王金威

(閩南理工學(xué)院，福建 泉州 362700)

在傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用模式中，隨著終端用戶系統(tǒng)資源的豐富和網(wǎng)絡(luò)帶寬的迅速增加，服務(wù)器單點(diǎn)失效的問題影響終端系統(tǒng)資源的利用率[1-2]。而信息技術(shù)在協(xié)同工作、分布式信息以及資源共享資源等方面顯示出的獨(dú)特優(yōu)勢，使其成為全新的發(fā)展熱點(diǎn)，同時網(wǎng)絡(luò)信息安全訪問控制也成為當(dāng)前研究的熱點(diǎn)話題。相關(guān)專家針對該方面進(jìn)行了大量的研究，如王海勇等人在區(qū)塊鏈環(huán)境下，根據(jù)用戶信用度設(shè)計(jì)了信息訪問控制模型[3]。該模型首先將訪問控制策略保存于區(qū)塊鏈中，然后再評估用戶信用度的基礎(chǔ)上獲取對應(yīng)角色的訪問權(quán)限。當(dāng)用戶信用度達(dá)到閾值時，賦予該用戶訪問權(quán)限。賈政民通過優(yōu)化CP-ABE算法來控制數(shù)據(jù)的安全訪問過程，該模型將文件按不同的訪問權(quán)限進(jìn)行分級，然后通過整合多個權(quán)限模型結(jié)構(gòu)實(shí)現(xiàn)密文分享，再利用權(quán)限模型控制存儲密文[4]。以上兩種模型雖然取得了較為顯著的研究成果，由于未能對網(wǎng)絡(luò)信息進(jìn)行預(yù)處理，導(dǎo)致網(wǎng)絡(luò)信息安全訪問控制偏差以及延時上升，網(wǎng)絡(luò)信息利用率下降。國外的研究學(xué)者也對訪問控制模型展開了研究。Aftab M U等中設(shè)計(jì)了一種動態(tài)COI混合訪問控制模型，在設(shè)置用戶授權(quán)限制機(jī)制的基礎(chǔ)上，利用動態(tài)COI避免控制過程的過度和管理過載問題[5]。Lobo J等設(shè)計(jì)了一種基于關(guān)系的訪問控制模型，在分析網(wǎng)絡(luò)信息基本概念的基礎(chǔ)上劃分其所屬類別，然后根據(jù)訪客歷史查詢信息與網(wǎng)絡(luò)信息間的關(guān)系及其信任值設(shè)計(jì)控制模型[6]。然而在實(shí)際應(yīng)用中發(fā)現(xiàn)上述兩種模型存在執(zhí)行延遲較長的弊端。

IPv6環(huán)境既能夠克服IPv4環(huán)境中網(wǎng)絡(luò)地址資源短缺的不足，也能夠有效避免多設(shè)備的接入障礙。因此，針對上述問題，本研究基于IPv6環(huán)境設(shè)計(jì)了一種新的網(wǎng)絡(luò)信息安全訪問控制模型。

1 模型設(shè)計(jì)

與IPv4協(xié)議相比，IPv6協(xié)議中增加了“任播地址”，能夠支持組播功能的實(shí)現(xiàn)。因此，在設(shè)計(jì)網(wǎng)絡(luò)信息安全訪問控制模型時，為達(dá)到更好的控制效果，本研究在建立網(wǎng)絡(luò)信息安全訪問控制模型之前，設(shè)計(jì)了網(wǎng)絡(luò)信息預(yù)處理過程，通過預(yù)處理結(jié)果判斷信息的不同特征，從而實(shí)現(xiàn)更有針對性的安全訪問控制。

1.1 網(wǎng)絡(luò)信息選擇與預(yù)處理

本文在設(shè)計(jì)訪問控制模型前提取了網(wǎng)絡(luò)信息的特征，實(shí)現(xiàn)對網(wǎng)絡(luò)信息的預(yù)處理。

1.1.1 網(wǎng)絡(luò)信息特征選擇

特征選取的主要目的是選取最優(yōu)特征子集，這些子集組建的分類模型具有可理解性。特征選擇算法是通過一種有效的手段獲取高相關(guān)特性用于數(shù)據(jù)降維。基本的特征選擇框架如圖1所示。

圖1 特征選擇流程圖

圖1中主要包含以下四個部分。

(1)子集形成：子集的過程就是特征子集的搜索策略，形成的候選特征子集將會被送入到評價函數(shù)中；

(2)評價函數(shù)：利用某種評價準(zhǔn)則對輸入的特征子集進(jìn)行評判，其中通過既定的評判準(zhǔn)則對特征子集進(jìn)行更新[5-6]；

(3)停止準(zhǔn)則：通常和評價函數(shù)存在關(guān)聯(lián)，主要包含一個閾值，停止搜索的條件就是評價函數(shù)滿足閾值[7]；

(4)結(jié)果驗(yàn)證：驗(yàn)證最終獲取的特征子集是否有效。

假設(shè)特征選擇的過程中的自變量為X、因變量為Y，F(xiàn)i代表相關(guān)特征，其計(jì)算式如式(1)所示。

SFi=P(X|S)+P(Y|S)

(1)

其中，S表示特征集中的變量總數(shù)。當(dāng)特征Fi滿足公式(1)的要求時，說明特征Fi是相關(guān)的，在其他情況下，則認(rèn)定Fi是不相關(guān)的。并且從上述過程中能夠看出，被認(rèn)定的相關(guān)特征主要包含兩個方面的因素[8-9]：①特征Fi和類標(biāo)簽之間存在緊密關(guān)聯(lián)；②當(dāng)特征Fi和其他特征共同組成特征子集，則說明特征子集和類標(biāo)簽之間存在緊密關(guān)聯(lián)。

網(wǎng)絡(luò)信息的冗余特征能夠表示為式(2)的形式，即：

(2)

在此基礎(chǔ)上，將網(wǎng)絡(luò)信息進(jìn)行過濾的主要目的是獲取獨(dú)立的判定準(zhǔn)則，同時不考慮各個特征間的相關(guān)性[10]，采用某種準(zhǔn)則獲取最優(yōu)特征子集將其應(yīng)用于學(xué)習(xí)算法的輸入，具體結(jié)構(gòu)如圖2所示。

圖2 ReliefF特征選擇流程圖

1.1.2 網(wǎng)絡(luò)信息預(yù)處理

過濾式特征選擇方法最大的優(yōu)勢就是能夠以最快的速度降低噪聲對搜索特征子集產(chǎn)生的影響，同時加快高維數(shù)據(jù)處理方式，提升計(jì)算速率。為了簡化數(shù)據(jù)降維過程，以下給出數(shù)據(jù)降維的具體操作步驟。

(3)

協(xié)方差矩陣能夠表示為式(4)的形式。

C=E{[xi-E(xi)][xi-1-E(xi-1)]}

(4)

其中，E(xi)、E(xi-1)均為期望值。任意取a∈CN×N，那么a為協(xié)方差矩陣中N維線性空間V中某次線性變化k的基矩陣，對C進(jìn)行對角化處理，存在式(5)所示關(guān)系。

C=V∧Vk

(5)

令d表示協(xié)方差矩陣C的秩，則存在rank(C)=d；若半正定矩陣含有非零特征值，其數(shù)量為k，則存在λ1,λ2,…,λk。在此基礎(chǔ)上，以前k個特征特征向量為對象[11-12]，構(gòu)建特征向量矩陣如式(6)所示。

V={v1,v2,…,vk}

(6)

如果觀測數(shù)據(jù)是由多個獨(dú)立數(shù)據(jù)組成的，其可表示為式(7)的形式。

r=vk+Ar0

(7)

式(7)中，r代表觀測數(shù)據(jù)；A代表未知的混合矩陣；r0代表獲取的初始信號。

設(shè)定ρi代表信號源分布對應(yīng)的密度函數(shù)，以此為依據(jù)獲取如下的聯(lián)合分布函數(shù)，如式(8)所示。

(8)

由于不同的信號源不存在依存關(guān)系，因此，假設(shè)W為A的偽逆矩陣，獲取信號r的聯(lián)合分布函數(shù)如式(9)所示。

(9)

結(jié)合概率學(xué)理論可知，對于隨機(jī)變量來說，其累積分布函數(shù)如式(10)所示。

(10)

其中，z0表示z的初始值。在上述分析的基礎(chǔ)上，當(dāng)網(wǎng)絡(luò)信息依次經(jīng)過主成分分析和獨(dú)立成分分析降維后可以有效完成預(yù)處理。

1.2 建立網(wǎng)絡(luò)信息安全訪問控制模型

基于上述處理后的網(wǎng)絡(luò)信息，在IPv6的網(wǎng)絡(luò)環(huán)境中，需要確保提出的請求和提供的服務(wù)都具有較高的匿名性以及動態(tài)性，要求訪問控制系統(tǒng)能夠動態(tài)適應(yīng)這種變化，通過網(wǎng)絡(luò)的動態(tài)變化即可給出對應(yīng)的訪問控制策略。

在復(fù)雜的網(wǎng)絡(luò)系統(tǒng)中，信任機(jī)制能夠保障不同實(shí)體間的信息交互，同時也能夠?qū)⑿湃味茸鳛樵L問控制策略一部分，根據(jù)實(shí)體的歷史行為不斷調(diào)整信任度[13]。因此，本研究引入信任值以及上下文約束概念構(gòu)建訪問控制模型。與傳統(tǒng)控制模型不同的是，本研究設(shè)計(jì)的控制模型在主體與客體之間增加了角色層，從而形成一個應(yīng)用了RBCA角色權(quán)限控制的模型，其具體結(jié)構(gòu)如圖3所示。

圖3 本文模型和傳統(tǒng)訪問控制模型兩者的對比

標(biāo)準(zhǔn)的RBCA角色權(quán)限控制模型主要由主體、角色層、資源以及訪問請求四個部分組成，它在傳統(tǒng)模型的基礎(chǔ)上加入了角色層次的相關(guān)概念，定義了決策之間的繼承關(guān)系，同時也反映了職權(quán)間的線性關(guān)系，確保系統(tǒng)的保密級別。

角色的集成是通過角色訪問控制模型將全部角色組織起來，有效反映組織的特權(quán)以及職責(zé)機(jī)構(gòu)。在RBAC模型中，如果某用戶被委派到幾個本身就存在沖突的角色上，那么勢必會造成安全沖突。此時，靜態(tài)責(zé)任分離機(jī)制就會在賦予用戶角色時實(shí)施約束，從而有效避免安全沖突的產(chǎn)生。在具有角色層次的前提下，需要重新設(shè)定固態(tài)硬盤，并對其進(jìn)行靜態(tài)分離。

上述構(gòu)建控制模型主要具有以下兩方面的優(yōu)勢：

(1)其應(yīng)用了與策略不存在關(guān)聯(lián)的RBCA方位控制技術(shù)，且不局限于特性的安全策略，能夠描述全部的安全策略；

(2)RBCA模型具有自我管理能力，通過RABC模型能夠更好完成模型的管理工作。

在上述研究的基礎(chǔ)上，為了進(jìn)一步有效實(shí)現(xiàn)網(wǎng)絡(luò)信息安全訪問控制，本研究將上下文約束以及信任值同時引入到RBCA模型控制過程中，通過上下文信息確定用戶的身份以及使用權(quán)限，從而在RBCA模型中完成對網(wǎng)絡(luò)信息安全訪問控制模型的建立[14-15]。這一過程需要滿足以下的約束條件：

1)對各個實(shí)體之間的交互情況進(jìn)行監(jiān)控，同時將信任參數(shù)全部反映到授權(quán)過程中，當(dāng)資源請求點(diǎn)的信任度高于或者等于信任值閾值時，才能夠賦予其對應(yīng)的角色權(quán)限；

2)在動態(tài)方位控制的過程中需要采用信任參數(shù)，交互雙方能夠?qū)π湃螀?shù)提出要求，當(dāng)交互雙方的信任值高于或者等于信任值閾值時，才能夠進(jìn)行交易。這一過程中，用戶和角色間存在多對多的關(guān)系，用戶針對許可的執(zhí)行可以利用角色進(jìn)行聯(lián)系，進(jìn)而全面提升對網(wǎng)絡(luò)信息安全訪問控制。

上述過程中，角色和用戶兩者間的關(guān)系如圖4所示。

圖4 角色和用戶兩者的關(guān)系

綜上所述，完成了對基于IPv6環(huán)境的網(wǎng)絡(luò)信息安全訪問控制模型的構(gòu)建，具體流程如圖5所示。

圖5 模型構(gòu)建流程

2 仿真實(shí)驗(yàn)與結(jié)果分析

為驗(yàn)證基于IPv6環(huán)境的網(wǎng)絡(luò)信息安全訪問控制模型的綜合有效性，設(shè)計(jì)如下仿真實(shí)驗(yàn)。

2.1 仿真實(shí)驗(yàn)設(shè)計(jì)

選取Cora、PubMed、Citeseer三個數(shù)據(jù)集，主要使用Matlab格式進(jìn)行信息特征存儲，其中共計(jì)包含200個文檔集合以及10000個特征屬性和15個類別。實(shí)驗(yàn)在Windows 10系統(tǒng)中展開，電腦配置為I7-4210，內(nèi)存為24TB。

為避免實(shí)驗(yàn)結(jié)果過于單一，將文獻(xiàn)[3]模型、文獻(xiàn)[4]、文獻(xiàn)[5]模型作為對比方案，從網(wǎng)絡(luò)信息安全訪問控制延時、網(wǎng)絡(luò)信息利用率以及控制偏差3個角度，與本文模型共同完成性能驗(yàn)證。

2.2 結(jié)果與分析

2.2.1 網(wǎng)絡(luò)信息安全訪問控制延時分析

網(wǎng)絡(luò)信息安全訪問控制延時代表控制指令下達(dá)和執(zhí)行的效率，其能夠直接體現(xiàn)不同模型的有效性。因此，分別對比4種模型的網(wǎng)絡(luò)信息安全訪問控制延時，具體實(shí)驗(yàn)對比結(jié)果如圖6所示。

圖6 不同模型的網(wǎng)絡(luò)信息安全訪問控制延時對比結(jié)果

分析圖6中的實(shí)驗(yàn)數(shù)據(jù)可知，在測試樣本數(shù)量不斷增加的情況下，不同模型的網(wǎng)絡(luò)信息安全訪問控制延時也在不斷增加。但是本文模型的控制延時始終少于3種對比模型，其實(shí)驗(yàn)過程的最大值僅為4ms。這是因?yàn)楸疚哪Ｐ蛯W(wǎng)絡(luò)信息進(jìn)行降維處理，全面提升了數(shù)據(jù)的安全性，剔除存在安全隱患的信息，從而使得控制過程的延時得到有效降低，且明顯低于另外兩種傳統(tǒng)模型。

2.2.2 網(wǎng)絡(luò)信息利用率分析

網(wǎng)絡(luò)信息利用率是一項(xiàng)延伸性的指標(biāo)，可以根據(jù)模型對信息的利用率來反映模型處理完了信息的能力。因此，在接下來的實(shí)驗(yàn)對比階段，以網(wǎng)絡(luò)信息利用率為對象對不同模型展開性能測試，結(jié)果如表1所示。

表1 不同模型的網(wǎng)絡(luò)信息利用率對比結(jié)果

由表1可知，在實(shí)驗(yàn)次數(shù)不斷增加的情況下，本文所構(gòu)建模型的網(wǎng)絡(luò)信息利用率始終保持在96%～99%之間，一直處于相對穩(wěn)定的狀態(tài)，而3種文獻(xiàn)模型的網(wǎng)絡(luò)信息利用率則在不斷下降。產(chǎn)生這一結(jié)果主要是因?yàn)楸疚哪Ｐ驮谀Ｐ徒⑶捌?，對網(wǎng)絡(luò)信息進(jìn)行了預(yù)處理，通過PCA有效降低了信息維度，確保全部網(wǎng)絡(luò)信息的利用率得到大幅度提升。

2.2.3 控制偏差分析

控制偏差是一項(xiàng)直觀性的指標(biāo)，通過控制偏差的多少可以直接反映不同模型的控制效果?？刂破钤降?，則說明控制效果越好；反之，則說明控制結(jié)果不理想。因此，為了進(jìn)一步驗(yàn)證不同模型控制結(jié)果的優(yōu)劣，測試并對比4種控制模型的控制偏差，具體實(shí)驗(yàn)對比結(jié)果如圖7所示。

圖7 不同模型的控制偏差對比結(jié)果

分析圖7中的實(shí)驗(yàn)數(shù)據(jù)可知，與文獻(xiàn)[3]模型、文獻(xiàn)[4]模型以及文獻(xiàn)[5]模型相比，本文模型的控制偏差更小，始終保持在1.3%以下。這是因?yàn)楸疚哪Ｐ陀捎诩尤肓司W(wǎng)絡(luò)信息預(yù)處理操作，整體的控制偏差明顯更低一些，同時也驗(yàn)證了在本文模型中加入降維方法的正確性和可行性。

3 結(jié)論與展望

針對傳統(tǒng)模型存在的一系列問題，本研究提出并設(shè)計(jì)一種基于IPv6環(huán)境的網(wǎng)絡(luò)信息安全訪問控制模型。仿真實(shí)驗(yàn)結(jié)果表明，該模型能夠有效降低網(wǎng)絡(luò)信息安全訪問控制延時以及偏差，同時提升網(wǎng)絡(luò)信息利用率。

盡管本文模型增加了對網(wǎng)絡(luò)信息的預(yù)處理過程，并引入了信任值以及上下文約束概念構(gòu)建訪問控制模型，但預(yù)處理可以使網(wǎng)絡(luò)信息中的無效信息被剔除，且利用上下文約束概念在主體與客體之間增加了角色層，避免了用戶沖突，這也使得這些步驟不會對模型計(jì)算和存儲開銷造成較大影響。此外，相比于IPv4環(huán)境，IPv6環(huán)境的地址空間更大，支持組播和對流功能。本文模型可以很好地滿足在IPv6環(huán)境中使用要求，因此，也同樣適用于IPv4環(huán)境。

限于知識水平以及研究時間，本文模型仍然存在一定的不足，后續(xù)將重點(diǎn)針對以下幾方面的內(nèi)容展開深入研究。

(1)現(xiàn)有的信任機(jī)制還需要進(jìn)一步進(jìn)行完善，同時還應(yīng)該考慮在信息交互的過程中，要給予交互實(shí)體一定的獎勵，全面提升其信任度；

(2)進(jìn)一步提升網(wǎng)絡(luò)信息的安全性，同時確保得到的上下文信息真實(shí)性以及可靠性。