楊宏宇，寧宇光

(中國民航大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，天津 300300)

云環(huán)境下傳統(tǒng)的訪問控制模型存在使用靜態(tài)訪問控制策略無法動(dòng)態(tài)匹配規(guī)則[1]，大量歷史用戶行為信息未得到高效利用，以及未評估當(dāng)前系統(tǒng)安全狀態(tài)等問題．研究者們通過引入風(fēng)險(xiǎn)因素改進(jìn)傳統(tǒng)的訪問控制模型，增強(qiáng)訪問控制模型的自適應(yīng)性[2]．

目前云平臺(tái)風(fēng)險(xiǎn)訪問控制模型研究大致分為兩類．第1類側(cè)重評估云平臺(tái)系統(tǒng)風(fēng)險(xiǎn)，如基于風(fēng)險(xiǎn)評估圖的訪問控制模型[3]，該模型通過系統(tǒng)漏洞構(gòu)建風(fēng)險(xiǎn)評估圖，但未從用戶層面進(jìn)行風(fēng)險(xiǎn)分析．第2類側(cè)重評估當(dāng)前訪問請求的風(fēng)險(xiǎn)，如:多風(fēng)險(xiǎn)指標(biāo)訪問控制模型[4]，該模型僅評估當(dāng)前用戶訪問請求的風(fēng)險(xiǎn)，未考慮用戶歷史行為信息;基于屬性的且有風(fēng)險(xiǎn)意識(shí)的云動(dòng)態(tài)訪問控制模型[5]，該模型評估風(fēng)險(xiǎn)時(shí)并未有效結(jié)合系統(tǒng)安全狀態(tài)和用戶歷史行為信息．

文獻(xiàn)[6]提出將用戶歷史行為信息和系統(tǒng)安全狀態(tài)量化為風(fēng)險(xiǎn)評估指標(biāo)評估當(dāng)前訪問請求的風(fēng)險(xiǎn)，但并未給出具體的風(fēng)險(xiǎn)訪問控制模型．文獻(xiàn)[7]提出動(dòng)態(tài)風(fēng)險(xiǎn)訪問控制(Dynamic Risk-based Access Control，DRAC)模型，該模型利用數(shù)據(jù)流方法量化用戶歷史行為信息并結(jié)合系統(tǒng)安全狀態(tài)構(gòu)建風(fēng)險(xiǎn)評估指標(biāo)，但存在使用基于屬性的訪問控制(Attribute Based Access Control，ABAC)策略無法動(dòng)態(tài)匹配規(guī)則和風(fēng)險(xiǎn)評估指標(biāo)權(quán)重固定的問題．

由于大多數(shù)訪問控制模型使用靜態(tài)ABAC策略無法適應(yīng)云環(huán)境，目前國內(nèi)外研究工作主要是利用角色訪問控制改進(jìn)ABAC策略，但擴(kuò)展性差且較為復(fù)雜[1]．而對于風(fēng)險(xiǎn)評估指標(biāo)權(quán)重固定的問題，目前常用的動(dòng)態(tài)權(quán)重分配方法如歸一法、主成分分析法和熵值法等均存在準(zhǔn)確率較低或?qū)崟r(shí)性較差的問題[8]．針對ABAC改進(jìn)方法復(fù)雜和風(fēng)險(xiǎn)評估指標(biāo)權(quán)重固定的不足，文中提出一種云平臺(tái)動(dòng)態(tài)風(fēng)險(xiǎn)訪問控制模型(Cloud platform Dynamic Risk Access Control model，CDRAC)．首先選擇表達(dá)性和靈活性均較高的事件推演(Event Calculus，EC)機(jī)制改進(jìn)ABAC策略[9]，增強(qiáng)規(guī)則匹配時(shí)的自適應(yīng)性和靈活性，使其適應(yīng)復(fù)雜的云環(huán)境;其次，利用系統(tǒng)安全狀態(tài)和用戶歷史行為信息構(gòu)建風(fēng)險(xiǎn)評估指標(biāo)，提出分配風(fēng)險(xiǎn)評估指標(biāo)權(quán)重的數(shù)學(xué)模型并設(shè)計(jì)配方回歸(Programming Regression，PR)[10]算法求解相應(yīng)權(quán)重，提高風(fēng)險(xiǎn)值對訪問請求的靈敏度．

1 云平臺(tái)動(dòng)態(tài)風(fēng)險(xiǎn)訪問控制模型

1.1 設(shè)計(jì)思路

(1) 針對云平臺(tái)使用靜態(tài)ABAC策略無法動(dòng)態(tài)匹配規(guī)則的問題，文中在ABAC中增加了EC機(jī)制．EC機(jī)制包括規(guī)則評估和信任度計(jì)算兩個(gè)過程．其中，規(guī)則評估對當(dāng)前規(guī)則是否被匹配、規(guī)則條件是否成立以及規(guī)則效用進(jìn)行評估，若3個(gè)條件都成立，則當(dāng)前規(guī)則可用; 信任度計(jì)算為訪問請求的主體、客體、活動(dòng)和環(huán)境賦予信任值，若訪問請求的主客體屬性發(fā)生改變，則計(jì)算信任度實(shí)現(xiàn)動(dòng)態(tài)控制．在此基礎(chǔ)上，文中設(shè)計(jì)一個(gè)基于EC機(jī)制的動(dòng)態(tài)規(guī)則匹配(Dynamic Rule Matching， DRM)模塊．

(2) 針對風(fēng)險(xiǎn)評估指標(biāo)權(quán)重固定的問題，設(shè)計(jì)一個(gè)動(dòng)態(tài)風(fēng)險(xiǎn)評估(Dynamic Risk Assessment， DRA)模塊，實(shí)現(xiàn)通過用戶歷史行為信息和系統(tǒng)安全狀態(tài)動(dòng)態(tài)分配風(fēng)險(xiǎn)評估指標(biāo)權(quán)重，提高風(fēng)險(xiǎn)值對訪問請求的靈敏度．

1.2 動(dòng)態(tài)風(fēng)險(xiǎn)訪問控制模型

文中提出的云平臺(tái)動(dòng)態(tài)風(fēng)險(xiǎn)訪問控制模型框架如圖1所示，其中DRM模塊框架如圖2所示．

圖1 CDRAC模型框架圖2 DRM模塊框架

CDRAC模型包括DRM模塊、DRA模塊、閾值計(jì)算模塊和最終決定(訪問控制決定)模塊等主要模塊，模塊的核心功能設(shè)計(jì)如下:

(1) DRM模塊利用ABAC策略與訪問請求進(jìn)行規(guī)則匹配，再使用EC機(jī)制評估規(guī)則匹配的結(jié)果，得到DRM模塊的評估結(jié)果P．

(2) DRA模塊通過提取的歷史風(fēng)險(xiǎn)評估指標(biāo)和P計(jì)算各指標(biāo)的權(quán)重，分配相應(yīng)權(quán)重計(jì)算當(dāng)前訪問請求的風(fēng)險(xiǎn)值R．

(3) 動(dòng)態(tài)閾值計(jì)算模塊采用歷史P和歷史R實(shí)時(shí)計(jì)算風(fēng)險(xiǎn)閾值λ．

(4) 最終決定模塊綜合閾值λ、當(dāng)前訪問請求的評估結(jié)果P和風(fēng)險(xiǎn)值R做出最終訪問控制決定．

2 動(dòng)態(tài)規(guī)則匹配模塊

2.1 問題分析

ABAC屬于靜態(tài)訪問控制策略，無法處理云環(huán)境下的一些特殊情形，如:

(1) 當(dāng)訪問主客體屬性改變時(shí)，無法動(dòng)態(tài)調(diào)整訪問規(guī)則．

(2) 當(dāng)訪問背景(時(shí)間、位置等)發(fā)生改變時(shí)，無法動(dòng)態(tài)調(diào)整相應(yīng)規(guī)則．

2.2 基本定義

定義3個(gè)事件Ek、5個(gè)狀態(tài)Fk(k=1， 2， …， 5)和5個(gè)基本操作，其中，狀態(tài)Fk表示EC機(jī)制對事件Ek處理的結(jié)果．

E1表示規(guī)則匹配(MR)或規(guī)則未匹配(MMR);E2表示訪問請求信任度評估成功(TES)或訪問請求信任度評估失敗(TEF);E3表示同意規(guī)則(AR)、拒絕規(guī)則(DR)或規(guī)則不可用(RDA)．

F1表示規(guī)則目標(biāo)成立(RTHs);F2表示信任度成立(THs);F3表示規(guī)則被同意(RIP)、規(guī)則被拒絕(RID)或規(guī)則不可用(RINA);F4表示規(guī)則條件成立(Con);F5表示規(guī)則效果成立(EP)．

Happens(e，t)表示事件e在時(shí)間t發(fā)生; HoldsAt(f，t)表示在時(shí)間t，狀態(tài)f發(fā)生; IsValue(a，b)表示b在屬性a中存在; AttTl(Subject， tl1)表示獲得主體屬性(Subject)信任值tl1; ReqTl(tl2)表示獲得客體(Object)、活動(dòng)(Action)和訪問發(fā)生時(shí)間(time)屬性信任值的平均值tl2．

(reqi， Events)為第i(i=1， 2， …)條訪問請求以及存儲(chǔ)發(fā)生事件和狀態(tài)的結(jié)構(gòu)體變量組成的二元組．

2.3 DRM模塊執(zhí)行流程

根據(jù)圖2可知，DRM模塊分別包含規(guī)則匹配、信任度計(jì)算和規(guī)則評估3個(gè)子模塊，每個(gè)子模塊由事件和狀態(tài)評估組成．Events由請求發(fā)生模塊生成，將其分別傳入3個(gè)子模塊，在子模塊中依次進(jìn)行事件和狀態(tài)評估，并使用Events接收評估結(jié)果．狀態(tài)評估結(jié)束后，將狀態(tài)結(jié)果傳入結(jié)果輸出模塊，Events由相應(yīng)子模塊返回請求發(fā)生模塊，進(jìn)行下一模塊的評估工作．為保證安全性，防止惡意篡改，可將結(jié)果輸出中3個(gè)狀態(tài)結(jié)果與最后Events中的F1、F2、F3匹配，具體執(zhí)行步驟如下:

(1) 請求發(fā)生模塊生成一系列reqi(i=1， 2， …)和Events結(jié)構(gòu)體變量．

(2) 將(reqi， Events)傳入規(guī)則匹配模塊進(jìn)行規(guī)則匹配; 在事件和狀態(tài)評估中，若規(guī)則成功匹配，則Events結(jié)構(gòu)體添加事件MR，狀態(tài)RTHs為真; 否則，添加事件MMR，狀態(tài)RTHs為假; 狀態(tài)F1(RTHs)傳入結(jié)果輸出模塊，Events返回請求發(fā)生模塊．

(3) 將(reqi， Events)傳入信任度計(jì)算模塊進(jìn)行評估; 在事件和狀態(tài)評估中，若主體的信任值大于等于客體、活動(dòng)和背景信任值的平均值，則Events結(jié)構(gòu)體添加事件TES，狀態(tài)THs為真; 否則，添加事件TEF，狀態(tài)THs為假; 狀態(tài)F2(THs)傳入結(jié)果輸出模塊，Events返回請求發(fā)生模塊．

(4) 將(reqi， Events)傳入規(guī)則評估模塊進(jìn)行評估;在事件和狀態(tài)評估中，若reqi與某一條規(guī)則匹配，則對該規(guī)則的條件(Condition)和效用(Effect)進(jìn)行評估，并在Events中添加事件AR/DR/RDA，狀態(tài)F3為RIP/RID/RINA成立; 狀態(tài)F3和Events傳入結(jié)果輸出模塊．

(5) 在Events中，F(xiàn)1、F2和F3與狀態(tài)1、狀態(tài)2和狀態(tài)3進(jìn)行匹配，若匹配成功，則輸出結(jié)果; 否則，DRM評估失?。?/p>

2.4 EC描述

根據(jù)事件推演的基本理論，為方便起見，文中僅給出核心EC推理公式，并做如下設(shè)定:若信任度成立，則效果(effect)成立; 否則，effect不成立．評估條件時(shí)，參考指標(biāo)使用訪問請求發(fā)生時(shí)間．reqi由訪問主體、客體、活動(dòng)和訪問發(fā)生時(shí)間組成．將事件Ek和狀態(tài)Fk作為某一規(guī)則r的函數(shù)．

(1) 規(guī)則匹配模塊中事件和狀態(tài)的EC描述如下所示:

事件描述:

(a) Happens(MR(r)，t)→IsValue(Subject， value1) & IsValue(Object， value2) & IsValue(Action， value3).

(b) Happens(MMR(r)，t)→!IsValue(Subject， value1) | !IsValue(Object， value2) | !IsValue(Action， value3)．

狀態(tài)描述:

HoldsAt(RTHs(r)，t+1);!HoldsAt(RTHs(r)，t+1)．

從上述EC描述可知，若t時(shí)刻，規(guī)則匹配成功(事件MR發(fā)生)，則t+1時(shí)刻，狀態(tài)RTHs為真; 否則，狀態(tài)RTHs為假．將規(guī)則目標(biāo)狀態(tài)傳入下一個(gè)模塊繼續(xù)進(jìn)行評估．

(2) 信任度計(jì)算模塊中事件和狀態(tài)的EC描述如下所示:

事件描述:

(a) Happens(TES(r)，t) & AttTl(Subject， tl1) & ReqTl(tl2)→tl1>tl2．

(b) Happens(TEF(r)，t) & AttTl(Subject， tl1) & ReqTl(tl2)→tl1≤tl2．

(c) Happens(DR(r)，t+1)→HoldsAt(RTHs(r)，t) & !HoldsAt(THs(r)，t+1)．

狀態(tài)描述:

(a) HoldsAt(EP(r)，t)→Happens(TES(r)，t);!HoldsAt(EP(r)，t)→Happens(TEF(r)，t)．

(b) HoldsAt(THs(r)，t+1);!HoldsAt(THs(r)，t+1);HoldsAt(RID(r)，t+1)．

從上述EC描述可知，若訪問請求主體屬性信任值，大于其他屬性信任值和的平均值，則事件TES發(fā)生，下一時(shí)刻狀態(tài)THs為真; 否則，事件TEF發(fā)生，下一時(shí)刻狀態(tài)THs為假．若規(guī)則匹配成功，而事件TEF發(fā)生，則事件DR發(fā)生，狀態(tài)RID成立．將規(guī)則目標(biāo)狀態(tài)和信任度狀態(tài)傳入下一個(gè)模塊繼續(xù)進(jìn)行評估．

(3) 規(guī)則評估模塊中事件和狀態(tài)的EC描述如下所示:

事件描述:

(a) Happens(AR(r)，t)→HoldsAt(RTHs(r)，t) & HoldsAt(THs(r)，t) & HoldsAt(Con(r)，t) & HoldsAt(EP(r)，t)．

(b) Happens(DR(r)，t)→HoldsAt(RTHs(r)，t) & HoldsAt(THs(r)，t) & HoldsAt(Con(r)，t) & !HoldsAt(EP(r)，t)．

(c) Happens(RDA(r)，t)→!Holds(RTHs(r)，t) | (HoldsAt(MR(r)，t) & HoldsAt(THs(r)，t) & !HoldsAt(Con(r)，t))．

狀態(tài)描述:

HoldsAt(RIP(r)，t+1);HoldsAt(RID(r)，t+1);HoldsAt(RINA(r)，t+1)．

從上述EC描述可知，規(guī)則、信任度、條件和效果狀態(tài)同時(shí)為真，事件AR發(fā)生，下一時(shí)刻狀態(tài)RIP成立．事件DR發(fā)生與信任度評估中的相同．為不失一般性，文中給出其完整表述，下一時(shí)刻狀態(tài)RID成立．若規(guī)則目標(biāo)或規(guī)則條件(訪問發(fā)生時(shí)間)狀態(tài)為假，則事件RDA發(fā)生，下一時(shí)刻狀態(tài)RINA成立．

3 動(dòng)態(tài)風(fēng)險(xiǎn)評估模塊

3.1 問題分析

大部分風(fēng)險(xiǎn)評估指標(biāo)權(quán)重分配方法[4， 6-7]采用均分固定的權(quán)重，但存在如下問題:

(1) 風(fēng)險(xiǎn)評估指標(biāo)權(quán)重固定且不能動(dòng)態(tài)調(diào)整．

(2) 風(fēng)險(xiǎn)值對訪問請求的靈敏度較低．

3.2 基本定義

定義1 風(fēng)險(xiǎn)閾值λ為

λ=[g(A)+g(B)]/2 ．

(1)

用戶自定義計(jì)算λ的訪問請求數(shù)量并將訪問請求分為A、B集合，A集合存放DRM模塊評估接受 (P=0) 的訪問請求風(fēng)險(xiǎn)值，B集合存放DRM模塊評估拒絕 (P=1) 的訪問請求風(fēng)險(xiǎn)值．g(·)計(jì)算集合中訪問請求風(fēng)險(xiǎn)值的平均值．

定義2 靈敏度S為

S=g(B)-g(A) ．

(2)

靈敏度S定義為P=1時(shí)訪問請求的風(fēng)險(xiǎn)平均值與P=0時(shí)訪問請求的風(fēng)險(xiǎn)平均值之差．由于靈敏度S反映風(fēng)險(xiǎn)值的波動(dòng)，而風(fēng)險(xiǎn)評估指標(biāo)權(quán)重影響風(fēng)險(xiǎn)值，所以靈敏度與當(dāng)前風(fēng)險(xiǎn)評估指標(biāo)權(quán)重密切相關(guān)．

3.3 動(dòng)態(tài)分配風(fēng)險(xiǎn)評估指標(biāo)權(quán)重?cái)?shù)學(xué)模型

文中使用風(fēng)險(xiǎn)評估指標(biāo)(I，T，V)，其中I表示當(dāng)前訪問請求的訪問活動(dòng)(讀、寫等)在歷史記錄中被DRM模塊允許 (P=0) 的頻率[6];T根據(jù)訪問請求的主體屬性分配具體數(shù)值，主體屬性越高，T越小，如:管理者的T值小于普通成員;V使用通用漏洞與披露(Common Vulnerabilities and Exposures，CVE)標(biāo)準(zhǔn)中關(guān)于Hadoop相關(guān)漏洞評分，即將CDRAC部署在以Hadoop為基礎(chǔ)的云平臺(tái)下．根據(jù)(I，T，V)，風(fēng)險(xiǎn)值為

R+/-=a1I+a2T+a3V,

(3)

其中，a1+a2+a3=1．若a1、a2和a3由人為設(shè)定且不能動(dòng)態(tài)改變，則正常訪問請求的風(fēng)險(xiǎn)值R+大于惡意訪問請求的風(fēng)險(xiǎn)值R-的頻率增加，從而無法得到合理閾值，降低風(fēng)險(xiǎn)值對訪問請求的靈敏度．若R+→0 且R-→1，則R--R+→1，閾值制定的區(qū)間范圍增大，風(fēng)險(xiǎn)值對訪問請求的靈敏度S增加．而DRM模塊中正常訪問請求P=0，惡意訪問請求P=1，若R+/-→P，則可利用風(fēng)險(xiǎn)評估指標(biāo)(I，T，V)動(dòng)態(tài)設(shè)定相應(yīng)權(quán)重．文中設(shè)計(jì)的動(dòng)態(tài)分配風(fēng)險(xiǎn)評估指標(biāo)權(quán)重的數(shù)學(xué)模型為

3.4 PR算法設(shè)計(jì)

文中利用廣度優(yōu)先搜索算法和剪枝策略設(shè)計(jì)并優(yōu)化PR算法以求解上述模型．優(yōu)化后的PR算法在最小二乘法的基礎(chǔ)上首先分層存儲(chǔ)消去變換后的矩陣，然后逐層檢查并刪除不滿足條件的矩陣．PR算法設(shè)計(jì)如下:

算法PR算法．

輸入: 用戶歷史風(fēng)險(xiǎn)數(shù)據(jù)X，規(guī)則評估結(jié)果Y

輸出: 風(fēng)險(xiǎn)評估指標(biāo)權(quán)重b*，誤差極小值Qmin

符號(hào)說明如下:TiB表示B矩陣的消去變換;b(·)表示從消去變換后的矩陣中得到b*(矩陣最后一列，第2行到倒數(shù)第2行的元素);Q(·)表示從消去變換后的矩陣中得到Qmin(矩陣最后一行，最后一列的元素); structBj表示存放層數(shù)Layer為j+1、誤差極小值Qmin和矩陣B的數(shù)據(jù)結(jié)構(gòu); sweep(M，i)表示執(zhí)行消去變換TiM; checkB(·)表示獲得當(dāng)前層矩陣中的b*; remove(·)表示刪除結(jié)構(gòu)體中元素．

4 實(shí)驗(yàn)與結(jié)果

4.1 實(shí)驗(yàn)環(huán)境與數(shù)據(jù)

為驗(yàn)證DRM模塊、DRA模塊和CDRAC模型的性能，在PC機(jī)上搭建實(shí)驗(yàn)環(huán)境．其主要配置如下: 硬件配置為Inter Core i3-2350M CPU @ 230 GHz，4.0 GB RAM；軟件環(huán)境為Windows7，64位操作系統(tǒng)，MATLAB R2010b．

數(shù)據(jù)集由不同的訪問請求組成．每條訪問請求包含主體、客體、訪問活動(dòng)和訪問發(fā)生時(shí)間4個(gè)主屬性，每個(gè)主屬性由不同子屬性組成，子屬性由相應(yīng)的成員組成，例如: 主體={管理者，員工，非員工，…}，管理者={管理者1，管理者2，管理者3，…}．從4個(gè)主屬性的相應(yīng)子屬性下隨機(jī)選擇成員組成一條訪問請求，模擬生成 1 550 條訪問請求．DRM模塊評估該 1 550 條訪問請求得到評估結(jié)果P; 量化 1 550 條訪問請求得到風(fēng)險(xiǎn)評估指標(biāo)(I，T，V)．

訓(xùn)練集為前 1 500 條訪問請求的(I，T，V)和DRM模塊評估結(jié)果Ptrain; 測試集為后50條訪問請求的(I，T，V)和DRM模塊評估結(jié)果Ptest，由正常訪問請求 (P=0) 和惡意訪問請求 (P=1) 間隔組成．

4.2 DRM模塊性能分析

(1) 針對2.1節(jié)情形1，實(shí)驗(yàn)生成關(guān)于用戶1的正常訪問請求并使用DRM模塊對其評估，當(dāng)前用戶1主體屬性較低(非員工)．經(jīng)過一段時(shí)間后提高用戶1的主體屬性(員工)，再使用DRM模塊評估用戶1的訪問請求，評估結(jié)果如表1所示．從表1可見，當(dāng)用戶1主體屬性低時(shí)，即使規(guī)則成功匹配，信任度評估仍會(huì)失敗(TEF); 當(dāng)用戶1主體屬性提高時(shí)，信任度評估成功(TES)．DRM模塊實(shí)現(xiàn)根據(jù)主體屬性的改變動(dòng)態(tài)調(diào)整評估策略．

表1 主體屬性改變DRM評估結(jié)果

表2 主體訪問背景改變DRM評估結(jié)果

(2) 針對2．1節(jié)情形2，實(shí)驗(yàn)生成有較高主體屬性的正常訪問請求，用DRM模塊對其評估; 再將訪問請求中時(shí)間調(diào)整為正常時(shí)間 (9:00～ 17:00) 以外并使用DRM模塊對其評估，評估結(jié)果如表2所示．從表2可見，由于主體訪問背景(時(shí)間、地點(diǎn)等)非法，即使主體擁有較高權(quán)限，DRM模塊也能動(dòng)態(tài)調(diào)整訪問控制策略．

4.3 DRA模塊性能分析

實(shí)驗(yàn)步驟設(shè)計(jì)如下:

步驟1 從訓(xùn)練集中隨機(jī)選取1 000、500、250、100條訪問請求的風(fēng)險(xiǎn)評估指標(biāo)和對應(yīng)的DRM評估值P，構(gòu)造4組訓(xùn)練集．

步驟2 通過4組訓(xùn)練集分別訓(xùn)練動(dòng)態(tài)分配風(fēng)險(xiǎn)評估指標(biāo)權(quán)重的數(shù)學(xué)模型，運(yùn)用PR算法得到4組權(quán)重b*和誤差極小值Qmin，如表3所示．

步驟3 將4組b*代入式(3)，構(gòu)造動(dòng)態(tài)風(fēng)險(xiǎn)值計(jì)算公式．

步驟4 間隔1 s，依次將測試集的訪問請求代入動(dòng)態(tài)風(fēng)險(xiǎn)值計(jì)算公式，得到測試集中訪問請求的風(fēng)險(xiǎn)值，如圖3中虛線所示．

步驟5 固定風(fēng)險(xiǎn)評估指標(biāo)權(quán)重采用文獻(xiàn)[4， 6-7]中權(quán)重分配方法，為風(fēng)險(xiǎn)評估指標(biāo)均分相等的權(quán)重 (1/3， 1/3， 1/3)，將該權(quán)重代入式(3)，構(gòu)造固定風(fēng)險(xiǎn)值計(jì)算公式．

步驟6 間隔1 s，依次將測試集的訪問請求代入固定風(fēng)險(xiǎn)值計(jì)算公式，得到測試集中訪問請求的風(fēng)險(xiǎn)值，如圖3中實(shí)線所示．

步驟7 通過步驟4、步驟6計(jì)算的風(fēng)險(xiǎn)值和式(1)、式(2)得到相應(yīng)的閾值λ、靈敏度S，如表3所示．

表3 權(quán)重分配方法相關(guān)參數(shù)

圖3中，P=0的兩條曲線表示正常訪問請求在2種權(quán)重分配方案下風(fēng)險(xiǎn)值隨時(shí)間的變化趨勢，P=1 的兩條曲線表示惡意訪問請求在2種權(quán)重分配方案下風(fēng)險(xiǎn)值隨時(shí)間的變化趨勢．從圖3可見，動(dòng)態(tài)分配指標(biāo)權(quán)重計(jì)算的風(fēng)險(xiǎn)值波動(dòng)較大，大部分P=0 的訪問請求風(fēng)險(xiǎn)值被降低，大量減少R+>R-出現(xiàn)的頻率;P=1 和P=0 訪問請求的風(fēng)險(xiǎn)值分布間隔增加，使得閾值可設(shè)定的區(qū)間范圍增大．從表3可見，動(dòng)態(tài)分配權(quán)重所得靈敏度要高于固定指標(biāo)權(quán)重，提高了風(fēng)險(xiǎn)值對訪問請求的靈敏度．

圖3 兩種權(quán)重分配方法所得風(fēng)險(xiǎn)值分布

4.4 CDRAC模型性能分析

分析CDRAC模型、DRAC模型和ABAC模型對不同數(shù)量訪問請求的響應(yīng)時(shí)間，實(shí)驗(yàn)步驟設(shè)計(jì)如下:

步驟1 通過MATLAB仿真實(shí)現(xiàn)CDRAC模型、DRAC模型和ABAC模型．

步驟2 隨機(jī)模擬生成9組訪問請求，每組分別包含80，160，…，20 480 條訪問請求．

步驟3 分別使用3種模型評估9組訪問請求并統(tǒng)計(jì)模塊響應(yīng)時(shí)間，結(jié)果如圖4(a)所示．

步驟4 記錄并統(tǒng)計(jì)3種模型對150，250，…，650條訪問請求響應(yīng)時(shí)間，如圖4(b)所示．

從圖4(a)可見，隨著訪問請求數(shù)量增加，CDRAC、DRAC和ABAC模型的響應(yīng)時(shí)間也在增加，但CDRAC對訪問請求的響應(yīng)時(shí)間小于DRAC和ABAC模型．由于DRAC和ABAC模型在進(jìn)行規(guī)則匹配時(shí)，需要更多的時(shí)間匹配規(guī)則，而文中的DRM模塊通過對規(guī)則實(shí)現(xiàn)繼承機(jī)制縮減了規(guī)則的數(shù)量，所以文中提出的CDRAC模型在訪問請求數(shù)量較多時(shí)，相比于另外兩種模塊在響應(yīng)時(shí)間方面更有優(yōu)勢．從圖4(b)可見，CDRAC模型與DRAC模型對訪問請求的響應(yīng)時(shí)間最高差距達(dá)到 100 ms，CDRAC模型與ABAC模型對訪問請求響應(yīng)時(shí)間最高差距為 150 ms，所以對于數(shù)據(jù)量較小的訪問請求CDRAC模型與另2種模型響應(yīng)時(shí)間相差不大，但仍然優(yōu)于另外兩種模型．

4.5 CDRAC模型的安全性分析

(1) 細(xì)粒度訪問授權(quán)．DRM模塊以ABAC策略為基礎(chǔ)，制定訪問規(guī)則時(shí)，將客體、活動(dòng)和環(huán)境精確為具體的資源，滿足最小權(quán)限原則[11]．EC機(jī)制引入ABAC策略，增加信任度評估和規(guī)則評估模塊．信任度評估模塊分析訪問請求中具體屬性信任值，規(guī)則評估模塊分析匹配規(guī)則的條件(訪問時(shí)間等)、效果，同時(shí)依據(jù)EC機(jī)制較強(qiáng)的表達(dá)能力，實(shí)現(xiàn)細(xì)粒度訪問控制．

(2) 約束描述．ABAC策略不具有約束描述，但EC機(jī)制改進(jìn)ABAC后，可以制定時(shí)間約束推理公式，如:若規(guī)則被允許，則事件AR持續(xù) 2 min; 若規(guī)則被拒絕，則事件DR持續(xù) 1 min．具體EC推理公式如下:

(a) Happens(AR(r)，t1) & (Happens(AR(r)，t2) | Happens(DR(r)，t2) | Happens(RDA(r)，t2))→t2-t1=2．

(b) Happens(DR(r)，t1) & (Happens(AR(r)，t2) | Happens(DR(r)，t2) | Happens(RDA(r)，t2))→t2-t1≥1．

(3) 授權(quán)動(dòng)態(tài)性．DRM模塊中存在信任度和規(guī)則評估，使得在不修改規(guī)則的前提下，能夠動(dòng)態(tài)進(jìn)行授權(quán)．DRA模塊中，風(fēng)險(xiǎn)評估指標(biāo)權(quán)重可自適應(yīng)調(diào)整，使得風(fēng)險(xiǎn)值的靈敏度增強(qiáng)，能較好適應(yīng)云環(huán)境．

(4)自主授權(quán)．在DRM模塊中，可根據(jù)需求靈活制定EC核心推理公式，實(shí)現(xiàn)不同程度的訪問控制．在訪問控制決定模塊中，根據(jù)可擴(kuò)展訪問控制標(biāo)記語言(eXtensible Access Control Markup Language，XACML)中規(guī)則組合算法，如:拒絕覆蓋等，結(jié)合DRM和DRA模塊評估結(jié)果以及閾值，做出最終訪問授權(quán)．

5 結(jié) 束 語

針對大多數(shù)風(fēng)險(xiǎn)訪問控制模型無法動(dòng)態(tài)匹配規(guī)則和風(fēng)險(xiǎn)指標(biāo)權(quán)重固定的問題，文中提出一種云平臺(tái)動(dòng)態(tài)風(fēng)險(xiǎn)訪問控制模型(CDRAC)．為使其適應(yīng)云平臺(tái)的規(guī)則評估，通過事件推演機(jī)制改進(jìn)ABAC策略并構(gòu)建動(dòng)態(tài)規(guī)則匹配模塊; 為增強(qiáng)風(fēng)險(xiǎn)值對訪問請求的靈敏度，在提出的風(fēng)險(xiǎn)評估模塊中動(dòng)態(tài)分配指標(biāo)權(quán)重．實(shí)驗(yàn)表明，CDRAC具有較高的自適應(yīng)性且該模型所得風(fēng)險(xiǎn)值對訪問請求有較高的靈敏度．