馬星晨，朱建濤，邵 婧，劉明達(dá)

(江南計(jì)算技術(shù)研究所，江蘇 無錫 214083)

0 引 言

訪問控制技術(shù)是保障信息安全的重要防護(hù)措施，用來檢驗(yàn)主體是否有合法的權(quán)限來訪問恰當(dāng)?shù)目腕w。傳統(tǒng)的訪問控制模型包括自主訪問控制模型(DAC)、強(qiáng)制訪問控制模型(MAC)以及基于角色的訪問控制模型(RBAC)等[1-2]?；趯傩缘脑L問控制模型(attribute-based access control，ABAC)于2005年由Eric Yuan和Jin Tong提出[3]。通過不同的屬性或?qū)傩越M[4]來描述真實(shí)場(chǎng)景中出現(xiàn)的實(shí)體，通過基于屬性的邏輯語義描述復(fù)雜的訪問控制策略。將傳統(tǒng)訪問控制模型中的身份、角色等信息，以屬性的方式抽象出來，以便更加細(xì)粒度地制定訪問策略，貼近真實(shí)場(chǎng)景。

在ABAC模型的基礎(chǔ)上，文獻(xiàn)[5]使用本體一致性推理對(duì)現(xiàn)有ABAC授權(quán)框架進(jìn)行擴(kuò)展，即通過對(duì)本體知識(shí)庫(kù)的一致性檢測(cè)來判斷策略的一致性，提升了策略的可信性及模型的自愈能力。文獻(xiàn)[6]設(shè)計(jì)了一種具備通用性的Web服務(wù)訪問控制模型，使用Browser/Artifact的身份認(rèn)證授權(quán)方式，最終由認(rèn)證服務(wù)器通過聲明判斷用戶身份是否合法。文獻(xiàn)[7-9]同樣采用集中式?jīng)Q策或有中心的分布式?jīng)Q策支持系統(tǒng)對(duì)主體是否可以訪問客體進(jìn)行授權(quán)決策。

以上模型雖然都對(duì)基于屬性的訪問控制模型在效率和安全性上做了提升，但仍然在一定程度上將決策的正確性和可信性寄托于決策中心或中心策略庫(kù)是否安全，缺乏對(duì)策略庫(kù)的保護(hù)以及無法保證在策略庫(kù)進(jìn)行更新時(shí)的安全問題；且沒有考慮到不同節(jié)點(diǎn)間的個(gè)性化差異；在主體對(duì)客體的訪問行為發(fā)生后，不能做到對(duì)訪問記錄的防偽造和防抵賴。

隨著網(wǎng)絡(luò)服務(wù)形態(tài)的多元化，去中心化網(wǎng)絡(luò)模型越來越清晰[10]，而從比特幣衍生出的區(qū)塊鏈技術(shù)又將去中心化的思想提升到了前所未有的高度。在去中心化的網(wǎng)絡(luò)中，任何參與者均可提交內(nèi)容，由整個(gè)網(wǎng)絡(luò)的參與者共同進(jìn)行內(nèi)容協(xié)同創(chuàng)作和貢獻(xiàn)。每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)都可以自成中心或具有中心的一切功能，從而避免了由中心決定節(jié)點(diǎn)而帶來的安全隱患。

基于上述分析，為了更好地提升基于屬性的訪問控制模型的安全性，且滿足分布式網(wǎng)絡(luò)環(huán)境下的應(yīng)用條件[11-12]，文中提出了一種基于屬性的去中心化訪問控制模型(DABAC)，并對(duì)該模型的設(shè)計(jì)思想、運(yùn)行原理和性能進(jìn)行了詳細(xì)描述和分析。

1 基于屬性的去中心化訪問控制模型

1.1 模型設(shè)計(jì)思想

為滿足現(xiàn)有復(fù)雜網(wǎng)絡(luò)環(huán)境下的訪問控制模型需要具有靈活配置、貼近真實(shí)應(yīng)用等特點(diǎn)，文中研究的DABAC模型與同類別的訪問控制模型相比，具有以下特點(diǎn)：

(1)采用去中心化思想設(shè)計(jì)的DABAC訪問控制模型，所有參與的節(jié)點(diǎn)都持有訪問記錄和策略的副本，并在網(wǎng)絡(luò)中保持同步更新，即使有一定數(shù)量的節(jié)點(diǎn)受損，也不會(huì)影響整個(gè)系統(tǒng)的正常運(yùn)行。同時(shí)，由于所有節(jié)點(diǎn)共同維護(hù)著相同的策略集和訪問記錄，使得所有節(jié)點(diǎn)都可以對(duì)整個(gè)系統(tǒng)中的操作進(jìn)行監(jiān)督。

(2)采用基于權(quán)益證明[13]的去中心化方式來保證群策結(jié)果的可信性。所有節(jié)點(diǎn)上主體對(duì)客體的訪問請(qǐng)求都會(huì)在全網(wǎng)范圍內(nèi)進(jìn)行表決。由于模型中權(quán)益與安全等級(jí)成正比，因此安全等級(jí)越高的節(jié)點(diǎn)的本地策略庫(kù)的安全性和可信性也越高，從而該類節(jié)點(diǎn)所給出的決策的可信性也就越高。

(3)訪問主體在被授權(quán)訪問時(shí)需要接受系統(tǒng)環(huán)境的驗(yàn)簽名，并使用私鑰對(duì)訪問記錄進(jìn)行數(shù)字簽名，通過疊加哈希的方法建立證據(jù)鏈條，以此杜絕其他訪問主體的冒名訪問，以及惡意訪問主體通過偽造其訪問記錄以抵賴已經(jīng)發(fā)生過的訪問行為。

1.2 相關(guān)概念和定義

基于屬性的去中心化訪問控制模型的主要功能模塊以及不同模塊和節(jié)點(diǎn)之間的應(yīng)用關(guān)系如圖1所示。其主要功能模塊有屬性認(rèn)證機(jī)構(gòu)(attribute authorities，AA)、策略執(zhí)行點(diǎn)(policy decision point，PEP)、策略決策點(diǎn)(policy decision point，PDP)和策略及存儲(chǔ)一致性檢查點(diǎn)(policy & storage coherence point，P&SCP)。

圖1 基于屬性的去中心化訪問控制模型

1.2.1 模型基本元素定義

DABAC模型由訪問主體、資源客體和操作三個(gè)對(duì)象組成，通過對(duì)訪問主體屬性、資源客體屬性、系統(tǒng)環(huán)境屬性集的構(gòu)建，按照對(duì)客體訪問的策略判定規(guī)則進(jìn)行判定，決定對(duì)主體的操作授權(quán)。

定義1(訪問主體subject)：訪問主體即對(duì)資源和被保護(hù)數(shù)據(jù)進(jìn)行訪問的實(shí)體。

定義2(資源客體resource)：資源客體為被動(dòng)實(shí)體，在整個(gè)訪問流程中處于被動(dòng)位置。

定義3(操作operate)：操作是指訪問主體對(duì)于資源客體的訪問行為，定義了主體對(duì)客體的具體訪問行為以及訪問類型。

定義4(訪問主體屬性SA)：在DABAC模型中，訪問主體屬性主要由用戶ID、訪問權(quán)限、生命周期和訪問歷史等組成。

定義5(客體資源屬性RA)：資源客體屬性主要由資源ID(文件名稱)、當(dāng)前狀態(tài)和安全等級(jí)組成。

定義6(系統(tǒng)環(huán)境屬性EA)：系統(tǒng)環(huán)境屬性主要由時(shí)間、安全等級(jí)和歷史記錄組成。

定義7(權(quán)益security_level)：節(jié)點(diǎn)所具有的安全等級(jí)即為該節(jié)點(diǎn)擁有的權(quán)益。

1.2.2 訪問策略規(guī)范

DABAC模型中使用去中心的方式進(jìn)行決策，其主要目的是通過提升模型決策的準(zhǔn)確性和可信性，保護(hù)資源客體的安全，防止其被非法訪問和使用。

利用SA、RA和EA分別表示訪問主體S、資源客體R和環(huán)境E的屬性賦值關(guān)系，且各個(gè)對(duì)象的屬性以集合的方式存在：

ATT(S)?SA1×SA2×…×SAn,1≤n≤N

ATT(R)?RA1×RA2×…×RAk,1≤k≤K

ATT(E)?EA1×EA2×…×EAm,1≤m≤M

基于DABAC模型構(gòu)建的訪問控制系統(tǒng)可以根據(jù)不同的應(yīng)用場(chǎng)景和訪問模式設(shè)定具體規(guī)則。其規(guī)則的具體表現(xiàn)形式為一個(gè)基于訪問主體(s)、資源客體(r)和系統(tǒng)環(huán)境(e)的布爾函數(shù)，即使用s、r和e，通過去中心化的表決方式來確定訪問主體S在系統(tǒng)環(huán)境E下是否可以訪問資源客體R，具體規(guī)則如下：

Rule:

canaccess(s,r,e)←fvote{flocal(ATT(S),ATT(R),ATT(E)),fdis(ATT(S),ATT(R),ATT(E))}

表決函數(shù)fvote的具體定義詳見1.4節(jié)。

由AA自動(dòng)分發(fā)或收集對(duì)象的屬性，根據(jù)不同策略的具體需要，將屬性按需帶入規(guī)則函數(shù)，由規(guī)則函數(shù)判斷訪問主體對(duì)資源客體訪問是否合法，并返回結(jié)果。

1.3 DABAC模型的決策流程

DABAC模型的完整決策流程如圖2所示。

圖2 DABAC模型的決策流程

其結(jié)構(gòu)和基本處理流程如下：

(1)由認(rèn)證機(jī)構(gòu)(AA)截獲訪問主體向?qū)傩园l(fā)送的訪問請(qǐng)求，并掛起訪問進(jìn)程，由AA根據(jù)訪問主體的ID號(hào)對(duì)其身份信息進(jìn)行判定及認(rèn)證，而后授予該訪問主體包含權(quán)限、生命周期、密鑰等相應(yīng)的屬性。

(2)AA在收到訪問主體的請(qǐng)求后，根據(jù)其申請(qǐng)的具體資源客體來收集該客體的屬性以及所處的環(huán)境屬性，并將收集到的屬性傳遞給策略判定點(diǎn)(PDP)。

(3)經(jīng)過AA認(rèn)證后，訪問主體將自己的屬性和訪問請(qǐng)求發(fā)送給策略執(zhí)行點(diǎn)(PEP)，由PEP傳遞給PDP。

(4)PDP在收到PEP和AA傳遞的訪問主體、資源客體和環(huán)境屬性后，將其按照統(tǒng)一格式封裝成XML文件。之后，向包括本地策略存儲(chǔ)點(diǎn)和其他(網(wǎng)絡(luò))策略存儲(chǔ)點(diǎn)發(fā)起請(qǐng)求，查詢與訪問條件相符的策略。

(5)收到請(qǐng)求的PQP根據(jù)自身權(quán)益進(jìn)行權(quán)益證明(證明過程詳見1.4)，完成證明后，再根據(jù)具體需求，在其所處節(jié)點(diǎn)的策略管理點(diǎn)(PAP)內(nèi)進(jìn)行行為比對(duì)；之后，將表決結(jié)果以True和False的形式返回給發(fā)送原始請(qǐng)求節(jié)點(diǎn)的表決器(VOTER)。若證明過程超時(shí)，則不進(jìn)行表決。

(6)VOTER根據(jù)該節(jié)點(diǎn)設(shè)定的關(guān)門時(shí)間內(nèi)返回的所有結(jié)果進(jìn)行綜合判定，對(duì)訪問請(qǐng)求進(jìn)行最終決策，將訪問決策結(jié)果發(fā)送給策略及一致性檢查點(diǎn)(P&SCP)，由P&SCP將決策結(jié)果封裝為歷史記錄的格式存儲(chǔ)在本地存儲(chǔ)點(diǎn)，并向網(wǎng)絡(luò)節(jié)點(diǎn)的P&SCP發(fā)送存儲(chǔ)請(qǐng)求。待收到所有網(wǎng)絡(luò)節(jié)點(diǎn)的P&SCP存儲(chǔ)確認(rèn)后，將結(jié)果返回給本地PEP，否則將繼續(xù)廣播，直至收到所有回復(fù)。

(7)PEP根據(jù)PDP的返回結(jié)果通知訪問主體，若為拒絕，則直接拒絕訪問主體的請(qǐng)求，而后結(jié)束訪問進(jìn)程；若為同意，則停止進(jìn)程掛起，允許對(duì)資源客體訪問。

1.4 基于權(quán)益證明的去中心化群策方式

基于DABAC模型架構(gòu)的訪問控制系統(tǒng)基于權(quán)益證明(POS)的原理，采用本地表決和網(wǎng)絡(luò)表決相結(jié)合的方式對(duì)訪問主體的訪問請(qǐng)求進(jìn)行決策。該群策方法可以避免因核心節(jié)點(diǎn)即中心策略庫(kù)失效而導(dǎo)致的決策失敗，同時(shí)避免了因部分策略庫(kù)被篡改而導(dǎo)致的錯(cuò)誤決策。

在群策中引入“競(jìng)爭(zhēng)”機(jī)制，即網(wǎng)絡(luò)中的每一個(gè)節(jié)點(diǎn)都有機(jī)會(huì)根據(jù)其他節(jié)點(diǎn)的決策請(qǐng)求給出自己的表決結(jié)果，而是否得到表決權(quán)則需要通過“競(jìng)爭(zhēng)”獲得，通過此種方式進(jìn)行表決，使得網(wǎng)絡(luò)中不再需要設(shè)立一個(gè)中心節(jié)點(diǎn)，每一個(gè)節(jié)點(diǎn)都可以通過“競(jìng)爭(zhēng)”而成為進(jìn)行表決的“中心”?！案?jìng)爭(zhēng)”的過程即權(quán)益證明的過程，率先完成權(quán)益證明的節(jié)點(diǎn)才有機(jī)會(huì)在關(guān)門時(shí)間前給出自己的表決結(jié)果。由于權(quán)益證明的難易程度與節(jié)點(diǎn)自身的安全等級(jí)成反比，這樣使得處于高安全等級(jí)節(jié)點(diǎn)的策略庫(kù)將更快地給出表決結(jié)果，即在“競(jìng)爭(zhēng)”中獲勝。低安全等級(jí)的節(jié)點(diǎn)由于其自身的防護(hù)能力較差，該類節(jié)點(diǎn)的策略庫(kù)容易被惡意控制，因此最終給出的表決結(jié)果可信性較低，但由于該類節(jié)點(diǎn)進(jìn)行權(quán)益證明的時(shí)間較長(zhǎng)或無法完成證明，請(qǐng)求訪問決策的節(jié)點(diǎn)可以通過縮短關(guān)門時(shí)間而忽略該類節(jié)點(diǎn)所給出的表決結(jié)果。節(jié)點(diǎn)表決結(jié)果的安全由其自身的防護(hù)能力和權(quán)益證明的難易程度協(xié)同保障。

使用權(quán)益證明的方法如下：

Hash(Header)≤security_level×Reliability

其中，Reliability為節(jié)點(diǎn)的可靠性。該可靠性隨著該節(jié)點(diǎn)在群策過程中得出的結(jié)果與最終表決結(jié)果相一致的次數(shù)呈正比增加；Header可根據(jù)具體應(yīng)用情況進(jìn)行取值，可以是節(jié)點(diǎn)收到的訪問策略請(qǐng)求數(shù)據(jù)包的包頭。為保證權(quán)益證明的公平性，所有節(jié)點(diǎn)需以同樣的數(shù)值作為哈希運(yùn)算的起始數(shù)據(jù)；security_level是節(jié)點(diǎn)的安全等級(jí)。

如果散列結(jié)果不符合要求，則重新進(jìn)入下一個(gè)計(jì)算流程，直到散列結(jié)果符合要求或超時(shí)退出。

POS模式是以節(jié)點(diǎn)的安全等級(jí)和可靠性為基礎(chǔ)，通過競(jìng)爭(zhēng)表決機(jī)會(huì)和正確性，獲得獎(jiǎng)勵(lì)，用以進(jìn)一步提高節(jié)點(diǎn)的可靠性。獎(jiǎng)勵(lì)方程如下：

New_Reliability=Reliability+Reward

其中，Target可以根據(jù)模型的實(shí)際應(yīng)用情況做靈活調(diào)整。

在POS競(jìng)爭(zhēng)過程中，隨著該節(jié)點(diǎn)正確表決結(jié)果的次數(shù)不斷增多，節(jié)點(diǎn)獲得的表決獎(jiǎng)勵(lì)將不斷累積，自身可靠性也將不斷提高，完成權(quán)益證明的時(shí)間也將越快。

群策模塊VOTER負(fù)責(zé)收集發(fā)出決策請(qǐng)求的節(jié)點(diǎn)在其關(guān)門時(shí)間內(nèi)收到的所有表決結(jié)果，通過表決函數(shù)來得到最終的結(jié)果：

fvote=f(LD,ND1,ND2,…,NDn)

其中

f(x0,x1,…,xn)=BOOL(x0+x1+…+xn-n/2)

當(dāng)結(jié)果為1時(shí)，訪問主體的訪問請(qǐng)求被允許；當(dāng)結(jié)果為0時(shí)，訪問主體的訪問請(qǐng)求被拒絕。如圖3所示。

圖3 基于去中心化的群策模塊

1.5 分布式策略和證據(jù)鏈條機(jī)制

通過DABAC模型中的P&SCP來保證使用DABAC模型構(gòu)建的訪問控制系統(tǒng)的分布式策略庫(kù)和訪問記錄的一致性。

P&SCP接收來自網(wǎng)絡(luò)節(jié)點(diǎn)和本地節(jié)點(diǎn)的所有的訪問記錄和策略更新，而后根據(jù)不同的類別和需求，將收到的信息分發(fā)至不同的功能模塊。在分布式存儲(chǔ)的基礎(chǔ)上，使用數(shù)據(jù)存證技術(shù)對(duì)策略進(jìn)行更新和修改，使用證據(jù)鏈條技術(shù)保存訪問記錄，以保證全網(wǎng)節(jié)點(diǎn)的策略庫(kù)和訪問記錄的一致性。

(1)基于分布式輔助的身份征信機(jī)制。

策略的更新由具有管理員權(quán)限的用戶執(zhí)行，根據(jù)節(jié)點(diǎn)的安全等級(jí)不同，只能自上而下地更新策略，即高安全等級(jí)的節(jié)點(diǎn)可以更新低安全級(jí)節(jié)點(diǎn)的策略，反之不行。

所有不同安全等級(jí)的管理員身份信息在基于DABAC模型的系統(tǒng)建立之初就被廣播全網(wǎng)并存儲(chǔ)于各個(gè)節(jié)點(diǎn)的PAP內(nèi)，在進(jìn)行策略更新時(shí)，該節(jié)點(diǎn)必須將更新后的策略、更新后策略庫(kù)的哈希值、執(zhí)行本次更新任務(wù)的管理員的身份信息一起打包，并廣播全網(wǎng)。任何收到策略更新信息的節(jié)點(diǎn)都會(huì)對(duì)發(fā)送信息的管理員身份進(jìn)行校驗(yàn)，校驗(yàn)成功后再對(duì)本地策略庫(kù)進(jìn)行更新。

(2)基于證據(jù)鏈條的訪問記錄一致性機(jī)制。

通過使用時(shí)間戳技術(shù)以及訪問主體私鑰簽名的方式并建立訪問流程的前后關(guān)聯(lián)關(guān)系，實(shí)現(xiàn)了將訪問主體的訪問行為以時(shí)間序列串聯(lián)成為數(shù)據(jù)證據(jù)鏈條。該證據(jù)鏈條從訪問主體接入系統(tǒng)起就將相關(guān)數(shù)據(jù)加蓋時(shí)間戳并用其私鑰進(jìn)行簽名，之后，將包含時(shí)間戳和私鑰簽名的數(shù)據(jù)通過特定加密算法生成唯一對(duì)應(yīng)的數(shù)據(jù)Hash值；之后每一步新數(shù)據(jù)的產(chǎn)生都會(huì)被立即加蓋時(shí)間戳并使用私鑰進(jìn)行簽名，并且基于前一步已經(jīng)產(chǎn)生的Hash值生成一個(gè)新的唯一的Hash值。最后生產(chǎn)的哈希值會(huì)被全網(wǎng)廣播，并被保存在全網(wǎng)所有節(jié)點(diǎn)的數(shù)據(jù)庫(kù)中。證據(jù)鏈條工作原理如圖4所示。

圖4 證據(jù)鏈條生成過程

2 安全性分析

2.1 DABAC模型安全性分析

(1)最小特權(quán)原則。

最小特權(quán)原則是指每個(gè)訪問主體只能擁有剛夠完成工作的最小權(quán)限[14]。在基于DABAC模型構(gòu)建的訪問控制系統(tǒng)中，不是根據(jù)訪問主體的職責(zé)進(jìn)行簡(jiǎn)單的一次性權(quán)限劃分，而是通過收集訪問主體、資源客體和系統(tǒng)環(huán)境的屬性，訪策略庫(kù)中進(jìn)行查詢，得出最終決策。該方式不僅考察訪問主體本身，還根據(jù)訪問主體的任務(wù)性質(zhì)進(jìn)行綜合決策，從而對(duì)最終分配給訪問主體的權(quán)限做到最大控制。

(2)職責(zé)分離原則。

職責(zé)分離是指將不同的權(quán)限許可分派給不同的模塊用以互相牽制，使得單個(gè)模塊的功能必須與其他模塊的工作相一致或相聯(lián)系，并受到監(jiān)督和制約，防止出現(xiàn)一個(gè)模塊完成兩項(xiàng)不相容的工作的情況[15]。在DABAC模型中，在為訪問主體分配屬性時(shí)，相互沖突的兩個(gè)或多個(gè)屬性不能分配給同一個(gè)訪問主體，以避免擁有足夠權(quán)限的惡意訪問客體在缺少監(jiān)督和制約的情況下危害系統(tǒng)安全。

(3)多人負(fù)責(zé)原則。

通過授權(quán)分散化，即對(duì)于關(guān)鍵任務(wù)必須在功能上進(jìn)行劃分，使得該任務(wù)由多人共同承擔(dān)，保證任何個(gè)體無法擁有完成該任務(wù)的全部權(quán)限。DABAC模型通過去中心化的策略庫(kù)使得整個(gè)網(wǎng)絡(luò)中的任意一個(gè)節(jié)點(diǎn)只能基于自身的策略庫(kù)做出表決，而無法做出最終決策。最終決策需要由發(fā)出策略查詢請(qǐng)求的節(jié)點(diǎn)上的P&SCP模塊匯總所有節(jié)點(diǎn)的表決后作出最終決策。由于最終決策是綜合了全網(wǎng)節(jié)點(diǎn)上的所有策略庫(kù)的表決而確定的，想要對(duì)最終決策進(jìn)行攻擊需要控制全網(wǎng)過半的節(jié)點(diǎn)，隨著網(wǎng)絡(luò)規(guī)模的不斷增大，攻擊成本也將大大提升。

2.2 與相關(guān)模型比較

相比于傳統(tǒng)訪問控制模型，ABAC模型具有很好的靈活性和可擴(kuò)展性。本節(jié)從決策方式和策略及訪問記錄更新方式兩方面對(duì)DABAC模型和ABAC模型進(jìn)行比較。

(1)決策方式。

傳統(tǒng)ABAC模型多采用集中式策略庫(kù)的形式進(jìn)行決策，其安全性依托于整個(gè)網(wǎng)絡(luò)的可靠程度和策略庫(kù)的自身安全。DABAC模型采用分布式?jīng)Q策，通過模型的全網(wǎng)一致性特點(diǎn)來保證整個(gè)系統(tǒng)網(wǎng)絡(luò)內(nèi)的所有節(jié)點(diǎn)共同維護(hù)一個(gè)策略庫(kù)。該模型得出的決策是由全網(wǎng)所有節(jié)點(diǎn)共同表決的結(jié)果，若攻擊者想要對(duì)該結(jié)果做出更改，則需要監(jiān)聽大于百分之五十的網(wǎng)絡(luò)流量，或控制超過一半的網(wǎng)絡(luò)節(jié)點(diǎn)，才有可能對(duì)最終的決策結(jié)果做出修改。

(2)策略及訪問記錄更新方式。

對(duì)于訪問策略和訪問歷史記錄，傳統(tǒng)ABAC模型通過在網(wǎng)絡(luò)中建立中心數(shù)據(jù)庫(kù)節(jié)點(diǎn)的方式進(jìn)行存儲(chǔ)，其安全保障完全依賴于中心數(shù)據(jù)庫(kù)的自身安全?；贒ABAC模型架構(gòu)的訪問控制系統(tǒng)使用基于分布式輔助的身份征信和證據(jù)鏈條的方式，分別保證了策略更新和訪問記錄的一致性。需要更新策略庫(kù)的節(jié)點(diǎn)必須按照模型規(guī)則，證明進(jìn)行策略更新操作人員的身份合法性；使用時(shí)間戳技術(shù)以及訪問主體私鑰簽名的方式并建立訪問流程的前后關(guān)聯(lián)關(guān)系，并且疊加之前記錄的哈希值，確保了訪問主體的訪問請(qǐng)求和決策結(jié)果的記錄不被篡改。

3 結(jié)束語

針對(duì)現(xiàn)有ABAC模型在大型分布式環(huán)境下進(jìn)行應(yīng)用所存在的不足，提出了一種基于屬性的去中心化訪問控制模型。在基于屬性的訪問控制模型的基礎(chǔ)上對(duì)訪問控制模型進(jìn)行擴(kuò)展，引入了去中心化的概念，提升了策略庫(kù)和訪問記錄的安全性，增加了訪問決策的可信性。同時(shí)對(duì)DABAC模型的安全性進(jìn)行了詳細(xì)分析，相比于傳統(tǒng)訪問控制模型，該模型具有更高的安全性、靈活性和容錯(cuò)性，通過更加全面地對(duì)訪問請(qǐng)求進(jìn)行決策，使得客體資源受到更好的保護(hù)。