葛麗娜，胡雨谷，張桂芬，2，陳園園

（1.廣西民族大學(xué)人工智能學(xué)院，南寧 530006；2.廣西民族大學(xué)網(wǎng)絡(luò)通信工程重點(diǎn)實(shí)驗(yàn)室，南寧 530006；3.廣西混雜計(jì)算與集成電路設(shè)計(jì)分析重點(diǎn)實(shí)驗(yàn)室，南寧 530006）

（?通信作者電子郵箱66436539@qq.com）

0 引言

云計(jì)算結(jié)合了網(wǎng)絡(luò)新技術(shù)與分布式技術(shù)，提供超大規(guī)模計(jì)算、存儲(chǔ)及軟件等服務(wù)。本地?cái)?shù)據(jù)脫離了數(shù)據(jù)所有者的束縛而被存儲(chǔ)到云上，引起了數(shù)據(jù)擁有者對(duì)數(shù)據(jù)安全的憂(yōu)慮。而作為數(shù)據(jù)大密度聚集、不分界限流動(dòng)的云環(huán)境，也因自身開(kāi)放共享資源的體量、設(shè)施與服務(wù)公有化、應(yīng)用環(huán)境復(fù)雜多變等問(wèn)題使得云安全邊界難以區(qū)分。

智慧城市、醫(yī)療、農(nóng)業(yè)、金融等產(chǎn)生大量的數(shù)據(jù)，需要進(jìn)行存儲(chǔ)、使用和傳播，而在應(yīng)用數(shù)據(jù)過(guò)程中的安全問(wèn)題尤為突出，比如云服務(wù)能為醫(yī)院的病例管理提高效率和降低成本，但是也給患者帶來(lái)了對(duì)云服務(wù)提供商安全保障的擔(dān)憂(yōu)。為了解決云服務(wù)環(huán)境下，訪(fǎng)問(wèn)控制中存在的數(shù)據(jù)安全性問(wèn)題，本文提出了基于客體屬性匹配的逆向混合訪(fǎng)問(wèn)控制方法，并以醫(yī)療健康數(shù)據(jù)應(yīng)用為例，用以解決以下的應(yīng)用場(chǎng)景:用戶(hù)甲向云端服務(wù)器上傳一份私人的醫(yī)療健康數(shù)據(jù)文件A（醫(yī)學(xué)影像數(shù)據(jù)，心率數(shù)據(jù)、血液檢查數(shù)據(jù)等等），乙、丙、丁等用戶(hù)作為數(shù)據(jù)使用者可以向云端提出申請(qǐng)?jiān)L問(wèn)、使用數(shù)據(jù)文件A，如圖1所示。

圖1 應(yīng)用場(chǎng)景示意圖Fig.1 Schematic diagram of application scene

作為數(shù)據(jù)的擁有者和使用者通常會(huì)有如下顧慮:

1）數(shù)據(jù)擁有者甲擔(dān)心其上傳的醫(yī)療健康數(shù)據(jù)文件A包含的隱私數(shù)據(jù)被泄露；

2）甲對(duì)訪(fǎng)問(wèn)、使用數(shù)據(jù)的乙、丙、丁等的真實(shí)身份和其對(duì)數(shù)據(jù)操作行為是否惡意的擔(dān)憂(yōu)；

3）乙、丙、丁等如何確保云端數(shù)據(jù)文件A 等的真實(shí)性、可用性等。

以上場(chǎng)景，從用戶(hù)甲（亦為“數(shù)據(jù)貢獻(xiàn)者”）的角度出發(fā)，他考慮自身數(shù)據(jù)的隱私性、安全性能否得到保障。因此，保障數(shù)據(jù)貢獻(xiàn)者共享數(shù)據(jù)的安全性、數(shù)據(jù)依照用戶(hù)自身的意愿被使用、保障合法用戶(hù)進(jìn)行合理訪(fǎng)問(wèn)等是需要解決的問(wèn)題。從使用數(shù)據(jù)的用戶(hù)乙、丙、丁等（亦為“數(shù)據(jù)訪(fǎng)問(wèn)者”）的角度而言，保障所請(qǐng)求的數(shù)據(jù)的完整性、可用性等是主要關(guān)心的問(wèn)題。

綜上，本文設(shè)計(jì)了一種基于客體屬性匹配的逆向混合訪(fǎng)問(wèn)控制方法，可用于解決多個(gè)自治域進(jìn)行云計(jì)算環(huán)境數(shù)據(jù)共享的場(chǎng)景。

1 基本概念

1.1 基于角色的訪(fǎng)問(wèn)控制

文獻(xiàn)［1］在訪(fǎng)問(wèn)控制技術(shù)中引入了“角色”的概念，用于用戶(hù)和訪(fǎng)問(wèn)權(quán)限之間的關(guān)聯(lián)，提出了基于角色的訪(fǎng)問(wèn)控制（Role Based Access Control，RBAC）模型，每一種角色對(duì)應(yīng)一組相應(yīng)的權(quán)限，用戶(hù)組、用戶(hù)、角色、權(quán)限和客體這五者之間的關(guān)系結(jié)構(gòu)如圖2所示，“角色”的引入簡(jiǎn)化了授權(quán)，方便了系統(tǒng)管理。

圖2 不同組成部分的關(guān)聯(lián)圖Fig.2 Association diagram of different components

Sandhu 等［2］對(duì)模型角色關(guān)系通過(guò)制定層次規(guī)則和會(huì)話(huà)約束進(jìn)行管理改進(jìn)；Bertino 等［3］提出引入觸發(fā)器和時(shí)間控制的基于時(shí)間角色的訪(fǎng)問(wèn)控制（Temporal RBAC，TRBAC）模型，改進(jìn)了權(quán)限間的管理；Joshi等［4］對(duì)文獻(xiàn)［3］中依賴(lài)關(guān)系等不足進(jìn)行改進(jìn)，提出基于時(shí)間角色的通用訪(fǎng)問(wèn)控制（Generalized TRBAC，GTRBAC）模型；Crampton［5］基于責(zé)任與權(quán)力約束分離等擴(kuò)展了RBAC 模型。這些方法應(yīng)用于數(shù)據(jù)量較小、單一自治系統(tǒng)的環(huán)境，為復(fù)雜的云計(jì)算、多自治域訪(fǎng)問(wèn)控制奠定了基礎(chǔ)。

RBAC 具有以下優(yōu)點(diǎn):1）簡(jiǎn)化了權(quán)限管理，只需將分配了特定權(quán)限的角色授權(quán)給相應(yīng)用戶(hù)；2）實(shí)現(xiàn)責(zé)權(quán)分離原則；3）支持最小特權(quán)原則；4）符合企業(yè)內(nèi)部管理結(jié)構(gòu)，方便實(shí)用。

隨著應(yīng)用場(chǎng)景的不斷復(fù)雜，RBAC 的缺點(diǎn)顯現(xiàn)出來(lái)，它無(wú)法做到對(duì)未知訪(fǎng)問(wèn)需求的權(quán)限設(shè)置，濫用角色導(dǎo)致虛無(wú)角色的“角色爆炸”問(wèn)題，在超大規(guī)模的用戶(hù)場(chǎng)景中，角色的管控、權(quán)限授予的復(fù)雜度也在呈指數(shù)級(jí)別的增長(zhǎng)。此時(shí)，基于屬性的訪(fǎng)問(wèn)控制（Attribute-Based Access Control，ABAC）為解決這些新問(wèn)題提供了新的方法。

1.2 基于屬性的訪(fǎng)問(wèn)控制

隨著應(yīng)用的發(fā)展，企業(yè)的數(shù)據(jù)應(yīng)用與交互越來(lái)越復(fù)雜，應(yīng)用邊界越來(lái)越大甚至消失，傳統(tǒng)的單個(gè)部門(mén)封閉應(yīng)用環(huán)境的RBAC 面臨著新的難題，需要細(xì)粒度的、易于理解、實(shí)現(xiàn)和控制運(yùn)維的訪(fǎng)問(wèn)控制機(jī)制來(lái)適應(yīng)新型復(fù)雜的業(yè)務(wù)場(chǎng)景，基于屬性的訪(fǎng)問(wèn)控制ABAC為其帶來(lái)了解決方案。

ABAC 通過(guò)對(duì)不同屬性依據(jù)策略得出結(jié)果，判斷一個(gè)用戶(hù)是否能訪(fǎng)問(wèn)某項(xiàng)資源［6］；通過(guò)定義一種訪(fǎng)問(wèn)控制范式，使用將屬性組合在一起的策略，為不同用戶(hù)提供動(dòng)態(tài)、上下文感知和風(fēng)險(xiǎn)智能防護(hù)的訪(fǎng)問(wèn)權(quán)限。策略可使用各類(lèi)屬性，且允許簡(jiǎn)單的與非邏輯判別，例如:“IF 請(qǐng)求者是管理者，THEN 允許對(duì)敏感數(shù)據(jù)的讀/寫(xiě)訪(fǎng)問(wèn)”。

如圖3 所示，策略決策點(diǎn)（Policy Decision Point，PDP）與策略執(zhí)行點(diǎn)（Policy Enforcement Point，PEP）便是訪(fǎng)問(wèn)控制機(jī)制的核心。ABAC 機(jī)制的核心是主體的請(qǐng)求發(fā)起后，聯(lián)合主體的屬性、客體的屬性與環(huán)境狀態(tài)作為輸入，從PEP 獲取規(guī)則，PDP計(jì)算，最后判定主體的請(qǐng)求是否合理予以執(zhí)行。

圖3 ABAC結(jié)構(gòu)核心圖Fig.3 Architecture core diagram of ABAC

文獻(xiàn)［7］為ABAC 設(shè)計(jì)了動(dòng)態(tài)移動(dòng)授權(quán)策略，其結(jié)合上下文信息的捕捉，使其適應(yīng)動(dòng)態(tài)的移動(dòng)環(huán)境的訪(fǎng)問(wèn)控制。

ABAC應(yīng)用在復(fù)雜場(chǎng)景下有如下的優(yōu)點(diǎn):1）比RBAC更細(xì)粒度授權(quán)管理；2）訪(fǎng)問(wèn)控制管理成本較低；3）屬性易于集中化管理；4）動(dòng)態(tài)的總體控制。

但是，面對(duì)過(guò)于繁雜的應(yīng)用場(chǎng)景，ABAC 仍然會(huì)存在著一些不足:1）主客體之間的關(guān)系在權(quán)限的定義時(shí)無(wú)法直接看出；2）過(guò)于復(fù)雜或設(shè)計(jì)混亂的規(guī)則，增加系統(tǒng)管理員對(duì)策略庫(kù)的管理成本；3）過(guò)多的主客體以及環(huán)境屬性的增加導(dǎo)致規(guī)則數(shù)量的不斷增加，從而引起策略沖突的問(wèn)題；4）過(guò)多的規(guī)則會(huì)導(dǎo)致需要實(shí)時(shí)執(zhí)行的權(quán)限判斷性能受限，難以保證系統(tǒng)的安全性與穩(wěn)定性；5）權(quán)限判斷的執(zhí)行效率的降低，延長(zhǎng)了授予與回收權(quán)限時(shí)間。

1.3 基于屬性和角色的訪(fǎng)問(wèn)控制RBAC-A

RBAC 訪(fǎng)問(wèn)控制與授權(quán)方法便于管理但難以應(yīng)付復(fù)雜的控制場(chǎng)景；而基于屬性的訪(fǎng)問(wèn)控制（ABAC）與授權(quán)方法易于實(shí)現(xiàn)，但難以對(duì)用戶(hù)權(quán)限進(jìn)行審計(jì)。但是無(wú)論哪種方式，使用最少數(shù)量的過(guò)濾器來(lái)構(gòu)建安全環(huán)境是非常重要的。將兩者進(jìn)行結(jié)合，分層次地使用，即由前者確定誰(shuí)有權(quán)訪(fǎng)問(wèn)資源，后者確定使用資源進(jìn)行什么操作，以滿(mǎn)足復(fù)雜應(yīng)用環(huán)境訪(fǎng)問(wèn)控制管理的需要［8］。

Kuhn 等［9］根據(jù)主次的關(guān)系，給出了三種側(cè)重點(diǎn)不同的基于角色和屬性混合的訪(fǎng)問(wèn)控制（Attributes with Role Based Access Control，RBAC-A）方法，包括了:1）“以屬性為中心”，以屬性為主，角色作為一種屬性的訪(fǎng)問(wèn)控制；2）“以角色為中心”，以角色為主，屬性被添加到角色中限制權(quán)限的訪(fǎng)問(wèn)控制；3）“動(dòng)態(tài)角色”，屬性被用于確定受試者的作用，讓屬性決定用戶(hù)哪些角色應(yīng)該被激活，實(shí)現(xiàn)用戶(hù)-角色與權(quán)限-角色管理的訪(fǎng)問(wèn)控制。

三者諸方面特征的比較如表1所示。

表1 RBAC-A的三種訪(fǎng)問(wèn)控制模型特征比較Tab.1 Characteristic comparison of three access control models of RBAC-A

隨著云計(jì)算的應(yīng)用，其數(shù)據(jù)的訪(fǎng)問(wèn)控制問(wèn)題逐漸獲得關(guān)注:文獻(xiàn)［10］引入以角色層次映射表示屬性偏序關(guān)系模型，來(lái)解決云服務(wù)中存在的訪(fǎng)問(wèn)控制兼容性問(wèn)題；文獻(xiàn)［11］以角色為中心、限制權(quán)限、縮減會(huì)話(huà)等策略緩解了角色爆炸問(wèn)題；文獻(xiàn)［12］結(jié)合角色、屬性對(duì)訪(fǎng)問(wèn)控制進(jìn)行優(yōu)化，縮短系統(tǒng)響應(yīng)時(shí)間，提高系統(tǒng)效率；文獻(xiàn)［13］采用動(dòng)態(tài)角色策略，優(yōu)化權(quán)限分配，使得系統(tǒng)能靈活適應(yīng)用戶(hù)的改變；文獻(xiàn)［14］提出基于角色和屬性的云計(jì)算數(shù)據(jù)訪(fǎng)問(wèn)控制模型，該模型引入實(shí)體的屬性元素，用戶(hù)能夠通過(guò)自身和所在租戶(hù)的屬性及當(dāng)前的狀態(tài)分配角色，來(lái)訪(fǎng)問(wèn)不同屬性的數(shù)據(jù)；文獻(xiàn)［15］實(shí)現(xiàn)了個(gè)人數(shù)據(jù)的一對(duì)多的安全傳輸和數(shù)據(jù)的細(xì)粒度訪(fǎng)問(wèn)控制；文獻(xiàn)［16］根據(jù)用戶(hù)的行為設(shè)計(jì)了一種云計(jì)算訪(fǎng)問(wèn)控制模型，其添加了用戶(hù)行為管理模塊，考慮了用戶(hù)的角色、時(shí)態(tài)、環(huán)境等屬性對(duì)用戶(hù)的資源服務(wù)請(qǐng)求進(jìn)行訪(fǎng)問(wèn)控制。這些方案為解決云計(jì)算訪(fǎng)問(wèn)控制的某些局部問(wèn)題提出了解決方案，但均未能從數(shù)據(jù)貢獻(xiàn)者的角度出發(fā)，未能體現(xiàn)數(shù)據(jù)貢獻(xiàn)者對(duì)數(shù)據(jù)的控制權(quán)。

2 基于客體屬性匹配的逆向混合訪(fǎng)問(wèn)控制

本文提出了一種基于客體屬性匹配的逆向混合訪(fǎng)問(wèn)控制（Object Attributes Matching Based Reverse Access Control，OAMBRAC）方法，以解決圖1中云環(huán)境下數(shù)據(jù)貢獻(xiàn)者、數(shù)據(jù)訪(fǎng)問(wèn)者及共享數(shù)據(jù)的訪(fǎng)問(wèn)控制的問(wèn)題。OAMBRAC 是基于下一代訪(fǎng)問(wèn)控制（Next Generation Access Control，NGAC）［17］的體系結(jié)構(gòu)進(jìn)行設(shè)計(jì)，結(jié)合了基于屬性和角色的訪(fǎng)問(wèn)控制方法，針對(duì)本文應(yīng)用場(chǎng)景進(jìn)行改進(jìn)，成為一種適合多自治域、互聯(lián)企業(yè)、分布式、云計(jì)算環(huán)境的形式。

2.1 OAMBRAC的功能架構(gòu)

OAMBRAC 設(shè)計(jì)主體上分為以下三個(gè)部分:1）對(duì)數(shù)據(jù)訪(fǎng)問(wèn)者自身的訪(fǎng)問(wèn)控制；2）數(shù)據(jù)訪(fǎng)問(wèn)者對(duì)客體資源請(qǐng)求的訪(fǎng)問(wèn)控制；3）客體資源自身權(quán)限的訪(fǎng)問(wèn)控制。

下面對(duì)這三個(gè)部分分別進(jìn)行詳細(xì)的描述，后文中的所有信息流描述都假定在經(jīng)過(guò)身份驗(yàn)證的用戶(hù)與屬性點(diǎn)之間建立會(huì)話(huà)，并且功能體系結(jié)構(gòu)中的所有交互實(shí)體都已建立通信，彼此進(jìn)行了身份驗(yàn)證。

2.2 對(duì)數(shù)據(jù)訪(fǎng)問(wèn)者自身的訪(fǎng)問(wèn)控制

OAMBRAC 系統(tǒng)中存在一些不同類(lèi)別的數(shù)據(jù)訪(fǎng)問(wèn)者:衛(wèi)生行政部門(mén)（例如衛(wèi)生局管理人員）、高校或科研院所（例如:從事健康數(shù)據(jù)研究的研究員）、醫(yī)療機(jī)構(gòu)（例如:醫(yī)院的醫(yī)生）、商業(yè)機(jī)構(gòu)（例如:保險(xiǎn)公司、保健品公司）、個(gè)人用戶(hù)（例如:對(duì)健康數(shù)據(jù)感興趣的人）等。

系統(tǒng)在對(duì)外部訪(fǎng)問(wèn)控制（External Access Control，EAC）進(jìn)行設(shè)計(jì)時(shí)，采用以屬性為中心的RBAC-A 訪(fǎng)問(wèn)控制，把用戶(hù)的角色作為一種屬性，來(lái)表達(dá)用戶(hù)的一種權(quán)限。

由于外部各個(gè)不同的機(jī)構(gòu)、不同類(lèi)別的數(shù)據(jù)訪(fǎng)問(wèn)者，屬于跨域的數(shù)據(jù)訪(fǎng)問(wèn)，OAMBRAC 系統(tǒng)對(duì)外來(lái)的訪(fǎng)問(wèn)者提供統(tǒng)一的外部接口，在其所在的機(jī)構(gòu)系統(tǒng)中，如若已經(jīng)存在訪(fǎng)問(wèn)控制機(jī)制（無(wú)論是自主訪(fǎng)問(wèn)控制（Discretionary Access Control，DAC）、強(qiáng)制訪(fǎng)問(wèn)控制（Mandatory Aces Control，MAC）、RBAC，還是ABAC 或其他的訪(fǎng)問(wèn)控制機(jī)制），在統(tǒng)一外部接口處對(duì)其所擁有的權(quán)限通過(guò)EAC 部分進(jìn)行轉(zhuǎn)化表示后，轉(zhuǎn)入等級(jí)授權(quán)表（Level Management Table，LMT）中，對(duì)用戶(hù)的屬性值進(jìn)行權(quán)限ID比對(duì)與分配。

將文件訪(fǎng)問(wèn)權(quán)限設(shè)置為“絕密”“機(jī)密”“秘密”“敏感”“公開(kāi)”五個(gè)類(lèi)別。其中，“絕密”級(jí)別為權(quán)限最高，“機(jī)密”“秘密”“敏感”的權(quán)限依次遞減。并寫(xiě)入LMT 中。等級(jí)授權(quán)表設(shè)定如表2所示。

表2 等級(jí)授權(quán)設(shè)定示例Tab.2 Examples of level authorization set

文件訪(fǎng)問(wèn)權(quán)限有包含性，若某用戶(hù)擁有“絕密”文件訪(fǎng)問(wèn)權(quán)限，即權(quán)限ID=1，則其有權(quán)訪(fǎng)問(wèn)“機(jī)密”“秘密”“敏感”和“公開(kāi)”四個(gè)類(lèi)別的文件；同樣，用戶(hù)擁有“機(jī)密”文件訪(fǎng)問(wèn)權(quán)限，即權(quán)限ID=2 時(shí)，有權(quán)訪(fǎng)問(wèn)“秘密”“敏感”和“公開(kāi)”三個(gè)類(lèi)別的文件。

如果某用戶(hù)要跨越訪(fǎng)問(wèn)，則該用戶(hù)需要利用自身域內(nèi)的訪(fǎng)問(wèn)控制機(jī)制獲取其個(gè)人對(duì)應(yīng)的權(quán)限最高不超過(guò)機(jī)構(gòu)所能獲得訪(fǎng)問(wèn)權(quán)限的最高級(jí)別。用戶(hù)在其域內(nèi)所具有的權(quán)限設(shè)定不在本文的討論范圍之內(nèi)。

OAMBRAC 第一部分（對(duì)數(shù)據(jù)訪(fǎng)問(wèn)者自身的訪(fǎng)問(wèn)控制）功能架構(gòu)中的資源訪(fǎng)問(wèn)信息流如圖4所示。

圖4 中的數(shù)字標(biāo)簽指代步驟編號(hào)，其資源訪(fǎng)問(wèn)信息流如下:

圖4 OAMBRAC第一部分功能架構(gòu)示意圖Fig.4 Schematic diagram of functional architecture of OAMBRAC’s first part

①訪(fǎng)問(wèn)者通過(guò)其域內(nèi)的訪(fǎng)問(wèn)控制系統(tǒng)獲取相應(yīng)權(quán)限，并通過(guò)外部訪(fǎng)問(wèn)控制（External Access Control，EAC）模塊接入OAMBRAC系統(tǒng)接口；

②EAC 把用戶(hù)的權(quán)限進(jìn)行格式化處理，生成統(tǒng)一格式的文件，發(fā)送給等級(jí)授權(quán)表（Level Management Table，LMT）；

③LMT 根據(jù)文件中的屬性權(quán)限進(jìn)行比對(duì)，將結(jié)果即訪(fǎng)問(wèn)者對(duì)應(yīng)的權(quán)限告知訪(fǎng)問(wèn)者，并且為訪(fǎng)問(wèn)者生成唯一的ID，寫(xiě)入權(quán)限文件中。

2.3 數(shù)據(jù)訪(fǎng)問(wèn)者對(duì)客體資源的請(qǐng)求訪(fǎng)問(wèn)控制

訪(fǎng)問(wèn)者對(duì)客體資源請(qǐng)求的訪(fǎng)問(wèn)控制是OAMBRAC 結(jié)構(gòu)的核心功能。本部分在NGAC［17］的思想基礎(chǔ)上，根據(jù)本文的應(yīng)用場(chǎng)景設(shè)計(jì)［18］。

1）基本概念定義。

首先對(duì)屬性執(zhí)行點(diǎn)（Attribute Enforcement Point，AEP）、屬性管理點(diǎn)（Attribute Administration Point，AAP）、屬性信息點(diǎn)（Attribute Information Point，AIP）、屬性決策點(diǎn)（Attribute Decision Point，ADP）、客體訪(fǎng)問(wèn)點(diǎn)（Object Access Point，OAP）及其相關(guān)的術(shù)語(yǔ)進(jìn)行定義。

定義1AEP，確保僅滿(mǎn)足特定要求的那些訪(fǎng)問(wèn)請(qǐng)求才被授予對(duì)受保護(hù)資源的訪(fǎng)問(wèn)權(quán)限。

定義2AIP，保留實(shí)體數(shù)據(jù)結(jié)構(gòu)的功能實(shí)體，這些數(shù)據(jù)結(jié)構(gòu)代表構(gòu)成屬性的基本元素、容器和關(guān)系。

定義3AAP，提供訪(fǎng)問(wèn)和管理駐留在AIP 中屬性信息的唯一方法的功能實(shí)體。

定義4ADP，評(píng)估與訪(fǎng)問(wèn)請(qǐng)求或事件響應(yīng)有關(guān)屬性的加權(quán)權(quán)限值計(jì)算的功能實(shí)體，作出訪(fǎng)問(wèn)決策。ADP 根據(jù)以下內(nèi)容提供訪(fǎng)問(wèn)決策:a）訪(fǎng)問(wèn)請(qǐng)求具有所有必需的特權(quán)；b）不存在抵消任意特權(quán)的限制。如果同時(shí)滿(mǎn)足a）和b），則ADP 會(huì)授予訪(fǎng)問(wèn)請(qǐng)求。所有其他可能性均拒絕訪(fǎng)問(wèn)請(qǐng)求。

AEP 發(fā)送查詢(xún)給AAP，然后從AIP 檢索與請(qǐng)求有關(guān)的授權(quán)信息以獲得仲裁訪(fǎng)問(wèn)請(qǐng)求所必需的其他詳細(xì)信息，最后AEP 將個(gè)人訪(fǎng)問(wèn)請(qǐng)求提交給ADP 進(jìn)行裁決。通過(guò)強(qiáng)制執(zhí)行ADP所提供的有關(guān)訪(fǎng)問(wèn)請(qǐng)求的訪(fǎng)問(wèn)決定來(lái)執(zhí)行訪(fǎng)問(wèn)控制的功能實(shí)體。

定義5OAP，一種功能實(shí)體，提供訪(fǎng)問(wèn)某些受保護(hù)資源的唯一方法。如果訪(fǎng)問(wèn)請(qǐng)求被批準(zhǔn)，則ADP 檢索用于定位請(qǐng)求中標(biāo)識(shí)的資源信息（即通過(guò)關(guān)聯(lián)對(duì)象的標(biāo)識(shí)符，在與指定OAP關(guān)聯(lián)的指定位置轉(zhuǎn)換為特定系統(tǒng)資源），并將該位置所獲得的信息以及決策結(jié)果發(fā)送給接收請(qǐng)求的AEP。AEP與特定的OAP 通信，以對(duì)所標(biāo)識(shí)的資源執(zhí)行訪(fǎng)問(wèn)請(qǐng)求中指定的操作。一旦操作完成，AEP 隨后將有關(guān)該操作的狀態(tài)信息以及由此產(chǎn)生的數(shù)據(jù)（可選）返回給原始進(jìn)程。

資源訪(fǎng)問(wèn)是用戶(hù)獲得OAMBRAC 中受保護(hù)資源的唯一途徑。當(dāng)用戶(hù)創(chuàng)建嘗試通過(guò)AEP 訪(fǎng)問(wèn)資源的過(guò)程時(shí)，資源訪(fǎng)問(wèn)即開(kāi)始。進(jìn)程在單個(gè)會(huì)話(huà)中代表特定用戶(hù)運(yùn)行，并且可以實(shí)例化其他進(jìn)程。用戶(hù)的每個(gè)進(jìn)程都應(yīng)使用用戶(hù)已與其建立會(huì)話(huà)的AEP來(lái)請(qǐng)求訪(fǎng)問(wèn)受保護(hù)的資源。

2）資源訪(fǎng)問(wèn)信息流。

OAMBRAC 第二部分功能架構(gòu)中的資源訪(fǎng)問(wèn)信息流如圖5所示，數(shù)字標(biāo)簽指代步驟編號(hào)，資源訪(fǎng)問(wèn)信息流如下:

圖5 OAMBRAC第二部分功能架構(gòu)示意圖Fig.5 Schematic diagram of functional architecture of OAMBRAC’s second part

①經(jīng)由第一部分生成的含有用戶(hù)角色屬性的文件傳入AEP；

②AEP 向AAP 查詢(xún)AIP 有關(guān)信息，以備計(jì)算訪(fǎng)問(wèn)屬性所需；

③AAP驗(yàn)證查詢(xún)，向AIP發(fā)出一個(gè)或多個(gè)相應(yīng)命令；

④AAP從AIP接收響應(yīng)；

⑤AAP將查詢(xún)結(jié)果送回AEP；

⑥AEP將查詢(xún)結(jié)果向ADP發(fā)出訪(fǎng)問(wèn)請(qǐng)求裁決；

⑦ADP 向與資源相關(guān)聯(lián)的OAP 發(fā)出指令以執(zhí)行訪(fǎng)問(wèn)，該指令傳達(dá)操作，資源定位符以及（如果需要）數(shù)據(jù)；

⑧OAP啟動(dòng)對(duì)資源的操作；

⑨接收返回的狀態(tài)信息和數(shù)據(jù)（如果有）；

⑩狀態(tài)信息和數(shù)據(jù)（如果有）從OAP返回到ADP；

?狀態(tài)信息和數(shù)據(jù)（如果有）從ADP 返回到AEP 進(jìn)而返回到進(jìn)程。

在RBAC-A 中，策略數(shù)量隨著使用情況的復(fù)雜會(huì)帶來(lái)的管理困難問(wèn)題，為了解決該問(wèn)題，現(xiàn)把基于策略的匹配改為更易于計(jì)算的基于權(quán)重加權(quán)的匹配機(jī)制，提出“二重變異系數(shù)權(quán)重賦值法”，簡(jiǎn)化匹配難度，提高匹配速度。

3）二重變異系數(shù)權(quán)重賦值法。

各個(gè)屬性值的表示方式以及量綱方面存在差異，而又需要對(duì)這些屬性值進(jìn)行橫向和縱向的評(píng)估比較，為了使得具有可比性，有必要對(duì)數(shù)據(jù)作無(wú)綱量化的歸一化處理。

若已經(jīng)處在［0，1］范圍內(nèi)的數(shù)值，則無(wú)需再作處理；而不在［0，1］范圍內(nèi)的數(shù)值，利用式（1）將其進(jìn)行歸一化，即:

其中:aij為原值；eij為量化后的值；(aij)max為原值最大值；(aij)min為原值最小值。

變異系數(shù)權(quán)重賦值法的權(quán)重是直接通過(guò)計(jì)算各個(gè)指標(biāo)的信息后得到。在計(jì)算前為了消除各屬性值的不同量綱之間差異，需要先對(duì)數(shù)據(jù)進(jìn)行量化處理。假定量化處理后的數(shù)據(jù)矩陣為Y=(yij)m*n，m表示評(píng)價(jià)方案的數(shù)量，n表示指標(biāo)個(gè)數(shù)，具體計(jì)算方法如下。

計(jì)算每列向量平均值為式（2）:

計(jì)算每列向量標(biāo)準(zhǔn)差為式（3）:

計(jì)算各指標(biāo)變異系數(shù)為式（4）:

計(jì)算各指標(biāo)權(quán)重為式（5）:

本文提出的二重變異系數(shù)權(quán)重賦值法通過(guò)對(duì)變異系數(shù)權(quán)重的兩次計(jì)算，得到了各屬性的權(quán)重；再結(jié)合訪(fǎng)問(wèn)者訪(fǎng)問(wèn)時(shí)候的屬性數(shù)值，可以得出訪(fǎng)問(wèn)者的訪(fǎng)問(wèn)加權(quán)權(quán)限值。

首先，對(duì)各個(gè)部門(mén)（自治域）不同的訪(fǎng)問(wèn)等級(jí)角色權(quán)限A～E 分別計(jì)算相應(yīng)的“屬性-等級(jí)”的權(quán)重，從而得出每一個(gè)訪(fǎng)問(wèn)權(quán)限等級(jí)對(duì)應(yīng)權(quán)限的權(quán)重。此處，m表示所有屬性的數(shù)量，n表示所有角色的等級(jí)數(shù)量。

然后，通過(guò)上面計(jì)算得出的部門(mén)等級(jí)的權(quán)重值作為一種屬性再次計(jì)算，計(jì)算出“屬性-部門(mén)”之間的權(quán)重，此處的m表示所有訪(fǎng)問(wèn)者所屬部門(mén)（自治域）的數(shù)量，n表示參考的屬性數(shù)量，其中角色等級(jí)的權(quán)重值即為上面第一次的計(jì)算結(jié)果。

對(duì)于數(shù)據(jù)貢獻(xiàn)者，規(guī)定其對(duì)數(shù)據(jù)文件的設(shè)定權(quán)限值的加權(quán)系數(shù)，由系統(tǒng)對(duì)各個(gè)屬性計(jì)算進(jìn)行配置，從而在數(shù)據(jù)貢獻(xiàn)者設(shè)定屬性權(quán)限后計(jì)算訪(fǎng)問(wèn)權(quán)限最小值。當(dāng)某個(gè)訪(fǎng)問(wèn)者的訪(fǎng)問(wèn)加權(quán)權(quán)限值不低于數(shù)據(jù)貢獻(xiàn)者設(shè)置的客體資源的訪(fǎng)問(wèn)權(quán)限的加權(quán)數(shù)值時(shí)，就可以獲得訪(fǎng)問(wèn)的機(jī)會(huì)。

對(duì)于個(gè)人數(shù)據(jù)訪(fǎng)問(wèn)者，同樣使用系統(tǒng)設(shè)定的默認(rèn)權(quán)重進(jìn)行處理。當(dāng)數(shù)據(jù)訪(fǎng)問(wèn)者所在部門(mén)（自治域）的某一行為或者信譽(yù)等有所降低時(shí)，便直接影響部門(mén)內(nèi)部分用戶(hù)的使用，因此也同樣能夠激勵(lì)數(shù)據(jù)訪(fǎng)問(wèn)者保持良好的行為和信譽(yù)。

OAMBRA 方法引入變異系數(shù)權(quán)重法，通過(guò)數(shù)值加權(quán)計(jì)算后，直接對(duì)數(shù)值數(shù)據(jù)進(jìn)行比較，省去了策略檢索匹配的所需的時(shí)間，雖然在管理的規(guī)則上OAMBRAC 比不上RBAC-A 的多元化的組合靈活，但是在很多較為復(fù)雜的應(yīng)用場(chǎng)景，能夠在很大程度上優(yōu)化訪(fǎng)問(wèn)速度，節(jié)省管理成本，實(shí)現(xiàn)更高效的訪(fǎng)問(wèn)控制。

2.4 客體資源自身權(quán)限的訪(fǎng)問(wèn)控制

本文采用逆向篩選的方法實(shí)現(xiàn)數(shù)據(jù)貢獻(xiàn)者的個(gè)性化隱私保護(hù)。一般的訪(fǎng)問(wèn)控制都是主體去尋找客體的主動(dòng)過(guò)程，而OAMBRAC 的設(shè)計(jì)思想是，客體擁有者具有主管權(quán)限，能夠“主動(dòng)地”挑選數(shù)據(jù)訪(fǎng)問(wèn)者。這樣很大程度上保證了用戶(hù)對(duì)自身上傳數(shù)據(jù)隱私的控制。

在上傳數(shù)據(jù)文件之前，數(shù)據(jù)貢獻(xiàn)者設(shè)置了文件訪(fǎng)問(wèn)權(quán)限級(jí)別，基于該訪(fǎng)問(wèn)權(quán)限級(jí)別計(jì)算出其加權(quán)數(shù)值，即允許訪(fǎng)問(wèn)者獲取文件的最低加權(quán)數(shù)值，將該值存入文件中。

當(dāng)有訪(fǎng)問(wèn)申請(qǐng)時(shí)，對(duì)數(shù)據(jù)訪(fǎng)問(wèn)者的申請(qǐng)?jiān)L問(wèn)權(quán)限加權(quán)計(jì)算結(jié)果與數(shù)據(jù)庫(kù)中眾多已經(jīng)設(shè)置了被訪(fǎng)問(wèn)權(quán)限的文件計(jì)算出的加權(quán)權(quán)限值進(jìn)行對(duì)比，篩選出滿(mǎn)足數(shù)據(jù)訪(fǎng)問(wèn)者訪(fǎng)問(wèn)權(quán)限的數(shù)據(jù)文件。

如圖6 所示，描述該部分功能架構(gòu)資源訪(fǎng)問(wèn)信息流如下。圖6 中的數(shù)字標(biāo)簽指代步驟編號(hào)，第三部分的功能架構(gòu)的資源訪(fǎng)問(wèn)信息流如下:

圖6 OAMBRAC第三部分功能架構(gòu)示意圖Fig.6 Schematic diagram of functional architecture of OAMBRAC’s third part

①數(shù)據(jù)貢獻(xiàn)者設(shè)置需要上傳的數(shù)據(jù)可訪(fǎng)問(wèn)的最低權(quán)限值，計(jì)算出加權(quán)權(quán)限值后寫(xiě)入文件中，再把數(shù)據(jù)上傳到客體庫(kù)（Object Library，OL）中；

②接收來(lái)自第二部分的數(shù)據(jù)訪(fǎng)問(wèn)者的加權(quán)權(quán)限值，并也傳入客體庫(kù)OL中；

③客體庫(kù)依照數(shù)據(jù)貢獻(xiàn)者設(shè)定的權(quán)限閾值，對(duì)庫(kù)進(jìn)行查詢(xún)篩選，把滿(mǎn)足訪(fǎng)問(wèn)者權(quán)限的相關(guān)客體數(shù)據(jù)傳給第二部分的客體訪(fǎng)問(wèn)點(diǎn)（Object Access Point，OAP）。

2.5 方案的安全性分析

OAMBRAC 方案分別實(shí)現(xiàn)了對(duì)跨域數(shù)據(jù)訪(fǎng)問(wèn)者的訪(fǎng)問(wèn)控制與授權(quán)、數(shù)據(jù)訪(fǎng)問(wèn)者對(duì)客體資源的請(qǐng)求訪(fǎng)問(wèn)控制、對(duì)客體資源權(quán)限的訪(fǎng)問(wèn)控制。

1）由于系統(tǒng)在對(duì)外部訪(fǎng)問(wèn)控制是采用以屬性為中心的RBAC-A 訪(fǎng)問(wèn)控制，把用戶(hù)的角色作為一種屬性，來(lái)表達(dá)用戶(hù)的一種權(quán)限。對(duì)各個(gè)不同機(jī)構(gòu)、不同類(lèi)別的跨域數(shù)據(jù)訪(fǎng)問(wèn)者，首先其授權(quán)操作由所在機(jī)構(gòu)系統(tǒng)的訪(fǎng)問(wèn)控制系統(tǒng)完成授權(quán)，然后OAMBRAC 系統(tǒng)為他們提供統(tǒng)一的外部接口，在統(tǒng)一外部接口處對(duì)其所擁有的權(quán)限通過(guò)EAC 部分進(jìn)行轉(zhuǎn)化表示，轉(zhuǎn)入等級(jí)授權(quán)表LMT中，對(duì)用戶(hù)的屬性值進(jìn)行權(quán)限ID 比對(duì)與分配，實(shí)現(xiàn)了對(duì)跨域訪(fǎng)問(wèn)者的訪(fǎng)問(wèn)控制。即OAMBRAC 方案對(duì)跨域數(shù)據(jù)訪(fǎng)問(wèn)者實(shí)現(xiàn)了有效的訪(fǎng)問(wèn)控制與授權(quán)。

2）對(duì)跨域訪(fǎng)問(wèn)者獲得權(quán)限并進(jìn)行轉(zhuǎn)化表示，轉(zhuǎn)入等級(jí)授權(quán)表LMT中之后，AEP發(fā)送訪(fǎng)問(wèn)者的查詢(xún)給AAP，根據(jù)AIP檢索與該用戶(hù)請(qǐng)求有關(guān)的授權(quán)信息，獲得仲裁訪(fǎng)問(wèn)請(qǐng)求所必需的其他詳細(xì)信息，返回給AEP，AEP 將個(gè)人訪(fǎng)問(wèn)請(qǐng)求提交給ADP 進(jìn)行裁決。通過(guò)強(qiáng)制執(zhí)行ADP 所提供的有關(guān)訪(fǎng)問(wèn)請(qǐng)求的訪(fǎng)問(wèn)決定來(lái)執(zhí)行訪(fǎng)問(wèn)控制的功能實(shí)體，完成了將客體資源授權(quán)予訪(fǎng)問(wèn)者。這個(gè)過(guò)程采用了基于權(quán)重加權(quán)的匹配機(jī)制，即二重變異系數(shù)權(quán)重賦值法，當(dāng)某個(gè)訪(fǎng)問(wèn)者的訪(fǎng)問(wèn)加權(quán)權(quán)限值不低于數(shù)據(jù)貢獻(xiàn)者設(shè)置的客體資源的訪(fǎng)問(wèn)權(quán)限的加權(quán)數(shù)值時(shí)，才可以獲得訪(fǎng)問(wèn)權(quán)限。即OAMBRAC 方案實(shí)現(xiàn)了對(duì)數(shù)據(jù)訪(fǎng)問(wèn)者請(qǐng)求客體資源時(shí)有效的訪(fǎng)問(wèn)控制。

3）OAMBRAC 方案對(duì)客體資源權(quán)限的訪(fǎng)問(wèn)控制方面，數(shù)據(jù)貢獻(xiàn)者在上傳數(shù)據(jù)文件之前，就設(shè)置了文件訪(fǎng)問(wèn)權(quán)限級(jí)別，基于該訪(fǎng)問(wèn)權(quán)限級(jí)別計(jì)算出其加權(quán)數(shù)值，即允許訪(fǎng)問(wèn)者獲取文件的最低加權(quán)數(shù)值。當(dāng)有訪(fǎng)問(wèn)申請(qǐng)時(shí)，OAMBRAC 對(duì)數(shù)據(jù)訪(fǎng)問(wèn)者的申請(qǐng)?jiān)L問(wèn)權(quán)限進(jìn)行加權(quán)計(jì)算，將其結(jié)果與數(shù)據(jù)庫(kù)中被訪(fǎng)問(wèn)權(quán)限的文件計(jì)算出的加權(quán)權(quán)限值進(jìn)行對(duì)比，只有滿(mǎn)足數(shù)據(jù)訪(fǎng)問(wèn)者訪(fǎng)問(wèn)權(quán)限的數(shù)據(jù)文件才授予訪(fǎng)問(wèn)者。即OAMBRAC方案對(duì)客體資源權(quán)限的訪(fǎng)問(wèn)控制與合法授權(quán)。

3 實(shí)驗(yàn)與結(jié)果分析

3.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)的環(huán)境為:主頻2.50 GHz 的4 核CPU，16 GB 內(nèi)存，4 TB 硬盤(pán)；實(shí)驗(yàn)的軟件采用CloudSim 仿真平臺(tái)，實(shí)驗(yàn)的數(shù)據(jù)集通過(guò)編寫(xiě)2 000條數(shù)據(jù)訪(fǎng)問(wèn)者的訪(fǎng)問(wèn)請(qǐng)求以及4 000條數(shù)據(jù)貢獻(xiàn)者貢獻(xiàn)的數(shù)據(jù)進(jìn)行實(shí)驗(yàn)。

實(shí)驗(yàn)中，數(shù)據(jù)貢獻(xiàn)者的數(shù)據(jù)為個(gè)人心率數(shù)據(jù)，選取的心率數(shù)據(jù)取值范圍限制在每分鐘40～130次。

數(shù)據(jù)訪(fǎng)問(wèn)者的屬性選取六種屬性:時(shí)間、地點(diǎn)、身份、目的、操作以及信譽(yù)。例如:某數(shù)據(jù)訪(fǎng)問(wèn)者的屬性數(shù)據(jù)為〈24，GZ，3，KY，R，1〉，即表示為他的申請(qǐng)數(shù)據(jù)使用時(shí)間為24 h，所在地為廣州，身份等級(jí)為3 級(jí)，使用目的為科研，進(jìn)行的操作為讀操作，信譽(yù)為1。所有的這些屬性值均會(huì)被經(jīng)過(guò)各自對(duì)應(yīng)的等級(jí)量化表處理以及歸一化處理為0～1 的數(shù)值，用以進(jìn)行加權(quán)權(quán)限值計(jì)算。

3.2 數(shù)據(jù)分析

1）訪(fǎng)問(wèn)成功率實(shí)驗(yàn)。

OAMBRAC 模型實(shí)驗(yàn)中，系統(tǒng)中云端存儲(chǔ)有2 000 條數(shù)據(jù)貢獻(xiàn)者所貢獻(xiàn)的數(shù)據(jù)，實(shí)驗(yàn)采用200 條數(shù)據(jù)訪(fǎng)問(wèn)者的訪(fǎng)問(wèn)請(qǐng)求，對(duì)云端數(shù)據(jù)進(jìn)行10次訪(fǎng)問(wèn)，如圖7描述了檢測(cè)匹配的成功率?？梢钥闯觯罱K的訪(fǎng)問(wèn)成功率并不是1，原因是其中一些數(shù)據(jù)訪(fǎng)問(wèn)者存在惡意行為、權(quán)限不足（包括被降級(jí)等），或者是沒(méi)有匹配資源等情況導(dǎo)致的；初始時(shí)訪(fǎng)問(wèn)成功率較高，是由于個(gè)體重復(fù)訪(fǎng)問(wèn)次數(shù)較少，對(duì)惡意行為、訪(fǎng)問(wèn)降級(jí)等行為的判斷依據(jù)不足，從而訪(fǎng)問(wèn)失敗的用戶(hù)較少，成功率較高，并有一定的波動(dòng)性；但隨著訪(fǎng)問(wèn)次數(shù)的增多，對(duì)惡意行為、權(quán)限不足行為等的判斷基準(zhǔn)趨于穩(wěn)定，檢測(cè)能力越來(lái)越強(qiáng)，成功率便緩步下降到一個(gè)較為平穩(wěn)的水平。通過(guò)實(shí)驗(yàn)有效地驗(yàn)證了所提出訪(fǎng)問(wèn)控制的可行性。

圖7 數(shù)據(jù)訪(fǎng)問(wèn)者訪(fǎng)問(wèn)請(qǐng)求的成功率Fig.7 Success rate of data visitor access requests

2）變異系數(shù)加權(quán)對(duì)比實(shí)驗(yàn)。

為了避免因策略量的激增而導(dǎo)致效率的降低，在對(duì)用戶(hù)屬性值的處理上，提出了變異系數(shù)加權(quán)的方法用以直接計(jì)算各屬性的加權(quán)值。實(shí)驗(yàn)選取五個(gè)部門(mén)（自治域）各200 份的數(shù)據(jù)訪(fǎng)問(wèn)者屬性值，計(jì)算出每個(gè)訪(fǎng)問(wèn)者的各屬性權(quán)重以及各訪(fǎng)問(wèn)者最終的加權(quán)權(quán)限值；為了均勻采樣，不同級(jí)別的角色權(quán)限分別取40 人，個(gè)人用戶(hù)則直接采用系統(tǒng)設(shè)定的權(quán)重值，將屬性約束在相同的種類(lèi)中以便進(jìn)行對(duì)比；選取50 份數(shù)據(jù)貢獻(xiàn)者貢獻(xiàn)的數(shù)據(jù)（包含較高權(quán)限設(shè)定、中等權(quán)限設(shè)定、較低權(quán)限設(shè)定以及最低權(quán)限設(shè)定），并依據(jù)系統(tǒng)設(shè)定的參考加權(quán)系數(shù)計(jì)算出客體資源的訪(fǎng)問(wèn)權(quán)限閾值，用以實(shí)驗(yàn)變異系數(shù)加權(quán)后對(duì)訪(fǎng)問(wèn)數(shù)據(jù)成功率的影響，實(shí)驗(yàn)結(jié)果如圖8 所示。從圖8 可以看出，機(jī)構(gòu)所擁有的各個(gè)屬性的值越高，其訪(fǎng)問(wèn)成功率也越高，但是當(dāng)機(jī)構(gòu)的屬性值所處水平不高時(shí)，經(jīng)過(guò)變異系數(shù)加權(quán)處理后反而會(huì)降低匹配率，而個(gè)人用戶(hù)由于直接使用與數(shù)據(jù)貢獻(xiàn)者設(shè)置權(quán)限相同的加權(quán)系數(shù)，其匹配率反而較機(jī)構(gòu)更高；為了更好地調(diào)節(jié)訪(fǎng)問(wèn)匹配的合理性，可以通過(guò)對(duì)系統(tǒng)設(shè)定的默認(rèn)權(quán)限加權(quán)系數(shù)進(jìn)行不定期的糾正與更新，使得加權(quán)結(jié)果更加可靠。

圖8 變異系數(shù)加權(quán)對(duì)訪(fǎng)問(wèn)成功率的影響Fig.8 Influence of variation coefficient weighting on access success rate

3）訪(fǎng)問(wèn)時(shí)間對(duì)比實(shí)驗(yàn)。

相較于RBAC-A，本文的OAMBRAC 取消了以屬性為中心的RBAC-A 中策略規(guī)則匹配的過(guò)程，采用已知屬性的加權(quán)匹配，并把數(shù)據(jù)貢獻(xiàn)者對(duì)數(shù)據(jù)文件設(shè)定的加權(quán)權(quán)限值定為數(shù)據(jù)訪(fǎng)問(wèn)者被允許訪(fǎng)問(wèn)的閾值。實(shí)驗(yàn)選取了4 000 條數(shù)據(jù)貢獻(xiàn)者共享的數(shù)據(jù)，2 000 條數(shù)據(jù)訪(fǎng)問(wèn)者的訪(fǎng)問(wèn)請(qǐng)求；同時(shí)編寫(xiě)同樣屬性數(shù)目（用以模擬數(shù)據(jù)訪(fǎng)問(wèn)者的自身不同屬性的情況）的訪(fǎng)問(wèn)控制策略規(guī)則（每條策略包含數(shù)個(gè)到數(shù)十個(gè)不等的屬性謂詞對(duì)）用于以屬性為中心的RBAC-A的訪(fǎng)問(wèn)控制中。

如圖9 展示了OAMBRAC 與RBAC-A 訪(fǎng)問(wèn)時(shí)間消耗的對(duì)比。實(shí)驗(yàn)數(shù)據(jù)表明:初始時(shí)，由于用戶(hù)請(qǐng)求量較少，基于RBAC-A 訪(fǎng)問(wèn)策略數(shù)也較少，其策略的匹配時(shí)間相較于需要進(jìn)行加權(quán)計(jì)算和文件篩選排序的OAMBRAC 的時(shí)間消耗更少；但是隨著訪(fǎng)問(wèn)用戶(hù)的不斷增加，基于RBAC-A 需要匹配的策略規(guī)則的條數(shù)不斷增多，RBAC-A 的請(qǐng)求決策匹配時(shí)間消耗也隨之變長(zhǎng)，而OAMBRAC 的請(qǐng)求決策時(shí)間則更少且穩(wěn)定，在一定時(shí)間之后，OAMBRAC 的時(shí)間消耗比RBAC-A 更少。由此可見(jiàn)，OAMBRAC 訪(fǎng)問(wèn)控制方法在用戶(hù)訪(fǎng)問(wèn)數(shù)量較大的環(huán)境下相較傳統(tǒng)的訪(fǎng)問(wèn)控制方法能夠?qū)崿F(xiàn)更高的決策效率。

圖9 決策時(shí)間消耗與策略規(guī)則數(shù)目的關(guān)系Fig.9 Relationship between decision time consumption and number of policy rules

4 結(jié)語(yǔ)

本文結(jié)合了基于角色訪(fǎng)問(wèn)控制與基于屬性訪(fǎng)問(wèn)控制，采用權(quán)限數(shù)值化計(jì)算的方式，提出了一種基于客體屬性匹配的逆向混合訪(fǎng)問(wèn)控制方法OAMBRAC，該方法基于下一代訪(fǎng)問(wèn)控制NGAC 的體系結(jié)構(gòu)進(jìn)行設(shè)計(jì)，便于在云計(jì)算場(chǎng)景中安全地進(jìn)行數(shù)據(jù)共享與數(shù)據(jù)挖掘。該方法還實(shí)現(xiàn)了對(duì)訪(fǎng)問(wèn)控制功能的完善，通過(guò)對(duì)數(shù)據(jù)貢獻(xiàn)者和數(shù)據(jù)訪(fǎng)問(wèn)者之間的屬性權(quán)限值進(jìn)行匹配的方法來(lái)實(shí)現(xiàn)更可靠的訪(fǎng)問(wèn)控制管理。為了實(shí)現(xiàn)訪(fǎng)問(wèn)者身份和相關(guān)隱私信息的包含，下一步將研究匿名可溯源的逆向混合訪(fǎng)問(wèn)控制方案。