì)算中基于信任度的動(dòng)態(tài)角色訪問控制的研究[J].計(jì)算機(jī)科學(xué)， 2010，37（2）：51-54.

[23]李丙戌，吳禮發(fā)，周振吉，等.基于信任的云計(jì)算身份管理模型設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)科學(xué)， 2014，41（3）：144-148.

[24]張凱，潘曉中.云計(jì)算下基于用戶行為信任的訪問控制模型[J].計(jì)算機(jī)應(yīng)用， 2014，34（4）：1051-1054.

[25]田立勤，冀鐵果，林闖，等.一種基于用戶行為信任的動(dòng)態(tài)角色訪問控制[J].計(jì)算機(jī)工程與應(yīng)用，2008，44（6）：12-15.

[26]王于丁，楊家海，徐聰，等.云計(jì)算訪問控制技術(shù)研究綜述[J].軟件學(xué)報(bào)， 2015，26（5）：1129-1150.

（責(zé)任編輯：孫 娟）