張文芳，董冠群，王小敏，吳文豐

(1.西南交通大學(xué) 信息科學(xué)與技術(shù)學(xué)院，四川 成都 610031； 2.西南交通大學(xué) 信息安全與國(guó)家計(jì)算網(wǎng)格四川省重點(diǎn)實(shí)驗(yàn)室，四川 成都 610031)

0 引言

隨著云計(jì)算、普適計(jì)算、P2P計(jì)算和Ad Hoc等大規(guī)模分布式系統(tǒng)的深入研究和廣泛應(yīng)用，系統(tǒng)形態(tài)從面向封閉、熟識(shí)的用戶群體和相對(duì)靜態(tài)的形式向開放的、公共可訪問的以及動(dòng)態(tài)協(xié)作的服務(wù)模式轉(zhuǎn)變，同時(shí)開放的分布式系統(tǒng)還具有分散性、異構(gòu)性和訪問匿名性等特點(diǎn)，如何使訪問控制更好地保證分布式系統(tǒng)中敏感數(shù)據(jù)的共享安全，已經(jīng)成為當(dāng)今信息領(lǐng)域的研究熱點(diǎn)。然而，傳統(tǒng)的訪問控制模型，如自主訪問控制(Discretionary Access Control, DAC)[1]、強(qiáng)制訪問控制(Mandatory Access Control, MAC)[2]、基于角色的訪問控制(Role-Based Access Control, RBAC)[3]、基于任務(wù)的訪問控制(Task-Based Access Control, TBAC)[4]和基于任務(wù)—角色的訪問控制(Task-Role-Based Access Control, T-RBAC)[5]等模型，不能很好地適應(yīng)分布式系統(tǒng)開放性、動(dòng)態(tài)性、異構(gòu)性、可伸縮性和分散式管理的特殊需求[6]。

為了在分布式系統(tǒng)中實(shí)現(xiàn)更加安全、靈活、細(xì)粒度的訪問控制，國(guó)內(nèi)外學(xué)者將“信任”機(jī)制集成到傳統(tǒng)訪問控制模型中，并針對(duì)不同的信任等級(jí)制定了相應(yīng)的安全策略。2006年，Chakraborty等[7]將信任評(píng)價(jià)模型與靜態(tài)RBAC模型結(jié)合提出基于信任和角色的訪問控制方案(Trust-Role Based Access Control, Trust-RBAC),該方案根據(jù)用戶的身份證書和歷史訪問行為等信息為用戶賦予一個(gè)信任級(jí)別，并由預(yù)先設(shè)定的信任級(jí)別—角色集列表和角色—權(quán)限集列表決定用戶當(dāng)前可被賦予的訪問角色和權(quán)限。用戶的信任級(jí)別僅在其每次獲取角色時(shí)才重新評(píng)估，因此信任度量的動(dòng)態(tài)性不強(qiáng)，訪問控制粒度較粗。針對(duì)上述問題，劉武等[8]提出改進(jìn)方案，用戶的信任度可在資源訪問的整個(gè)過程中進(jìn)行實(shí)時(shí)評(píng)估，同時(shí)引入角色基本權(quán)限集的思想，提高了授權(quán)的安全性和細(xì)粒度性。此外，劉宏月等[9]通過綜合考慮用戶的基本可信度、行為可信度和建議可信度，提出一種粒度更細(xì)的Trust-RBAC訪問控制框架。陳建剛等[10]和Carles等[11]先后將基于模糊數(shù)學(xué)的信任評(píng)價(jià)算法引入RBAC模型中，構(gòu)建出基于信任的模糊訪問控制模型。但利用模糊數(shù)學(xué)計(jì)算出的用戶信任度屬于一種直接信任度，缺乏信任度量的全局性和可擴(kuò)展性，無法實(shí)現(xiàn)不具有直接信任關(guān)系的主客體之間的訪問授權(quán)。Sadegh等[12]和Lin等[13]針對(duì)云計(jì)算網(wǎng)絡(luò)和分布式環(huán)境提出基于信任的訪問控制方案。然而，上述基于信任的訪問控制模型雖然在安全性和授權(quán)粒度等方面較傳統(tǒng)模型有了明顯提高，但僅將信任評(píng)價(jià)與靜態(tài)RBAC訪問控制模型集成，無法滿足分布式系統(tǒng)用戶訪問權(quán)限隨任務(wù)上下文動(dòng)態(tài)變化的特殊要求，也無法滿足分布式系統(tǒng)信任管理全局性、可擴(kuò)展性和信任多維性的要求。

在信任評(píng)價(jià)算法方面，相關(guān)學(xué)者給出了不同的量化模型和評(píng)價(jià)方法。朗波[14]提出一種信任度量化模型，但未考慮第三方節(jié)點(diǎn)對(duì)信任關(guān)系的不利影響，且信譽(yù)評(píng)價(jià)方法無法體現(xiàn)慢增驟降的客觀規(guī)律;朱友文等[15]將Shapley熵引入可信度評(píng)估過程，并利用D-S(Dempster-Shafer)證據(jù)理論合成綜合可信度，體現(xiàn)了信任的動(dòng)態(tài)性和連續(xù)性，但沒有考慮不可信分量對(duì)信任評(píng)估的影響;張琳等[16]針對(duì)現(xiàn)有信任證據(jù)模型無法快速有效地檢測(cè)和抵抗分布式網(wǎng)絡(luò)中存在的惡意攻擊，提出一種基于改進(jìn)D-S證據(jù)理論的信任模型；李致遠(yuǎn)等[17]和馬禮等[18]所提模型都屬于基于信譽(yù)評(píng)價(jià)的信任模型，其直接信任度雖然增強(qiáng)了資源共享的安全性和利用率，但是缺乏對(duì)其他信任因素的綜合評(píng)判，無法體現(xiàn)信任的多維性和模糊性； Chen等[19]和劉義春等[20]分別提出基于概率論的信任模型，較好地反映了信任值隨上下文的動(dòng)態(tài)變化，但是未考慮用戶本身的多種因素對(duì)信任評(píng)價(jià)的影響；李小勇等[6]指出，動(dòng)態(tài)性是未來分布式系統(tǒng)中信任關(guān)系量化與預(yù)測(cè)的最大挑戰(zhàn)。

雖然目前國(guó)內(nèi)外學(xué)者對(duì)基于信任的訪問控制研究取得了一定成果，但是這些方案在分布式系統(tǒng)的訪問控制應(yīng)用中仍存在以下不足：①現(xiàn)有的信任評(píng)價(jià)算法無法同時(shí)體現(xiàn)信任的動(dòng)態(tài)性、模糊性、不確定性，以及任務(wù)上下文的相關(guān)性；②現(xiàn)有的用戶行為信譽(yù)評(píng)價(jià)算法不能很好地反映信譽(yù)值慢增驟降的客觀規(guī)律；③現(xiàn)有的信任評(píng)價(jià)算法主要與靜態(tài)RBAC模型結(jié)合，缺乏與動(dòng)態(tài)T-RBAC訪問控制模型結(jié)合的研究；④傳統(tǒng)的T-RBAC模型中的用戶—角色分配列表主要由系統(tǒng)管理員根據(jù)主觀經(jīng)驗(yàn)和需要進(jìn)行指派，任務(wù)執(zhí)行效率和資源共享效率較低。為了解決上述問題，本文利用模糊數(shù)學(xué)和概率論對(duì)用戶信任值進(jìn)行綜合量化，構(gòu)建一種更加靈活、安全、細(xì)粒度的多步動(dòng)態(tài)信任度評(píng)價(jià)算法，并通過將該動(dòng)態(tài)信任評(píng)價(jià)算法與T-RBAC動(dòng)態(tài)訪問控制模型有機(jī)結(jié)合，得到一種更適用于分布式系統(tǒng)的動(dòng)態(tài)訪問控制方法。

1 多步動(dòng)態(tài)信任量化算法

1.1 多步動(dòng)態(tài)信任量化算法的基本思想

本文根據(jù)T-RBAC模型和分布式環(huán)境的特點(diǎn)，綜合考慮用戶自身的信任屬性、歷史行為信譽(yù)，以及任務(wù)上下文環(huán)境等因素對(duì)信任的影響，提出一種多步動(dòng)態(tài)信任評(píng)價(jià)算法。該算法從3方面度量用戶在執(zhí)行任務(wù)過程中的可信度：①通過引入多層模糊綜合評(píng)判模型計(jì)算各用戶的信任屬性值TA，生成最佳用戶—角色分配列表,并從中選擇出執(zhí)行任務(wù)的最佳用戶；②根據(jù)T-RBAC模型中的角色—任務(wù)分配列表和任務(wù)—權(quán)限分配列表，利用基于概率論的角色信任度評(píng)價(jià)算法，獲得訪問主體所承擔(dān)角色與被訪問客體所承擔(dān)角色之間的信任度RT；③通過概率統(tǒng)計(jì)法對(duì)所選用戶訪問資源的歷史行為數(shù)據(jù)進(jìn)行分析，計(jì)算出用戶行為信譽(yù)值BR。將上述3個(gè)信任值由系統(tǒng)預(yù)先設(shè)定的權(quán)重進(jìn)行加權(quán)平均以獲得所選用戶對(duì)欲訪問資源的綜合信任度CT，并根據(jù)判決條件決定該用戶是否具有對(duì)特定資源的訪問權(quán)限。本文所提的多步動(dòng)態(tài)信任評(píng)價(jià)算法能夠度量分布式系統(tǒng)中實(shí)體間建立信任關(guān)系時(shí)的多種信任度(TA，RT,BR)，具有更細(xì)的評(píng)價(jià)粒度。因此，基于該算法構(gòu)建的T-RBAC模型，比利用已有信任評(píng)價(jià)算法構(gòu)造的訪問控制策略具有更細(xì)的粒度，可以提高訪問控制對(duì)任務(wù)、角色、訪問行為等各因素的動(dòng)態(tài)適應(yīng)能力。

令βTA,βRT,βBR分別為用戶信任屬性值TA、角色信任度RT和用戶行為信譽(yù)值BR的預(yù)設(shè)權(quán)重，滿足βTA,βRT,βBR∈[0，1]且βTA+βRT+βBR=1，當(dāng)用戶U以角色Ri的身份對(duì)角色Rj所屬資源進(jìn)行訪問時(shí)，其綜合信任度CT定義如下：

CTU(Ri→Rj)=βTA·TA(U)+βBR·BR(U)

+βRT·RT(Ri→Rj)。

(1)

設(shè)系統(tǒng)預(yù)設(shè)的資源訪問信任閾值為TE(0

1.2 基于模糊數(shù)學(xué)的信任屬性值度量算法

1.2.1 用戶的信任屬性樹

定義1用戶的信任屬性值TA指訪問控制過程中實(shí)體所固有的信任屬性，即從訪問主體核心競(jìng)爭(zhēng)能力及其保護(hù)被訪問客體機(jī)密性和完整性的能力出發(fā)，層層分析分布式系統(tǒng)訪問控制背景下實(shí)體本身所具備的各項(xiàng)屬性。

1.2.2 基于多層次模糊綜合評(píng)判的信任伙伴選擇

本節(jié)對(duì)T-RBAC模型中用戶—角色分配列表(U-R-A)的靜態(tài)預(yù)定義方法進(jìn)行改進(jìn)，根據(jù)工作流執(zhí)行過程中不同任務(wù)的動(dòng)態(tài)變化設(shè)計(jì)基于多層次模糊綜合評(píng)判的信任伙伴選擇算法，進(jìn)而得到用戶—角色的最佳匹配列表。根據(jù)圖1的用戶信任屬性樹形分層和信任屬性的定義，構(gòu)建如下多層次模糊綜合評(píng)判算法：

步驟1將用戶的信任屬性集T分為兩層。

步驟2建立用戶評(píng)判集U和信任評(píng)價(jià)集D。

設(shè)用戶評(píng)判集U={U1,U2,…,Um}為分布式系統(tǒng)中所有用戶的集合，信任評(píng)價(jià)集D={D1,D2,D3,D4,D5}為用戶評(píng)判集U上的一個(gè)模糊集合，定義其語義如下：

D1：專家評(píng)分S=0,1分，表示“很差”子集合；

D2：專家評(píng)分S=2分，表示“較差”子集合；

D3：專家評(píng)分S=3分，表示“適合”子集合；

D4：專家評(píng)分S=4分，表示“較好”子集合；

D5：專家評(píng)分S≥5分，表示“很好”子集合。

步驟3建立信任屬性集的隸屬度函數(shù)和矩陣。

根據(jù)模糊綜合評(píng)判模型的數(shù)學(xué)定義，用戶評(píng)判集U與信任屬性集T之間的關(guān)系可通過建立隸屬度函數(shù)表達(dá)。用戶的子信任屬性的隸屬度函數(shù)

(2)

(3)

Vi=Wi

(4)

第二級(jí)信任屬性集的綜合評(píng)判矩陣

R=[V1,V2,…,Vk]T。

(5)

步驟5第一級(jí)綜合評(píng)判。設(shè)第一級(jí)信任屬性集T={T1,T2,…,Tk}的權(quán)重向量W=[ω1,ω2,…，ωk]，利用式(5)，得到第一級(jí)綜合評(píng)判矩陣

V1×m=W1×kRk×m=[v1,v2,…,vi,…,vm]。

(6)

最后，根據(jù)最大隸屬原則從第一級(jí)綜合評(píng)判矩陣V1×m中選出數(shù)值最大的元素(設(shè)為vi,1≤i≤m)所對(duì)應(yīng)的用戶Ui作為執(zhí)行該任務(wù)的最佳用戶，其信任屬性值TA(Ui)定義為vi(即TA(Ui)=vi)，進(jìn)而為Ui分配執(zhí)行該任務(wù)需要的角色，并根據(jù)當(dāng)前任務(wù)需求更新用戶—角色(U-R-A)的最佳匹配列表。

1.3 基于概率論的動(dòng)態(tài)信任評(píng)價(jià)算法

與現(xiàn)有的信任評(píng)價(jià)算法僅從用戶角度對(duì)信任關(guān)系進(jìn)行評(píng)價(jià)不同，本節(jié)提出的基于概率論的動(dòng)態(tài)評(píng)價(jià)方法能同時(shí)從角色和用戶兩方面對(duì)信任進(jìn)行評(píng)價(jià)，即分別計(jì)算出角色間的信任度RT和用戶的行為信譽(yù)值BR。

如圖2所示，該算法主要包括角色信任度評(píng)價(jià)子算法和用戶行為信譽(yù)評(píng)價(jià)子算法。利用角色信任度評(píng)價(jià)子算法可計(jì)算出角色間的直接信任度DT、間接信任度IT和負(fù)信任度NT，并通過計(jì)算三者的加權(quán)平均得到角色信任度RT。而基于概率統(tǒng)計(jì)的用戶行為信譽(yù)評(píng)價(jià)子算法可對(duì)用戶的行為信譽(yù)進(jìn)行評(píng)價(jià)，評(píng)價(jià)結(jié)果用行為信譽(yù)值BR表示。

1.3.1 用戶行為信譽(yù)動(dòng)態(tài)評(píng)價(jià)算法

定義2用戶的行為信譽(yù)值BR指可信第三方(Third Trusted Party, TTP)根據(jù)某用戶已有的訪問行為對(duì)其信譽(yù)程度做出的評(píng)價(jià)。

用戶的行為信譽(yù)值BR與信任屬性值TA是兩個(gè)不同的概念。TA用于衡量用戶執(zhí)行目標(biāo)任務(wù)時(shí)固有的能力和信任屬性，BR則利用用戶訪問資源的歷史行為數(shù)據(jù)對(duì)其可信任程度進(jìn)行動(dòng)態(tài)評(píng)價(jià)，它們都是影響實(shí)體間信任關(guān)系評(píng)估的重要因素。用戶對(duì)資源的訪問行為若違反了訪問控制的安全策略約束，則會(huì)被訪問控制審計(jì)功能組件檢測(cè)并記錄到用戶歷史行為數(shù)據(jù)庫中，并實(shí)時(shí)更新用戶的良性和惡意訪問次數(shù)。

若一個(gè)用戶能夠長(zhǎng)期保持良性訪問行為，則其信譽(yù)值BR會(huì)有一個(gè)好的積累；反之若出現(xiàn)一次惡意行為，則信譽(yù)值的下降幅度應(yīng)該比多次良性訪問行為引起的信譽(yù)值上升幅度大得多，即信譽(yù)的破壞或崩潰比信譽(yù)的建立容易得多，文獻(xiàn)[9,19]的信譽(yù)值計(jì)算并沒有反映出上述特點(diǎn)。

本文在文獻(xiàn)[19]信譽(yù)評(píng)價(jià)基礎(chǔ)上，通過引入信譽(yù)懲罰策略體現(xiàn)現(xiàn)實(shí)環(huán)境中用戶行為信譽(yù)值慢增驟減的規(guī)律，即用戶UA的行為信譽(yù)值評(píng)價(jià)算法定義為

BR(UA)=

(7)

1.3.2 角色間的信任度及其評(píng)價(jià)算法

定義3角色間的信任度RT指主體角色Ri對(duì)客體角色Rj訪問行為的可信程度評(píng)估，體現(xiàn)為角色Ri與Rj之間進(jìn)行任務(wù)合作的緊密程度，記為RT(Ri→Rj)。RT由角色間的直接信任度、間接信任度和負(fù)信任度通過加權(quán)平均獲得。

定義4角色間的合作關(guān)系CR。在分布式系統(tǒng)多用戶協(xié)同合作的過程中，角色之間的合作關(guān)系體現(xiàn)了角色間對(duì)資源權(quán)限的全部繼承、部分繼承和權(quán)限互斥3種狀態(tài)，本節(jié)將角色間的合作關(guān)系CR分為以下3類：

(1)完全合作關(guān)系CRA指兩個(gè)角色執(zhí)行完全相同的任務(wù)，且不單獨(dú)執(zhí)行其他任務(wù)。此時(shí)，它們具有完全相同的訪問權(quán)限。在單任務(wù)合作模式下，新設(shè)置的角色會(huì)繼承已有角色的全部權(quán)限；當(dāng)角色退出任務(wù)時(shí)，會(huì)按照與其存在單任務(wù)合作關(guān)系的角色權(quán)限進(jìn)行權(quán)限撤銷。

(2)部分合作關(guān)系CRP指兩個(gè)角色分別執(zhí)行多個(gè)任務(wù)，且這些任務(wù)之間存在一定的交集。此時(shí)，角色之間只會(huì)相互繼承任務(wù)交集所對(duì)應(yīng)的訪問權(quán)限。當(dāng)兩個(gè)角色協(xié)同完成多個(gè)不同任務(wù)時(shí)，任意一個(gè)角色僅能獲得這兩個(gè)角色共同承擔(dān)任務(wù)所對(duì)應(yīng)的權(quán)限，以實(shí)現(xiàn)對(duì)協(xié)同任務(wù)的資源共享。

(3)獨(dú)立關(guān)系CRI表示兩個(gè)角色分別獨(dú)立完成各自被指派的任務(wù)，它們之間不發(fā)生任何權(quán)限繼承。若兩個(gè)角色為獨(dú)立關(guān)系，則其不能被指派執(zhí)行相同的任務(wù)。

圖3表示角色Ri與Rj之間存在的直接信任關(guān)系和間接信任關(guān)系。圖中實(shí)線連接表示兩個(gè)角色間是直接信任關(guān)系，虛線連接表示兩個(gè)角色間是間接信任關(guān)系，雙向箭頭表示角色之間的直接和間接信任關(guān)系是相互的。信任路徑定義為：利用角色間的合作關(guān)系找出的一條從Ri到達(dá)Rj的由中間橋接角色組成的路徑，路徑深度ω=信任路徑上中間角色的個(gè)數(shù)+1。任意兩個(gè)角色之間僅存在一個(gè)直接信任值，然而由于信任路徑和路徑深度不同，角色之間可能存在多個(gè)間接信任值，如由信任路徑Ri?RL2?Rj得到的ω=2的間接信任值IT2(Ri?Rj)，以及由信任路徑Ri?RL31?RL32?Rj得到的ω=3的間接信任值IT3(Ri?Rj)。

(1)角色間的直接信任度DT角色Ri與Rj之間的直接信任度以量化的形式反映出兩個(gè)角色間相互信任的程度，與它們之間的合作關(guān)系CR相關(guān)，其計(jì)算公式為

(8)

式中：DT(Ri?Rj)表示角色Ri與Rj之間的直接信任度，CR表示Ri和Rj之間的合作關(guān)系，Ki和Kj表示Ri和Rj分別承擔(dān)的任務(wù)，|Ki∩Kj|表示Ri和Rj共同承擔(dān)的任務(wù)個(gè)數(shù)，|Ki∪Kj|表示Ri和Rj已承擔(dān)的任務(wù)總數(shù)。當(dāng)Ri和Rj之間為部分合作關(guān)系CRP時(shí)，Ri和Rj所執(zhí)行的任何一個(gè)任務(wù)都可能導(dǎo)致直接信任關(guān)系改變，因此計(jì)算直接信任度時(shí)以|Ki∪Kj|作為除數(shù)，以|Ki∩Kj|作為被除數(shù)，從而提高信任度的敏感性和資源共享的安全性。

房間的角落里，電視機(jī)靜靜地嗡嗡響著。大多數(shù)電視頻道都不再播放內(nèi)容，但BBC一直播送著新聞，中間穿插無厘頭的動(dòng)畫片。電視畫面上的突發(fā)新聞字幕上宣布，英國(guó)首相和其他世界領(lǐng)導(dǎo)人已經(jīng)上了外星人的母艦，與格拉斯克帝國(guó)協(xié)商。格拉斯克帝國(guó)先前突然出現(xiàn)，要“邀請(qǐng)”地球加入他們的帝國(guó)。

(2)角色間的間接信任度IT角色之間的間接信任度是通過對(duì)橋接Ri和Rj的中間角色的信任關(guān)系(如圖3中的RL2，RL31和RL32)進(jìn)行評(píng)價(jià)得出，體現(xiàn)了兩個(gè)角色間的一種間接信任關(guān)系。由于Ri和Rj之間每條信任路徑上的角色個(gè)數(shù)不同，其信任路徑深度也不同，并且隨著信任路徑深度的增大，角色間的間接信任度逐漸衰減。因此，可根據(jù)角色Ri和Rj之間存在的不同信任路徑，按信任路徑深度分別計(jì)算出相應(yīng)的間接信任值。當(dāng)信任路徑深度為ω、信任路徑條數(shù)為kω時(shí)，角色Ri到Rj之間的間接信任度定義為

DT(RLω1?RLω2)×…×DT(RLω(ω-1)?Rj)。

(9)

角色Ri與Rj之間的總間接信任度計(jì)算公式定義為

(10)

(3)角色間的負(fù)信任度NT負(fù)信任度NTR(Ri→Rj)表示第三方角色對(duì)Ri和Rj之間建立信任關(guān)系時(shí)的干擾程度，體現(xiàn)為兩個(gè)角色之間的信任等級(jí)由于受第三方角色的影響而減弱，從而導(dǎo)致原有訪問權(quán)限等級(jí)降低，如由于資源訪問請(qǐng)求隊(duì)列過長(zhǎng)導(dǎo)致訪問延遲和效率降低等。圖4所示為角色Ri和Rj之間因第三方角色干擾而形成的負(fù)信任關(guān)系。

圖4中，具有單向箭頭的粗實(shí)線表示Ri訪問Rj時(shí)的負(fù)信任度，具有雙向箭頭的細(xì)實(shí)線表示兩個(gè)角色之間的直接信任度，具有雙向箭頭的虛線表示Ri和Rj的間接信任度。圖中，把所有的第三方角色分為3組并用虛線框標(biāo)識(shí)，分別為：同時(shí)與Ri和Rj存在信任關(guān)系的角色(RD1,RD2,…,RDl)，與Ri不信任、與Rj直接信任且與Rj存在完全或部分合作關(guān)系的角色(RAP1,RAP2,…,RAPv)，以及與Ri不信任、與Rj直接信任且為獨(dú)立關(guān)系的角色(RI1,RI2,…,RIw)。上述3組角色的數(shù)量依次用l,v,w表示。角色Ri～Rj的負(fù)信任度計(jì)算方法定義為

NT(Ri→Rj)=

(11)

(4)角色間的總信任度 綜合考慮角色間的直接信任度、間接信任度和負(fù)信任度對(duì)角色間信任關(guān)系的全局性影響，建立角色間總的信任評(píng)價(jià)算法，定義為

RT(Ri→Rj)=CDT·DT(Ri?Rj)+CIT·

IT(Ri?Rj)-CNT·NT(Ri→Rj)。

(12)

式中CDT，CIT和CNT分別表示角色間的直接信任度、間接信任度和負(fù)信任度的權(quán)重系數(shù)，滿足CDT,CIT,CNT∈[0,1]。為了避免由于角色關(guān)系過于復(fù)雜而帶來的訪問不穩(wěn)定性，分布式系統(tǒng)中的用戶通常傾向于允許直接信任關(guān)系下的資源訪問，即常取CDT?CIT?CNT。

2 基于多步動(dòng)態(tài)信任評(píng)價(jià)的T-RBAC細(xì)粒度訪問控制模型

本章將第1章提出的多步動(dòng)態(tài)信任量化算法和動(dòng)態(tài)T-RBAC訪問控制模型結(jié)合，根據(jù)工作流執(zhí)行過程中不同任務(wù)以及用戶訪問行為的動(dòng)態(tài)變化為用戶跨角色訪問資源進(jìn)行動(dòng)態(tài)授權(quán)，其訪問控制模型如圖5所示。

圖5中的相關(guān)元素定義如下：

(1)用戶集U用戶是能夠通過某種方式對(duì)客體提出訪問請(qǐng)求的一類主體對(duì)象，可以是人，也可以是程序、服務(wù)、進(jìn)程等發(fā)出訪問請(qǐng)求的智能體。用戶集可形式化描述為U={Ui|i=1,2,…,n}。

(2)角色集R角色指一個(gè)組織或任務(wù)中的工作或者位置，代表了一種權(quán)利、資格和責(zé)任。角色集可以形式化描述為R={Ri|i=1,2,…,n}。

(3)角色繼承RH是在角色集R上的偏序關(guān)系，稱為角色層次或繼承關(guān)系。在T-RBAC模型的角色繼承關(guān)系中，若角色r1是角色r2的上級(jí)角色，則r2只能從r1繼承權(quán)限，不能獲得任何其他權(quán)限。

(4)歷史信息集His用來記錄用戶執(zhí)行任務(wù)的歷史信息，主要包括用戶執(zhí)行任務(wù)時(shí)對(duì)相應(yīng)資源的訪問行為信息(良性訪問或惡意訪問)和用戶之間的任務(wù)合作信息。

(5)任務(wù)集T任務(wù)是工作流中系統(tǒng)中的一個(gè)邏輯單元，由系統(tǒng)預(yù)定義的一部分功能或?qū)?nèi)部資源某些操作的集合。任務(wù)一般由人或機(jī)器執(zhí)行，特定情況下也可以由工作流管理系統(tǒng)自動(dòng)觸發(fā)。任務(wù)集可以形式化描述為T={Ti|i=1,2,…,n}。

(6)操作集OP操作是對(duì)用戶行為的一種抽象定義和表達(dá)，它具體定義了用戶對(duì)資源進(jìn)行何種類型的訪問。操作集與客體類型相關(guān)，不同客體類型的操作集也不同。

(7)資源集Res資源是被系統(tǒng)保護(hù)的一類客體集合，用戶通過訪問控制機(jī)制對(duì)其進(jìn)行訪問。在不同應(yīng)用環(huán)境中，資源存在的形式也不同。

(8)權(quán)限集Per權(quán)限是用戶對(duì)系統(tǒng)資源進(jìn)行訪問的許可，可以用一個(gè)二元組Per(Op,Res)表示，如Per(Read,DocX)表示用戶擁有對(duì)文檔DocX的讀權(quán)限。

(9)用戶—角色指派URAURA?User×Role，(u,r)∈URA表示用戶u被賦予角色r，它描述了用戶與角色間多對(duì)多的映射關(guān)系。

(10)角色—任務(wù)指派RTARTA?Role×Task，(r,task)∈RTA表示任務(wù)task被分配給角色r執(zhí)行，描述了角色與任務(wù)間多對(duì)多的映射關(guān)系。

(11)任務(wù)—權(quán)限指派TPATPA?Task×Permission，(task,Per)∈TPA表示任務(wù)task被賦予權(quán)限Per，描述了任務(wù)與權(quán)限間多對(duì)多的映射關(guān)系。

(12)上下文約束集C指對(duì)訪問控制中各種指派所作的規(guī)則限制。

(13)多步動(dòng)態(tài)信任量化算法 包括上文提出的基于模糊數(shù)學(xué)的信任屬性值度量算法和基于概率論的動(dòng)態(tài)信任評(píng)價(jià)算法兩部分。利用多步動(dòng)態(tài)算法實(shí)現(xiàn)的T-RBAC訪問控制流程如圖6所示。

圖6中，在系統(tǒng)運(yùn)行初期，管理員首先對(duì)角色—任務(wù)和任務(wù)—權(quán)限分配列表進(jìn)行靜態(tài)預(yù)定義。若有任務(wù)被激活，則運(yùn)行1.2.2節(jié)的信任伙伴選擇算法，計(jì)算出用戶(設(shè)為U)的信任屬性值TA并動(dòng)態(tài)更新最佳用戶—角色分配列表，進(jìn)而結(jié)合預(yù)定義的角色—任務(wù)分配列表選擇出執(zhí)行該任務(wù)的最佳用戶并為其分配角色(設(shè)為Ri)，該步驟改善了傳統(tǒng)T-RBAC模型手動(dòng)指派用戶—角色分配列表的不合理及效率低下問題。接著，根據(jù)預(yù)定義的任務(wù)—權(quán)限分配列表，為該用戶U進(jìn)行預(yù)授權(quán)，使其獲得相應(yīng)角色Ri所屬資源的訪問權(quán)限。隨著工作流任務(wù)的動(dòng)態(tài)執(zhí)行，U可能需要對(duì)其他角色(設(shè)為Rj)所屬資源發(fā)起訪問請(qǐng)求，此時(shí)則需查詢用戶已分配角色Ri與被訪問角色之間Rj的合作關(guān)系，若不存在合作關(guān)系，則拒絕訪問請(qǐng)求；若存在合作關(guān)系，則依次調(diào)用1.3.1節(jié)的信譽(yù)評(píng)價(jià)算法和1.3.2節(jié)的信任度評(píng)價(jià)算法，動(dòng)態(tài)計(jì)算出訪問者的行為信譽(yù)值BR和角色間信任度RT，最后將用戶的TA，BR和RT值進(jìn)行式(1)的加權(quán)求和運(yùn)算，得到用戶在執(zhí)行任務(wù)過程中以角色Ri的身份訪問角色Rj所屬資源時(shí)的綜合信任值CTU(Ri→Rj)=βTA·TA(U)+βRT·RT(Ri→Rj)+βBR·BR(U)。若CTU(Ri→Rj)達(dá)到了系統(tǒng)預(yù)設(shè)的資源訪問信任閾值TE(TE的建議取值區(qū)間為0.4

3 性能分析

3.1 實(shí)例仿真

以分布式敏捷制造系統(tǒng)中某汽車發(fā)動(dòng)機(jī)設(shè)計(jì)及生產(chǎn)項(xiàng)目為例，對(duì)本文所提模型在分布式環(huán)境中的訪問控制原理進(jìn)行分析。該項(xiàng)目分解為按序執(zhí)行的6個(gè)子項(xiàng)目：產(chǎn)品需求分析A1、概念設(shè)計(jì)A2、主體設(shè)計(jì)A3、詳細(xì)組件設(shè)計(jì)A4、原型設(shè)計(jì)A5和可行性評(píng)估A6。限于篇幅，本節(jié)以主體設(shè)計(jì)子項(xiàng)目為例進(jìn)行算法分析。該子項(xiàng)目包括以下任務(wù)：油箱設(shè)計(jì)(A2-10)、油箱生產(chǎn)(A2-11)和油箱評(píng)估(A2-12)，汽缸設(shè)計(jì)(A2-20)、汽缸生產(chǎn)(A2-21)和汽缸評(píng)估(A2-22)，汽缸蓋設(shè)計(jì)(A2-30)、汽缸蓋生產(chǎn)(A2-31)和汽缸蓋評(píng)估(A2-32)，活塞設(shè)計(jì)(A2-40)、活塞生產(chǎn)(A2-41)和活塞評(píng)估(A2-42)，火花塞設(shè)計(jì)(A2-50)、火花塞生產(chǎn)(A2-51)和火花塞評(píng)估(A2-52)。

本實(shí)例設(shè)定的測(cè)試用例包括6個(gè)主體用戶(Bob,Alice,Tim,Andy,John,Frank)和7個(gè)角色(R1,R2,R3,R4,R5,R6,R7)，同時(shí)設(shè)置了與現(xiàn)實(shí)敏捷制造環(huán)境相似的模擬場(chǎng)景，如圖7所示。

圖中用于連接兩個(gè)角色的無向?qū)嵕€表示存在一定程度的直接信任關(guān)系，無直線直接相連的兩個(gè)角色為陌生節(jié)點(diǎn)。實(shí)驗(yàn)所采用的權(quán)重系數(shù)設(shè)定為CDT=1，CIT=0.6，CNT=0.4，βTA=0.3，βRT=0.4，βBR=0.3，并設(shè)預(yù)定的訪問信任閾值TE=0.5。

在任務(wù)執(zhí)行前對(duì)該分布式制造系統(tǒng)中所有用戶的信任屬性進(jìn)行評(píng)價(jià)打分，根據(jù)1.2節(jié)的信任伙伴選擇算法，計(jì)算出各項(xiàng)任務(wù)的第一級(jí)綜合評(píng)判結(jié)果，然后根據(jù)該結(jié)果及最大隸屬度原則生成最佳用戶—角色分配列表。同時(shí)系統(tǒng)管理員對(duì)角色—任務(wù)和任務(wù)—權(quán)限靜態(tài)分配列表進(jìn)行預(yù)定義，由此得到最佳用戶—角色—任務(wù)—權(quán)限列表，如表1所示。角色之間的合作關(guān)系如表2所示。

表1 最佳用戶—角色—任務(wù)—權(quán)限分配列表

根據(jù)表1、表2以及1.3.2節(jié)算法，可計(jì)算出角色間的直接信任度DT。圖8所示為角色關(guān)系網(wǎng)，顯示了該分布式制造系統(tǒng)中所有角色間的合作關(guān)系及其直接信任度。

由圖8中的直接信任度及角色間的合作關(guān)系，利用1.3.2節(jié)算法，可進(jìn)一步計(jì)算出任意兩個(gè)角色間的間接信任度IT、負(fù)信任度NT和總信任度RT，如表3所示。

表4所示為該分布式制造系統(tǒng)初始時(shí)，所有用戶對(duì)其他用戶資源的良性訪問次數(shù)與惡意訪問次數(shù)，以及利用1.3.1節(jié)的用戶行為信譽(yù)動(dòng)態(tài)評(píng)價(jià)算法計(jì)算出的用戶行為信譽(yù)值BR。

最后，根據(jù)多步動(dòng)態(tài)信任評(píng)價(jià)算法，由式(1)算出用戶的綜合信任值CT。例如，油箱設(shè)計(jì)任務(wù)中，根據(jù)1.2節(jié)信任伙伴選擇算法推出角色R1被指派給Bob，當(dāng)判斷Bob是否具有角色R2所屬資源的訪問權(quán)限時(shí)，計(jì)算其綜合信任值CTBob(R1→R2)=0.258，因?yàn)樵撔湃沃敌∮谙到y(tǒng)預(yù)定的信任閾值TE(TE=0.5)，所以Bob不能獲得R2所屬資源的訪問權(quán)限。表5所示為所有用戶訪問特定資源時(shí)的信任屬性值TA、角色間信任值RT、行為信譽(yù)值BR和綜合信任值CT。

通過以上計(jì)算，最終生成該分布式環(huán)境下所有用戶的訪問授權(quán)列表，如表6所示。當(dāng)兩個(gè)角色需要協(xié)同完成任務(wù)時(shí)，考慮到角色間的合作關(guān)系和用戶的綜合信任值，可對(duì)用戶的權(quán)限進(jìn)行約束和擴(kuò)展，進(jìn)而得到所有用戶的最終授權(quán)。

3.2 安全性分析

一般情況下，針對(duì)用戶信任度的各種攻擊主要發(fā)生在用戶訪問資源的過程中。信任屬性值是用戶本身的固有特性，不隨其訪問過程發(fā)生變化，同時(shí)角色間的信任度建立在角色—任務(wù)分配列表基礎(chǔ)上，在分布式系統(tǒng)的運(yùn)行過程中也保持不變。因此，本文提出的多步信任評(píng)價(jià)機(jī)制中容易受到攻擊的算法主要是用戶行為信譽(yù)值評(píng)價(jià)算法，下面就針對(duì)該算法抵抗漂白攻擊和背叛攻擊的能力與文獻(xiàn)[9,19]算法進(jìn)行對(duì)比分析。

圖9所示為本文提出的用戶行為信譽(yù)值評(píng)價(jià)算法與文獻(xiàn)[9,19]中信譽(yù)評(píng)價(jià)算法的仿真結(jié)果比較，其中取惡意訪問次數(shù)1次，良性訪問次數(shù)從0～200次遞增。

從圖中可以看出，文獻(xiàn)[9,19]算法中用戶的行為信譽(yù)值隨著良性訪問次數(shù)的不斷積累趨近于極值1，進(jìn)而完全掩蓋曾經(jīng)的惡意訪問行為對(duì)信譽(yù)值的影響，不符合信譽(yù)度評(píng)價(jià)的客觀規(guī)律；同時(shí)文獻(xiàn)[9]中信譽(yù)值可隨著良性訪問次數(shù)的累積快速增長(zhǎng)，違背了信譽(yù)度慢增的自然規(guī)律。本文的行為信譽(yù)評(píng)價(jià)算法由于在文獻(xiàn)[19]基礎(chǔ)上引入了懲罰策略，極大地增強(qiáng)了惡意訪問行為對(duì)信譽(yù)值的影響，即一旦用戶對(duì)其他用戶進(jìn)行了一次惡意訪問，該用戶的信譽(yù)值就會(huì)降低到一個(gè)很低的范圍(約為0.73)，并且即使后續(xù)進(jìn)行了多次良性訪問，也難以使其信譽(yù)值提高到理想的程度，體現(xiàn)了慢增原則，因此本文算法比文獻(xiàn)[9，19]算法具有更強(qiáng)的抗漂白攻擊和背叛攻擊的能力。

當(dāng)取良性訪問次數(shù)為300次，惡意訪問次數(shù)從0～200次遞增時(shí)，本文的行為信譽(yù)值評(píng)價(jià)算法與文獻(xiàn)[9，19]算法性能對(duì)比結(jié)果如圖10所示。

從圖中可見，用戶未發(fā)生惡意訪問行為時(shí)的信譽(yù)值都為1，一旦發(fā)生惡意訪問行為，文獻(xiàn)[19]中的用戶信譽(yù)值下降非常緩慢，說明對(duì)惡意行為不夠敏感；文獻(xiàn)[9]的用戶行為信譽(yù)值則隨惡意訪問次數(shù)的增加近似勻速下降，無法凸顯最初的惡意訪問行為對(duì)信譽(yù)值的特殊影響，且當(dāng)惡意訪問行為超過100次時(shí)，信譽(yù)值呈現(xiàn)負(fù)數(shù)，測(cè)度指標(biāo)不合理；而本文算法得到的信譽(yù)值則隨最初幾次惡意行為的發(fā)生呈指數(shù)速率下降，特別是第一次惡意訪問發(fā)生時(shí)下降速率最快，充分體現(xiàn)了信譽(yù)值驟降的客觀規(guī)律，當(dāng)信譽(yù)值降低到一定程度后開始緩慢衰減，并保持在[0,1]的測(cè)度區(qū)間內(nèi)。因此，本文算法可促使用戶做出更誠實(shí)的訪問。

3.3 動(dòng)態(tài)適應(yīng)能力分析

基于表5的計(jì)算結(jié)果，在任務(wù)、訪問行為等上下文環(huán)境變化的前提下，圖11給出了本文動(dòng)態(tài)信任評(píng)價(jià)模型與文獻(xiàn)[9,19]模型的動(dòng)態(tài)適應(yīng)能力仿真對(duì)比。圖中，橫坐標(biāo)表示表5中各用戶的訪問行為次序，縱坐標(biāo)表示執(zhí)行特定次序訪問的用戶所具有的綜合信任度。其中：橫坐標(biāo)1～4，5～7，8～10，11，12對(duì)應(yīng)的縱坐標(biāo)值分別為Bob，Alice，Tim，Andy，John進(jìn)行相應(yīng)訪問時(shí)的綜合信任度。

圖中可以看出，文獻(xiàn)[9,19]模型的信任度主要與用戶的行為相關(guān)，任務(wù)、角色等上下文環(huán)境變化及用戶本身的信任屬性對(duì)其影響不大；而由本文多步動(dòng)態(tài)信任評(píng)價(jià)算法得到的同一個(gè)用戶的綜合信任度則可隨任務(wù)、角色、行為等上下文環(huán)境的變化動(dòng)態(tài)改變。其中，基于模糊綜合評(píng)判的信任伙伴選擇算法使同一用戶的信任屬性值隨著其與角色分配關(guān)系的轉(zhuǎn)變而動(dòng)態(tài)更新。另外，因?yàn)橥挥脩粼趫?zhí)行不同任務(wù)過程中，所分配的角色和被訪問的角色均會(huì)發(fā)生變化，所以基于概率論的角色間信任評(píng)價(jià)算法能夠使用戶的綜合信任度隨不同任務(wù)的執(zhí)行動(dòng)態(tài)改變。最后，用戶行為信譽(yù)值可以反映出歷史訪問行為對(duì)其綜合信任度的影響。例如，本文算法中Tim執(zhí)行任務(wù)A2-12，A2-31和A2-22時(shí)請(qǐng)求訪問相應(yīng)資源的綜合信任度分別為0.45，0.7，0.23，綜合信任值較文獻(xiàn)[9,19]有更顯著的變化。因此，本文多步動(dòng)態(tài)信任評(píng)價(jià)算法比文獻(xiàn)[9,19]算法具有更好的動(dòng)態(tài)適應(yīng)能力。

3.4 綜合性能比較

對(duì)本文提出的基于多步動(dòng)態(tài)信任評(píng)價(jià)的T-RBAC模型的綜合性能進(jìn)行分析，并與現(xiàn)有的信任模型進(jìn)行比較，結(jié)果如表7所示。

與文獻(xiàn)[9,15-16,19,21]算法相比，本文利用多層次模糊綜合決策算法對(duì)用戶的多種信任屬性值進(jìn)行評(píng)價(jià)并自動(dòng)更新用戶—角色分配列表，體現(xiàn)了信任的多維性特點(diǎn)，并提高了角色分配效率；用戶訪問特定資源的綜合信任度CT由信任屬性值TA、角色間信任值RT、行為信譽(yù)值BR共同決定，其中RT又由直接、間接和負(fù)信任度共同決定，體現(xiàn)了信任的全局性和可擴(kuò)展性特點(diǎn)；行為信譽(yù)值滿足慢增驟降的客觀規(guī)律，能夠有效抵御背叛攻擊、漂白攻擊等多種攻擊，具有更高的安全性和良好的計(jì)算收斂性；信任評(píng)價(jià)算法與T-RBAC模型相結(jié)合，并引入角色間信任值RT和行為信譽(yù)值BR，顯著提高了信任度隨任務(wù)、角色、訪問行為等上下文環(huán)境變化的動(dòng)態(tài)適應(yīng)能力，具有更細(xì)的訪問控制粒度；信任伙伴選擇算法能夠自動(dòng)更新用戶—角色分配列表，角色間信任度也能在一定程度上進(jìn)行預(yù)計(jì)算，使得本文算法具有較高的系統(tǒng)執(zhí)行效率。

4 結(jié)束語

本文針對(duì)分布式環(huán)境的動(dòng)態(tài)性、異構(gòu)性和分散性特點(diǎn)，提出一種基于模糊數(shù)學(xué)和概率論的多步動(dòng)態(tài)信任評(píng)價(jià)算法，并將其應(yīng)用于基于任務(wù)—角色的動(dòng)態(tài)訪問控制(T-RBAC)模型中，有效解決了分布式系統(tǒng)中協(xié)同用戶之間的資源安全共享問題。所提的多步動(dòng)態(tài)信任評(píng)價(jià)算法能夠動(dòng)態(tài)度量分布式系統(tǒng)實(shí)體間建立信任關(guān)系時(shí)的多種信任值(信任屬性值、行為信譽(yù)值和角色信任度)并加以綜合評(píng)判，使信任值的變化更符合慢增驟降的客觀規(guī)律并具有更強(qiáng)的抗攻擊能力，同時(shí)體現(xiàn)了信任的全局性和可擴(kuò)展性特點(diǎn)。將上述信任綜合評(píng)價(jià)方法應(yīng)用于T-RBAC模型中，能夠獲得更細(xì)的訪問控制粒度，并提高用戶信任度隨任務(wù)、角色、訪問行為等上下文環(huán)境變化的動(dòng)態(tài)性。但由于多步動(dòng)態(tài)評(píng)價(jià)算法需要綜合評(píng)價(jià)TA,RT和BR等多因素，算法復(fù)雜度較高，在實(shí)際應(yīng)用中會(huì)面臨一定的效率瓶頸，因此如何進(jìn)一步優(yōu)化方案效率并找到有效的并行實(shí)現(xiàn)方法，有待進(jìn)一步研究。