董 薇，竇立君

(南京林業(yè)大學(xué)，江蘇 南京 210037)

1 引言

云計算技術(shù)包括網(wǎng)絡(luò)存儲技術(shù)和分布式技術(shù)等，隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和計算機技術(shù)的不斷普及，云計算技術(shù)成為信息領(lǐng)域中的熱點[1]。因此，云計算技術(shù)在不同領(lǐng)域中得到了廣泛的應(yīng)用，但云計算技術(shù)的發(fā)展已經(jīng)受到了云安全問題的制約[2]。訪問權(quán)限控制方法屬于有效手段可以保護云環(huán)境中存在的資源，但云計算技術(shù)具有開發(fā)式、大規(guī)模和分布式的特點，因此在合理對數(shù)據(jù)流通進(jìn)行控制的前提下有效地保護云資源，成為云計算技術(shù)發(fā)展過程中亟需解決的問題，需要對訪問權(quán)限控制算法進(jìn)行分析和研究[3]。

李英杰等人[4]提出基于大數(shù)據(jù)分析技術(shù)的訪問權(quán)限控制算法，該算法通過大數(shù)據(jù)分析技術(shù)劃分虛擬實驗室的用戶角色，并將相應(yīng)的權(quán)限賦予給用戶角色，實現(xiàn)訪問權(quán)限的控制。但是該方法獲取的信息實時性較差，無法在短時間內(nèi)改變用戶在云環(huán)境中的訪問權(quán)限，存在訪問成功率低的問題。楊康等人[5]提出基于屬性加密的權(quán)限訪問控制算法，該算法首先利用分級加密方法對信息進(jìn)行加密處理，利用Hash函數(shù)建立私鑰，其次對信息屬性進(jìn)行加密，獲得屬性集，并以此為依據(jù)在云環(huán)境中建立訪問控制樹，實現(xiàn)訪問權(quán)限的控制，但是該算法沒有對訪問控制樹的信息進(jìn)行更新，導(dǎo)致控制滯后，存在云服務(wù)成功率低的問題。王啟旭[6]提出基于全同態(tài)加密的訪問權(quán)限控制算法，該算法通過全同態(tài)加密算法對云環(huán)境中存在的數(shù)據(jù)進(jìn)行加密處理，并將屬性信息和訪問控制結(jié)構(gòu)嵌入密文中，實現(xiàn)訪問權(quán)限的控制。但是該算法沒有對加密處理后的數(shù)據(jù)進(jìn)行實時更新，無法為用戶分配云環(huán)境中的實時權(quán)限，存在訪問成功率低的問題。

為解決上述算法存在的問題，提出新的云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法。

2 用戶行為信任證據(jù)

對用戶在云環(huán)境中歷史行為信息的分析是研究用戶行為信任的基礎(chǔ)[7]。需要利用用戶的行為信息計算用戶行為信任度，為了在云環(huán)境下優(yōu)化虛擬實驗室多域訪問權(quán)限的控制效果，需更新處理獲取的用戶行為信任證據(jù)。

2.1 信任證據(jù)采集與更新

云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法通過以下兩種方式獲取用戶在云環(huán)境中產(chǎn)生的行為信任證據(jù)：

1)在云環(huán)境中采集用戶與服務(wù)端交互過程中的嘗試越權(quán)次數(shù)、資源利用率、環(huán)境狀態(tài)、服務(wù)可用率、時間、用戶訪問頻率和應(yīng)用行為隱患等常用的數(shù)據(jù)。

2)在云環(huán)境中采集用戶與服務(wù)端的平均無故障時間、交互成功率、自防御能力和錯誤修復(fù)率等。

根據(jù)證據(jù)產(chǎn)生的時間點，云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法對云環(huán)境中存在的用戶行為信任證據(jù)進(jìn)行劃分，將其劃分為當(dāng)前證據(jù)tenew和原始證據(jù)teold。針對采集的證據(jù)，云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法不采取全部保留的策略，而是在當(dāng)前證據(jù)的基礎(chǔ)上在每次檢測后更新原始證據(jù)，實現(xiàn)動態(tài)更新，用戶行為信任證據(jù)的更新過程可通過下述公式進(jìn)行描述

(1)

隨著時間的推移用戶在云環(huán)境中的信任度會逐漸降低，云環(huán)境中用戶的信任證據(jù)在長期不與服務(wù)端交互的情況下會逐漸減少，因此時間因素會對信任證據(jù)的更新過程產(chǎn)生影響[8]。針對信任的時間特性，云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法選取時間衰減因子ψ(t)進(jìn)行描述，則信任證據(jù)與時間衰減之間的關(guān)系可通過下式進(jìn)行描述

tenew=teold×ψ(tcurrent-taverage)

(2)

式中，taverage代表云環(huán)境中存在的歷史交互行為所用的平均時間；tcurrent代表云環(huán)境中當(dāng)前交互行為所用的平均時間。

檢測獲取的客觀數(shù)據(jù)通常情況下就是云環(huán)境中存在的用戶行為信任證據(jù)，信任證據(jù)的主觀特性通常情況下比較顯著，因此需要信息化處理云環(huán)境中存在的信任證據(jù)[9]，云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法引入主觀因素對用戶行為信任證據(jù)的等級進(jìn)行劃分。

2.2 綜合信任值

云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法利用更新后的數(shù)據(jù)，對用戶行為信任證據(jù)的綜合信任值進(jìn)行計算，具體過程如下：

根據(jù)用戶在云環(huán)境中的交往歷史，計算用戶的直接信任值Direct＿trust(x，y，n，b)

Direct＿trust(x，y，n，b)

(3)

式中，Mutual＿trust(x，y，n′，b′)代表交互雙方在背景b′下、時段n′內(nèi)產(chǎn)生的交互信任值；I(b)在區(qū)間[0，1]內(nèi)取值，代表背景對應(yīng)的重要度；f(n)代表時間衰減函數(shù)；變量flag表示交互實體之間在云環(huán)境中是否存在交互記錄，當(dāng)變量flag的值為1時，表明交互實體之間在云環(huán)境中存在交互歷史，當(dāng)變量flag的值為0時，表明交互實體之間在云環(huán)境中不存在交互歷史[10]。

根據(jù)第三方推薦者在云環(huán)境中推薦實體所處的背景與當(dāng)前交易所處背景之間存在的相關(guān)性，利用下式對推薦信任值Indirect＿trust(x，y，n′，b′)進(jìn)行計算

Indirect＿trust(x，y，n′，b′)=

(4)

式中，S(x，yi)代表推薦信任關(guān)系下用戶的信任強度；當(dāng)變量flag的值為1時，表明推薦背景與第三方信任背景相似；當(dāng)變量flag的值為0時，表明推薦背景與第三方信任背景不相似[11]。

云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法通過三種因素的聚合值對信譽值Credit(y，n，b)進(jìn)行計算，即

Credit(y，n，b)=

(5)

式中，α、β、γ均代表權(quán)重因素；m、n、q均代表信譽推薦者在云環(huán)境中的數(shù)量；P＿trust(yi，n，b)代表第三方信譽推薦者yi在云環(huán)境下虛擬實驗室多域訪問過程中的可信度；F＿view(yi，y)、S＿view(yj，y)、T＿view(yk，y)均代表信譽看法。

針對不同的信任關(guān)系，云環(huán)境中的用戶存在不同程度的偏重，在不同影響方面中用戶的側(cè)重程度可以通過權(quán)重因子體現(xiàn)，設(shè)Ttotal(x，y，n，b)代表綜合信任值，可通過下式計算得到

Ttotal(x，y，n，b)=w1Direct＿trust(x，y，n，b)

+w2Indirect＿trust(x，y，n′，b′)+w3Credit(y，n，b)

(6)

式中，w1、w2、w3分別代表直接信任值Direct＿trust(x，y，n，b)、推薦信任值Indirect＿trust(x，y，n′，b′)和信譽值Credit(y，n，b)對應(yīng)的權(quán)重因子。

3 訪問權(quán)限控制算法的實現(xiàn)

根據(jù)上述過程計算得到的綜合信任值獲得信任度，并計算信任度的值，當(dāng)信任度不為0時，表明該節(jié)點在云環(huán)境中屬于正常節(jié)點，當(dāng)信任度為0時，表明該節(jié)點在云環(huán)境中沒有服務(wù)貢獻(xiàn)，此時云環(huán)境停止為該節(jié)點提供相關(guān)資源。節(jié)點的需求度在信任度更新的情況下也應(yīng)該進(jìn)行更新，使資源在云環(huán)境中可以合理、公平地提供給更多的節(jié)點[12]。

1)直接信任更新

圖1 直接信任更新

2)推薦信任更新

節(jié)點i在云環(huán)境中與節(jié)點j交互之前，還向其它節(jié)點發(fā)送了請求消息，因此需要更新推薦節(jié)點對應(yīng)的推薦信任。

(7)

相似度在區(qū)間[0，1]內(nèi)取值，其值接近1時，表明針對節(jié)點j的反饋評價值和節(jié)點i的推薦，推薦節(jié)點p的相似度較高，此時的推薦質(zhì)量高。

云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法更新推薦信任值的過程如圖2所示。

圖2 推薦信任值更新

其中，μ代表相似度對應(yīng)的極限值。

3)信任及需求向量更新

(8)

云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法更新信任向量和需求向量的流程如圖3所示。

圖3 信任向量和需求向量更新

4)訪問權(quán)限控制

云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法結(jié)合訪問控制機制和信任機制，實現(xiàn)訪問權(quán)限的控制。在云環(huán)境下為新加入的用戶分配相應(yīng)的初始信任級，針對用戶信任級采用綜合信任值計算結(jié)果進(jìn)行調(diào)整，并對直接信任、推薦信任和信任向量及需求向量進(jìn)行更新，利用綜合信任值對用戶權(quán)限進(jìn)行調(diào)整，實現(xiàn)訪問權(quán)限控制，具體流程如圖4所示。

圖4 訪問控制流程

4 實驗與分析

為了驗證云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法的整體有效性，需要對云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法進(jìn)行測試。采用云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法對用戶信任級別進(jìn)行計算，并將計算結(jié)果與實際信任值進(jìn)行對比，測試結(jié)果如圖5所示。

圖5 信任值計算結(jié)果

分析圖5中的數(shù)據(jù)可知，所提算法計算得到的信任級別與實際信任值相符，表明所提算法可準(zhǔn)確地計算到用戶行為信任證據(jù)的綜合信任值，因為該算法實時對獲取的行為信任證據(jù)進(jìn)行更新，提高了綜合信任值計算結(jié)果的精度，利用高精度的信任值對實驗室多域訪問權(quán)限進(jìn)行控制，提高了算法的有效性。

將訪問成功率和云服務(wù)成功率作為測試指標(biāo)，對云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法(算法1)、基于大數(shù)據(jù)分析技術(shù)的訪問權(quán)限控制算法(算法2)和基于屬性加密的權(quán)限訪問控制算法(算法3)進(jìn)行測試，測試結(jié)果如圖6所示。

圖6 不同方法的訪問成功率

圖7 不同方法的云服務(wù)成功率

分析圖6和圖7中的實驗數(shù)據(jù)可知，算法1的訪問成功率和云服務(wù)成功率均遠(yuǎn)遠(yuǎn)高于算法2和算法3的訪問成功率和云服務(wù)成功率，表明算法1的訪問權(quán)限控制效果較好，這是因為算法1對獲取的信任數(shù)據(jù)進(jìn)行更新，利用實時數(shù)據(jù)計算綜合信任度，確保綜合信任度的實時性和準(zhǔn)確性，根據(jù)計算結(jié)果對用戶權(quán)限進(jìn)行控制，提高了用戶在云環(huán)境下的訪問成功率和云服務(wù)成功率，提高了控制結(jié)果的精準(zhǔn)度。

5 結(jié)論

用戶可以通過云計算技術(shù)在網(wǎng)絡(luò)中獲取服務(wù)資源，獲取的資源通常具有可擴展性和虛擬化的特點，云計算在發(fā)展過程中也面臨一些安全挑戰(zhàn)，為確保用戶在云環(huán)境中安全地實現(xiàn)與服務(wù)端之間的信息交互，需保障云計算環(huán)境的可信性，保障云計算安全有效方法之一即為訪問控制技術(shù)。目前訪問權(quán)限控制算法存在訪問成功率低、云服務(wù)成功率低的問題，提出云環(huán)境下虛擬實驗室多域訪問權(quán)限控制算法。根據(jù)用戶行為信任度在云環(huán)境中對用戶訪問虛擬實驗室的權(quán)限進(jìn)行調(diào)整，實現(xiàn)訪問權(quán)限的控制，提高了訪問成功率和云服務(wù)成功率，為云計算技術(shù)的發(fā)展奠定了基礎(chǔ)。