鄧三軍，袁凌云,+，孫麗梅

(1.云南師范大學 民族教育信息化教育部重點實驗室，云南 昆明 650500；2.云南師范大學 信息學院，云南 昆明 650500)

0 引 言

隨著物聯(lián)網的迅速發(fā)展和智能設備的廣泛應用，物聯(lián)網的隱私保護越來越受人們的重視。當大量的物聯(lián)網設備收集、處理和共享數據時，需要有相應的訪問控制機制來防止未經授權的資源訪問，保護敏感的隱私數據。例如，物聯(lián)網設備需要能夠拒絕抽取其數據或控制其執(zhí)行的未授權請求[1]。訪問控制的主要功能是防止未經授權的用戶操作，限制未授權用戶對特定設備的操作。通過訪問控制機制，不同權利級別的用戶擁有各自級別的訪問權限，各個用戶只能訪問操作對應權限下的隱私數據資源。能夠有效保障數據的安全。因此，物聯(lián)網的訪問控制機制已成為保護數據安全和隱私的重要研究內容之一[2]。

近些年來許多研究者都是以RBAC模型為基礎進行擴展研究的，因為傳統(tǒng)的用戶-角色-權限訪問控制模型中，角色與權限直接關聯(lián)，一旦系統(tǒng)為用戶分配了角色，那么用戶便具有了角色所關聯(lián)的所有權限知道用戶訪問結束。這種訪問控制模型可以在一定程度上解決物聯(lián)網跨域訪問控制、設備異構性和訪問控制模型的可拓展性等問題。但是，RBAC是一種靜態(tài)訪問控制機制，不能夠動態(tài)調整{user-role}、{role-permission}之間的對應關系[3]。因此，為了保證物聯(lián)網訪問控制授權的動態(tài)性，對RBAC模型的擴展研究引起了研究者們的廣泛關注。如文獻[4]Jason提出了基于智能合約的角色訪問控制模型，該模型采用智能合約技術實現(xiàn)跨域訪問，使應用程序能夠獨立分散運行，實現(xiàn)資源訪問和操作等響應，驗證用戶角色的所有權限。雖然有利于提高訪問控制的靈活性和安全性，但其訪問權限細粒度劃分還不夠，訪問控制的動態(tài)性還有待提高。文獻[5]黃美蓉提出了一種基于特征提取的訪問控制方法，把RBAC和BLP模型相結合解決了多級別、異時異地的用戶授權管理問題，該方法在判斷用戶訪問請求時具有較高的準確性。但沒有分析其細粒度和安全性問題。

隨著信任管理被引入到計算機領域中，在訪問控制機制中也逐漸用到了信任模型。在文獻[6]中，馬佳樂等提出一種基于信任度的訪問控制方法，通過增加用戶管理模塊實現(xiàn)對用戶行為的信任的管理，但是其應用環(huán)境是針對云計算，并不適合物聯(lián)網的訪問控制。文獻[7]李由由等提出一種基于信任度屬性的用戶實時映射模型，通過引入上下文環(huán)境和時間衰減性動態(tài)判斷信任屬性，但是模型中信任度的計算比較復雜。

因此，本文在現(xiàn)有研究的基礎上，將RBAC和ABAC兩種訪問控制模型的優(yōu)勢相結合，提出了一種基于用戶信任度和屬性的訪問控制模型(RBAC based on user trust and attribute，TA-RBAC)，通過引入用戶信任度分析，建立更靈活的授權機制，并將用戶的用戶總體信任值和訪問控制策略信息等關鍵數據存儲到區(qū)塊鏈上，利用區(qū)塊鏈不可篡改和可追溯等安全性特征保證其安全性。增強了原有訪問控制模型的權限細粒度性、動態(tài)性和安全性。

1 基于信任度的訪問控制模型構建

1.1 TA-RBAC模型描述

在TA-RBAC訪問控制模型中，引入信任約束和用戶屬性集等模型元素，取消了直接的用戶角色分配，以信任值作為動態(tài)角色分配的基礎，只有當用戶的信任值達到訪問控制策略設置的信任閾值時，才能獲得相應的角色及其權限[8]。同時，在用戶與訪問資源的交互過程中，訪問控制模型會根據用戶的屬性、行為、推薦等情況，動態(tài)調整用戶的信任值，實現(xiàn)訪問控制權限的動態(tài)分配。TA-RBAC模型結構如圖1所示。

圖1 TA-RBAC模型結構

1.1.1 參數定義

模型中基于傳統(tǒng)RBAC模型中得參數定義部分詳見文獻[10],此處不再贅述，僅給出本文改進模型部分的參數定義。

定義1 屬性集：包括用戶屬性、可靠屬性、性能屬性和安全屬性。

定義2 信任約束：作為用戶和角色的中間聯(lián)系紐帶，代替了用戶和角色之間的直接指派關系，通過信任度計算模型計算用戶訪問請求的信任度，信任度取值范圍為0-1。

定義3 可信度閾值：表示激活角色所需的最小信任度值。

1.1.2 訪問控制流程設計

TA-RBAC模型的訪問控制工作流程是對RBAC模型的擴展。圖2為TA-RBAC訪問控制的工作流程。詳細步驟如下。

圖2 TA-RBAC模型訪問控制流程

(1)當用戶訪問物聯(lián)網資源時，需要激活用戶角色，當訪問控制模型收到訪問請求時，模型根據資源的信任度計算機制計算用戶的信任值，得到用戶的總體信任值，然后判斷該值是否滿足模型預設的最小信任度閾值，若滿足，則激活用戶角色。否則，拒絕用戶訪問請求。

(2)模型根據信任度授權規(guī)則，判斷計算的所得的用戶總體信任度值判斷該用戶所屬的權限區(qū)間，并授予其相應的權限。

(3)用戶執(zhí)行其所獲得權限內的訪問操作。

(4)模型記錄整個訪問過程中用戶的操作行為，并將其作為歷史信任度值的計算參考。

(5)用戶結束訪問，模型更新用戶總體信任度值，并將更新后的用戶信任度值訪問控制策略存儲到區(qū)塊鏈，供其它訪問控制機制計算其信任度時參考。

1.2 信任度計算

用戶信任度值由直接信任和間接信任計算的總信任值表示。其中，間接信任包括歷史信任和推薦信任。Direct_T(u)、Indirect_T(u) 和Final_T(u) 分別表示直接信任度、間接信任度和總體信任度。

1.2.1 直接信任度計算

對于用戶直接信任度值的計算，采用模糊層次分析法(fuzzy analytic hierarchy process，F(xiàn)AHP)[9]。該方法通過將用戶的訪問行為分解為不同的特征屬性，然后將每個特征屬性劃分成多個更小的證據類型，見表1。這樣用戶行為的模糊不確定性評估問題就被細化為一個簡單信任證據加權和問題。其計算步驟如下。

表1 用戶行為信任值評估證據類型

(1)用戶行為證據的預處理。該過程包括兩個方面：

1)用戶行為信任證據的采集與更新。通過使用網絡流量監(jiān)測工具以及入侵檢測系統(tǒng)等來獲取用戶行為證據。

2)用戶行為信任證據數據的標準化處理。為了便于統(tǒng)計，必須對數據進行標準化處理，將其處理為[0,1]區(qū)間內遞增的無量綱值，用信任證據矩陣E=(eij)mn表示。

(2)計算權重向量矩陣，以用戶的可靠屬性P為例，與可靠屬性相關的證據p1,p2,…,pn， 對于這n個證據，根據其重要性，兩兩對比，得到n階初始矩陣

(1)

(3)構造P的傳遞矩陣表示為e=pij,i,j∈[0,N], 其中,若pi比pj更重要，則pij=0； 反之pij=1； 若pi和pj同等重要，則pij=0.5。

(2)

從而得到相應的初始判斷矩陣dij=(epij)n×n， 對dij的每一行求和得到Q=(q1,q2,…,qn)T， 其中

(3)

然后對Q進行正規(guī)化，得到可靠屬性P的權重向量Wp=(w1,w2,…,wn)T， 其中

(4)

以同樣的方式計算出性能屬性和安全屬性的權重向量，最后計算出安全屬性S、可靠屬性P和性能屬性R相對于用戶行為信任值的總體權重W

(5)

(4)利用信任證據矩陣和屬性權重向量計算信任評估向量F。根據E×W， 矩陣對角值就是信任屬性評估值向量F=(f1,f2,…,fm)。

(5)用戶直接信任度值的計算。即

(6)

1.2.2 間接信任度計算

當用戶第一次獲得對某一個資源系統(tǒng)的訪問權限時，信任度計算模型將根據用戶的操作行為生成第一個歷史信任值History_T(u)=Direct_T(u)。 隨著訪問量的增加，用戶的歷史信任度會隨著時間的推移逐漸改變

(7)

其中，F(xiàn)inal_Ti(u) 為用戶的總體信任度，ti表示訪問時間，記錄著用戶從開始訪問到結束訪問的時間，當n=0時，表示用戶是第一次訪問資源，沒有對應的歷史信任值。

因此，根據用戶訪問其它組織資源時獲得的信任度值，計算出的用戶推薦信任度值就作為間接信任度計算的主要依據。假設用戶u此前已經與n個物聯(lián)網設備有過交互，第i個設備對用戶u的信任度值為Fi_u(t)， 其自身的推薦權重因子為S(i)， 則用戶u的推薦信任度計算公式為

(8)

基于用戶的歷史信任和推薦信任，得出用戶間接信任度值

Indirect_T(u)=α×History_T(u)+β×Recommed_T(u)

(9)

其中，α+β=1。 當用戶不是第一次與該物聯(lián)網設備交互，此時的間接信任度計算主要依據為用戶此前與該設備的歷史信任度，在間接信任度的計算中，兩者所在的比重為：History_T(u)>Recommend_T(u)。 如果用戶第一次與物聯(lián)網設備交互，則用戶的歷史信任度為0，即History_T(u)=0； 便將推薦信任度作為間接信任度值計算的主要參考。

1.2.3 總體信任度計算

通過直接信任值和間接信任值的線性組合計算總信任值

(10)

其中，k為用戶訪問的總次數，a為常數，用于調整不同階段用戶直接信任和間接信任的權重，當用戶初次訪問物聯(lián)網設備時，訪問次數k為0，F(xiàn)inal_T(u) 主要由Direct_T(u) 決定；隨著用戶訪問量的增加，k增大，Direct_T(u) 的權重減小，Indirect_T(u) 的權重增大，F(xiàn)inal_T(u) 主要由Indirect_T(u) 決定。

1.2.4 信任度等級劃分

在實驗中，將用戶信任度等級設置為g=(1,2,3,4,5,6)， 在資源訪問的實際交互過程中，絕大部分用戶行為是基本可信或者中等可信的，而惡意用戶和特級用戶只是一少部分。因此，將每個信任區(qū)間的間隔分別設置(0.1，0.25,0.5，0.75，0.9)，相應的信任等級和信任值區(qū)間對應以及對應的角色和訪問權限關系見表2。

表2 用戶信任度等級區(qū)間劃分

2 面向TA-RBAC的智能合約設計

Nick Szabo于1994年首次提出了智能合約的概念。它是一種合約技術，能夠以計算機代碼定義相關約束的條款。當合約的所有參與者根據條款達成協(xié)議時，智能合約中事先約定的權利和義務將以代碼的形式自動執(zhí)行，并在整個合約執(zhí)行過程中保持不變，以便最終數據不會被篡改[10]。區(qū)塊鏈的安全性、去中心化和不可篡改性為智能合約的運作提供了一個安全、開放和可追蹤的理想平臺。為了完成物聯(lián)網設備的訪問控制，將物聯(lián)網設備的訪問控制授權、用戶角色的激活、模型的信任閾值設置、訪問控制策略的存儲交給部署在以太坊的4個智能合約來完成，分別是閾值設定合約(SVC)、角色激活合約(RAC)、權限授予合約(VRC)和策略存儲合約(PSC)[11]。其具有如下特征：①允許模型組織向用戶分配角色。②允許模型以透明的方式管理修改信息。③允許模型向分配給用戶的角色授予合理的權限。④根據用戶信任狀態(tài)和設置的訪問信任度閾值，允許合約自動運行或停止。

智能合約(SC)設計如下：

SVC合約：此合約是根據物聯(lián)網設備所處的環(huán)境以及歷史訪問控制模型所獲得的數據來設定本模型的最低可信度閾值。輸入最低可信度閾值，輸出閾值設定成功與否，如算法1所示。

算法1：閾值設定合約SV CONTRACT

輸入：可信度閾值TrustValue。

輸出：Set value succeed/failed。

(1)begin

(2)if input == null

(3)return error

(4)end if

(5)if val == nil

(6)return TrustValue already exist

(7)val = APIStub.SetState(TrustValue)//調用SetState()方法， 設置可信度閾值

(8)if val == nil

(9)return Set value succeed

(10)else

(11)return Set value failed

(12)end

RAC合約：該合約的功能是根據模型計算出的用戶總體信任值與模型設定的最小信任閾值的比較來確定是否激活用戶角色，只有成功激活角色的用戶才能進行后續(xù)授權操作。輸入總體信任度值，輸出用戶角色激活成功與否，如算法2所示。

算法2：用戶角色激活合約 RA CONTRACT

輸入：用戶總體信任度值Final_T(u)

輸出：Activate the role succeed/failed

(1)begin

(2)if input == null

(3)return error

(4)else if Final_T(u) > SetValue

(5)return Activate the role succeed

(6)else

(7)return Activate the role failed

(8)end

VRC合約：當用戶被激活角色之后，模型需要根據其總體信任度值區(qū)分其所屬權限等級，并授予其合適的權限，此時就需要使用VRC合約完成此項工作。輸入用戶總體信任度值，輸出用戶權限等級，如算法3所示。

算法3：VR CONTRACT

輸入：用戶總體信任度值Final_T(u)

輸出：權限等級 bad user、General user、Primary user、Intermediate user、Advance user或Premium user

(1)begin

(2)if input == null

(3)return error

(4)else if Final_T(u) < 0.1

(5)return bad user

(6)else if Final_T(u) > 0.1 && Final_T(u) ≤ 0.25

(7)return General user

(8)else if Final_T(u) > 0.25 && Final_T(u) ≤ 0.5

(9)return Primary user

(10)else if Final_T(u) > 0.5 && Final_T(u) ≤ 0.75

(11)return Intermediate user

(12)else if Final_T(u) > 0.75 && Final_T(u) ≤ 0.9

(13)return Advance user

(14)else if Final_T(u) > 0.9 && Final_T(u) ≤ 1

(15)return Premium user

(16)end

PSC合約：此合約主要用于存儲訪問控制策略信息。通過該合約，模型訪問控制策略信息和用戶信任值以事務的形式存儲在區(qū)塊鏈中，以保證關鍵信息的安全性。輸入策略文件，輸出策略存儲成功與否，如算法4所示。

算法4：策略存儲合約 PS CONTRACT

輸入：策略文件 policy file

輸出：Storage succeed/failed

(1)begin

(2)if input == null

(3)return error

(4)else if policy file not exist

(5)policy file 請求存儲

(6)creat structure data for policy file

(7)policy file{Id Address Time}

(8)data = APIstub.GetState(policy file)

(9)if data == nil

(10)return Storage succeed

(11)else

(12)return Storage failed

(13)end

3 實驗結果及分析

通過仿真實驗，對本文提出的基于信任度的物聯(lián)網訪問控制模型的有效性以及模型效率進行測試和分析。通過XACML提供的標準測試包進行測試，并在個人計算機(Personal Computer，PC)上構建以太坊區(qū)塊鏈實驗平臺，在每個實驗節(jié)點上安裝由go語言編寫的geth客戶端，使用Remix集成開發(fā)環(huán)境編寫和編譯智能合約，采用web3.js與各geth客戶端進行交互，完成智能合約部署。實驗環(huán)境詳見表3。

表3 實驗環(huán)境配置

3.1 授權動態(tài)性分析

本文主要根據用戶在不同時刻所獲得的權限等級的變化情況來反映用戶總體信任度值對模型授權的影響，并以此驗證模型訪問控制授權的動態(tài)性。

通過入侵檢測等網絡測試技術獲得用戶的行為證據值，再根據FAHP的原理做范化處理后，分別得到可靠屬性平均值R=(r1,r2,r3,r4)、 性能屬性平均值P=(p1,p2,p3,p4,p5,p6,p7,p8) 和安全屬性平均值S=(s1,s2,s3,s4)。 然后分析計算每個屬性的權重值，最后通過式(4)計算出用戶的直接信任度值。在此基礎上，根據式(5)～式(8)得出用戶的最終信任度值。

對物聯(lián)網設備在10個不同的時刻進行10次訪問，其中隨機進行合法訪問和非法訪問，得出用戶信任度值以及權限等級的變化情況如圖3所示。

圖3 不同實驗時刻用戶信任度值和權限等級變化情況

圖3展示了傳統(tǒng)RBAC模型和TA-RBAC模型在不同實驗時刻的信任度值以及權限等級的變化情況。如圖所示，傳統(tǒng)RBAC模型中用戶權限等級保持不變；TA-RBAC模型中用戶信任度值隨著用戶在不同的實驗次序的不同訪問行為而發(fā)生變化，用戶的權限等級也隨之變化。進一步分析實驗結果可知，傳統(tǒng)RBAC模型中，在訪問會話時當用戶根據需求被分配到角色之后，就意味著用戶獲得了該角色所具有的全部權限且該用戶在后續(xù)訪問中的角色和權限不會再發(fā)生變化；而在本文所設計的TA-RBAC模型中，用戶擁有的角色和訪問權限會隨著用戶總體信任度值的變化而動態(tài)變化。這樣，用戶在之后的訪問中若有危險行為，用戶的總體信任度值就會就降低，其權限等級也會隨之降低。

實驗中，隨著非法訪問操作次數的增加，用戶信任度值發(fā)生了顯著變化。如圖4所示，用戶信任度值隨著非法行為次數的增加呈明顯下降趨勢，這與實際情況相符。據此，TA-RBAC模型能夠按照預期及時完成用戶角色和訪問權限的更新。

圖4 用戶總體信任度值變化趨勢

3.2 網絡延遲和吞吐量分析

實驗結果表明，在傳統(tǒng)的RBAC模型中引入信任屬性，不僅減少了非法用戶的非法訪問次數，而且在一定程度上解決了網絡擁塞問題。在實驗中，我們首先比較了傳統(tǒng)RBAC模型和TA-RBAC模型在網絡時延方面的差異。實驗結果如圖5所示。

圖5 平均網絡延遲對比

從圖5的實驗結果可以看出，在沒有用戶請求的情況下，TA-RBAC和傳統(tǒng)RBAC模型的網絡都沒有受到影響，兩者之間沒有明顯差異，隨著請求數量的逐漸增加，TA-RBAC和傳統(tǒng)RBAC模型的網絡延遲也隨著增大。然而，在相同的訪問請求數下，TA-RBAC模型的優(yōu)勢逐漸體現(xiàn)出來，其網絡延遲始終低于傳統(tǒng)RBAC模型的網絡延遲。進一步分析表明，在TA-RBAC模型中引入了信任度值，信任度值的變化控制了訪問權限的授予，通過智能合約的自動化執(zhí)行，提高了模型處理訪問請求的速度，在提高模型效率的同時，降低了網絡延遲。

就吞吐量而言，如圖6所示，隨著訪問量的增加，兩種模型的吞吐量都呈降低趨勢，但是TA-RBAC模型一直處于優(yōu)勢位置，這主要得益于TA-RBAC模型引入了信任度屬性，增加了模型訪問控制授權的動態(tài)性，相比于傳統(tǒng)RBAC模型固定的授權模式，其擁有更高的效率，這使得單位時間內所處理的訪問控制請求數量增加，從而增加了網絡的吞吐量。基于區(qū)塊鏈的智能合約運行使得訪問控制策略的授權過程更加準確高效。

圖6 平均吞吐量對比

3.3 模型安全性分析

為了驗證本文所提模型在阻止惡意用戶訪問及安全性方面的優(yōu)勢，通過與傳統(tǒng)基于角色的訪問控制模型以及基于智能合約的訪問控制模型進行對比。由圖3.9可知，當惡意用戶比例分別是10%，20%，30%，40%，50%，60%，70%時，本文所提出的TA-RBAC模型、基于智能合約模型和傳統(tǒng)RBAC模型的用戶交互成功率都有不同程度的下降，但是，傳統(tǒng)RBAC模型的下降速度最慢，尤其是當惡意用戶比例超過60%時，訪問成功率仍然維持在90%以上，而本文所提出的模型訪問成功率已下降到0.5以下。這是因為TA-RBAC模型中引入了用戶信任度分析，當用戶進行惡意訪問時，模型通過監(jiān)測用戶的惡意訪問行為，計算出的用戶信任度也會降低，當用戶的信任度下降到閾值以下，就無法再訪問系統(tǒng)資源，所以用戶訪問數量一定時，惡意用戶的比例越高，訪問成功的用戶數量就越低，訪問成功率也越低?；谥悄芎霞s的訪問控制模型的訪問成功率也維持在相對較低的水平，這是因為智能合約是部署在區(qū)塊鏈鏈上自動運行的腳本代碼，通過智能合約調用實現(xiàn)訪問控制策略上鏈執(zhí)行和存儲，使惡意用戶無法篡改和盜取訪問控制策略信息，從而確保了訪問控制機制的穩(wěn)定安全運行。

圖7 訪問成功率隨惡意用戶所占比例的關系

因此，相對于傳統(tǒng)RBAC模型，本文所提出的AT-RBAC 模型能夠更好限制用戶的惡意訪問行為，更好保證物聯(lián)網數據資源的安全性。

4 結束語

本文針對傳統(tǒng)RBAC模型在物聯(lián)網訪問控制中缺乏訪問控制授權動態(tài)性以及訪問控制授權決策效率低下等問題，提出了一種基于信任度和屬性的物聯(lián)網訪問控制模型TA-RBAC，闡述了TA-RBAC模型的信任度值計算機制以及模型的訪問控制過程，利用區(qū)塊鏈存儲訪問控制策略，保障了其安全性，通過信任度屬性和智能合約提高了模型訪問控制授權決策過程的效率和準確性。最后，通過實驗驗證了該模型的有效性，可以更好保護物聯(lián)網設備資源的安全。然而，本文中訪問控制策略等關鍵信息都直接存儲在區(qū)塊鏈中，這將增加區(qū)塊鏈存儲壓力。因此，下一步的研究工作主要集中在解決區(qū)塊鏈的存儲負擔上。