◆黎佳

（廣東科學技術(shù)職業(yè)學院 廣東 519000）

在開放的云計算系統(tǒng)中，如何約束參與者行為是一個很困難的問題，動態(tài)用戶信任度的屬性訪問控制顯得尤為重要。云計算平臺應(yīng)該鼓勵良好行為，并及時阻止惡意行為，避免惡意行為產(chǎn)生的安全風險，云計算信用度模型目前被研究人員廣泛研究，在開放的互聯(lián)網(wǎng)環(huán)境下，如云計算、網(wǎng)上金融交易、電子商務(wù)市場等得到了廣泛的應(yīng)用[1]。在訪問控制系統(tǒng)中，主體是一個活躍的實體，通常以人、進程或設(shè)備的形式存在，它可以對系統(tǒng)執(zhí)行操作，使信息在對象之間流動，從而改變系統(tǒng)的狀態(tài)。

1 不同安全策略的訪問控制模型

授權(quán)系統(tǒng)技術(shù)的存在已經(jīng)存在了幾十年，技術(shù)從簡單到復雜，從理論到實踐，經(jīng)歷了巨大的變化。由于不同安全策略的需求差異，下面討論了不同的訪問安全模型。

1.1 任意訪問控制模型

任意訪問控制模型是一種以用戶為中心的常規(guī)訪問控制模型，它允許通過用戶的身份和授權(quán)給對象的信息來限制存儲在對象中的信息。任意訪問控制模型通常比其他訪問控制模型提供更少的安全性，因此，在更高級別的安全性的環(huán)境中使用，而不是主要的擔憂。任意訪問控制模型容易被利用，以其已知的可訪問性而不是其他模型。該模型應(yīng)用于各種操作系統(tǒng)，如UNIX 和基于Windows 的平臺。任意訪問控制是自由裁量的，因為對象的所有者負責管理訪問權(quán)限。此外，可以使用基于身份的訪問控制矩陣（ACM）實現(xiàn)任意訪問控制模型。

1.2 強制訪問控制模型

強制訪問控制是傳統(tǒng)的降低用戶訪問權(quán)限的模式。在強制訪問控制中，一個至高無上的權(quán)威負責對受試者的訪問分辨率，請求訪問對象。與任意訪問控制模型不同，強制訪問控制模型控制了信息的移動，因為它攔截了從一個用戶到另一個用戶的信息傳播。對于在對象之間的有效信息，強制訪問控制將一個訪問類分配給每個主題和對象。訪問類是一種安全級別，用于在對象和對象之間確保信息的安全性。根據(jù)信息的漏洞，安全標簽將被用來稱為對象分類，主體之間的相關(guān)性是安全級別，用來反映主體的可信度。強制訪問控制模型的基本原理是根據(jù)受試者的批準和對象的分類來控制訪問。強制訪問控制模型也可以被稱為多級訪問控制，因為級別越高，信息的一致性就越高，分類為非機密的、機密的、秘密的和絕密的。

1.3 基于角色的訪問控制模型

基于角色的訪問控制模型的出現(xiàn)，被認為是一種控制不同資源獲取的自然方式?；诮巧脑L問控制模型以及基于角色和權(quán)限擴展訪問權(quán)限，擁有大量用戶和權(quán)限的組織可以獲得管理安全性，為分配訪問權(quán)限提供了安全的環(huán)境?；诮巧脑L問控制提供了一種機制，用于降低向企業(yè)內(nèi)的用戶分配權(quán)限的復雜性和成本，其另一個基本特征是角色是分等級的，角色權(quán)限繼承自父本。

與任意訪問控制和強制訪問控制模型相比，基于角色的訪問控制模型有許多優(yōu)勢，但在云計算環(huán)境中使用基于角色的訪問控制之前，必須確保在合理的時間內(nèi)根據(jù)系統(tǒng)要求做出訪問決策。它不支持任務(wù)與角色的主動分離，因此提供了被動訪問控制模型。不支持動態(tài)激活特定任務(wù)的訪問權(quán)限，不包括時間和位置限制，以利用對系統(tǒng)文件的受限訪問，并最大限度減少信息泄漏的可能性。由于云計算的動態(tài)性和開放性，基于角色的訪問控制可能無法確保對云資源的安全訪問。

1.4 基于屬性的訪問控制模型

基于屬性的訪問控制依賴于分配給主體、對象和環(huán)境條件的一組屬性，還包括一組用于做出訪問決策的策略。具體來說，基于屬性的訪問控制允許基于系統(tǒng)中主體和對象的現(xiàn)有特征來創(chuàng)建訪問策略，與傳統(tǒng)的訪問控制模型不同，基于屬性的訪問控制不要求系統(tǒng)管理員手動管理角色、所有權(quán)或安全標簽，對象的屬性來自其元數(shù)據(jù)，屬性可以是用戶的位置、用戶的角色、用戶的年齡、出生日期或所有這些。一個屬性被測量為在系統(tǒng)中使用的不同值，并且在所有屬性的值和一組允許或拒絕訪問的策略之間進行比較。

1.5 基于信任度的訪問控制模型

基于信任度的訪問控制模型是一種依賴于主體信任度的訪問控制模型。對對象的訪問被認為是僅基于主體的信任度來提供的，不同的參數(shù)可以用來量化信任?？紤]主體的信任值，然后將其與閾值進行比較，如果發(fā)現(xiàn)超過閾值，則授權(quán)訪問，否則拒絕訪問。

2 云計算下的訪問控制

云計算作為一個動態(tài)和開放的環(huán)境，需要一個高度密集的訪問控制系統(tǒng)來防止非法用戶訪問云資源，如圖1所示。這樣的訪問控制系統(tǒng)應(yīng)該能夠處理云用戶的動態(tài)和隨機行為[2]。傳統(tǒng)的訪問控制模型可能無法滿足云計算環(huán)境的所有安全要求。正因為如此，云計算環(huán)境中的傳統(tǒng)訪問控制模型會遇到一些關(guān)鍵問題，如異構(gòu)性、服務(wù)多樣性、屬性管理缺乏靈活性、互操作性、能力委托、策略管理和可擴展性[3]。云計算是一個開放的共享環(huán)境，本質(zhì)上是可擴展的，云計算中的敏感信息更有可能在不同的實體之間共享，需要魯棒的隔離和高效的訪問控制機制。傳統(tǒng)的訪問控制模型無法承受云用戶的動態(tài)和隨機行為，現(xiàn)有的解決方案可能無助于解決問題，因為它們可能專注于特定平臺或環(huán)境中的特定問題。新的訪問控制系統(tǒng)可以從零開始提出、設(shè)計和開發(fā)，或者實踐各種各樣的現(xiàn)有模型和技術(shù)來組成一個訪問控制系統(tǒng)，以滿足有效和高效的云環(huán)境的需求。

圖1 云計算環(huán)境下的訪問控制系統(tǒng)

基于屬性的訪問控制適用于高度分布式的動態(tài)環(huán)境，由于訪問控制策略的規(guī)范和維護，它具有很高的復雜性。事實上大型開放分布式系統(tǒng)需要大量的用戶、屬性和策略，這使得管理如此大量的策略（即策略挖掘和策略工程）變得非常困難。類似地，在基于屬性的訪問控制系統(tǒng)中，包含多個屬性源，會導致由于評估屬性的信任價值和確保不同的屬性源使用相同命名空間和數(shù)據(jù)類型的兼容屬性作為公共屬性而可能出現(xiàn)的困難。對基于屬性的訪問控制系統(tǒng)的分析，需要考慮所有可能的單個屬性和相應(yīng)值的組合，因此會導致存儲問題。主體需要向系統(tǒng)認證其身份，然后向系統(tǒng)提供必要的屬性，以便訪問云資源。

3 實驗結(jié)果

為了實現(xiàn)和評估所提出的模型，設(shè)計了一個基于Web 的應(yīng)用程序來說明。假設(shè)應(yīng)用程序和數(shù)據(jù)等資源存儲在云資源上，最初使用不同的信任參數(shù)來評估經(jīng)過身份驗證的用戶的行為，并且根據(jù)0 到1范圍內(nèi)的總信任值，授予或拒絕對資源的訪問。在注冊時，用戶的初始信任值被分配為0.5 作為靜態(tài)值，該靜態(tài)值隨后根據(jù)用戶在系統(tǒng)中的行為而改變，角色和任務(wù)被分配給用戶，并按照執(zhí)行分配的任務(wù)所需的權(quán)限數(shù)量進行分組。其中多個用戶向系統(tǒng)注冊，并且對于與系統(tǒng)的每次交互，用戶行為被量化。

4 總結(jié)

該模型采用角色和任務(wù)的概念，從具有實時安全管理的任務(wù)的角度建立動態(tài)訪問控制模型。這項工作的新穎之處在于，所提出的授權(quán)模型促進了角色、任務(wù)和信任計算的原則，以實現(xiàn)訪問控制策略，從而確保只有授權(quán)用戶才被允許訪問云資源，信任計算被認為是實踐當前和過去經(jīng)驗的可測量的東西，以做出準確的決策。在所提出的方案中，引入了信任的概念，它驅(qū)動高效的決策，并在用戶和云資源之間建立可靠的關(guān)系。所提出的系統(tǒng)基于用戶信任值以及權(quán)限、任務(wù)和角色的分配來提供對云數(shù)據(jù)和資源的訪問，在云計算環(huán)境下形成動態(tài)授權(quán)模式。