祁暉 ，底曉強 ，李錦青 ，楊華民 ，姜會林

（1.長春理工大學(xué) 計算機科學(xué)技術(shù)學(xué)院，長春 130022；2.長春理工大學(xué) 空間光電技術(shù)國家地方聯(lián)合工程研究中心，長春 130022）

基于交互式級聯(lián)布隆過濾器的一體化網(wǎng)絡(luò)訪問控制緩存系統(tǒng)

祁暉1，2，底曉強1，2，李錦青1，楊華民1，姜會林2

（1.長春理工大學(xué) 計算機科學(xué)技術(shù)學(xué)院，長春 130022；2.長春理工大學(xué) 空間光電技術(shù)國家地方聯(lián)合工程研究中心，長春 130022）

通過深入研究基于級聯(lián)布隆過濾器的緩存方案，重新構(gòu)造了基于角色的訪問控制（RBAC）系統(tǒng)的緩存結(jié)構(gòu)，設(shè)計并實現(xiàn)了基于交互式級聯(lián)布隆過濾器的訪問控制緩存系統(tǒng)。在訪問控制決策點（PDP）上設(shè)計了專門的數(shù)據(jù)結(jié)構(gòu)來存儲基于角色的訪問控制規(guī)則及其散列函數(shù)值，并根據(jù)這些信息高效地生成、更新輔助決策點（SDP）的級聯(lián)布隆過濾器，降低了SDP對緩存存儲空間的需求，提高了級聯(lián)布隆過濾器的更新效率。該系統(tǒng)可應(yīng)用于大規(guī)模、分布式的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，以加快訪問控制速度，提升系統(tǒng)整體服務(wù)質(zhì)量。

訪問控制；RBAC；布隆過濾器；一體化網(wǎng)絡(luò)；緩存

訪問控制是保障系統(tǒng)安全的重要手段，基于RBAC的訪問控制系統(tǒng)已得到了廣泛應(yīng)用，包括大規(guī)模分布式企業(yè)應(yīng)用和網(wǎng)絡(luò)應(yīng)用［1-6］。以網(wǎng)絡(luò)應(yīng)用為例，訪問控制系統(tǒng)的一般架構(gòu)如圖1所示。在該架構(gòu)中，策略實施點（PEP）解析接入請求，然后從策略決策點獲取訪問控制決策以決定客戶端是否可以接入網(wǎng)絡(luò)。

在上述集中式訪問控制架構(gòu)中，PDP決定了整個訪問控制系統(tǒng)的性能，且當(dāng)其出現(xiàn)故障時，訪問控制系統(tǒng)失效。為了解決這些問題，研究人員提出了分布式訪問控制架構(gòu)，如圖2所示。該架構(gòu)在接入點上引入了輔助決策點（SDP），用于緩存訪問控制決策。當(dāng)PEP接收應(yīng)用請求時，會向SDP發(fā)送訪問控制請求，如果SDP根據(jù)緩存的信息可以進(jìn)行決策，則立即向PEP返回決策結(jié)果，否則，它會向PDP發(fā)送請求，由其根據(jù)訪問控制規(guī)則作出決策，然后SDP會將PDP返回的決策結(jié)果緩存起來以備之后處理相同的請求。由于SDP與PEP在同一個節(jié)點，對于SDP可以處理的訪問控制請求，訪問控制決策過程將十分高效。另一方面，即使PDP出現(xiàn)故障，只要SDP緩存了足夠的信息，訪問控制系統(tǒng)依舊可以正常工作。

圖1 網(wǎng)絡(luò)應(yīng)用的訪問控制架構(gòu)

圖2 分布式訪問控制架構(gòu)

分布式訪問控制架構(gòu)因其較好的性能和容錯能力，受到了極大關(guān)注。目前，已提出了不少SDP的緩存策略，其中，基于級聯(lián)布隆過濾器的緩存策略被證明具有較好的時間和空間效率。本文改進(jìn)了該策略，使其具有更低的存儲空間需求及更高的管理性能。

接下來，本文首先介紹了訪問控制緩存的相關(guān)研究工作；然后詳細(xì)闡述了本文的方案，包括系統(tǒng)方案、實現(xiàn)原理和詳細(xì)設(shè)計；之后通過仿真實驗對本文方案的性能進(jìn)行了驗證；最后對全文做了總結(jié)。

1 相關(guān)研究

訪問控制決策緩存是提高訪問控制系統(tǒng)性能的一項重要措施，在許多系統(tǒng)中得到了應(yīng)用，如文獻(xiàn)［7］所設(shè)計的訪問控制系統(tǒng)就在內(nèi)存中創(chuàng)建了一個映射表，以主體和對象標(biāo)識作為關(guān)鍵字，以壓縮后的訪問控制規(guī)則作為值。當(dāng)主體訪問某個對象時，訪問控制系統(tǒng)首先在內(nèi)存的映射表中查找訪問控制規(guī)則，僅當(dāng)內(nèi)存中不存在相關(guān)規(guī)則時，系統(tǒng)才會到后端數(shù)據(jù)庫中查找，并將其載入內(nèi)存映射表。這種方式有效降低了訪問控制系統(tǒng)的響應(yīng)時間，極大提高了系統(tǒng)的吞吐量。但該方式是針對特定應(yīng)用的，訪問控制規(guī)則的壓縮方法并不通用，同時由于需要存儲主、客體標(biāo)識，因此在擁有大量主、客體的環(huán)境下將占用大量內(nèi)存空間或?qū)е戮彺婷新什桓?。文獻(xiàn)［8］，［9］提出了一種分布式環(huán)境下的緩存策略，根據(jù)PDP的決策結(jié)果推斷角色與權(quán)限的映射關(guān)系，然后將它們存儲于SDP中。該策略支持基于RBAC模型的訪問控制系統(tǒng)，通用性強，但由于緩存更新和決策時需要遍歷緩存數(shù)據(jù)，因此響應(yīng)時間較長。文獻(xiàn)［10］提出了基于級聯(lián)布隆過濾器的分布式緩存策略，該策略在SDP中使用級聯(lián)布隆過濾器存儲會話和權(quán)限關(guān)系。得益于布隆過濾器的特性，該策略的檢索性能較好，且占用的存儲空間穩(wěn)定。但該策略的管理性能不佳，在更新會話權(quán)限關(guān)系時需要遍歷整個集合。文獻(xiàn)［11］比較了各種緩存策略，并指出基于級聯(lián)布隆過濾器的緩存策略在時間效率和空間效率上均有較好的表現(xiàn)。文獻(xiàn)［12］提出了一種使用相聯(lián)陣列的硬件數(shù)據(jù)結(jié)構(gòu)來緩存授權(quán)決策的方案，該方案支持基于訪問控制矩陣和CPOL的緩存策略，但不支持基于級聯(lián)布隆過濾器的緩存策略。本文優(yōu)化了文獻(xiàn)［11］中的基于級聯(lián)布隆過濾器的實現(xiàn)方案（不少研究人員使用該文獻(xiàn)的實現(xiàn)作為基準(zhǔn)測試程序或使用了該文獻(xiàn)的測試數(shù)據(jù)［12］），使其占用更少的存儲空間，并具備更好的管理性能。

2 系統(tǒng)方案

2.1 系統(tǒng)架構(gòu)

本文的系統(tǒng)架構(gòu)如圖3所示。

圖3 分布式訪問控制系統(tǒng)結(jié)構(gòu)

本系統(tǒng)將RBAC策略（包括用戶、角色、權(quán)限及它們之間的關(guān)系）集中存儲于PDP節(jié)點；管理員與該節(jié)點交互更新RBAC策略；PDP節(jié)點還使用關(guān)系數(shù)據(jù)庫存儲每一級的布隆過濾器結(jié)構(gòu)。

PDP將布隆過濾器結(jié)構(gòu)通過網(wǎng)絡(luò)發(fā)送給多個SDP，后者在內(nèi)存中生成級聯(lián)布隆過濾器；當(dāng)管理員更新RBAC策略時，PDP會將更新消息發(fā)送給SDP，由后者更新內(nèi)存中的級聯(lián)布隆過濾器。

普通用戶將訪問控制請求發(fā)送給SDP，由SDP驗證請求是否滿足訪問控制規(guī)則。

2.2 實現(xiàn)原理

本系統(tǒng)的核心數(shù)據(jù)結(jié)構(gòu)是級聯(lián)布隆過濾器，該結(jié)構(gòu)的基礎(chǔ)是布隆過濾器，它是一個時間和空間上都高效的用于檢索的數(shù)據(jù)結(jié)構(gòu)。假設(shè)有一個集合A，為了存儲該集合中的元素，需要定義一個m比特的數(shù)組，以及一組哈希函數(shù)，每個函數(shù)獨立地將A中的元素映射成0到m-1中的一個整數(shù)，即hi：U→{0，1，…，m-1}，對于所有的i=1，…，k，其中：U為A中的元素和不在A中的元素組成的全集，k為哈希函數(shù)的個數(shù)。當(dāng)存儲a∈A時，計算hi(a)，然后將數(shù)組中相應(yīng)的位置1；當(dāng)要確定某個元素e是否在A中時，計算hi(e)，然后檢查數(shù)組中相應(yīng)位的值是否為1，若任意hi(e)對應(yīng)的位的值為0，則e?A，否則認(rèn)為e∈A。對于布隆過濾器，可能存在e?A，但所有hi(e)對應(yīng)的數(shù)組中的位的值均為1，即存在假陽性。另一方面，將一個元素加入布隆過濾器很簡單，但要從中刪除一個元素則并不容易，不能簡單地將要刪除元素的哈希值所對應(yīng)的數(shù)組中的位置0，因為其他未刪除元素可能需要將該位置1。為此，人們提出了計數(shù)布隆過濾器，它并不是一個m比特的數(shù)組，而是m個計數(shù)器數(shù)組，每個計數(shù)器占若干比特。當(dāng)添加一個元素時，是將數(shù)組中相應(yīng)位置的計數(shù)器加1，刪除元素時，則將相應(yīng)位置的計數(shù)器減1。

為了保留布隆過濾器的時間和空間效率，同時解決其假陽性問題，人們提出了級聯(lián)布隆過濾器，即使用多級（多個）布隆過濾器。假設(shè)一個級數(shù)為d的級聯(lián)布隆過濾器，第i級的布隆過濾器記為BFi，BFi存儲的元素集合記為Ai。第1級布隆過濾器BF1存儲集合A中的元素，即A=A1；A2是集合U-A1中所有對于BF1假陽性的元素集合；Ai是Ai-2中所有對于BFi-1假陽性的元素集合；Ad-1中所有對于BFd假陽性的元素將存入一個哈希表中，即Ad+1將以一個列表的形式存儲。級聯(lián)布隆過濾器的結(jié)構(gòu)如圖4所示。假定級聯(lián)布隆過濾器分為4級，則Ai+1是Ai-1中所有對于BFi的假陽性元素所組成的集合，所以有A1?A3?A5和A2?A4，且A5并不存儲到布隆過濾器中，取而代之的是使用哈希表來存儲A5中的元素。對于元素E1∈A1且不屬于其他集合，則驗證E1是BF1成員時將返回true，而驗證其是BF2成員時將返回false；對于元素E4∈A4?A2，則驗證其是BF1，…，BF4成員時均返回true，但E4?A5，因此E4?A；對于元素E6?Ai，對任意Ai都成立，因此在驗證其時BF1成員時將返回false。

圖4 級聯(lián)布隆過濾器結(jié)構(gòu)。

2.3 詳細(xì)設(shè)計

文獻(xiàn)［11］使用上文的級聯(lián)布隆過濾器存儲系統(tǒng)的會話信息——用戶-權(quán)限關(guān)系，由于用戶頻繁登錄退出系統(tǒng)，使得級聯(lián)布隆過濾器中的內(nèi)容頻繁更新，而更新對于級聯(lián)布隆過濾器是一個相對耗時的操作。為此，本文將相對穩(wěn)定的角色-權(quán)限關(guān)系存儲于級聯(lián)布隆過濾器中。由于角色數(shù)通常遠(yuǎn)小于用戶數(shù)，因此本文的級聯(lián)布隆過濾器所需存儲空間更小，生成和更新的效率更高。此外，本文在PDP端設(shè)計了專門的數(shù)據(jù)結(jié)構(gòu)存儲級聯(lián)布隆過濾器的相關(guān)信息，實現(xiàn)了在每級布隆過濾器使用比特數(shù)組（而非計數(shù)器數(shù)組）來存儲數(shù)據(jù)，從而進(jìn)一步降低存儲空間。

本文在PDP端除了將用戶、角色、權(quán)限及它們之間的關(guān)系存儲到關(guān)系數(shù)據(jù)庫中，還設(shè)計了兩個3元組用于存儲級聯(lián)布隆過濾器的相關(guān)信息。其中一個三元組為 T1=（level，index，count），其中 level是級聯(lián)布隆過濾器的級別標(biāo)識，index是布隆過濾器的索引，count是布隆過濾器的計數(shù)器，該三元組用于模擬級聯(lián)布隆過濾器中的每一級計數(shù)布隆過濾器；另一個三元組為T2=（level，role，permission）二元組為（role，permission），其中l(wèi)evel是級聯(lián)布隆過濾器的級別標(biāo)識，role是角色，permission是權(quán)限，該三元組用于存儲級聯(lián)布隆過濾器每一級的元素，包括最后的哈希表。

假設(shè)級聯(lián)布隆過濾器的級數(shù)為d。當(dāng)管理員添加一個角色-權(quán)限關(guān)系時，系統(tǒng)需要執(zhí)行以下步驟：

（1）在關(guān)系數(shù)據(jù)庫中添加角色-權(quán)限關(guān)系；

（2）確定全集U（角色-權(quán)限的笛卡兒積）是否有變化，假設(shè)要添加的元素為e（e表示添加的角色-權(quán)限關(guān)系），添加前的全集為U，添加后的全集為U'；

（3）使用BF1的哈希函數(shù)計算e的所有哈希值，然后根據(jù)哈希值在T1（第一個三元組所對應(yīng)的關(guān)系表）中將所有l(wèi)evel為1，且index為哈希值的計數(shù)器值加1；

（4）將三元組（1，e所對應(yīng)的角色，e所對應(yīng)的權(quán)限）添加到T2（第二個三元組所對應(yīng)的關(guān)系表）中；

（5）判斷集合U'-U-e中每個元素是否是BF1中的成員，對于不是BF1成員的元素，使用BF2的哈希函數(shù)計算其所有哈希值，然后更新T1中的相關(guān)計數(shù)器，并在T2中添加相應(yīng)記錄；

（6）設(shè)置變量 i=2，…，d+1，確定集合 Ai-2（在T2中查詢所有l(wèi)evel=i-2的記錄）中所有對于BFi-1假陽性的元素，使用BFi的哈希函數(shù)計算它們的哈希值，然后更新T1中的相關(guān)計數(shù)器（當(dāng)i=d+1時不用執(zhí)行此操作），并在T2中添加相應(yīng)記錄。

（7）將步驟3至6中對T1的更新操作發(fā)送到SDP以更新緩存中的級聯(lián)布隆過濾器。

當(dāng)管理員刪除一個角色-權(quán)限關(guān)系時，系統(tǒng)需要執(zhí)行以下步驟：

（1）在關(guān)系數(shù)據(jù)庫中刪除角色-權(quán)限關(guān)系；

（2）確定全集U（角色-權(quán)限的笛卡兒積）是否有變化，刪除前的全集為U，刪除后的全集為U'；

（3）令集合E=A1-（U-U'）；

（4）對E中的每個元素e，使用BF1的哈希函數(shù)計算其所有哈希值，然后根據(jù)哈希值在T1中將所有l(wèi)evel為1，且index為哈希值的計數(shù)器值減1；

（5）從T2中刪除元素e所對應(yīng)的記錄；

（6）從E中刪除e，重復(fù)步驟4，直到E為空；

（7）判斷集合A2-（U-U'）中每個元素是否是BF1中的成員，對于不是BF1成員的元素，使用BF2的哈希函數(shù)計算其所有哈希值，然后更新T1中的相關(guān)計數(shù)器，并在T2中刪除相應(yīng)記錄；

（8）設(shè)置變量 i=2，…，d+1，確定集合 Ai-2中所有對于BFi-1假陽性的元素，使用BFi的哈希函數(shù)計算它們的哈希值，然后更新T1中的相關(guān)計數(shù)器（當(dāng)i=d+1時不用執(zhí)行此操作），并在T2中刪除相應(yīng)記錄。

（9）將步驟3至8中對T1的更新操作發(fā)送到SDP以更新緩存中的級聯(lián)布隆過濾器。

本文在SDP緩存中存儲的是角色-權(quán)限關(guān)系，并不包含用戶信息，而實際的訪問控制系統(tǒng)需要確定用戶和權(quán)限的關(guān)系。為此，可以在用戶登錄系統(tǒng)后將用戶及其關(guān)聯(lián)的角色信息保存到用戶端，并借助公鑰加密系統(tǒng)對用戶端的信息進(jìn)行簽名，以避免用戶隨意篡改登錄信息。這樣，用戶在發(fā)送請求時，系統(tǒng)就能提取用戶的角色信息，之后根據(jù)SDP中緩存的角色-權(quán)限關(guān)系確定用戶是否擁有某個權(quán)限。

3 實驗與分析

3.1 測試方案

本文將訪問控制緩存系統(tǒng)應(yīng)用于一體化網(wǎng)絡(luò)環(huán)境，以測試其在大規(guī)模、分布式系統(tǒng)中的性能。一體化網(wǎng)絡(luò)是近年受到廣泛關(guān)注的一個新興研究領(lǐng)域，它是一種融合地面互聯(lián)網(wǎng)和空間網(wǎng)絡(luò)，能在任何地點、任何時間、以任何方式提供信息服務(wù)高速寬帶信息網(wǎng)絡(luò)［13-17］。

一體化網(wǎng)絡(luò)架構(gòu)如圖5所示。在一體化網(wǎng)絡(luò)中，訪問控制系統(tǒng)的緩存節(jié)點SDP可部署于網(wǎng)絡(luò)的接入節(jié)點上，如地面無線基站或低軌衛(wèi)星（LEO），而訪問控制系統(tǒng)的決策點（PDP）則部署于地面互聯(lián)網(wǎng)上。管理員維護(hù)PDP中的訪問控制規(guī)則，即用戶、角色、權(quán)限和它們之間的關(guān)系，然后PDP自動將級聯(lián)布隆過濾器同步到基站或LEO上。當(dāng)移動終端接入網(wǎng)絡(luò)，或在不同網(wǎng)絡(luò)間切換時，如從空間網(wǎng)絡(luò)切入地面網(wǎng)絡(luò)（從LEO切換到基站），或從地面網(wǎng)絡(luò)切入空間網(wǎng)絡(luò)（從基站切換到LEO），則接入節(jié)點可以直接利用緩存的級聯(lián)布隆過濾器對用戶進(jìn)行訪問控制。

圖5 一體化網(wǎng)絡(luò)架構(gòu)

3.2 測試環(huán)境

本文的測試環(huán)境包括兩個部分：一體化網(wǎng)絡(luò)仿真環(huán)境和訪問控制系統(tǒng)環(huán)境。前者利用GTK導(dǎo)出的真實衛(wèi)星軌道數(shù)據(jù)及空間通信參數(shù)計算空間網(wǎng)絡(luò)數(shù)據(jù)傳輸延遲，然后使用WebGL對一體化網(wǎng)絡(luò)結(jié)構(gòu)和數(shù)據(jù)傳輸過程可視化；后者使用Java技術(shù)開發(fā)，包括訪問控制管理和訪問控制緩存兩個子系統(tǒng)。仿真環(huán)境如圖6所示。

圖6 一體化網(wǎng)絡(luò)仿真環(huán)境

3.3 結(jié)果分析

本文主要比較了使用傳統(tǒng)級聯(lián)布隆過濾器和本文的改進(jìn)方案在緩存空間占用上的差異，實驗數(shù)據(jù)來源于文獻(xiàn)［11］的公開數(shù)據(jù)，測試方法也與該文獻(xiàn)相同，包括了緩存的創(chuàng)建，向緩存中添加數(shù)據(jù)、刪除數(shù)據(jù)等一系列操作，從實驗結(jié)果看，本文的改進(jìn)方案確實需要更少的緩存空間，如圖7所示。

圖7 緩存空間占用對比

圖8 接入空間網(wǎng)絡(luò)時的訪問控制延遲對比

此外，本文還測試了接入空間網(wǎng)絡(luò)時，使用緩存（在LEO上完成訪問控制）和不使用緩存（在地面完成訪問控制）的訪問控制延遲對比，如圖8所示。從測試結(jié)果不難看出，對于空間網(wǎng)絡(luò)這種高延遲環(huán)境，使用緩存能極大提高訪問控制效率。

4 結(jié)語

本文將訪問控制緩存系統(tǒng)應(yīng)用到一體化網(wǎng)絡(luò)環(huán)境中，使得網(wǎng)絡(luò)接入點可以就近快速處理訪問控制請求，提高了訪問控制效率；同時，由于緩存采用了級聯(lián)布隆過濾器，因此其空間占用較為穩(wěn)定，并不會隨著存儲內(nèi)容的巨大變化而明顯改變。

與傳統(tǒng)的基于級聯(lián)布隆過濾器的訪問控制方案不同，本文將角色-權(quán)限關(guān)系這種較為穩(wěn)定的信息存儲在級聯(lián)布隆過濾器中，降低了緩存的更新頻率。同時，本文在PDP端存儲并計算級聯(lián)布隆過濾器的關(guān)鍵信息，以加快其生成和更新速度。利用這些信息，SDP可以不使用計數(shù)布隆過濾器來存儲數(shù)據(jù)，從而減少了存儲空間的開銷。

［1］李昊，張敏，馮登國，等.大數(shù)據(jù)訪問控制研究［J］.計算機學(xué)報，2017，40（01）：72-91.

［2］劉慶云，沙泓州，李世明，等.一種基于量化用戶和服務(wù)的大規(guī)模網(wǎng)絡(luò)訪問控制方法［J］.計算機學(xué)報，2014，37（05）：1195-1205.

［3］王于丁，楊家海，徐聰，等.云計算訪問控制技術(shù)研究綜述［J］.軟件學(xué)報，2015，26（05）：1129-1150.

［4］馮朝勝，秦志光，袁丁，等.云計算環(huán)境下訪問控制關(guān)鍵技術(shù)［J］.電子學(xué)報，2015，43（02）：312-319.

［5］Almutairi A，Sarfraz M，Basalamah S，et al.A distributed access control architecture for cloud computing［J］.IEEE Softw，2012，29（2）：36-44.

［6］Qi H，Ma H，Li J，et al. Access control model based on role and attribute and its applications on space-ground integration networks［C］. in 2015 4th International Conference on Computer Science andNetwork Technology （ICCSNT），2015.

［7］Borders K，Zhao X，Prakash A.CPOL：High-performance policy evaluation［C］.in Proceedings of the 12th ACM Conference on Computer and Communications Security，New York，NY，USA，2005.

［8］Wei Q，Crampton J，Beznosov K，et al.Authorization recycling in RBAC systems［C］.in Proceedings of the13th ACM Symposium on Access Control Models and Technologies，New York，NY，USA，2008.

［9］Wei Q，Crampton J，Beznosov K，et al.Authorization recycling in hierarchical RBAC systems［J］.ACM Trans.Inf.Syst.Secur.，2011，14（1）：3：1-3：29.

［10］Tripunitara M V，Carbunar B.Efficient access enforcement in distributed role-based access control（RBAC） deployments［C］.in Proceedings of the 14th ACM Symposium on Access Control Models and Technologies，New York，NY，USA，2009.

［11］Komlenovic M，Tripunitara M，Zitouni T. An empirical assessment of approaches to distributed enforcement in role-based access control （RBAC）［C］. in Proceedings of the First ACM Conference on Data and Application Security and Privacy，New York，NY，USA，2011.

［12］Bloom G，Simha R.Hardware-enhanced distributed access enforcement for role-based access control［C］.in Proceedings of the 19th ACM Symposium on Access Control Models and Technologies，New York，NY，USA，2014.

［13］姜會林，劉顯著，胡源，等.天地一體化信息網(wǎng)絡(luò)的幾個關(guān)鍵問題思考［J］.兵工學(xué)報，2014，35（S1）：96-100.

［14］李鳳華，殷麗華，吳巍，等.天地一體化信息網(wǎng)絡(luò)安全保障技術(shù)研究進(jìn)展及發(fā)展趨勢［J］.通信學(xué)報，2016，37（11）：156-168.

［15］黃惠明，常呈武.天地一體化天基骨干網(wǎng)絡(luò)體系架構(gòu)研究［J］.中國電子科學(xué)研究院學(xué)報，2015，10（05）：460-467+491.

［16］于海洋，楊華民，姜會林，等.一種全球覆蓋的多層星座鏈路分析［J］.長春理工大學(xué)學(xué)報：自然科學(xué)版，2014，37（03）：56-59.

［17］從立鋼，楊華民，王楊惠，等.基于復(fù)制的DTN網(wǎng)絡(luò)路由算法研究［J］.長春理工大學(xué)學(xué)報：自然科學(xué)版，2016，39（04）：119-124.

Access Control Cache System for Integrated Network Based on Interactive Cascade Bloom Filter

QI Hui1，2，DI Xiaoqiang1，2，LI Jinqing1，YANG Huamin1，JIANG Huilin2
（1.School of Computer Science and Technology，Changchun University of Science and Technology，Changchun 130022；2.National and Local Joint Engineering Research Center of Space and Optoelectronics Technology，Changchun University of Science and Technology，Changchun 130022）

This paper studies the scheme based on cascade bloom filter，reconstructs the cache structure based on role-based access control（RBAC），and designs and implements the access control cache system based on interactive cascade bloom filter.This system uses special data structure to store the role-based access control rules and their hash values on the policy decision point（PDP） and efficiently generates and updates the cascade bloom filter on the secondary decision point （SDP） based on this information，reducing requirements for cache storage space on the SDP and improving the updating efficiency of cascade bloom filter.This system can be used in large-scale，distributed application system and network system to speed up access control and improve the overall service quality of the system.

access control；rbac；bloom filter；integrated network；cache

TP393

A

1672-9870（2017）05-0099-05

2017-10-19

國家“863”計劃項目（2015AA015701）；吉林省科技發(fā)展計劃項目（20150204081GX）；吉林省教育廳科研項目（吉教科合字［2016］第378號）

祁暉（1983-），男，博士，講師，E-mail：qihui@cust.edu.cn

底曉強（1978-），男，博士，副教授，E-mail：dixiaoqiang@cust.edu.cn