鐘美瑚

摘 要：本文從傳統(tǒng)訪問控制模型的缺點(diǎn)入手，分析我國云計(jì)算環(huán)境下的訪問控制模型，探討基于信任評(píng)估的屬性訪問控制優(yōu)化技術(shù)。

關(guān)鍵詞：云計(jì)算；訪問機(jī)制；技術(shù)；優(yōu)化

從保護(hù)云數(shù)據(jù)訪問時(shí)安全的角度，要想讓個(gè)人、企業(yè)和組織等用戶放心地將其敏感數(shù)據(jù)外包給云服務(wù)提供商管理，就必須著手應(yīng)對(duì)用戶所面臨的各種安全問題，實(shí)現(xiàn)數(shù)據(jù)有效共享的同時(shí)還能保護(hù)自己的安全與隱私，數(shù)據(jù)安全訪問控制在云計(jì)算安全相關(guān)研究工作中是最具挑戰(zhàn)的問題之一。在云計(jì)算應(yīng)用服務(wù)模式下，數(shù)據(jù)安全訪問保護(hù)已不同于傳統(tǒng)安全，怎么在云數(shù)據(jù)訪問中保護(hù)個(gè)人數(shù)據(jù)不被非法訪問，現(xiàn)存的方案主要是通過披露加密數(shù)據(jù)密鑰，釆用加密的方法或者基于密文運(yùn)算技術(shù)來應(yīng)對(duì)安全性和訪問控制問題，但這樣的方案對(duì)于數(shù)據(jù)擁有者來說必須承受巨大計(jì)算開銷，而對(duì)于云服務(wù)提供商來說密鑰的分發(fā)和管理也面臨著巨大的資源消耗，同時(shí)也面臨在設(shè)計(jì)用戶撤銷機(jī)制時(shí)的困難。

1傳統(tǒng)訪問控制模型的缺點(diǎn)

傳統(tǒng)的訪問控制一般被分為兩類：一類是自主訪問控制DAC （Discretion-ary Access Control），另一類是強(qiáng)制訪問控制 MAC（Mandatory AccessControl）。DAC是這樣的一種控制方式，由客體的屬主對(duì)自己的客體進(jìn)行管理，由屬主自己決定是否將自己的客體訪問權(quán)或部分訪問權(quán)授予其他主體，這種控制方式是自主的。也就是說，在自主訪問控制下，用戶可以按自己的意愿，有選擇地與其他用戶共享文件。在基于DAC的系統(tǒng)中，主體的擁有者負(fù)責(zé)設(shè)置訪問權(quán)限，但缺點(diǎn)是主體的權(quán)限太大，可能造成安全隱患。訪問控制列表（ACL）和訪問控制矩陣是DAC中常用的安全機(jī)制，通過維護(hù)ACL或訪問控制矩陣來控制用戶訪問有關(guān)數(shù)據(jù)。

自主訪問控制的優(yōu)點(diǎn)在于它的簡單易行、授權(quán)靈活、管理、查詢及檢索等比較方便，但當(dāng)用戶數(shù)量及管理資源非常龐大時(shí)，特別是對(duì)大型分布式系統(tǒng)，訪問控制變得非常復(fù)雜，效率下降，難以管理，另外授權(quán)過程存在鏈?zhǔn)浇Y(jié)構(gòu)，不能控制主體間接獲得對(duì)客體的訪問控制權(quán)限，也不利于統(tǒng)一的全局訪問控制。

MAC由一個(gè)授權(quán)機(jī)構(gòu)為主體和客體分別定義固定的訪問屬性，且這些訪問權(quán)限不能通過用戶來修改。例如將數(shù)據(jù)分成絕密、機(jī)密、秘密和一般等幾類。用戶的訪問權(quán)限也類似定義，即擁有相應(yīng)權(quán)限的用戶可以訪問對(duì)應(yīng)安全級(jí)別的數(shù)據(jù)，從而避免了自主訪問控制方法中出現(xiàn)的訪問傳遞問題。這種方法具有層次性的特點(diǎn)，高級(jí)別的權(quán)限可訪問低級(jí)別的數(shù)據(jù)。MAC的主要缺點(diǎn)表現(xiàn)在權(quán)限管理實(shí)現(xiàn)難度較大，管理不便，靈活性差，而且可能因?yàn)閺?qiáng)調(diào)保密安全性導(dǎo)致系統(tǒng)連續(xù)工作能力和授權(quán)的可管理性方面考慮不足。

2云計(jì)算環(huán)境下的訪問控制模型

云計(jì)算是典型的分布式計(jì)算環(huán)境，并且存在多邏輯安全域，近年來己開始有國內(nèi)外學(xué)者針對(duì)云計(jì)算訪問控制問題進(jìn)行研究，但現(xiàn)有的面向云計(jì)算環(huán)境提出的訪問控制模型，它們大部分是針對(duì)傳統(tǒng)基于角色訪問控制模型的改進(jìn)和擴(kuò)展，試圖通過擴(kuò)展傳統(tǒng)的角色訪問控制模型以適用于云計(jì)算環(huán)境。如在實(shí)現(xiàn)分布式環(huán)境或云計(jì)算環(huán)境下跨多個(gè)安全域之間的互操作上，需要通過角色映射來建立不同安全域之間的角色關(guān)聯(lián)，Basit Shafiq等人通過提取不同安全域中訪問控制策略，設(shè)計(jì)了多安全域環(huán)境的策略運(yùn)算框架，但該框架并未解決多個(gè)安全域中產(chǎn)生的策略沖突問題?？偟膩碚f，IRBAC模型通過域間角色映射表實(shí)現(xiàn)跨域訪問控制授權(quán)，但其授權(quán)過程未考慮上下文環(huán)境，是粗粒度的訪問控制，同時(shí)角色間的映射跨越多個(gè)安全域可能會(huì)導(dǎo)致角色循環(huán)繼承并引起沖突問題，而且該模型缺乏策略集成和策略沖突的解決辦法。如果在多邏輯安全域的云計(jì)算環(huán)境中，該模型以及其他一些類似模型還存在域穿梭問題。

3基于信任評(píng)估的屬性訪問控制優(yōu)化技術(shù)

1、信任計(jì)算模型

在CC-TPFGABAC模型中，云計(jì)算環(huán)境中的主體在訪問云服務(wù)或云資源時(shí)通過信任度的高低的判斷來避免主體訪問到惡意或虛假的云服務(wù)或云資源。如果在訪問控制決策時(shí)獲得可靠的信任度，則結(jié)合其他的屬性進(jìn)行決策授權(quán)，而且信任度處在動(dòng)態(tài)變化之中，能讓主體訪問到更加安全的、可靠的云服務(wù)或云資源。CC-TPFGABAC模型中的這部分主要是信任計(jì)算管理模塊（TCM）。TCM主要負(fù)責(zé)對(duì)云用戶、云服務(wù)或資源的信任度的進(jìn)行評(píng)估，通過收集歷史交互記錄和對(duì)評(píng)價(jià)可信度、實(shí)體相似度和評(píng)價(jià)相似度等指標(biāo)的計(jì)算完成信任度的評(píng)估與決策，然后把決策結(jié)果返回給認(rèn)證授權(quán)模塊，完成相應(yīng)的訪問控制決策；TCM信任計(jì)算管理模塊整體框架，具體過程如下：

（1）云用戶要想訪問云服務(wù)或云資源，向AAC發(fā)出認(rèn)證授權(quán)請(qǐng)求。（2） AAC對(duì)該訪問請(qǐng)求進(jìn)行分析，提取主體和客體相關(guān)信息后，并交由訪問決策PEP，PEP將訪問請(qǐng)求轉(zhuǎn)換為屬性訪問控制請(qǐng)求并發(fā)送到?jīng)Q策端。（3）訪問控制決策模塊調(diào)用TCM模塊發(fā)出收集信任屬性請(qǐng)求，TCM利用信任計(jì)算得到云用戶和云服務(wù)或云資源的之間的信任度。（4） TCM模塊將把信任計(jì)算結(jié)果返回給訪問控制決策模塊。（5）訪問控制決策首先判斷云用戶與云資源的信任屬性是否滿足訪問控制要求，若滿足則查詢策略庫并結(jié)合其他屬性做出最終決策并授予用戶所應(yīng)有的權(quán)限；反之訪問控制決策模塊則直接拒絕本次訪問。（6） PDP做出的決策返回給執(zhí)行端PEP。（7）PEP將最終決策結(jié)果返回給云用戶；（8）云用戶根據(jù)決策授權(quán)結(jié)果來訪問云資源；（9）記錄本次交互記錄，TCM模塊將信任計(jì)算結(jié)果提交AAC并更新雙方的信任值。

2、具體操作步驟

（1 ）云用戶在提出云服務(wù)訪問請(qǐng)求的同時(shí)并聲明自己對(duì)云服務(wù)或云資源的要求。（2）云服務(wù)或云資源是否滿足所宣稱的服務(wù)度量指標(biāo)，滿足則轉(zhuǎn)入第三步，否則重新選擇云服務(wù)或云資源。（3）信任評(píng)估模塊計(jì)算云用戶對(duì)要訪問資源的直接信任度，如果沒有直接交互，也沒有推薦，則使用間接信任度計(jì)算總體信任度。（4）計(jì)算云用戶對(duì)云資源的實(shí)體熟悉度，評(píng)價(jià)可信度和評(píng)價(jià)相似度，根據(jù)實(shí)體熟悉度，評(píng)價(jià)可信度和評(píng)價(jià)相似度計(jì)算結(jié)果得到推薦信任度。（5）推薦信任度計(jì)算結(jié)果加上直接信任度計(jì)算結(jié)果，加入權(quán)重后形成云用戶對(duì)云資源或云服務(wù)的總體綜合信任度。（6）根據(jù)計(jì)算得到的綜合信任度，并將其與設(shè)定的信任度閾值比較，根據(jù)比較結(jié)果再結(jié)合其他屬性進(jìn)行訪問控制決策，決定是否接受選擇的云資源進(jìn)行訪問。（7）如果服務(wù)訪問成功后，云用戶需對(duì)云服務(wù)做出評(píng)價(jià)，以便更新相應(yīng)的服務(wù)信任度和評(píng)價(jià)可信度。（8）信任評(píng)估模塊根據(jù)信任度計(jì)算公式計(jì)算直接信任度和用戶的評(píng)價(jià)可信度。（9）本次信任計(jì)算結(jié)束。

4展望。

云計(jì)算是一種新的應(yīng)用模式，具有多租戶、靈活快速和易擴(kuò)展等特點(diǎn)，它能夠顯著降低運(yùn)營成本和提高運(yùn)營效率，已受到企業(yè)界和學(xué)術(shù)界的廣泛關(guān)注。隨著云計(jì)算技術(shù)的不斷發(fā)展，安全與隱私問題己經(jīng)成為云計(jì)算應(yīng)用的最大障礙。近年來的相關(guān)云計(jì)算調(diào)查也證明了安全與隱私問題是用戶最關(guān)注的，因此如果不能處理好云安全與隱私保護(hù)問題，云計(jì)算技術(shù)將無法真正大規(guī)模應(yīng)用。云計(jì)算環(huán)境下訪問控制技術(shù)作為保護(hù)云服務(wù)訪問和數(shù)據(jù)安全共享時(shí)的重要措施和手段，其作用至關(guān)重要。云計(jì)算環(huán)境有三類實(shí)體：云用戶、云服務(wù)提供商和數(shù)據(jù)擁有者。云用戶向云服務(wù)提供商中的云資源發(fā)起訪問請(qǐng)求，而服務(wù)提供商所提供的資源可能屬于不同的數(shù)據(jù)擁有者和處于不同的邏輯安全域，某一邏輯安全域中的實(shí)體可能是惡意用戶實(shí)體或者惡意云服務(wù)實(shí)體，因此面對(duì)這種特殊的復(fù)雜云計(jì)算環(huán)境構(gòu)成，現(xiàn)有的訪問控制模型很難完全適用，所以希望通過本文的分析能夠?yàn)閷?shí)際的工作提供一些啟發(fā)。

參考文獻(xiàn)：

[1]李德毅，陳桂生.云計(jì)算熱點(diǎn)問題分析[J]，中興通訊技術(shù)，2010，16（4）：1-4

[2]張嘉，張宏莉，韓道軍等.基于概念格的RBAC模型中角色最小化問題的理論與算法[J].電子學(xué)報(bào)，2014，42（12）： 2371-2376