陳彥竹，郝天曙

(南京郵電大學(xué) 計算機(jī)學(xué)院，江蘇 南京 210003)

基于角色信任度動態(tài)監(jiān)控的訪問控制研究

陳彥竹，郝天曙

(南京郵電大學(xué) 計算機(jī)學(xué)院，江蘇 南京 210003)

安全訪問控制是云計算安全領(lǐng)域中一個迫切需要解決的問題，其中在用戶登入系統(tǒng)后，實施合理的動態(tài)監(jiān)控用戶行為以確保資源安全是當(dāng)前研究的熱點。傳統(tǒng)的訪問控制策略已經(jīng)不能滿足現(xiàn)在的安全需求，單一地將用戶和角色進(jìn)行關(guān)聯(lián)，并不能全面地反映用戶的安全屬性，也無法實時獲取用戶的行為。因此，提出了一種基于信任度評估和行為級別評估的訪問控制模型。該模型的信任管理考慮了用戶的跨域操作，結(jié)合用戶的初始信用度、歷史信用度和域間參考信用度進(jìn)行綜合評價，在信用度累積過程中，系統(tǒng)會根據(jù)用戶的當(dāng)前信用度，動態(tài)賦予用戶不同的信用度加成，同時監(jiān)控用戶行為，根據(jù)用戶行為級別，更改監(jiān)控時間片。通過實驗分析證明，該模型在安全訪問控制上，更加細(xì)粒度，更加安全可靠，實時性更好。

訪問控制；綜合信用度；行為級別；跨域；細(xì)粒度

0 引 言

云計算[1]是基于并行計算、分布式計算和網(wǎng)格計算發(fā)展起來的，主要特點是超大規(guī)模，擴(kuò)展性強(qiáng)，高可用性，虛擬化及按需服務(wù)，等等。云環(huán)境中，所有資源都整合到了云中，用戶可以動態(tài)申請云中的資源和服務(wù)[2]。云安全授權(quán)用戶的非法行為和非法用戶的惡意操作會威脅云中資源[3]。所以，必須要對用戶進(jìn)行安全認(rèn)證，行為監(jiān)控并根據(jù)用戶訪問控制模型進(jìn)行評估，從而確保資源的安全性。

訪問控制一直是云計算領(lǐng)域中長期需要解決的難題[4]。訪問控制的實質(zhì)就是對于所有資源設(shè)置一定策略的授權(quán)訪問，使得資源在合法范圍內(nèi)被用戶訪問和操作。在傳統(tǒng)的訪問控制中，用戶通過獲得某種角色而獲取相應(yīng)權(quán)限進(jìn)行訪問，很好地解決了集中式環(huán)境下的訪問控制。但是隨著云計算的飛速發(fā)展和分布式場景的廣泛引用，以前的相對靜態(tài)的或者相對封閉的網(wǎng)絡(luò)環(huán)境已經(jīng)越來越少，逐步向開放式發(fā)展，用戶頻繁登入和退出，且用戶身份不固定，因此對于訪問控制策略的研究提出了更高要求。目前常見的控制策略有兩種：基于角色的訪問控制和基于屬性的訪問控制。當(dāng)下絕大部分研究都是在這兩種策略上進(jìn)行提升和優(yōu)化，其中一種比較熱門的是在訪問控制策略中引入“信任度”的概念。Blaze等[5]通過對主客體之間的信任度和安全策略之間的聯(lián)系進(jìn)行評定，闡述了“信任管理”的概念。

在研究分析現(xiàn)有訪問控制策略的基礎(chǔ)上，基于角色信任度的訪問控制機(jī)制，提出了一種基于信任度動態(tài)監(jiān)控的訪問控制方法，并通過實驗對其進(jìn)行驗證。

1 相關(guān)工作

1.1傳統(tǒng)訪問控制

(1)自主訪問控制(DAC)。

用戶可以對自己創(chuàng)建的資源進(jìn)行訪問，也可以授權(quán)其他用戶訪問這些資源并撤銷其授予其他用戶的權(quán)限。優(yōu)點是用戶可以靈活地提供資源訪問控制權(quán)限，便于實施有效的授權(quán)管理；缺點是由于系統(tǒng)管理員無法考慮到所有的用戶和資源權(quán)限之間的關(guān)聯(lián)關(guān)系，因此安全性較低。

(2)強(qiáng)制訪問控制(MAC)。

將系統(tǒng)中的資源按級別或類型進(jìn)行管理，資源會被標(biāo)記上允許被哪些用戶訪問，也就是要求用戶強(qiáng)制服從系統(tǒng)的訪問控制策略。所有的主客體都由系統(tǒng)管理員來定義其安全屬性，并且主體自身無法更改自身的安全屬性。該策略無法適用于分布式系統(tǒng)環(huán)境，在靈活性和授權(quán)管理上也有些許欠缺。

(3)基于角色的訪問控制(RBAC)。

核心思想為將權(quán)限和角色進(jìn)行關(guān)聯(lián)，通過對用戶的評估和分析，賦予用戶不同的角色，從而使得用戶擁有不同的資源操作權(quán)限。一個用戶可以獲得多個角色，用戶和角色是多對多的關(guān)系。RBAC主要解決了who，what，how的問題，權(quán)限授權(quán)的用戶對于什么資源具有怎樣的操作權(quán)限。MAC和DAC主要存在的缺陷是將主客體綁定在了一起，當(dāng)數(shù)量級很大時，授權(quán)工作會非常困難，而RBAC把資源的訪問權(quán)交給了角色來做，簡化了授權(quán)管理。

1.2信任度

信任度[6]用來表示服務(wù)提供方或資源擁有者對于申請訪問控制的用戶的綜合評價，這種信任度值隨著用戶的操作時間、當(dāng)前行為、歷史行為以及上下文[7]等因素的改變而改變。信任的評估一般有兩種：身份認(rèn)證和行為評估。身份認(rèn)證一般用來驗證用戶的真實身份以及用戶的安全級別，在傳統(tǒng)的訪問控制中一般只考慮身份認(rèn)證。在認(rèn)證通過后，用戶就可以根據(jù)訪問控制策略來對資源進(jìn)行操作，系統(tǒng)會根據(jù)用戶的行為來判斷其操作是否合法，以此來提高信任監(jiān)控的實時性。

1.3訪問控制研究

Barker等[8]研究的基于身份認(rèn)證的訪問控制策略，是通過計算和評定用戶當(dāng)前行為和歷史行為，來判決其是否滿足請求訪問的條件。雖然該方法有較好的行為分析，但是其動態(tài)監(jiān)控能力一般，判決的實時性不強(qiáng)。趙明斌等[9]提出了在傳統(tǒng)RBAC上加入時態(tài)約束的基于角色的訪問控制模型，通過加入主體這一角色，在主體和客體屬性之間添加可變機(jī)制，增加靈活性，并在醫(yī)療系統(tǒng)中得到應(yīng)用。但是該模型只是在傳統(tǒng)的訪問控制中進(jìn)行了改進(jìn)，忽略了信任對于訪問控制的影響，并沒有很好地解決云計算安全服務(wù)問題。吳慧等[10]提出在云環(huán)境下的動態(tài)模型中加入信任元素，提高了節(jié)點之間交互的安全性，改進(jìn)了惡意節(jié)點的懲罰策略，增大了懲罰力度，有效提高了訪問資源的安全性。但該模型僅僅在關(guān)系信任模型上簡單地引入了服務(wù)質(zhì)量，單一地用信任度進(jìn)行判別。吳明峰[11]在其信任模型中，同樣是使用信任度評估，不同的是將信任度作為模型的二級訪問監(jiān)控，通過信任度比較來決定是否可以被授權(quán)，實現(xiàn)了訪問控制的統(tǒng)一管理。但該模型信任度評估的主觀性太強(qiáng)，單純用信任度作為判斷訪問控制的唯一條件，沒有全面考慮資源訪問的安全性。劉武等[12]對于基于角色的訪問控制模型進(jìn)行了進(jìn)一步提升，在Blaze的信任管理的思想上，提出了角色和信任相關(guān)聯(lián)的訪問控制策略。該策略從實際應(yīng)用出發(fā)，綜合考慮了結(jié)合多種信用屬性，提升訪問控制的靈活性，細(xì)化權(quán)限和信任度的關(guān)系，使得用戶授權(quán)更加合理安全。宋國峰等[13]提出一種基于信任動態(tài)監(jiān)控的模型，主要是監(jiān)控用戶行為，通過AHP這種模糊矩陣來描述用戶行為和信任度之間的關(guān)系，實現(xiàn)通過信用級別來授予不同級別的系統(tǒng)服務(wù)的訪問策略。鹿晨等[14]研究的基于信任度動態(tài)訪問控制模型中，兼顧歷史和當(dāng)前信用度，將兩者進(jìn)行加權(quán)運(yùn)算得到綜合信用度，這種策略可能會受到用戶通過信用度累加來進(jìn)行欺騙行為的威脅。但上述策略沒有考慮到跨域訪問和域間信任度推薦的影響。謝四江等[15]通過對現(xiàn)有的域間訪問的安全性問題分析，提出了一種基于信任等級的域間訪問策略，利用信任評級，平臺信任度和域間信任度來制定域間訪問控制策略，但是并未提出具體的實現(xiàn)過程。

為了進(jìn)一步完善訪問控制策略，文中提出了一種新的訪問控制策略，實施雙標(biāo)準(zhǔn)監(jiān)控，在監(jiān)控信用度的同時監(jiān)控用戶行為安全級別，對于信任度累積計算更加細(xì)?；谧罱K計算時，還考慮了域間訪問的信用度參考價值，使得信用度計算更加精確。

2 訪問控制策略研究

在云計算環(huán)境下，用戶登錄系統(tǒng)后，系統(tǒng)根據(jù)用戶信用度確定是否有權(quán)限對資源進(jìn)行操作，操作過程中，系統(tǒng)會動態(tài)監(jiān)控用戶行為并計算實時信用度，每次操作完成后，根據(jù)初始信用度、域間參考信任度和歷史信任度計算用戶的最終信用度。

2.1域間訪問控制

考慮到同一用戶在不同的域之間的操作，有一定的關(guān)聯(lián)性和參考價值，所以根據(jù)區(qū)域之間系統(tǒng)環(huán)境和訪問策略的相似度分析，得出域間相關(guān)性，將其存放在數(shù)據(jù)庫表單中，當(dāng)進(jìn)行跨域訪問和域間推薦信任度計算時，查詢數(shù)據(jù)庫中域間關(guān)系進(jìn)行計算。假設(shè)現(xiàn)有域A，域B，域C，域D，域E，域A和域B，C，D，E之間的相似度值Treg(ni)分別為0.9，0.5，0.7和0。相似度值表明域A和域B之間的環(huán)境相似度很高，而域A和域E之間的相似度為0，即用戶在域E中的操作對用戶在域A中的操作沒有參考性。假設(shè)用戶已經(jīng)在域A以外的域進(jìn)行過資源的訪問控制，那么用戶在該域中便有了歷史信用度historyT(u)，用戶要在域A中進(jìn)行信任度計算，除了在首次登入域A時獲得的初始信用度initT(u)、歷史信用度historyT(u,reg)外，還有來自用戶在其他域中的信用度通過域間信任度關(guān)系計算所得的參考信用度：

(1-θ)historyT(u,reg)Treg(ni))/n,

θ∈(0,1)

(1)

其中，initT(u,reg)表示用戶在其他域中的初始信任度；historyT(u,reg)表示用戶在其他域中的歷史信任度。通過加權(quán)和域間信任度關(guān)系計算出用戶在域A中的參考信任度。

2.2信任度計算及行為級別判定

每個首次登入云中的用戶，系統(tǒng)會根據(jù)該用戶的用戶信息和系統(tǒng)安全的關(guān)聯(lián)度R(i,s)，用戶權(quán)限和系統(tǒng)安全的關(guān)聯(lián)度R(p,s)以及用戶環(huán)境和系統(tǒng)安全的關(guān)聯(lián)度R(e,s)進(jìn)行加權(quán)計算，得出用戶首次登入的初始信用度，即用戶的默認(rèn)初始信用度：

(2)

用戶第一次登入進(jìn)行訪問控制后會產(chǎn)生首個歷史信用度：

(3)

表1 監(jiān)控時間片和行為信任度加權(quán)值與用戶行為關(guān)系表

系統(tǒng)動態(tài)監(jiān)控用戶的行為和用戶信用度的實時數(shù)據(jù)，操作正常且當(dāng)前信任度等于初始信用度時，監(jiān)控頻率為默認(rèn)時間片T0；當(dāng)信用度大于初始值時，監(jiān)控時間片變?yōu)門1；發(fā)生低危操作和高危操作時，監(jiān)控時間片分別為T2和T3(T0>T1>T2>T3)。

用戶在首次操作完成后進(jìn)行用戶最終信用度計算：

finalT(u)=WinitinitT(u)+Whistoryhistory_fT(u)+WreferencereferenceT(u)

(4)

其中，Whistory，Wreference，Winit分別表示歷史信用度、推薦信用度、初始信用度在計算最終信用度中的權(quán)重，三者關(guān)系為Whistory>Wreference>Winit，首次計算最終信用度時，歷史信用度為0，即history_fT(u)=0，若無其他域歷史操作，參考信譽(yù)度referenceT(u)=0。

此后，每次用戶登錄都會驗證上次用戶操作完成的最終信用度finalT(u)來判斷用戶是否有操作資源的權(quán)限或者是否能激活用戶角色。最終歷史信用度為：

(5)

其中，finalT(u)'表示前一次操作的最終信任度；historyT(u)表示此次操作的歷史信用度；thistory表示訪問操作的歷史時間；tcurrent表示用戶登入到退出操作的總時間。權(quán)重大小關(guān)系為Whistory>Wreference>Winit，Whistory+Wreference+Winit=1。一般用戶登入的初始信用度initT(u)∈(0.9,1.1)，系統(tǒng)實時監(jiān)控用戶的行為同時計算更新historyT(u)，判斷其是否高于信用度閾值的最小值，一旦小于會強(qiáng)制用戶退出，規(guī)定信用度閾值在區(qū)間[0.5,1.5]內(nèi)。

為了提高安全性，防止惡意用戶做信用度累計的欺騙操作，模型設(shè)置了雙標(biāo)準(zhǔn)監(jiān)控，同時監(jiān)控用戶的當(dāng)前信用度和實時判別用戶的行為級別。正如表1所述，所有危險操作對于信用度衰減的力度都大于安全操作，這樣可以有效防止惡意用戶利用安全操作累計信用度，在信用度達(dá)到最高值后進(jìn)行惡意操作。由此，系統(tǒng)設(shè)置了實時判別用戶的行為級別來保證系統(tǒng)安全，即使之前所有的操作都是安全的，用戶的信用度達(dá)到最高的1.5，一旦當(dāng)前的行為級別為高危級別，會立刻被強(qiáng)制退出系統(tǒng)，并且重新計算和保存最終歷史信用度。

2.3基于信任度動態(tài)監(jiān)測的策略流程

訪問控制方法主要在三個方面進(jìn)行改進(jìn)：

(1)對于信用度進(jìn)行動態(tài)監(jiān)控和計算，并且在行為信用度加權(quán)值的設(shè)置上遵循信用度累計慢，威脅操作信用度損耗快的原則；

(2)考慮用戶的域間操作，并記錄多個域之間操作的信用度，為其他域的訪問控制操作提供參考信用度；

(3)在模型中增加對用戶行為進(jìn)行實時判別，以防止惡意用戶通過信用度累計來進(jìn)行欺騙行為，對資源實施惡意操作。

具體的系統(tǒng)操作流程如圖1所示。

圖1 系統(tǒng)操作流程

(1)用戶通過賬戶和密碼登錄系統(tǒng)，系統(tǒng)通過認(rèn)證，賦予用戶對應(yīng)的角色、權(quán)限、token令牌，以及資源的訪問地址endpoint。

(2)系統(tǒng)收集用戶的信用度，即finalT(u)，判斷信用度是否滿足安全的信用度閾值。若不滿足，系統(tǒng)拒絕提供服服務(wù)，強(qiáng)制用戶退出；若滿足，允許數(shù)據(jù)進(jìn)行資源操作。

(3)系統(tǒng)動態(tài)監(jiān)控用戶行為：動態(tài)計算用戶的信用度和實時監(jiān)控用戶的行為級別，如圖2所示。

圖2 系統(tǒng)動態(tài)監(jiān)控用戶行為流程

(4)用戶當(dāng)前信用度在有效閾值內(nèi)且用戶行為級別滿足系統(tǒng)要求，回到第三步。

(5)用戶當(dāng)前信用度或用戶行為級別任何一個不滿足條件，記錄信任度并強(qiáng)制退出系統(tǒng)。

3 實驗與分析

服務(wù)器操作系統(tǒng)為redhat7.0，搭載OpenStack juno版本，控制節(jié)點使用主備環(huán)境，使用pacemake/corosync配置系統(tǒng)高可用集群環(huán)境，保證系統(tǒng)的高可靠性。系統(tǒng)存儲使用網(wǎng)絡(luò)文件系統(tǒng)NFS。不同的存儲表示不同的域。系統(tǒng)結(jié)構(gòu)如圖3所示，存儲節(jié)點可根據(jù)需求不斷擴(kuò)展。

圖3 實驗環(huán)境

用戶登錄系統(tǒng)時，利用OpenStack自身的keystone組件進(jìn)行安全認(rèn)證，以保證系統(tǒng)的安全性。假設(shè)用戶A成功登陸后，系統(tǒng)會根據(jù)用戶A的特性賦予其初始信用度initT(u)，此時用戶A可以開始進(jìn)行資源的訪問操作。

實驗1場景：用戶A在成功登陸后獲得初始信用度initT(u)=1，此前用戶A的信用度finalT(u)'=0.92，略低于初始信用度，登入系統(tǒng)后先執(zhí)行安全操作，做信用度累計，隨后進(jìn)行欺騙行為來執(zhí)行低危操作，用戶一直使用低危操作，并沒有對資源造成直接威脅。

傳統(tǒng)信用度計算方法：在安全操作的前提下，用戶信任度小于初始值時，信任度計算加成取固定的1.1，累計達(dá)到上限1.5便不再累計，危險操作的計算加成為固定的0.9，信任度小于閾值0.5，強(qiáng)制用戶退出系統(tǒng)。

計算方法：在安全操作的前提下，用戶信任度小于初始值時，信任度計算加成取固定的1.05，當(dāng)信用度達(dá)到初始值后，加成提高到正常的1.1，延緩信用度加成；相反對于危險操作也是一樣，當(dāng)行為定義在低危操作范疇內(nèi)，危險性越高的操作，加權(quán)值越低。

圖4是兩種策略的信任度值的變化情況。文中方法的特點是以更細(xì)粒度進(jìn)行信用度計算，實現(xiàn)信用度累計慢、衰減快的特點，提高安全性。

圖4 實驗1對比

實驗2場景：剛開始和實驗1一樣，initT(u)=1， finalT(u)'=0.92，略低于初始信用度，登入系統(tǒng)后先進(jìn)行安全操作，做信用度累計，再進(jìn)行欺騙行為來執(zhí)行低危操作，用戶剛開始進(jìn)行了兩次低危操作，隨后是高危操作直接威脅資源的安全。

傳統(tǒng)信用度計算方法如場景一所述。

文中方法：在動態(tài)監(jiān)控用戶行為級別時，低危行為依然可以做信任度計算和評價，但是一旦判別是高危行為，直接強(qiáng)制用戶退出。

圖5比較了是否有用戶行為級別監(jiān)控情況下的不同。在傳統(tǒng)的策略上增加了用戶行為級別監(jiān)控，在發(fā)生高危操作時，傳統(tǒng)方法仍然在進(jìn)行信用度計算，等待低于信任度下限閾值才強(qiáng)制終止用戶行為。而文中模型一旦評定行為是高危行為，直接強(qiáng)制用戶退出，實時性和安全性都更高。

圖5 實驗2對比

4 結(jié)束語

隨著云計算的快速發(fā)展，傳統(tǒng)的基于角色訪問控制策略已經(jīng)不能滿足現(xiàn)在的安全需求。因此，文中提出一種基于角色信任度動態(tài)監(jiān)控的訪問控制模型。實驗結(jié)果表明，該模型在一定程度上提高了網(wǎng)絡(luò)系統(tǒng)的安全性，可通過用戶粒度細(xì)化解決基于角色的傳統(tǒng)方法遇到的問題，有效提升了系統(tǒng)監(jiān)控的實時性，并較好地解決了用戶通過信任度累計進(jìn)行欺騙行為的問題。

[1] 李 喬,鄭 嘯.云計算研究現(xiàn)狀綜述[J].計算機(jī)科學(xué),2011,38(4):32-37.

[2] 陳 全,鄧倩妮.云計算及其關(guān)鍵技術(shù)[J].計算機(jī)應(yīng)用,2009,29(9):2562-2567.

[3] 馬 威，韓 臻，成 陽.可信云計算中的多級管理機(jī)制研究[J].信息網(wǎng)絡(luò)安全，2015(7)：20-25.

[4] Ren K，Wang C，Wang Q.Security challenges for the public cloud[J].IEEE Internet Computing，2012,16(1):69-73.

[5] Blaze M，F(xiàn)eigenbaum J，Lacey J.Decentralized trust management[C]//Proceedings of 17th symposium on security and privacy.Washington,DC,USA:IEEE,1996.

[6] Li M，Wang H，Ross D.Trust-based access control for privacy protection in pervasion computing systems[C]//IEEE international conference on e-business engineering.[s.l.]:IEEE，2009:425-430.

[7] Kulkarni D,Tripathi A.Context-aware role-based access control in pervasive computing systems[C]//Proceedings of the 13th ACM symposium on access control models and technologies.[s.l.]:ACM,2008:113-122.

[8] Barker S，Sergot M J，Wijesekera D.Status-based access control[J].ACM Transactions on Information and System Security，2008，12(1):1-47.

[9] 趙明斌,姚志強(qiáng).基于RBAC的云計算訪問控制模型[J].計算機(jī)應(yīng)用,2012,32:267-270.

[10] 吳 慧,于 炯,于斐然.云計算環(huán)境下基于信任模型的動態(tài)級訪問控制[J].計算機(jī)工程與應(yīng)用,2012,48(23):102-106.

[11] 吳明峰.基于屬性和信任評估的服務(wù)計算安全模型研究[D].濟(jì)南:山東師范大學(xué),2013.

[12] 劉 武,段海新,張 洪,等.TRBAC:基于信任的訪問控制模型[J].計算機(jī)研究與發(fā)展,2011，48(8):1414-1420.

[13] 宋國峰，梁昌勇.一種基于用戶行為信任的云安全訪問控制模型[C]//第十五屆中國管理科學(xué)學(xué)術(shù)年會論文集(下).北京：中國優(yōu)選發(fā)統(tǒng)籌與經(jīng)濟(jì)數(shù)學(xué)研究會，2013:669-676.

[14] 鹿 晨,倪建成.一種基于信任度的動態(tài)訪問控制模型T-DARBAC[J].電子技術(shù),2015(9):37-40.

[15] 謝四江，查雅行，池亞平.一種基于可信等級的安全互操作模型[J].計算機(jī)應(yīng)用研究，2012，29(5):1922-1925.

ResearchonAccessControlofDynamicMonitoringwithRoleTrustrank

CHEN Yan-zhu，HAO Tian-shu

(College of Computer,Nanjing University of Posts and Telecommunications,Nanjing 210003,China)

Security access control is an urgent issue to be solved in the field of cloud computing security,in which implementing reasonable dynamic monitoring users’ activity to ensure the security of resources after logging in the system is the hot issue of current investigation.The traditional access control policy can’t satisfy the current security requirements,just integrating roles with users can’t fully reflect the users’ security attributes,and can’t obtain the users’ behavior in real time.Therefore,a kind of access control model based on the evaluation of trust rank and assessment of behavior rating is put forward.Its trust management takes the cross-domain operation of the users into account,and combines the users’ initial trust,historical trust and cross-domain reference trust for evaluation.During the process of accumulating trust,the system dynamically assigns different trust degrees to users according to their current trust.Meanwhile,the system monitors the users’ behavior,and the monitoring time slice changes with user behavior level.The experimental analysis proves that it is more fine-grained,more reliable,safer and better real-time in security access control.

access control;comprehensive trust degree;behavior level;cross-domain;fine-grained

TP31

A

1673-629X(2017)10-0106-05

2016-11-17

2017-03-09 < class="emphasis_bold">網(wǎng)絡(luò)出版時間

時間：2017-07-19

教育部專項研究項目(2013116)

陳彥竹(1988-)，男，碩士研究生，研究方向為云計算、訪問控制。

http://kns.cnki.net/kcms/detail/61.1450.TP.20170719.1112.066.html

10.3969/j.issn.1673-629X.2017.10.023