基于信任的云計算訪問控制系統(tǒng)的設(shè)計與實現(xiàn)

摘 要： 合理的授權(quán)和訪問控制是當(dāng)前云計算應(yīng)用迫切需要解決的問題之一，尤其是在實體間動態(tài)建立信任關(guān)系的角度研究開放環(huán)境下的安全訪問問題。提出了一種由信譽評估上升到信任管理的跨域訪問控制策略生成方法，在信任的跨域訪問控制策略生成方法的基礎(chǔ)上設(shè)計實現(xiàn)了一個基于信任的云計算的訪問控制系統(tǒng)。該系統(tǒng)主要分成四個功能模塊：信譽評估模塊、信任關(guān)系挖據(jù)模塊、信任管理策略生成模塊、訪問策略實施模塊，闡述了對應(yīng)方法的主要過程以及設(shè)計、實現(xiàn)方法，最后對生成的系統(tǒng)根據(jù)不同的訪問控制文件進(jìn)行了驗證，得到了預(yù)期的訪問控制結(jié)果。

關(guān)鍵詞： 訪問控制； 信譽評估； 信任管理； XACML

中圖分類號： TN911?34； TM417 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2016）11?0082?04

Abstract： The reasonable authorization and access control is one of the urgent problems to be solved in current cloud computing application， especially the safety access problem in open environment is studied proceeding from the dynamic establishment of trust relashionship among the entities. A generation method of the cross?domain access control strategy from reputation assessment to trust management is proposed. And on this basis， a cloud computing access control system based on trust was designed and implemented. The system is composed of the function modules of reputation assessment module， trust relationship mining module， trust management strategy generating module and access strategy implementation module. The main processes of the corresponding methods， design and implemetation method of the four modules are described. Finally， the generated system was verified according to different access control files to obtain the expected access control results.

Keywords： access control； reputation assessment； trust management； XACML

目前，云計算優(yōu)勢得到了普遍的認(rèn)可，云計算成為全球信息產(chǎn)業(yè)的主要發(fā)展方向，但云計算現(xiàn)在仍然處于初期發(fā)展的階段，面臨著許多挑戰(zhàn)及問題[1]。由于用戶的信任邊界延伸到云服務(wù)提供商的安全域內(nèi)且會動態(tài)變化、數(shù)據(jù)和基礎(chǔ)設(shè)施的分離、還有不同于傳統(tǒng)IT外包的多租戶等新特性，信息安全成為在全球范圍內(nèi)部署云計算的最大障礙，這也是云計算領(lǐng)域中最需要迫切解決的問題之一[2]。

1 相關(guān)技術(shù)介紹

1.1 用戶認(rèn)證與授權(quán)

用戶的認(rèn)證與授權(quán)意在對合法的用戶進(jìn)入系統(tǒng)和訪問數(shù)據(jù)進(jìn)行相應(yīng)的授權(quán)[3]。主流的云計算用戶認(rèn)證與授權(quán)措施應(yīng)該具有身份管理、訪問授權(quán)、分布式環(huán)境下的用戶管理以及多因素認(rèn)證等功能，能夠提供個人信息變更以及執(zhí)行口令的自助Web接口，并且基于 LDAP協(xié)議的統(tǒng)一身份認(rèn)證的完成將分散的用戶和系統(tǒng)權(quán)限資源進(jìn)行了統(tǒng)一，通過集中的管理，實現(xiàn)了用戶只用單點登錄就能對多個系統(tǒng)進(jìn)行訪問[4]。

1.2 訪問控制模型

（1） 基于角色的訪問控制模型

基于角色的訪問控制模型是一種非自主型的訪問控制模型。在基于角色的訪問控制模型中，用戶的角色成為訪問的主體。基于角色的訪問控制模型系統(tǒng)建立之后，主要的工作就是授權(quán)或取消某用戶相應(yīng)的角色。該模型另外還有一個優(yōu)勢，系統(tǒng)的管理員是在一種與企業(yè)相關(guān)業(yè)務(wù)的管理相類似的且比較抽象的層次上面[5]。

（2） 信任管理

當(dāng)前的主流信任管理主要有兩方面的研究：第一種是基于訪問控制策略和信任證書的信任管理，這種信任管理對應(yīng)的是理性的信任或者可以說是客觀的信任關(guān)系的管理；第二種研究是基于信譽的信任管理，這種信任管理對應(yīng)的是一種主觀或者是感性的信任關(guān)系管理。

（3） 基于屬性的訪問控制模型

在系統(tǒng)運行的過程中，屬性作為一個易變量，但是策略則相對比較穩(wěn)定，可以通過基于屬性的策略描述方式很好地將屬性的管理與訪問的判定相分離[6]。通過引入角色的中間元素，基于角色的訪問控制模型可以使權(quán)限先經(jīng)過角色進(jìn)行聚合后，再將權(quán)限分配給相應(yīng)的主體，這種方式可以對授權(quán)進(jìn)行一定的簡化，將角色信息當(dāng)成一種屬性，這樣就將基于角色的訪問控制模型變成了一種基于屬性的訪問控制模型[7]。

2 基于信任的跨域訪問控制策略

2.1 信譽評估和信任管理

提供了一種由信譽評估上升到信任管理的跨域訪問控制策略生成方法，能夠根據(jù)實體的行為和環(huán)境屬性動態(tài)生成授權(quán)策略，具有很好的自適應(yīng)性，可以應(yīng)用在有大量陌生實體的云計算等跨域環(huán)境中[6]。本方法是通過如下技術(shù)方案實現(xiàn)的，包括如下四個流程：

（1） 建立信譽評估模型，實現(xiàn)相應(yīng)的信譽評估子系統(tǒng)，根據(jù)交互實體給出的評價信息對被評價實體的信譽度進(jìn)行不確定性評估；

（2） 根據(jù)信譽評估的結(jié)果應(yīng)用分類關(guān)聯(lián)規(guī)則挖掘方法，提取出評估實體的屬性、被評估實體的屬性、資源屬性、行為屬性、環(huán)境屬性與實體信譽度之間的關(guān)聯(lián)關(guān)系；

（3） 根據(jù)過程（2）得到的關(guān)聯(lián)關(guān)系生成基于屬性的訪問控制策略，并用可擴展訪問控制標(biāo)記語言XACML進(jìn)行描述；

（4） 將過程（3）中生成的通用訪問控制策略轉(zhuǎn)化為具體信任管理系統(tǒng)的策略。

2.2 信譽評估模型的設(shè)計

信譽T是論域空間（n為任意正整數(shù)）上的一個定量概念，用信譽云T（Ex，En，He）表示。信譽云的Ex的計算采用貝葉斯網(wǎng)絡(luò)，云滴對應(yīng)根節(jié)點Trust，每一種上下文信息對應(yīng)一個葉節(jié)點，云滴的期望值就是Ex。云滴r的取值為個離散值，用level1，level2，…，leveln表示。上下文信息有種，每種上下文有km種取值。用表示第i種下文的第j個值，每次交互的上下文信息用元組表示。

完整的信譽評估算法如下：

輸入：含有上下文信息的評價集R

輸出：信譽云的三個參數(shù)：Ex，En，He，具體步驟如下：

在得到了每一個被評估實體的信譽云以后，就能夠?qū)υu估實體的準(zhǔn)確度進(jìn)行計算。對于每一個被評估實體來說，每個評價過它的實體都能夠利用上述信譽評估算法計算出該實體的信譽云[8]。被評估實體的綜合信譽云與由具體評估實體給出的信譽云的三個參數(shù)的余弦距離可以衡量兩個信譽云的相似程度，相似度越高，實體的評估準(zhǔn)確度也就越高。

2.3 信任關(guān)聯(lián)關(guān)系的挖掘

關(guān)聯(lián)關(guān)系挖掘方法主要包括以下兩個步驟：

（1）根據(jù)實體的行為信譽度，挖掘出被評估實體的屬性、資源屬性、行為屬性、環(huán)境屬性與實體信譽度之間的關(guān)聯(lián)關(guān)系；

（2） 針對每一個信譽度關(guān)聯(lián)關(guān)系，計算出實體的評估準(zhǔn)確度，然后挖掘出可信評估實體的屬性與被評估實體的屬性、資源屬性、行為屬性、環(huán)境屬性之間的關(guān)聯(lián)關(guān)系。

對于上述兩次挖掘，所述的分類關(guān)聯(lián)規(guī)則挖掘方法的分類項目分別是行為信譽度的等級和信譽度關(guān)聯(lián)規(guī)則標(biāo)識，非分類項目是相關(guān)實體的屬性和/或環(huán)境屬性；信譽度的取值區(qū)間劃分成多個子區(qū)間，每一個子區(qū)間對應(yīng)一個等級。

所挖掘出的兩種關(guān)聯(lián)關(guān)系的格式如下：

（1） 實體信譽度關(guān)聯(lián)規(guī)則ID：（被評估實體屬性1，被評估實體屬性值1），（資源屬性1，資源屬性值1），（行為屬性1，行為屬性值1），（環(huán)境屬性1，環(huán)境屬性值1）→信譽度等級。

（2） 評估準(zhǔn)確度關(guān)聯(lián)規(guī)則ID：（評估實體屬性1，值1）→實體信譽度關(guān)聯(lián)規(guī)則標(biāo)識ID。

準(zhǔn)確度關(guān)聯(lián)規(guī)則挖掘使用基于Apriori的分類關(guān)聯(lián)規(guī)則挖掘算法，采用（屬性，值）格式。非分類項目是評估實體的屬性，分類項目是對應(yīng)的信譽度關(guān)聯(lián)規(guī)則標(biāo)識（包含被評估實體屬性、環(huán)境屬性和信譽度等級）。

2.4 訪問策略的XACML描述

基于屬性的訪問控制策略包括兩種類型，分別對應(yīng)生成的兩種關(guān)聯(lián)關(guān)系：一種描述了具有特定屬性的實體在特定的環(huán)境屬性下對具有特定屬性的資源所允許或不允許的訪問操作；另一種描述了是否允許具有特定屬性的實體推薦具有特定屬性的其他實體。所述的訪問控制策略用XACML語言描述時，將每一個信譽度關(guān)聯(lián)規(guī)則及相關(guān)的準(zhǔn)確度關(guān)聯(lián)規(guī)則轉(zhuǎn)換成一個策略集，該策略集包括兩個具有委托關(guān)系的策略，策略的字段中的屬性匹配描述了關(guān)聯(lián)規(guī)則中的項目。

第一個策略描述了對實體推薦（委托）行為的授權(quán)，是一個可信的管理策略，用于描述推薦實體（策略發(fā)布者）的屬性；第二個策略描述了對實體訪問行為的授權(quán)，是一個委托的訪問策略。

2.5 基于XACML的信任管理策略轉(zhuǎn)化

具體信任管理系統(tǒng)的策略雖然采用不同的自定義格式表達(dá)委托授權(quán)關(guān)系，但所涉及的授權(quán)方、被授權(quán)方和訪問權(quán)限三個方面分別與通用訪問控制策略中的推薦實體、被推薦實體、訪問權(quán)限相對應(yīng)。將生成的XACML訪問控制策略轉(zhuǎn)化為典型信任管理系統(tǒng)dRBAC（distributed Role Based Access Control，基于角色的分布式訪問控制）的策略。

dRBAC策略的語法是將Subject，Object和Issuer都定義為角色，分別為Subject，Object和Signer。dRBAC沒有給出有關(guān)角色具體含義的格式和語法，由應(yīng)用系統(tǒng)自定義。本系統(tǒng)沿用XACML語法進(jìn)行表示，內(nèi)容包括：Subject角色包含的訪問實體屬性，Object角色包含的資源屬性、行為屬性和環(huán)境屬性，Signer角色包含的推薦實體屬性。

與現(xiàn)有技術(shù)相比，本方法具有如下有益效果：

（1） 主流的訪問控制技術(shù)本質(zhì)上是基于身份的授權(quán)，無法滿足開放的跨域環(huán)境中大量陌生實體的訪問需求。

（2） 現(xiàn)有信任管理策略是預(yù)先設(shè)定的，無法達(dá)到動態(tài)反映具體應(yīng)用實體行為特點的更細(xì)的粒度，借助信譽評估結(jié)果也只能在預(yù)設(shè)范圍內(nèi)進(jìn)行微調(diào)。

（3） 用標(biāo)準(zhǔn)的訪問控制策略語言XACML描述生成的策略，便于轉(zhuǎn)化為其他格式的策略，方便與現(xiàn)有遺留系統(tǒng)中的訪問控制機制無縫集成。

3 系統(tǒng)的設(shè)計與實現(xiàn)

3.1 系統(tǒng)概述

原型系統(tǒng)將信譽評估與信任管理相融合，首先根據(jù)云模型和貝葉斯網(wǎng)絡(luò)實現(xiàn)了信譽的表示與評估，再根據(jù)評估的結(jié)果對評估實體的屬性與被評估實體的屬性、資源屬性、行為屬性、環(huán)境屬性之間的關(guān)聯(lián)關(guān)系進(jìn)行信任挖據(jù)。再將挖據(jù)出的準(zhǔn)確度關(guān)聯(lián)規(guī)則及相關(guān)的信譽度關(guān)聯(lián)規(guī)則生成XACML訪問控制策略。最后將XACML訪問控制策略轉(zhuǎn)化為dRBAC的策略并實施訪問控制。該原型系統(tǒng)是基于jsp架構(gòu)的JavaWeb程序，開發(fā)平臺為EclipseJEEIDEv1.4，Web服務(wù)器為Tomcatv7.0。

3.2 系統(tǒng)的設(shè)計與實現(xiàn)

基于信任的云計算訪問控制系統(tǒng)主要分為四個功能模塊：信譽評估、信任關(guān)系挖掘、信任管理策略生成、訪問控制實施。系統(tǒng)架構(gòu)如圖1所示。

（1） 信譽評估模塊，主要功能是根據(jù)原始評估信息，針對信譽的隨機性、不確定性、模糊性通過將李毅德院士提出的云模型和貝葉斯網(wǎng)絡(luò)相結(jié)合，用于表示和評估信譽。建立并實現(xiàn)了信譽的不確定性評估模型。信譽評估模塊的主要工作流程如圖2所示。

（2） 信任關(guān)系挖掘模塊，主要功能是根據(jù)上一模塊信譽評估模塊得出的信譽評估結(jié)果，應(yīng)用分類關(guān)聯(lián)規(guī)則挖掘方法提取出評估實體的屬性、被評估實體的屬性、資源屬性、行為屬性、環(huán)境屬性與實體信譽度之間的關(guān)聯(lián)關(guān)系。信任關(guān)系挖掘模塊處理流程如圖3所示。

（3） 信任管理策略生成模塊，主要功能是根據(jù)信任關(guān)系挖掘模塊得到的關(guān)聯(lián)關(guān)系生成基于屬性的訪問控制策略，并用可擴展訪問控制標(biāo)記語言XACML進(jìn)行描述。

（4） 訪問控制實施模塊，主要功能是將信任管理策略生成的通用訪問控制策略轉(zhuǎn)化為dRBAC（基于角色的分布式訪問控制）信任管理系統(tǒng)的策略。該模塊的主要數(shù)據(jù)流程如圖4所示。

4 系統(tǒng)驗證

本系統(tǒng)是基于jsp的Web應(yīng)用程序，基本上實現(xiàn)了基于信任的訪問控制架構(gòu)。下面將系統(tǒng)的各個模塊功能進(jìn)行驗證。

點擊信譽評估進(jìn)入到信譽評估模塊系統(tǒng)，進(jìn)行信譽評估。需要對參數(shù)進(jìn)行填寫，再讀取已存儲的CSA格式的原始評價信息文件。填寫完相關(guān)參數(shù)后，讀取原始評價信息文件后點擊“開始信譽評估”鏈接進(jìn)行信譽評估。

點擊重新進(jìn)行信譽評估或“下一步：信任關(guān)系挖掘”鏈接，可以重復(fù)執(zhí)行信譽評估或開始執(zhí)行信任關(guān)系挖掘。這里評估人ID輸入Value1，信譽度閾值設(shè)為2.0，信任關(guān)系采信度設(shè)為0.8，點擊“挖掘信任關(guān)系”鏈接開始挖掘信任關(guān)系，生成信任挖掘關(guān)系結(jié)果。

點擊“生成信任管理策略”按鈕后，包括直接授權(quán)策略和間接授權(quán)策略（集）。在結(jié)果頁面中，點擊“重新生成信任管理策略”鏈接或“下一步：訪問控制實施”鏈接，可重新進(jìn)行信任關(guān)系的挖掘或進(jìn)行訪問控制實施功能。

訪問控制實施需要的參數(shù)行為信譽度閾值這里設(shè)為2。訪問請求文件選擇預(yù)先設(shè)置名稱為requst_permit.xml的文件實施訪問控制。同時，保存訪問控制策略的文件為directAuthPolicyFile.xml和indirectAuthPolicy File.xml，點擊“進(jìn)行訪問控制決策”按鈕后，顯示訪問成功。而選擇request_deny.xml文件實施訪問控制的話， 顯示訪問失敗。根據(jù)所生成的策略，使用不同的請求文件得到不同的訪問控制決策結(jié)果。

5 結(jié) 論

通過研究云計算安全中訪問控制的現(xiàn)狀，總結(jié)現(xiàn)有研究技術(shù)的不足，主流的訪問控制技術(shù)本質(zhì)上是基于身份的授權(quán)，無法滿足開放的跨域環(huán)境中大量陌生實體的訪問需求。本課題從建立信任關(guān)系的角度出發(fā)，提出一種基于信任的跨域訪問控制策略方法，并且對方法的生成做出了詳盡的描述。最后給出了基于信任的跨域訪問控制策略生成方法，完成了基于信任的云計算訪問控制系統(tǒng)的設(shè)計與實現(xiàn)。

參考文獻(xiàn)

[1] 吳吉義，平玲娣，潘雪增，等.云計算：從概念到平臺[J].電信科學(xué)，2009，25（12）：23?30.

[2] WINSBOROUGH W H， SEAMONS K E， JONES V E. Automated trust negotiation [C]// Proceedings of 2000 DARPA Information Survivability Conference and Exposition. Hilton Head： IEEE， 2000： 88?102.

[3] 田春岐，鄒仕洪，王文東，等.一種基于推薦證據(jù)的有效抗攻擊P2P網(wǎng)絡(luò)信任模型[J].計算機學(xué)報，2008，31（2）：270?281.

[4] 王守信，張莉，李鶴松.一種基于云模型的主觀信任評價方法[J].軟件學(xué)報，2010，21（6）：1341?1352.

[5] 黃海生，王汝傳.基于隸屬云理論的主觀信任評估模型研究[J].通信學(xué)報，2008，29（4）：13?19.

[6] 房晶，吳昊，白松林.云計算安全研究綜述[J].電信科學(xué)，2011，27（4）：37?42.

[7] 郭力爭，胡偉，單栗燁.基于Web服務(wù)的 XACML體系結(jié)構(gòu)研究[J].微處理機，2006（3）：35?37.

[8] 林曉鵬.云計算及其關(guān)鍵技術(shù)問題[J].現(xiàn)代電子技術(shù)，2013，36（12）：67?70.