余 波，臺憲青，馬治杰

1.中國科學(xué)院 電子學(xué)研究所，北京100190

2.中國科學(xué)院 空間信息處理與應(yīng)用系統(tǒng)技術(shù)重點(diǎn)實(shí)驗(yàn)室，北京100190

3.中國科學(xué)院大學(xué) 電子電氣與通信工程學(xué)院，北京101408

4.中國科學(xué)院 電子學(xué)研究所 蘇州研究院，江蘇 蘇州215121

5.江蘇物聯(lián)網(wǎng)研究發(fā)展中心，江蘇 無錫214135

1 引言

云計(jì)算的快速發(fā)展為數(shù)據(jù)存儲帶來了極大的便利，使得越來越多的數(shù)據(jù)被存儲在云服務(wù)器上，而隨之帶來的則是數(shù)據(jù)安全問題[1]。訪問控制是保護(hù)信息系統(tǒng)中數(shù)據(jù)安全的關(guān)鍵技術(shù)，它通過定義系統(tǒng)中主體對客體訪問權(quán)限的方式，限制用戶對數(shù)據(jù)資源的訪問能力和范圍，達(dá)到阻止未授權(quán)用戶對系統(tǒng)訪問和已授權(quán)用戶越權(quán)訪問的目的。然而，由于云計(jì)算環(huán)境具有實(shí)時(shí)動態(tài)性、用戶和數(shù)據(jù)規(guī)模龐大且復(fù)雜多樣等特點(diǎn)，對訪問控制系統(tǒng)在授予用戶權(quán)限、管理用戶的權(quán)限和保持訪問控制的細(xì)粒度等方面帶來了新的挑戰(zhàn)，從而不能有效地保護(hù)數(shù)據(jù)的安全性。因此，設(shè)計(jì)一種能夠同時(shí)實(shí)現(xiàn)動態(tài)授權(quán)、權(quán)限自動化授予以及細(xì)粒度控制等特點(diǎn)的訪問控制機(jī)制變得很有必要。

傳統(tǒng)的訪問控制模型主要為自主訪問控制（Discre‐tionary Access Control，DAC）[2]、強(qiáng)制訪問控制（Manda‐tory Access Control，MAC）[3]和基于角色的訪問控制（Role-Based Access Control，RBAC）[4-5]。這些訪問控制模型都實(shí)現(xiàn)了對不同主體訪問客體的授權(quán)和控制。比如，DAC 系統(tǒng)中的主體可以自主地決定將其擁有的對客體的權(quán)限全部或部分地授予其他主體，但其僅適用于簡單系統(tǒng)，對于大型復(fù)雜系統(tǒng)存在開銷過大、效率低下等問題。MAC 依據(jù)系統(tǒng)權(quán)威（如系統(tǒng)管理員）制定的訪問規(guī)則進(jìn)行多層級的訪問控制，但其規(guī)則制定嚴(yán)格且缺乏彈性，靈活性較差。RBAC 在用戶和權(quán)限之間引入角色作為中間層，所有的權(quán)限通過角色授予而非直接分配給用戶，所以具有支持大規(guī)模復(fù)雜系統(tǒng)和高靈活性的優(yōu)勢，因此RBAC較為適合用于一般云計(jì)算環(huán)境下的訪問控制[6-9]。

目前云環(huán)境下現(xiàn)有的訪問控制研究主要集中在兩個(gè)方面：云環(huán)境下訪問控制模型和基于屬性基加密（Attribute-Based Encryption，ABE）機(jī)制的云計(jì)算訪問控制。訪問控制模型按照其功能的不同，可以分為基于任務(wù)的訪問控制模型（Task Based Access Control，TBAC）[10]、基于屬性的訪問控制模型（Attribute Based Access Control，ABAC）[11]和基于BLP（Bell-LaPadula，BLP）模型的云計(jì)算訪問控制。TBAC 從任務(wù)的角度來建立安全模型和實(shí)現(xiàn)安全機(jī)制，可以對工作流或其中的任務(wù)進(jìn)行實(shí)時(shí)動態(tài)地授權(quán)控制，從而極大增強(qiáng)了云環(huán)境中訪問控制的動態(tài)性。但是沒有解決云環(huán)境中實(shí)體復(fù)雜性對細(xì)粒度的訪問控制造成的問題，而且其配置比較繁瑣。ABAC 通過對相關(guān)實(shí)體（主體、客體、權(quán)限和環(huán)境）的屬性進(jìn)行建模的方式，來描述授權(quán)和訪問控制約束，以此實(shí)現(xiàn)細(xì)粒度訪問控制。但是，ABAC 沒有針對云環(huán)境的動態(tài)性作出優(yōu)化，不能根據(jù)動態(tài)變化的環(huán)境信息對用戶權(quán)限實(shí)時(shí)作出調(diào)整。同時(shí)，所有實(shí)體均以屬性進(jìn)行描述比較復(fù)雜，可能存在屬性描述不足以表達(dá)實(shí)體特性的情況。BLP模型是一種強(qiáng)制訪問控制模型，主要應(yīng)用于強(qiáng)調(diào)安全機(jī)密等級的系統(tǒng)或云環(huán)境。CCACSM（Cloud Computing Access Control Security Model）[12]是一種基于BLP 的云計(jì)算訪問控制安全模型。該模型基于用戶的行為來對用戶訪問范圍進(jìn)行動態(tài)調(diào)整，保護(hù)數(shù)據(jù)資源安全。但是，該模型的優(yōu)勢只能在強(qiáng)調(diào)機(jī)密等級的特殊云環(huán)境中發(fā)揮，并不能在一般的云環(huán)境中體現(xiàn)?？傊鲜鲈L問控制模型均沒有完全兼顧云環(huán)境的特點(diǎn)。而RBAC具有適用于大規(guī)模復(fù)雜系統(tǒng)、結(jié)構(gòu)簡潔易管理和易于和其他模型概念相結(jié)合等優(yōu)點(diǎn)，因此，本文分析和討論云環(huán)境下的RBAC 模型，對RBAC 模型進(jìn)行改進(jìn)使其適用于云環(huán)境，實(shí)現(xiàn)動態(tài)授權(quán)、權(quán)限自動化授予以及細(xì)粒度控制的目標(biāo)。

ABE 是一種通過在密文或密鑰中嵌入訪問控制策略的方式，實(shí)現(xiàn)對數(shù)據(jù)資源靈活的細(xì)粒度的訪問控制的機(jī)制。目前，基于ABE 已經(jīng)衍生出兩種變體機(jī)制：密鑰策略的ABE 方案（Key-Policy ABE，KP-ABE）[13]和密文策略的ABE 方案（Ciphertext-Policy ABE，CP-ABE）[14]。在KP-ABE 中，密文與屬性集合相關(guān)聯(lián)，密鑰與訪問結(jié)構(gòu)相關(guān)聯(lián)。當(dāng)屬性集合與訪問結(jié)構(gòu)匹配時(shí)，解密方才能使用密鑰解密。在CP-ABE 中，與KP-ABE 相反，密文與訪問結(jié)構(gòu)相關(guān)聯(lián)，密鑰與屬性集合相關(guān)聯(lián)。當(dāng)解密方擁有的屬性集合匹配訪問結(jié)構(gòu)時(shí)，解密方的密鑰才能解密密文，獲得數(shù)據(jù)和資源。與KP-ABE相比，CP-ABE更適合大規(guī)模環(huán)境下的訪問控制，因此研究者目前廣泛采用CP-ABE 算法展開對ABE 在云計(jì)算環(huán)境下的研究與應(yīng)用。本文在改進(jìn)RBAC 模型時(shí)也借鑒了CP-ABE 的思想。

由于RBAC自身的某些特性，使得該種訪問控制機(jī)制不能簡單直接地套用在云環(huán)境中。在RBAC中，用戶權(quán)限的授予是靜態(tài)的，即用戶權(quán)限一旦被授予，其在隨后的訪問過程中均保持不變。此時(shí)若出現(xiàn)用戶危害系統(tǒng)安全的行為，系統(tǒng)無法及時(shí)調(diào)整用戶權(quán)限，從而造成權(quán)限的濫用并危害系統(tǒng)安全。而云環(huán)境具有動態(tài)性、開放性的特點(diǎn)，使得靜態(tài)授權(quán)造成的問題在云環(huán)境中愈發(fā)嚴(yán)重。另外，RBAC 具有用戶分配和權(quán)限分配兩組多對多關(guān)系，且均需要進(jìn)行人工配置。而云環(huán)境用戶數(shù)量龐大、類型繁多，因此會導(dǎo)致RBAC 在云環(huán)境中人工管理維護(hù)成本急劇提高。最后，RBAC 通過角色的概念將用戶與權(quán)限關(guān)聯(lián)起來，而在云計(jì)算環(huán)境中用戶、角色和權(quán)限的劃分以及分配關(guān)系復(fù)雜，所以難以保證對用戶細(xì)粒度的訪問控制。總之，RBAC 在云環(huán)境中仍存在一定程度上的問題（詳細(xì)解釋參見2.2節(jié)）。

針對以上問題，本文提出一種云計(jì)算環(huán)境下基于屬性（Attribute）和 信 任（Trust）的RBAC 模 型，簡 稱ATRBAC。ATRBAC 在RBAC 的基礎(chǔ)上加入屬性和信任管理模塊，分別為用戶添加屬性集合、為角色添加訪問結(jié)構(gòu)，通過用戶屬性集合與角色訪問結(jié)構(gòu)的匹配以及用戶信任值隨用戶行為的動態(tài)調(diào)整，增加了訪問控制授權(quán)的動態(tài)性，實(shí)現(xiàn)了權(quán)限的自動化授予以及更加細(xì)粒度的訪問控制。

2 RBAC模型介紹

首先介紹RBAC 模型的基本原理和組成要素，然后詳細(xì)介紹RBAC 模型在云環(huán)境下存在的不足及應(yīng)用研究情況。

2.1 RBAC模型

RBAC 是一種經(jīng)典的訪問控制模型，其基本思想是通過角色建立用戶和訪問權(quán)限之間的多對多關(guān)系。RBAC主要包括四個(gè)實(shí)體：用戶（USERS）、角色（ROLES）、權(quán)限（Permissions，PRMS）和會話（SESSIONS），如圖1所示。

圖1 RBAC模型

每個(gè)實(shí)體和實(shí)體與實(shí)體之間的對應(yīng)關(guān)系詳細(xì)解釋如下：

（1）用戶（USERS）：用戶指直接與系統(tǒng)交互的任何個(gè)人。

（2）角色（ROLES）：角色指組織中的工作崗位，描述授予給用戶的權(quán)利和義務(wù)。角色作為中間體，既是用戶的集合又是權(quán)限的集合。

（3）權(quán)限（PRMS）：權(quán)限指訪問系統(tǒng)中一個(gè)或多個(gè)客體特定模式的許可，描述了主體與客體之間已授權(quán)的交互關(guān)系類型。這里討論的權(quán)限是正權(quán)限，授予持有者在系統(tǒng)中執(zhí)行一個(gè)行為的能力。權(quán)限的概念包含客體與操作。

①客體（Objects，OBS）代表系統(tǒng)中的數(shù)據(jù)或資源。

②操作（Operations，OPS）是對客體特定的執(zhí)行模式，常見的如讀（Read）、寫（Write）、執(zhí)行（Execute）等。

（4）會話（SESSIONS）：會話是用戶與分配給用戶的角色集合的激活子集之間的映射關(guān)系。用戶在激活所擁有角色的某些子集時(shí)建立會話，每個(gè)會話把一個(gè)用戶和可能的多個(gè)角色聯(lián)系起來。用戶可用的權(quán)限是當(dāng)前會話激活的所有角色權(quán)限的并集。

（5）用戶分配（User Assignment，UA）和權(quán)限分配（Permission Assignment，PA）：兩者都是多對多的關(guān)系，一個(gè)用戶可以屬于多個(gè)角色，并且一個(gè)角色可以擁有多個(gè)用戶。同樣的，一個(gè)角色可以擁有多個(gè)權(quán)限，相同的權(quán)限可以被分配給多個(gè)角色。角色作為一個(gè)中間體，根據(jù)訪問的配置和反饋為用戶執(zhí)行權(quán)限提供更好的控制，而不是用戶和權(quán)限之間建立直接的關(guān)系[5]。

（6）用戶會話間關(guān)系（User-Sessions）和會話角色間關(guān)系（Session-Roles）：用戶與會話間是一對多的關(guān)系，每個(gè)會話與單個(gè)用戶關(guān)聯(lián)，而一個(gè)用戶在同一時(shí)間可以打開多個(gè)會話。會話與角色間是多對多的關(guān)系，一個(gè)會話中可以激活多個(gè)角色，同一個(gè)角色也可以在不同的會話中被激活。

2.2 RBAC在云環(huán)境中的不足及應(yīng)用研究

RBAC在云環(huán)境中仍然存在以下三方面不足。

（1）訪問權(quán)限的分配都是靜態(tài)的。用戶獲取的某項(xiàng)權(quán)限在一定時(shí)間內(nèi)是永久的，并不會因操作完成而釋放這些權(quán)限，即“一次授權(quán)終身享有”。訪問控制系統(tǒng)對用戶的后續(xù)行為無法進(jìn)行管理，造成用戶權(quán)限濫用的問題，同時(shí)也給云計(jì)算環(huán)境引入了不安全因素。

（2）用戶訪問權(quán)限不能自動授予。用戶權(quán)限需要依靠系統(tǒng)管理員人工地進(jìn)行設(shè)置，容易出現(xiàn)兩方面問題。一方面，當(dāng)用戶數(shù)量很多時(shí)，用戶角色分配的數(shù)量隨著用戶數(shù)量的增長而急劇增加，管理員工作量大，管理維護(hù)成本高。另一方面，管理員在人工設(shè)置的過程中也難免出錯(cuò)，造成合法用戶無法進(jìn)行訪問或者隱私數(shù)據(jù)泄漏的后果。

（3）訪問控制粒度較粗。訪問控制粒度較粗主要體現(xiàn)在以下兩個(gè)方面。一方面，由于用戶劃分較為粗略，導(dǎo)致相同的權(quán)限授予歸為一類但仍有差異的用戶。另一方面，由于權(quán)限劃分較為寬泛，導(dǎo)致授予用戶不僅包含完成任務(wù)需要的權(quán)限而且包含范圍更大的權(quán)限。

針對以上問題，許多研究者都提出了云環(huán)境中基于RBAC模型的改進(jìn)方案。Jung等人[6]在RBAC 模型的基礎(chǔ)上提出云環(huán)境下自適應(yīng)的安全管理模型。該模型能夠根據(jù)上下文信息計(jì)算安全等級從而動態(tài)調(diào)整用戶的角色，具有自適應(yīng)性，有效解決了云環(huán)境中多種環(huán)境變量動態(tài)變化的問題。Aluvalu 等人[7]通過優(yōu)化RBAC 模型提出一種云計(jì)算中動態(tài)的基于屬性的風(fēng)險(xiǎn)感知訪問控制模型（Dynamic Attribute-based Risk Aware Access Control，DA-RAAC）。該模型混合其他靜態(tài)的基于策略的訪問控制模型，并結(jié)合風(fēng)險(xiǎn)計(jì)算和用于訪問控制的屬性，使訪問控制系統(tǒng)更加具有動態(tài)性。張凱等人[8]提出了一種云計(jì)算下基于用戶行為信任的訪問控制模型。該模型結(jié)合用戶的直接和間接信任值得到用戶信任值，再根據(jù)信任值確定其信任等級，激活所對應(yīng)的角色及賦予角色一定的訪問權(quán)限，解決了當(dāng)前云計(jì)算訪問控制中角色的訪問權(quán)限無法動態(tài)調(diào)節(jié)的問題。黃晶晶等人[9]提出一種基于上下文和角色的云計(jì)算訪問控制模型（Context and Role Based Access Control，CRBAC）。該模型在傳統(tǒng)RBAC模型的基礎(chǔ)上加入上下文約束，能夠動態(tài)地授予用戶權(quán)限，保護(hù)云資源的安全。

以上研究都側(cè)重于解決RBAC 模型在云環(huán)境中訪問權(quán)限靜態(tài)分配的問題。與他們不同，本文在上述文獻(xiàn)成果的基礎(chǔ)上進(jìn)一步研究，針對以上所提出的全部問題，實(shí)現(xiàn)了動態(tài)的授權(quán)管理，用戶權(quán)限的自動化授予以及更細(xì)粒度的訪問控制。

3 ATRBAC模型詳細(xì)介紹

首先詳細(xì)介紹所提出的ATRBAC模型，然后闡述對ATRBAC 進(jìn)行研究的技術(shù)路線，最后，對基于ATRBAC的訪問控制流程進(jìn)行分析。

3.1 ATRBAC模型

ATRBAC 模型在RBAC 模型的基礎(chǔ)上加入屬性/信任管理（Attribute/Trust Management）模塊，分別為用戶添加屬性集合（Attribute Set），為角色添加訪問結(jié)構(gòu)（Access Structure），去除龐大復(fù)雜的用戶角色分配關(guān)系，增加了訪問控制授權(quán)的動態(tài)性，實(shí)現(xiàn)了權(quán)限的自動化授予以及使訪問控制更加細(xì)粒度。圖2 中紅色虛線框展示了ATRBAC模型與RBAC模型主要的區(qū)別之處。

圖2 基于屬性與信任的RBAC模型

下面對圖2中新加入的模塊進(jìn)行說明。

屬性集合（Attribute Set）：屬性集合是根據(jù)用戶提供的身份屬性證明，為用戶分配的對應(yīng)的屬性標(biāo)簽集合。其中用戶的行為信任值作為屬性集合中一項(xiàng)必選的重要屬性，根據(jù)用戶操作行為和結(jié)果實(shí)時(shí)動態(tài)地調(diào)整變化。

訪問結(jié)構(gòu)（Access Structure）：訪問結(jié)構(gòu)是由屬性標(biāo)簽和邏輯運(yùn)算符組成的、根據(jù)角色含義指定的角色獲取條件。角色的信任閾值作為訪問結(jié)構(gòu)中一項(xiàng)必要條件。屬性/信任管理（Attribute&Trust Management）：屬性管理完成用戶屬性集合和角色訪問結(jié)構(gòu)的制定、分配、管理和維護(hù)工作。信任管理完成根據(jù)用戶操作行為和結(jié)果實(shí)時(shí)更新用戶信任值以及動態(tài)調(diào)整用戶所擁有角色和權(quán)限的工作。若用戶的當(dāng)前信任值大于角色的信任閾值，則繼續(xù)保留該角色；否則，用戶的屬性集合將不再滿足角色的訪問結(jié)構(gòu)，收回用戶的角色所有權(quán)。

3.2 ATRBAC技術(shù)路線

為了實(shí)現(xiàn)以上新添加模塊的功能，達(dá)到ATRBAC對RBAC 模型的改進(jìn)目標(biāo)，本文對ATRBAC 進(jìn)行研究的技術(shù)路線主要包含以下兩步。

步驟1基于屬性基加密（ABE）算法的思想，實(shí)現(xiàn)屬性集合、訪問結(jié)構(gòu)以及屬性管理模塊的功能，使得用戶可以自動地匹配獲取角色，將屬性的概念加入RBAC模型中，使得訪問控制更加細(xì)粒度。根據(jù)訪問結(jié)構(gòu)對角色進(jìn)行加密，將訪問結(jié)構(gòu)嵌入到角色中去；授予用戶屬性集合對應(yīng)的私鑰，從而為不同用戶賦予相應(yīng)的屬性集合。只有用戶屬性集合滿足角色訪問結(jié)構(gòu)的要求時(shí)，才可以通過私鑰解密獲取得到相應(yīng)的角色和權(quán)限。用戶屬性集合和角色訪問結(jié)構(gòu)統(tǒng)一由訪問控制系統(tǒng)中的屬性管理模塊授予并完成相應(yīng)的管理維護(hù)工作。ABE 算法分為密鑰策略屬性基加密（KP-ABE）和密文策略屬性基加密（CP-ABE）。由于只有CP-ABE 可以由數(shù)據(jù)所有者，即加密者，決定誰可以解密加密的消息，所以本文選擇CP-ABE 算法實(shí)現(xiàn)用戶角色之間加解密的過程，詳細(xì)介紹參見第4章。

步驟2采用信任值評估比較的方法，實(shí)現(xiàn)屬性集合中用戶行為信任值、訪問結(jié)構(gòu)中角色信任閾值以及信任管理模塊的功能。根據(jù)用戶的操作行為及結(jié)果評估用戶的信任值，將信任值作為用戶獲取角色的必要條件，使用戶獲取的角色和權(quán)限隨信任值動態(tài)變化。首先，用戶在獲取權(quán)限后對云存儲系統(tǒng)的各種操作行為和結(jié)果都會被記錄存儲在用戶歷史行為數(shù)據(jù)庫中。訪問控制系統(tǒng)里面的信任管理模塊周期性地提取用戶歷史行為數(shù)據(jù)庫中的數(shù)據(jù)記錄計(jì)算更新用戶信任值，同時(shí)為每個(gè)角色設(shè)置一個(gè)信任閾值。然后，用戶的信任值與用戶擁有角色的信任閾值進(jìn)行比較。如果用戶信任值大于角色信任閾值，則繼續(xù)保有該角色及角色對應(yīng)的權(quán)限；如果用戶信任值小于角色信任閾值，則改變后的用戶屬性集合不再滿足該角色的訪問結(jié)構(gòu)，從而收回角色。本文采用模糊層次分析法（Fuzzy Analytic Hierarchy Process，F(xiàn)AHP）[15]評估得到一個(gè)客觀合理的用戶信任值。詳細(xì)介紹參見第5章。

3.3 ATRBAC訪問控制流程

ATRBAC 訪問控制流程整體上是基于RBAC 的訪問控制流程，但在細(xì)節(jié)上存在兩處不同。本節(jié)首先詳細(xì)介紹ATRBAC 的訪問控制流程，然后分析和討論了該流程的合理性與優(yōu)勢。

牛肚菌。牛肚菌生長于海拔900－2200米的松樹混交林中或砍伐不久的邊緣地帶，多產(chǎn)于云南省。牛肚菌香甜可口、營養(yǎng)豐富，中醫(yī)認(rèn)為其具有養(yǎng)血和中、祛風(fēng)散寒、舒筋活血等功效，是婦科良藥，同時(shí)還有抗流感、治感冒的作用。

ATRBAC訪問控制流程：圖3為ATRBAC模型對用戶的訪問請求進(jìn)行授權(quán)檢查的工作流程，一共包含六個(gè)步驟。詳細(xì)介紹如下：

步驟1在訪問控制系統(tǒng)初始化或添加新角色時(shí)，屬性管理模塊使用CP-ABE 算法根據(jù)角色的訪問結(jié)構(gòu)對角色進(jìn)行加密。

圖3 ATRBAC訪問控制流程

步驟2當(dāng)用戶第一次訪問云存儲系統(tǒng)時(shí)，首先與訪問控制系統(tǒng)中的屬性管理模塊建立聯(lián)系。屬性管理模塊根據(jù)用戶提供的身份屬性證明，使用CP-ABE 算法生成屬性集合對應(yīng)的私鑰，并分發(fā)給用戶。

步驟3用戶獲取相關(guān)角色并激活對應(yīng)的訪問權(quán)限。用戶使用自己的私鑰解密由訪問結(jié)構(gòu)加密的角色，如果用戶屬性集合匹配角色訪問結(jié)構(gòu)，則解密成功獲取相關(guān)角色和對應(yīng)的權(quán)限，進(jìn)入下一步；否則，無法獲取相關(guān)角色和權(quán)限。

步驟4用戶提出訪問請求，訪問控制系統(tǒng)對用戶的訪問請求進(jìn)行授權(quán)檢查。如果用戶擁有的角色中包含訪問請求對應(yīng)的權(quán)限，則用戶的訪問請求通過；否則，用戶的訪問請求被拒絕。

步驟5用戶的訪問請求通過以后，用戶對云存儲系統(tǒng)執(zhí)行相關(guān)操作，并將操作行為及結(jié)果記錄在用戶歷史行為數(shù)據(jù)庫中。

步驟6訪問控制系統(tǒng)中的信任管理模塊使用FAHP方法根據(jù)用戶歷史行為數(shù)據(jù)庫中的記錄評估用戶信任值。如果更新后的用戶信任值小于角色的信任閾值，用戶信任值屬性的改變使得屬性集合不再滿足角色的訪問結(jié)構(gòu)，收回用戶已擁有的角色；否則，不做任何改變，用戶繼續(xù)保有該角色。

ATRBAC訪問控制流程的合理性：ATRBAC模型的訪問控制流程在整體上是基于RBAC 模型對不同用戶進(jìn)行授權(quán)以及對用戶的訪問進(jìn)行控制的，在細(xì)節(jié)上與RBAC 模型存在兩處不同。首先，在用戶獲取所需角色時(shí)，RBAC 直接對用戶與角色之間關(guān)系進(jìn)行人工配置，而ATRBAC 為了實(shí)現(xiàn)用戶權(quán)限的自動化授予和細(xì)粒度的訪問控制，則采用了CP-ABE 機(jī)制（見圖3 中步驟3）；然后，為了增加訪問授權(quán)的動態(tài)性，ATRBAC 在RBAC之上新加入了用戶信任值屬性的評估與反饋機(jī)制（見圖3中步驟6）。前者僅在用戶獲取所需的角色及權(quán)限時(shí)起作用，不會對RBAC的核心控制流程造成影響。后者只是為驗(yàn)證用戶是否獲得角色提供新的判斷依據(jù)。因此，ATRBAC 訪問控制流程中不同的兩部分并不會破壞原有的傳統(tǒng)RBAC 訪問控制流程的安全性和合理性。另外CP-ABE算法的安全性在文獻(xiàn)[14]中已經(jīng)得到了證明。

ATRBAC模型訪問控制流程的優(yōu)勢：ATRBAC的訪問控制流程在保留傳統(tǒng)RBAC 模型保護(hù)數(shù)據(jù)資源安全性的基礎(chǔ)上，同時(shí)也帶來了新的優(yōu)勢。具體解釋如下：

（1）用戶在獲取角色時(shí)采用了CP-ABE 算法，使得這個(gè)過程可以自動完成，不需要系統(tǒng)管理員參與，增加了訪問控制系統(tǒng)的可擴(kuò)展性。

（2）用戶屬性集合和角色訪問結(jié)構(gòu)的加入使得訪問控制更加細(xì)粒度并且對角色進(jìn)行加密也提高了云環(huán)境中數(shù)據(jù)資源的機(jī)密性和安全性。

（3）加入信任值屬性的反饋機(jī)制，可綜合評估用戶的操作行為及結(jié)果對云環(huán)境中環(huán)境信息帶來的影響，解決了云環(huán)境中用戶的權(quán)限無法動態(tài)調(diào)整的問題。

4 CP-ABE算法與RBAC模型結(jié)合

首先討論在ATRBAC 模型中將CP-ABE 算法與RBAC 模型結(jié)合的必要性，然后介紹CP-ABE 算法的步驟并討論CP-ABE算法如何與RBAC模型相結(jié)合。

4.1 CP-ABE算法與RBAC結(jié)合的必要性

在ATRBAC 模型中，為了實(shí)現(xiàn)用戶與角色之間自動化地授予以及更加細(xì)粒度的訪問控制，采用CP-ABE算法與RBAC模型相結(jié)合的方式。具體原因解釋如下：

首先，CP-ABE 算法與ATRBAC 中提出的對RBAC改進(jìn)的思路一致。ATRBAC 模型在RBAC 模型的基礎(chǔ)上加入屬性/信任管理模塊，分別為用戶添加屬性集合，為角色添加訪問結(jié)構(gòu)，通過用戶屬性集合是否匹配角色訪問結(jié)構(gòu)來決定用戶能否擁有該角色。而在CP-ABE算法中，通過用戶私鑰中的屬性集合是否匹配密文中的訪問控制策略來決定用戶能否解密獲得明文。

然后，將CP-ABE 算法與RBAC 模型相結(jié)合可以實(shí)現(xiàn)用戶與角色之間自動化的授予，并提高云環(huán)境中數(shù)據(jù)資源的機(jī)密性和安全性。CP-ABE算法對RBAC模型中的角色進(jìn)行加密，加密過程中角色被嵌入訪問結(jié)構(gòu)，而用戶被授予與屬性集合關(guān)聯(lián)的私鑰。在以后的訪問授權(quán)過程中，用戶與角色間的授予可以通過加解密的方式自動完成；對角色進(jìn)行加密，即對角色對應(yīng)的權(quán)限進(jìn)行加密，提高了云環(huán)境中數(shù)據(jù)資源的機(jī)密性和安全性。

最后，將CP-ABE 算法與RBAC 模型相結(jié)合可以實(shí)現(xiàn)更加細(xì)粒度的訪問控制。結(jié)合CP-ABE算法為RBAC模型中引入了屬性的概念，使得ATRBAC 模型相比傳統(tǒng)RBAC模型的訪問控制粒度更細(xì)。

4.2 CP-ABE算法步驟及與RBAC結(jié)合方法

在CP-ABE 算法[14]中，一方面，將用戶私鑰與由任意數(shù)量的可描述的屬性組成的屬性集合關(guān)聯(lián)起來。另一方面，當(dāng)數(shù)據(jù)所有者對明文進(jìn)行加密時(shí)，把用于解密的訪問結(jié)構(gòu)指定到加密的明文中。故解密密文的標(biāo)準(zhǔn)是用戶私鑰中的屬性集合必須滿足密文中的訪問控制策略，否則不能解密。

CP-ABE的算法可歸納為以下四個(gè)步驟。

（1）初始化SetUp(d)：無輸入但是包含一個(gè)隱式安全參數(shù)d，輸出整個(gè)過程中所需的公鑰（Public Key，PK）和主鑰（Master Key，MK）。

（2）密鑰生成KeyGen(MK;I)：輸入主鑰MK 和屬性集合I，生成與用戶屬性集合I 對應(yīng)的私鑰SK。

（3）加密Encrypt(PK;M;T)：由數(shù)據(jù)所有者執(zhí)行，使用公鑰PK 和訪問結(jié)構(gòu)T 對明文M 進(jìn)行加密，得到密文E。

（4）解密Decrypt(PK;E;SK)：由用戶收到密文E 后遞歸地執(zhí)行。公鑰PK，包含訪問策略T 的密文E 和對應(yīng)屬性集合I 的用戶私鑰SK 作為輸入，如果屬性集合I滿足訪問結(jié)構(gòu)T，可以計(jì)算輸出明文M。

CP-ABE 算法與RBAC 模型相結(jié)合：CP-ABE 算法整體框架流程和計(jì)算公式基本保持不變，根據(jù)RBAC模型替換其中的幾個(gè)概念。這里數(shù)據(jù)所有者為云存儲平臺的訪問控制系統(tǒng)，明文M 則是每個(gè)角色對應(yīng)的角色文檔R，文檔內(nèi)容可以是角色所對應(yīng)的權(quán)限。訪問結(jié)構(gòu)T 為角色的訪問結(jié)構(gòu)。用戶、屬性集合I 以及生成的用戶私鑰SK 與原算法一致。這樣一來，當(dāng)用戶嘗試使用自己的私鑰解密加密后的角色文檔時(shí)，如果用戶屬性集合滿足角色訪問結(jié)構(gòu)的要求，則用戶解密成功，自動獲得角色文檔包含的權(quán)限。

5 基于FAHP的用戶信任值評估方法

在FAHP 方法中，自頂向下分為信任值、信任屬性和信任證據(jù)三級結(jié)構(gòu)，構(gòu)成用戶行為信任值評估的層次分解模型[16]，如圖4 所示。從而把模糊的、不確定的用戶行為信任評估問題細(xì)化成簡單的、明確的信任證據(jù)加權(quán)求和問題。

圖4 用戶行為信任值評估層次分解模型

首先根據(jù)某一時(shí)刻各個(gè)信任證據(jù)值組成的矩陣計(jì)算當(dāng)前用戶行為信任值。然后，為了降低系統(tǒng)誤差造成的影響，考慮信任值隨時(shí)間衰減的特性，討論用戶行為信任值的記錄與更新機(jī)制。

5.1 當(dāng)前用戶行為信任值的計(jì)算

當(dāng)前用戶信任值由層次分解模型和基于模糊數(shù)構(gòu)建的各個(gè)信任證據(jù)間重要性的判斷矩陣來計(jì)算，計(jì)算過程包括四個(gè)步驟。

步驟1用戶行為信任證據(jù)的預(yù)處理。該過程包括以下兩個(gè)方面[17]：

（1）用戶行為信任證據(jù)的采集和更新。獲取用戶行為信任證據(jù)的方法有網(wǎng)絡(luò)流量監(jiān)測工具、入侵檢測系統(tǒng)、專門的數(shù)據(jù)采集工具等，另外還可以根據(jù)需求開發(fā)自己的用戶行為信任證據(jù)采集軟件。

（2）用戶行為信任證據(jù)數(shù)值的規(guī)范化。用戶行為信任證據(jù)的數(shù)值表示方式一般有兩種，一種是百分比形式表示的，另一種是一定范圍內(nèi)的具體數(shù)值。為了方便計(jì)算，需要對數(shù)值進(jìn)行規(guī)范化處理，將其規(guī)范化為[0，1]區(qū)間內(nèi)遞增的無量綱值。

步驟2基于模糊數(shù)的信任證據(jù)判斷矩陣和權(quán)重向量的計(jì)算。

假設(shè)將用戶行為劃分成n個(gè)信任屬性，再將某一個(gè)信任屬性細(xì)分為多個(gè)相關(guān)的信任證據(jù)，表示為EI=(aij)n×m，其中m 為所有信任屬性中信任證據(jù)的最大項(xiàng)數(shù)，不夠時(shí)用零補(bǔ)齊。通過步驟1 規(guī)范化處理方法得到規(guī)范化數(shù)值，表示矩陣為E=(eij)n×m。

有m 個(gè)信任證據(jù)E=(e1,e2, …,em)，將其中任意兩個(gè)信任證據(jù)做重要性對比，得到初始判斷矩陣EQ=(eqij)m×m。其中eqij的計(jì)算公式如下：

然后將EQ轉(zhuǎn)換成模糊一致矩陣Q=(qij)m×m，其中：

最后計(jì)算某個(gè)信任屬性的m 個(gè)信任證據(jù)的權(quán)重向量Wn=(w1,w2, …,wm)T，其中wi計(jì)算公式如下：

步驟3信任屬性評估值向量和權(quán)重向量的計(jì)算。

將上一步得到的n 個(gè)信任屬性的信任證據(jù)權(quán)重向量組合在一起得到權(quán)重矩陣W=(wij)m×n。再由信任證據(jù)矩陣E=(eij)n×m和權(quán)重矩陣W=(wij)m×n，根據(jù)E×W得到的矩陣對角線上的值就是信任屬性評估值向量F=(f1,f2…, ,fn)。同信任證據(jù)權(quán)重向量的計(jì)算方法，計(jì)算得到信任屬性的權(quán)重向量Wf=(wf1,wf2, …,wfn)。

步驟4當(dāng)前用戶行為信任值的計(jì)算。即：

5.2 信任值的記錄和更新機(jī)制

用戶行為信任值的記錄采用滑動窗口的形式。當(dāng)評估得出新的行為信任值時(shí)，整個(gè)窗口向前移動一個(gè)時(shí)間間隔，完成信任值的記錄操作。

根據(jù)信任理論可知，用戶信任值會隨著時(shí)間的增加逐漸減小。因此本文引入時(shí)間衰減因子，利用滑動窗口內(nèi)的歷史信任值和當(dāng)前信任值綜合計(jì)算更新用戶的信任值。綜合行為信任值的計(jì)算公式如下：

其中，Ti(i=1,2, …,h)表示滑動窗口中記錄的h個(gè)用戶行為信任值，h 即為窗口的大小。α(ti)表示信任值權(quán)重，取值范圍為（0，1]，表達(dá)式如下：

其中，γ 為預(yù)先設(shè)定的值，取值范圍是（1，1.05]，具體取值根據(jù)實(shí)際情況的需求選定[18]。ti(i=1,2,… ,h)表示歷史行為信任值Ti記錄時(shí)刻與當(dāng)前行為信任值評估時(shí)刻的時(shí)間間隔，易知t1=0。β(ti)表示時(shí)間衰減因子。隨著ti的增加，時(shí)間衰減因子β(ti)減小，使得歷史行為信任值Ti在計(jì)算綜合行為信任值T 時(shí)所占的比重越來越小，滿足之前提到的信任理論。最后，使用綜合行為信任值更新用戶屬性集合中的信任值屬性，并繼續(xù)參與用戶是否保留該角色的判斷流程中。

采用滑動窗口的形式以及根據(jù)時(shí)間衰減因子加權(quán)求和的方式來記錄和更新用戶行為信任值的主要目的是避免因系統(tǒng)故障導(dǎo)致用戶信任值劇烈變化，用戶擁有的權(quán)限也隨之劇烈變化，增加了系統(tǒng)的穩(wěn)定性。

6 仿真驗(yàn)證

使用IntelliJ IDEA 作為集成開發(fā)環(huán)境，并采用云計(jì)算相關(guān)實(shí)驗(yàn)通常使用的CloudSim[19-20]作為實(shí)驗(yàn)仿真平臺。在實(shí)驗(yàn)過程中，通過CloudSim 創(chuàng)建一個(gè)包含10 臺主機(jī)的數(shù)據(jù)中心Datacenter_0，模擬數(shù)據(jù)中心中主機(jī)的硬件環(huán)境為四核CPU，16 GB 內(nèi)存和1 TB 硬盤，操作系統(tǒng)為Linux。

接下來，首先驗(yàn)證ATRBAC 模型及機(jī)制實(shí)現(xiàn)了訪問控制授權(quán)的動態(tài)性；然后，驗(yàn)證ATRBAC 模型實(shí)現(xiàn)了權(quán)限的自動化授予以及增加了訪問控制的細(xì)粒度。在驗(yàn)證的過程中，為體現(xiàn)出本文方法的優(yōu)勢，將ATRBAC與傳統(tǒng)RBAC、同為云環(huán)境下RBAC模型研究的文獻(xiàn)[8]和文獻(xiàn)[9]中的訪問控制方法進(jìn)行了比較和分析。

6.1 授權(quán)動態(tài)性驗(yàn)證

授權(quán)動態(tài)性驗(yàn)證是通過輸入一個(gè)用戶不同時(shí)刻的行為信任證據(jù)矩陣計(jì)算用戶行為信任值，觀察用戶信任值和權(quán)限數(shù)量在不同時(shí)刻的變化情況。

本實(shí)驗(yàn)創(chuàng)建一個(gè)用戶Broker_0 與三個(gè)角色Role1、Role2 和Role3，每個(gè)角色訪問結(jié)構(gòu)的參數(shù)如表1 所示。用戶屬性集合為（id：0，name：Broker_0，department：cs，position：student，trustValue：T0），其中信任值T0由不同時(shí)刻輸入的用戶信任證據(jù)矩陣使用5.1節(jié)的方法計(jì)算得到，計(jì)算過程可參考文獻(xiàn)[15]。三個(gè)角色Role1、Role2和Role3 的訪問結(jié)構(gòu)參數(shù)中num 代表權(quán)限數(shù)量，即用戶擁有該角色后，就允許用戶在數(shù)據(jù)中心上創(chuàng)建虛擬機(jī)的臺數(shù)和執(zhí)行云任務(wù)的個(gè)數(shù)的上限增加num。

圖5 展示了RBAC、ATRBAC 和文獻(xiàn)[8]中方法在不同時(shí)刻用戶Broker_0 行為信任值和權(quán)限數(shù)量的變化情況。在這幅圖中，傳統(tǒng)RBAC模型中的用戶權(quán)限數(shù)量保持不變；ATRBAC模型中的用戶行為信任值隨著不同時(shí)刻輸入的信任證據(jù)矩陣的數(shù)值的變化而變化，用戶擁有的權(quán)限數(shù)量也隨之具有相同的變化趨勢；文獻(xiàn)[8]方法中用戶信任值在不同時(shí)刻的變化情況與ATRBAC 一致，并且用戶的權(quán)限數(shù)量也隨著信任值一起變化。進(jìn)一步分析實(shí)驗(yàn)結(jié)果，傳統(tǒng)RBAC模型在一次會話中授予用戶角色之后，用戶就在此期間永久獲得了角色所對應(yīng)的權(quán)限；而本文提出的ATRBAC 模型，用戶擁有的角色和權(quán)限數(shù)量是隨著其信任值動態(tài)變化的。這樣用戶在獲取角色后，在與系統(tǒng)交互的過程中如果產(chǎn)生了危害系統(tǒng)安全的行為，采集到的信任證據(jù)矩陣的數(shù)值就會隨之改變，進(jìn)而降低用戶信任值，最終用戶擁有的角色和權(quán)限數(shù)量都會減少。文獻(xiàn)[8]中采用了相同的基于FAHP 方法的信任值評估方法，所以得到的用戶信任值與ATRBC 中的一致。之后信任值用于用戶激活角色和賦予角色一定的權(quán)限，該方法同樣實(shí)現(xiàn)了訪問授權(quán)的動態(tài)性。由圖5 中可見，實(shí)驗(yàn)結(jié)果說明了本文設(shè)計(jì)的模型實(shí)現(xiàn)了根據(jù)用戶的行為動態(tài)地調(diào)整用戶所擁有權(quán)限的功能，實(shí)現(xiàn)了訪問控制授權(quán)的動態(tài)性，有效地避免了用戶權(quán)限的濫用，提高了云存儲系統(tǒng)的安全性。

表1 實(shí)驗(yàn)3.1角色訪問結(jié)構(gòu)對比

圖5 不同時(shí)刻用戶信任值和權(quán)限數(shù)量的變化情況

文獻(xiàn)[9]中針對云計(jì)算環(huán)境的動態(tài)性提出的CRBAC模型通過上下文約束對訪問授權(quán)進(jìn)行評估驗(yàn)證，并在運(yùn)行過程中進(jìn)行動態(tài)調(diào)整，同樣增加了授權(quán)的動態(tài)性。但該文章中并沒有給出針對某個(gè)上下文約束信息具體的評估驗(yàn)證方法。

6.2 權(quán)限自動化授予與細(xì)粒度驗(yàn)證

權(quán)限自動化授予與細(xì)粒度驗(yàn)證包括驗(yàn)證是否實(shí)現(xiàn)了用戶自動化獲取角色和對應(yīng)的權(quán)限以及與傳統(tǒng)RBAC模型相比更加細(xì)粒度的訪問控制。

在數(shù)據(jù)中心Datacenter_0 上為10 個(gè)用戶提供創(chuàng)建虛擬機(jī)和執(zhí)行云任務(wù)的服務(wù)。10 個(gè)用戶的屬性集合分別是（id：i，name：Broker_i，department：cs/math，position：student，trustValue：Ti）（i=0，1，…，9），其中department 屬性在實(shí)驗(yàn)中隨機(jī)指定一部分用戶為cs，另一部分用戶為math；信任值Ti由輸入的每個(gè)用戶的信任證據(jù)矩陣計(jì)算得到。在實(shí)驗(yàn)3.1節(jié)的基礎(chǔ)上增加一個(gè)角色Role4，訪問結(jié)構(gòu)如表2 所示?，F(xiàn)在假設(shè)每個(gè)用戶向數(shù)據(jù)中心申請10 臺虛擬機(jī)并提交10 個(gè)云任務(wù)。運(yùn)行CloudSim 仿真平臺可以查看用戶在數(shù)據(jù)中心創(chuàng)建虛擬機(jī)執(zhí)行云任務(wù)的完成情況。

表2 實(shí)驗(yàn)3.2角色訪問結(jié)構(gòu)對比

圖6 展示了CloudSim 仿真實(shí)驗(yàn)平臺一次運(yùn)行的部分結(jié)果，進(jìn)一步將實(shí)驗(yàn)結(jié)果進(jìn)行整理，如表3 所示。在表3 中，用戶Broker_9 的department 屬性為cs 且信任值為0.622 3，通過與角色訪問結(jié)構(gòu)的匹配，自動獲得了角色Role1、Role2 和Role3，擁有最多執(zhí)行12 個(gè)云任務(wù)的權(quán)限，因此提交的10 個(gè)云任務(wù)全部執(zhí)行完畢；用戶Broker_8 的department 屬性為cs 且信任值為0.575 4，自動獲得了角色Role1 和Role2，擁有最多執(zhí)行7 個(gè)云任務(wù)的權(quán)限，因此執(zhí)行完成了提交的10 個(gè)云任務(wù)中的7 個(gè)；用戶Broker_2 的department 屬性為math 且信任值為0.616 7，自動獲得了角色Role4，擁有最多執(zhí)行6 個(gè)云任務(wù)的權(quán)限，因此執(zhí)行完成了提交的10 個(gè)云任務(wù)中的6個(gè)。其他用戶提交的云任務(wù)的完成情況類似。在傳統(tǒng)RBAC 模型下，如果Role1、Role2 和Role3 均定義為“計(jì)算機(jī)系學(xué)生”，用戶Broker_8和Broker_9同時(shí)被授予“計(jì)算機(jī)系學(xué)生”這一角色，他們擁有的權(quán)限是相同的；而在ATRBAC模型下，他們的屬性集合中“信任值”屬性的不同，導(dǎo)致在匹配角色Role3 的訪問結(jié)構(gòu)時(shí)得到不同的結(jié)果，因此Broker_8 和Broker_9 獲得的角色不同，所擁有的權(quán)限也不同。設(shè)置多個(gè)用戶與多個(gè)角色進(jìn)行云環(huán)境中的仿真實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果說明ATRBAC 模型實(shí)現(xiàn)了權(quán)限的自動化授予以及與傳統(tǒng)RBAC 模型相比更加細(xì)粒度的訪問控制。

圖6 CloudSim仿真實(shí)驗(yàn)部分結(jié)果

表3 實(shí)驗(yàn)3.2對用戶訪問控制結(jié)果

表4展示了本文提出的ATRBAC與文獻(xiàn)[8]、文獻(xiàn)[9]中的訪問控制方法在權(quán)限自動化授予和訪問控制細(xì)粒度方面的比較結(jié)果。由表4中的結(jié)果可知，文獻(xiàn)[8]中的訪問控制方法不能實(shí)現(xiàn)用戶與角色權(quán)限之間的自動化授予并且沒有針對細(xì)粒度的訪問控制作出優(yōu)化。文獻(xiàn)[9]提出的CRBAC 模型中用戶屬性集和上下文約束與本文方法中屬性集合和訪問結(jié)構(gòu)類似，所以CRBAC 在訪問控制細(xì)粒度方面與本文方法基本相同。但是該文章中僅提出了概念模型，并沒有給出具體的實(shí)現(xiàn)方案。而本文提出的ATRBAC 模型中CP-ABE 算法與RBAC相結(jié)合的方式是一種針對用戶權(quán)限自動化授予與細(xì)粒度訪問控制的具體可執(zhí)行的解決方案。

表4 ATRBAC與其他方法對比

7 結(jié)束語

本文針對RBAC 模型在云計(jì)算環(huán)境下存在的問題，提出了一種基于屬性（Attribute）和信任（Trust）的RBAC模型，即ATRBAC。首先，介紹了RBAC 模型的基本原理和在云環(huán)境中存在的不足。接下來，詳細(xì)介紹了提出的ATRBAC 模型，闡述了ATRBAC 研究的技術(shù)路線和訪問控制授權(quán)檢查的流程。然后，討論了CP-ABE 算法與RBAC 模型相結(jié)合的問題。最后，使用FAHP 方法評估得到客觀合理的用戶行為信任值。實(shí)驗(yàn)結(jié)果說明了相比傳統(tǒng)RBAC模型，ATRBAC模型實(shí)現(xiàn)了訪問控制授權(quán)的動態(tài)性、權(quán)限的自動化授予以及更加細(xì)粒度的訪問控制。