潘瑞杰，王高才，黃珩逸

(廣西大學(xué) 計(jì)算機(jī)與電子信息學(xué)院，廣西 南寧 530004)

0 引 言

隨著云計(jì)算應(yīng)用的迅速普及，云計(jì)算已經(jīng)滲透到金融、教育、醫(yī)療、交通等各個(gè)領(lǐng)域[1]。傳統(tǒng)訪問(wèn)控制，例如，強(qiáng)制訪問(wèn)控制(MAC)[2]、自由訪問(wèn)控制(DAC)和基于角色的訪問(wèn)控制(RBAC)已經(jīng)不再適用于動(dòng)態(tài)變化的訪問(wèn)場(chǎng)景，基于屬性的訪問(wèn)控制(ABAC)[3,4]因?yàn)榫哂屑?xì)粒度、匿名性和動(dòng)態(tài)適應(yīng)性而備受青睞。

有效的檢索ABAC策略對(duì)于實(shí)時(shí)響應(yīng)用戶(hù)的訪問(wèn)控制請(qǐng)求至關(guān)重要。文獻(xiàn)[5]提出了一種基于圖的XACML策略評(píng)估方法，該方法對(duì)匹配樹(shù)和合并樹(shù)這兩個(gè)策略評(píng)估數(shù)據(jù)結(jié)構(gòu)進(jìn)行優(yōu)化，該方法與傳統(tǒng)的策略檢索方法相比，確實(shí)提高了檢索效率，但是不支持多值屬性。文獻(xiàn)[6]提出了一種基于前綴標(biāo)記運(yùn)算的策略檢索方法，該方法根據(jù)策略屬性添加前綴來(lái)縮小策略檢索的范圍。這種檢索方法確實(shí)提高了檢索效率，但是，在訪問(wèn)控制策略與訪問(wèn)請(qǐng)求屬性名匹配的情況下，這種前綴計(jì)算反而造成了時(shí)間上的浪費(fèi)。針對(duì)這個(gè)問(wèn)題，文獻(xiàn)[7]在此基礎(chǔ)上，引入策略決策樹(shù)來(lái)提高檢索效率。然而該方法不能應(yīng)用于策略屬性比較多的情況。文獻(xiàn)[8]在文獻(xiàn)[6]的基礎(chǔ)上進(jìn)行改進(jìn)，根據(jù)策略前3個(gè)主體屬性值進(jìn)行分組來(lái)提高檢索效率。

基于屬性訪問(wèn)控制的研究存在兩方面的問(wèn)題。一方面，以上提到的基于屬性訪問(wèn)控制策略的檢索效率的確有所提高，但仍然存在一定的局限性。另一方面，完全信任策略管理員對(duì)策略的管理是不明智的，一旦策略管理員惡意修改策略將會(huì)給資源擁有者帶來(lái)巨大的災(zāi)難。假定策略管理員是完全可信的，這是不合理的。針對(duì)這些問(wèn)題，本文提出一種基于MPT和Bloom Filter的屬性訪問(wèn)控制策略管理方法。

1 基于屬性訪問(wèn)控制策略管理方法相關(guān)理論

1.1 ABAC模型相關(guān)理論

訪問(wèn)控制策略明確規(guī)定用戶(hù)可以對(duì)客體資源進(jìn)行哪些操作?？杀硎緸?(permit，deny)←(Attr(S)，Attr(O)，Attr(E)，Attr(P))。 其中Attr(S)，Attr(O)，Attr(E)，Attr(P)分別表示主體、客體、環(huán)境、權(quán)限屬性的取值范圍。

根據(jù)上述ABAC策略模型的定義，我們構(gòu)建如表1的策略集。

表1 ABAC策略集

基于屬性的訪問(wèn)請(qǐng)求(attributed-based access control request，AAR)。表示主體希望對(duì)客體進(jìn)行何種操作，一般包括：主體屬性、客體屬性、權(quán)限屬性等 AAR={aar1,aar2,…,aarn}。

1.2 MPT

MPT[9]是以太坊中的一種加密認(rèn)證的數(shù)據(jù)結(jié)構(gòu)，它結(jié)合了帕特里夏樹(shù)和默克爾樹(shù)的優(yōu)點(diǎn)，可以用來(lái)存儲(chǔ)所有的(key，value)鍵值對(duì)。以太坊區(qū)塊的頭部包括一個(gè)區(qū)塊頭，一個(gè)交易的列表和一個(gè)uncle區(qū)塊的列表。在區(qū)塊頭部包括了交易的hash樹(shù)根，用來(lái)校驗(yàn)交易的列表。

2 基于屬性訪問(wèn)控制策略管理方法

ABAC策略由第三方進(jìn)行管理，如果策略管理員為使某個(gè)用戶(hù)獲得敏感資源而對(duì)策略?xún)?nèi)容進(jìn)行修改，這將使資源處于危險(xiǎn)之中，且現(xiàn)有的訪問(wèn)控制策略檢索存在效率低的問(wèn)題。針對(duì)這種情況，我們對(duì)原有的訪問(wèn)控制模型進(jìn)行擴(kuò)展，增加策略管理站點(diǎn)(PAP)對(duì)策略進(jìn)行MPT建模模塊(2.1節(jié))、Bloom Filter策略管理模塊(2.2節(jié))和策略決策站點(diǎn)(PDP)對(duì)根hash值進(jìn)行驗(yàn)證的模塊，以增強(qiáng)策略的安全性。

2.1 策略建模

我們以上文提到的4條訪問(wèn)控制策略為例對(duì)策略集合進(jìn)行MPT[9]建模。以訪問(wèn)控制策略的策略序號(hào)為key，因?yàn)椴呗孕蛱?hào)具有唯一性，所以可以保證策略路徑的唯一性，并且不會(huì)引起沖突，便于根據(jù)關(guān)鍵字作為路徑對(duì)策略?xún)?nèi)容進(jìn)行檢索。以策略?xún)?nèi)容的RLP編碼為value構(gòu)建基于MPT的策略樹(shù)。首先，把key轉(zhuǎn)換成十六進(jìn)制為(Student001,0x53747564656e743031)，(Teacher012,0x54656163686572303132)，(Teacher122,0x54656163686572313232)，(Adminstrator089,0x41646d696e6973747261746472303839)，用p1，p2，p3，p4分別表示上述4條策略?xún)?nèi)容，其鍵值對(duì)可表示為(0x53747564656e743031,RLP(p1))，(0x54656163686572303132,RLP(p2))，(0x54656163686572313232,RLP(p3))，(0x41646d696e6973747261746472303,RLP(p4))構(gòu)建如圖1的MPT策略樹(shù)。

圖1 MPT策略樹(shù)

為了保證樹(shù)的加密安全，每個(gè)節(jié)點(diǎn)都通過(guò)下層節(jié)點(diǎn)的hash值被引用，而非32 bit或者64 bit的內(nèi)存地址。把ABAC策略建成如圖1所示的策略樹(shù)后，對(duì)根節(jié)點(diǎn)再次取hash得到一個(gè)根hash值，該hash值就成了整棵樹(shù)的hash簽名。一旦根hash值公開(kāi)，無(wú)論是對(duì)該樹(shù)的節(jié)點(diǎn)修改、添加或刪除都會(huì)對(duì)根hash值產(chǎn)生影響，會(huì)導(dǎo)致PDP驗(yàn)證失敗。以此對(duì)策略管理員是否修改ABAC策略的行為起到一個(gè)監(jiān)督作用。

更新節(jié)點(diǎn)偽代碼如下所示：

輸入：列表形式的節(jié)點(diǎn)或者空節(jié)點(diǎn)

輸出：一個(gè)新的節(jié)點(diǎn)node

(1)node_type ← get_node_type(node)

(2)if (node_type==NODE_TYPE_BLANK) //判斷是否為空節(jié)點(diǎn)

(3)return

[Key _nibbles_to_bytes(key,add_terminator← True),value]

(4)else if(node_type==NODE_TYPE_BRANCH) { //是否為分支節(jié)點(diǎn)

(5) if (!key)

(6) node[-1] ← value

else:

(7) new_node← update_and_delete_storage(

decode_to_node(node[key[0]]),

key[1:], value)

(8) node[key[0]] ← _encode_node(new_node)

(9) return node

(10) }

(11)else if (is_key_value_type(node_type))

(12) update_kv_node(node,key,value)//對(duì)節(jié)點(diǎn)進(jìn)行更新

2.2 策略檢索

屬性是ABAC的核心部分。根據(jù)屬性的作用不同又可以把屬性分為類(lèi)別屬性和非類(lèi)別屬性[11]。非類(lèi)別屬性主要指的是描述主體、客體、環(huán)境、權(quán)限信息的屬性，如{role,age}。類(lèi)別屬性指的是策略中允許或拒絕主體訪問(wèn)客體的屬性，一般包括{permit,deny}。為提高策略檢索效率，對(duì)ABAC策略的非類(lèi)別屬性采用Bloom Filter[10]的數(shù)據(jù)結(jié)構(gòu)進(jìn)行存儲(chǔ)。Bloom Filter里包含m位二進(jìn)制比特向量BF={b0,b1,b2,…,bm-1} 和k個(gè)相互獨(dú)立的哈希函數(shù)H(x)={h0(x),h1(x),h2(x),…,hk-1(x)}， 首先，把BF的b0,b1,b2,…,bm-1的比特位都置為0。然后，把策略集合中的元素policyset={p1,p2,p3,…,pn-1} 通過(guò)hash運(yùn)算映射到Bloom Filter中的對(duì)應(yīng)位置。在此過(guò)程中，策略集合中的每條策略都需要和H(x)集合中的每一個(gè)hash函數(shù)運(yùn)算。因此，對(duì)于策略集合 (policyset={p1,p2,p3,…,pn-1}) 需要進(jìn)行k*n次hash運(yùn)算 (h0(p1),h1(p2),…,hk-1(pn-1))， 要盡可能的使hash值均勻分布在Bloom Filter的b0,b1,b2,bm-1比特位，最后，根據(jù)計(jì)算的hash值把對(duì)應(yīng)的BF位置 (bh0(p1),bh1(p1),…,bhk-1(pn-1)) 分別置為1，完成策略檢索前的構(gòu)建工作。當(dāng)有AAR時(shí)，需要判斷策略集合中是否存在滿足aari的策略，其檢索過(guò)程如下：首先對(duì)aari進(jìn)行H(x)運(yùn)算，即計(jì)算 {h0(aari),h1(aari),h2(aari),…,hk-1(aari)}， 再查看 {h0(aari),h1(aari),h2(aari),…,hk-1(aari)} 在BF中b(h0(aari)),b(h1(aari)),b(h2(aari)),…,b(hk-1(aari))對(duì)應(yīng)的位置是否全為1，若全為1則說(shuō)明該策略集合包含符合aari屬性要求的策略。若至少有一個(gè)不為1，則該策略集合不包含符合aari屬性要求的策略。通過(guò)圖2來(lái)說(shuō)明基于MPT和Bloom Filter策略管理方法的構(gòu)建和檢索過(guò)程。

圖2 基于Bloom Filter的屬性訪問(wèn)控制策略管理

采用基于MPT和Bloom Filter的屬性訪問(wèn)控制方法進(jìn)行管理，卻存在一個(gè)不足，就是誤報(bào)率(false positive)的問(wèn)題。例如，訪問(wèn)控制請(qǐng)求aari能在策略集合中找到對(duì)應(yīng)的策略，訪問(wèn)控制請(qǐng)求aarj在策略集合中不能找到對(duì)應(yīng)的策略，即 (aari?policyset, aarj∈policyset, aari≠aarj)， 但是由于hash碰撞，會(huì)存在著b(h0(aari))=b(h1(aarj))情況，原本不應(yīng)該獲得訪問(wèn)權(quán)限的訪問(wèn)控制請(qǐng)求可能會(huì)判斷為符合策略而得到訪問(wèn)的權(quán)限。但是，由于hash值的計(jì)算具有不可預(yù)測(cè)性，很難人為的去構(gòu)造hash碰撞。也就是說(shuō)，用戶(hù)不可能去構(gòu)造策略集合中策略映射的hash值。因此，在使用基于MPT和Bloom Filter策略管理方法時(shí)必須盡量的降低誤報(bào)率，在低誤報(bào)率的情況下提高策略檢索效率。

設(shè)k表示策略集合中所用的相互獨(dú)立的hash函數(shù)個(gè)數(shù)，n表示策略集合中策略的總數(shù)，m表示Bloom Filter中二進(jìn)制的位數(shù)。必須滿足：k*n

(1)

最優(yōu)hash函數(shù)個(gè)數(shù)如下

(2)

在不超過(guò)期望的錯(cuò)誤率ε的情況下，Bloom Filter的最少位數(shù)為

(3)

尋找最小位數(shù)組和最優(yōu)hash數(shù)目的偽代碼：

輸入：k_max為允許的hash函數(shù)的最大個(gè)數(shù)，num_policy為策略總數(shù)

輸出：最優(yōu)的hash個(gè)數(shù)Optimal_k，最小位數(shù)組個(gè)數(shù)min_m

(1) while (k

(2) {

(3)n1←(-k*num_Policy);

(4)n2←log(1.0,pow(fpp,1.0/k));

(5)c_m←n1/n2;

(6) if (c_m

(7) {

(8)min_m←curr_m;

(9)min_k←k;

(10) }

(11)k++;

(12) }

(13)Optiomal_k←min_k;

(14)optp.table_size←min_m;

最小位數(shù)組和最優(yōu)hash函數(shù)個(gè)數(shù)是根據(jù)ABAC策略集合的個(gè)數(shù)和期望誤報(bào)率計(jì)算出來(lái)的，只需要在訪問(wèn)控制的準(zhǔn)備階段進(jìn)行計(jì)算。在ABAC策略檢索階段是不需要進(jìn)行再次計(jì)算，其策略檢索階段只需要計(jì)算所有待檢索的訪問(wèn)控制請(qǐng)求的k個(gè)hash值。因此，基于MPT和Bloom Filter的屬性訪問(wèn)控制查找的時(shí)間復(fù)雜度只與hash函數(shù)的個(gè)數(shù)有關(guān)，其策略檢索的時(shí)間復(fù)雜度為O(k)。

2.3 基于屬性訪問(wèn)控制策略管理流程

本篇文章是對(duì)ABAC策略進(jìn)行管理，參考文獻(xiàn)[4]的基于屬性的訪問(wèn)控制模型，把基于MPT和Bloom Filter的屬性訪問(wèn)控制策略管理方法融合到基于屬性的訪問(wèn)控制模型中，對(duì)訪問(wèn)控制流程進(jìn)行說(shuō)明，如圖3所示。

圖3 基于MPT和Bloom Filter的屬性訪問(wèn)控制策略管理

準(zhǔn)備階段：

(1)PIP對(duì)所有的主體屬性(SA)、客體屬性(OA)、權(quán)限屬性(PA)、環(huán)境屬性(EA)信息進(jìn)行搜集、管理，并把屬性、權(quán)限關(guān)系進(jìn)行關(guān)聯(lián)。

(2)PAP從PIP獲得所需的屬性信息和屬性-權(quán)限關(guān)系構(gòu)建ABAC策略。

(3)PAP對(duì)ABAC策略進(jìn)行MPT建模，并在建模的同時(shí)生成Bloom Filter。

(4)所有的策略被構(gòu)建成一棵完整的MPT樹(shù)，獲得一個(gè)最終的hash根，把該值傳遞給PDP進(jìn)行保存。

執(zhí)行階段：

(1)當(dāng)PEP接收到主體發(fā)送的NAR，PEP向PIP請(qǐng)求獲取主體屬性、客體屬性、環(huán)境屬性、權(quán)限屬性構(gòu)建AAR。

(2)PDP根據(jù)PIP提供的主體屬性信息、客體屬性信息和環(huán)境屬性信息等對(duì)主體的身份信息進(jìn)行驗(yàn)證。

(3)PDP從PAP獲取策略的根hash與已保存的hash值對(duì)比，以驗(yàn)證hash值是否發(fā)生改變，若發(fā)生改變，則表明策略已被修改，PDP則做出拒絕訪問(wèn)的決策并結(jié)束本次訪問(wèn)。

(4)若hash驗(yàn)證通過(guò)，PAP從BF檢索符合訪問(wèn)控制請(qǐng)求的策略并把檢索結(jié)果返回給PDP。

(5)PDP對(duì)訪問(wèn)控制請(qǐng)求進(jìn)行hash運(yùn)算并判斷Bloom Filter的對(duì)應(yīng)位置是否為1，同時(shí)根據(jù)判斷做出決策。

(6)PEP執(zhí)行決策結(jié)果，本次訪問(wèn)結(jié)束。

3 實(shí)驗(yàn)結(jié)果與分析

3.1 基于屬性訪問(wèn)控制策略管理方法安全性分析

我們把上文中出現(xiàn)的圖1簡(jiǎn)化成merkle樹(shù)(圖4)來(lái)進(jìn)一步說(shuō)明其安全性。

圖4 MPT簡(jiǎn)化過(guò)后的merkle樹(shù)

如圖4所示，如果策略p3被修改，則上圖中hash(p3)會(huì)被修改， hash(hash(p2)hash(p3)),hash(hash(p1)hash(hash(p2)hash(p3))) 依次發(fā)生改變，從而導(dǎo)致hash(hash(p4)hash(hash(p1)hash(hash(p2)hash(p3)))) 發(fā)生變化。根hash值與原來(lái)PDP保存的hash值不同，驗(yàn)證不能通過(guò)，所以會(huì)導(dǎo)致訪問(wèn)失敗。如果一個(gè)用戶(hù)想要驗(yàn)證某個(gè)p3策略是否被修改，只需要向策略管理中心獲取3個(gè)hash值，即：hash(p2)、hash(p1)、hash(p4)以及根hash就可以了，而不需要獲取p2,p1,p4策略，根據(jù)hash函數(shù)的不可逆轉(zhuǎn)性，用戶(hù)不可能根據(jù)策略的hash值計(jì)算原本的策略?xún)?nèi)容，因此，保證了策略?xún)?nèi)容不被泄露。在驗(yàn)證時(shí)，首先，用戶(hù)對(duì)自己所擁有的p3策略進(jìn)行哈希運(yùn)算得到hash(p3)，與已獲得的hash(p2)再次取hash便可得到hash(hash(p2)hash(p3))， 用戶(hù)再拿自己已獲得hash(p1)與hash(hash(p2)hash(p3)) 再次取hash便可得到hash(hash(p1)hash(hash(p2)hash(p3)))， 最后與已獲得hash(p4) 取hash得到hash(hash(p4)hash(hash(p1)hash(hash(p2)hash(p3))))， 與已獲得的根hash作比較，如果這兩個(gè)hash值完全相同，則可證明p3策略沒(méi)有發(fā)生變化，否則，p3策略遭到非法篡改。我們?cè)趐ycharm中借助pyethereum庫(kù)編寫(xiě)python代碼實(shí)現(xiàn)了策略的MPT建模，把策略序號(hào)為T(mén)eacher122的p3策略的策略?xún)?nèi)容中的安全等級(jí)Security由high變成low，表2是策略改變之前和之后的根hash的變化。這說(shuō)明策略的變化會(huì)引起根hash的變化，對(duì)策略進(jìn)行MPT建模，提高策略的安全性是合理的。

3.2 基于屬性訪問(wèn)控制策略管理方法檢索效率

為了驗(yàn)證本文提出的屬性訪問(wèn)控制策略管理方法的檢

表2 策略變化引起的根hash變化

索效率問(wèn)題，本文是在win10系統(tǒng)環(huán)境下借助Qt Creator工具編寫(xiě)測(cè)試代碼進(jìn)行實(shí)驗(yàn)。環(huán)境配置：CPU:Intel(R)Xeon(R) E5-1603@2.8 GHZ 2.8 GHZ。內(nèi)存4 GB。Qt Creator 3.3.0(opencesource) Based on Qt 5.4.0(MSVC 2010,32 bit)。使用matlab作為數(shù)據(jù)分析軟件，matlab版本：8.6.0.267246(R2015b)。分別從以下的4個(gè)方面進(jìn)行測(cè)試。為了保證策略建模的唯一性和有效性，這些策略和訪問(wèn)控制請(qǐng)求都是參考文獻(xiàn)[11]提出的方法進(jìn)行規(guī)范和標(biāo)準(zhǔn)化之后的。

(1)設(shè)置不同hash數(shù)量對(duì)策略檢索正確性的影響。觀察圖5可知，當(dāng)策略集合的內(nèi)容、數(shù)目不發(fā)生變化、Bloom Filter的大小不發(fā)生變化時(shí)，hash函數(shù)的數(shù)目從3個(gè)逐漸增加到最優(yōu)hash函數(shù)個(gè)數(shù)10個(gè)(可以通過(guò)式(2)計(jì)算得到)時(shí)，隨著hash個(gè)數(shù)的增多，這3種誤報(bào)率都呈下降趨勢(shì)，且其誤報(bào)率都在0.8%以下，也就是說(shuō)，其正確率可達(dá)99.2%以上，當(dāng)選擇一個(gè)比較優(yōu)的hash函數(shù)數(shù)量(最優(yōu)hash函數(shù)的數(shù)量為10，相互獨(dú)立且分布均勻)可使誤報(bào)率降為接近于0，正確率可接近100%。在本組實(shí)驗(yàn)中，其最差情況的誤報(bào)率可低至0.1756%，其成功檢索率仍高達(dá)99.924%，平均情況下誤報(bào)率為0.05629%，其成功檢索率仍高達(dá)99.943%。這說(shuō)明在選擇合適的hash函數(shù)和hash函數(shù)個(gè)數(shù)時(shí)，本文提到的方法能達(dá)到一個(gè)比較高的成功檢索率。

圖5 誤報(bào)率

(2)Bloom Filter大小對(duì)成功檢索率的影響。2.2節(jié)提到，由于hash碰撞，原本不符合策略集合的訪問(wèn)控制請(qǐng)求可能被誤報(bào)為符合，成功檢索率就是把原本不符策略集合的訪問(wèn)控制請(qǐng)求判定為不符合的概率(即正確做出判斷)。本組實(shí)驗(yàn)是在前一次Bloom Filter大小的基礎(chǔ)上壓縮20%，理論成功檢索率根據(jù)式(1)計(jì)算可得。通過(guò)圖6可知，隨著B(niǎo)loom Filter越來(lái)越小，理論成功檢索率和實(shí)際成功檢索率先保持比較緩慢的下降趨勢(shì)。當(dāng)Bloom Filter的大小下降到6000 bit時(shí)，不管是理論成功檢索率還是實(shí)際成功檢索率的下降速度越來(lái)越快，直至成功檢索率下降趨于0才又趨于平穩(wěn)且恒為0。這是因?yàn)?，在滿足小于期望的誤報(bào)率0.001 32時(shí)，根據(jù)式(3)計(jì)算得出其最小的Bloom Filter的大小為大約6126 bit，也就是說(shuō)，在滿足誤報(bào)率小于等于0.0132，Bloom Filter的大小必須大于等于6126 bits。其Bloom Filter壓縮到小于6000 bits時(shí)，其成功檢索率得不到保證，也會(huì)下降的越來(lái)越快。同時(shí)，我們也發(fā)現(xiàn)，實(shí)際成功檢索率隨著B(niǎo)loom Filter規(guī)模越來(lái)越小，且一直在理論成功檢索率的上下浮動(dòng)，說(shuō)明理論估計(jì)存在著合理性，我們能夠通過(guò)調(diào)控Bloom Filter的大小來(lái)在成功檢索率和空間利用率之間尋找平衡。

圖6 成功檢索率

(3)基于MPT和Bloom Filter的屬性訪問(wèn)控制策略管理方法檢索時(shí)間的變化情況。該組實(shí)驗(yàn)是在原有策略基礎(chǔ)上，進(jìn)行多次對(duì)訪問(wèn)控制請(qǐng)求進(jìn)行檢索，觀察其訪問(wèn)時(shí)間的最好情況、最差情況和一般情況用以評(píng)估基于MPT和Bloom Filter的屬性訪問(wèn)控制策略管理方法在訪問(wèn)量增多的情況下，策略檢索時(shí)間的變化。通過(guò)觀察圖7可知，策略檢索時(shí)間的最小值、最大值和平均值都隨訪問(wèn)控制請(qǐng)求數(shù)量的增多，檢索時(shí)間也呈逐漸加長(zhǎng)的趨勢(shì)，且其最差的情況、一般情況、最好的情況的策略檢索時(shí)間相差之間并不大且不足0.7 ms，一般情況和最好的情況策略檢索時(shí)間相差不足0.25 ms。這說(shuō)明基于MPT和Bloom Filter的屬性訪問(wèn)控制策略管理方法的策略檢索時(shí)間比較穩(wěn)定。當(dāng)檢索數(shù)量多達(dá)6000條時(shí)，其最差的情況下的策略檢索時(shí)間不足4 ms，其平均策略檢索時(shí)間不足3.5 ms，最好的情況下策略檢索時(shí)間不足3 ms，單個(gè)訪問(wèn)控制策略檢索時(shí)間不高于0.7 μs，這說(shuō)明本文提出的策略管理方法更能適應(yīng)于多用戶(hù)高訪問(wèn)量的場(chǎng)景。

圖7 檢索時(shí)間

(4)和其它研究者的檢索效率進(jìn)行對(duì)比。檢索效率是指在相同數(shù)量策略的情況下，檢索相同數(shù)量的訪問(wèn)控制請(qǐng)求的時(shí)間，其時(shí)間越短，檢索效率越高。在本組實(shí)驗(yàn)中，選擇基于前綴標(biāo)記的策略檢索方法[6]和基于屬性分組的訪問(wèn)控制策略檢索方法[8]做對(duì)比實(shí)驗(yàn)。圖8是在50個(gè)訪問(wèn)控制請(qǐng)求，訪問(wèn)控制策略數(shù)目分別是500,1000,1500,2000,2500的基礎(chǔ)上進(jìn)行實(shí)驗(yàn)。圖9是保持策略數(shù)目3000，訪問(wèn)控制請(qǐng)求數(shù)目分別是50,60,70,80,90進(jìn)行實(shí)驗(yàn)。由圖8可知，本文提出的策略管理方法，相比其它兩種策略檢索方法，在策略檢索時(shí)間上得到了比較大的提升。隨著策略數(shù)目的增多，策略檢索時(shí)間在0.02 ms～0.08 ms之間波動(dòng)，其變化幅度比其它兩種檢索方法的變化幅度要小，時(shí)間上也更穩(wěn)定。由圖9可知，當(dāng)訪問(wèn)控制策略的數(shù)目固定，隨著AAR數(shù)量的增多，這3種策略管理方法的策略檢索時(shí)間都逐漸加長(zhǎng)，但本文提出的策略管理方法策略檢索時(shí)間更短，更穩(wěn)定。這是因?yàn)?，本文提出的方法進(jìn)行檢索策略時(shí)對(duì)AAR的內(nèi)容取hash，然后判斷Bloom Filter的對(duì)應(yīng)位置是否為1，所以其檢索時(shí)間只與hash函數(shù)的個(gè)數(shù)有關(guān)，而與Bloom Filter存儲(chǔ)的策略的個(gè)數(shù)無(wú)關(guān)，也與訪問(wèn)控制請(qǐng)求中主體屬性的個(gè)數(shù)沒(méi)有關(guān)系，其策略檢索的時(shí)間一直比較穩(wěn)定。本文提出的方法更能縮短策略的檢索時(shí)間。

圖8 不同策略規(guī)模下策略檢索時(shí)間對(duì)比

圖9 不同訪問(wèn)控制請(qǐng)求下的策略檢索時(shí)間對(duì)比

4 結(jié)束語(yǔ)

在云計(jì)算環(huán)境下，為了保障資源不被非法訪問(wèn)，管理員制定了大量的訪問(wèn)控制策略來(lái)確保更加細(xì)粒度的訪問(wèn)控制。這些策略由策略管理員進(jìn)行管理，然而，完全信任策略管理員是不理智的，因?yàn)闀?huì)存在著策略管理員有意或者無(wú)意修改訪問(wèn)控制策略造成一些非法用戶(hù)獲得訪問(wèn)客體資源的敏感權(quán)限。此外，現(xiàn)有的策略檢索方法應(yīng)用在大規(guī)模的訪問(wèn)控制請(qǐng)求下將造成策略檢索效率低下的問(wèn)題。為此，本文提出了一種策略管理方法，用以對(duì)策略管理員是否修改策略起到一個(gè)監(jiān)督作用來(lái)提高安全性和通過(guò)對(duì)ABAC策略集進(jìn)行映射的方式來(lái)提高策略的檢索效率。理論分析和實(shí)驗(yàn)結(jié)果表明，本文提出的方法能夠在策略被修改時(shí)以改變根hash的方式來(lái)使PDP驗(yàn)證失敗，從而提高資源的安全性。此外，該方法能在合適的Bloom Fiter的大小和最優(yōu)的hash個(gè)數(shù)時(shí)獲得比較高的成功檢索率。