蘇 雪, 宋國新

(1.武漢鐵路職業(yè)技術(shù)學(xué)院,武漢 430205;2.華東理工大學(xué)信息科學(xué)與工程學(xué)院,上海 200237)

一種基于安全策略的云數(shù)據(jù)訪問控制優(yōu)化技術(shù)

蘇 雪1, 宋國新2

(1.武漢鐵路職業(yè)技術(shù)學(xué)院,武漢 430205;2.華東理工大學(xué)信息科學(xué)與工程學(xué)院,上海 200237)

云存儲(chǔ)安全給訪問控制技術(shù)帶來了新的挑戰(zhàn)。提出了一種基于安全策略的云數(shù)據(jù)訪問控制優(yōu)化方法,基本思想是利用數(shù)據(jù)關(guān)聯(lián)關(guān)系進(jìn)行安全策略精化,基于屬性的安全策略中融合了角色和信譽(yù)特征。利用數(shù)據(jù)關(guān)聯(lián)關(guān)系對云數(shù)據(jù)進(jìn)行細(xì)粒度劃分,得到相應(yīng)的數(shù)據(jù)塊;對策略中的規(guī)則和數(shù)據(jù)塊進(jìn)行匹配和沖突消除,得到精化的安全策略。理論分析和實(shí)驗(yàn)結(jié)果表明,本文方法對于數(shù)據(jù)量大的云數(shù)據(jù)訪問控制具有較高的效率。

云存儲(chǔ); 安全策略; 信譽(yù); 訪問控制; 優(yōu)化

數(shù)據(jù)安全是云計(jì)算應(yīng)用面臨的主要挑戰(zhàn)之一[1],訪問控制是數(shù)據(jù)安全和網(wǎng)絡(luò)通信安全的基本方法。以DAC,MAC,RBAC[2-3]為代表的訪問控制方法在操作系統(tǒng)、數(shù)據(jù)庫安全領(lǐng)域已經(jīng)得到廣泛應(yīng)用,基于安全策略的訪問控制方法適合于網(wǎng)絡(luò)環(huán)境下托管數(shù)據(jù)的安全管理。XACML(eXtensible Access Control Markup Language) 是一種基于XML格式的訪問控制標(biāo)準(zhǔn),被廣泛應(yīng)用于網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)服務(wù)中[4]。XACML是一種層次化語言模型,它提供了策略集、策略和規(guī)則3種對象及對象之間的融合算法,用于仲裁安全規(guī)則之間的沖突并設(shè)定默認(rèn)解決方案,從而保證訪問控制決策的一致性。

基于XACML的訪問控制研究已有大量成果。Hu等[5]提出了一種應(yīng)用于Web訪問控制中基于邏輯的XACML策略管理機(jī)制,并對規(guī)則的沖突和冗余進(jìn)行檢測和消除。Wang等[6]提出一種相關(guān)類型的策略優(yōu)化引擎,并對層次化的XACML利用樹狀圖分析和優(yōu)化。然而上述文獻(xiàn)并未充分考慮到策略的安全性,同時(shí)基于策略本身的優(yōu)化方法,效率依然取決于策略長度,并未從根本上優(yōu)化決策算法的復(fù)雜度。Pei等[7]提出了規(guī)則優(yōu)化方法,但策略中沒有考慮角色和信譽(yù)的因素。Said[8]提出了一個(gè)評估策略執(zhí)行效率的框架,并形式化地描述了XACML及策略相似性的度量方法。Bertolino等[9]對XACML的自動(dòng)測試方法進(jìn)行了研究,但對于具體的優(yōu)化方式并未給出可行性方案。

本文在基于屬性的安全策略中融合了角色和信譽(yù)特征,并提出了一種基于策略的云數(shù)據(jù)訪問控制優(yōu)化算法pbacPDP (policy-based access control Policy Decision Point)。利用數(shù)據(jù)關(guān)聯(lián)關(guān)系對云數(shù)據(jù)進(jìn)行劃分,對策略和數(shù)據(jù)塊進(jìn)行匹配和沖突消除,得到優(yōu)化的安全策略。

1 安全策略模型

1.1 策略的描述

一個(gè)XACML策略可以包含多條規(guī)則,在一個(gè)規(guī)則中,主體、資源、行為構(gòu)成其基本屬性,同時(shí)規(guī)則可以具有執(zhí)行條件約束。規(guī)則具有“允許”和“拒絕”兩種效用。由多個(gè)規(guī)則構(gòu)成的策略具有一個(gè)融合算法,用來解決規(guī)則之間的沖突。同樣,策略集也具有融合算法,解決策略之間的沖突。XACML自帶的融合算法有4種,分別為允許優(yōu)先算法(Permit-Override)、拒絕優(yōu)先算法(Deny-Override)、首次適用算法(First-Applicable)和唯一適用算法(Only-one-Applicable)。XACML安全策略模型的形式化描述如下:Policyset::=,{|}+,

Policy::=,{}+,

rule::=(,,,)

target::={(,