支持中國(guó)墻策略的云組合服務(wù)信息流控制模型

劉明聰，王　娜

(1.信息工程大學(xué)，鄭州 450001；　2.數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室，鄭州 450001)(*通信作者電子郵箱twftina_w@126.com)

0　引言

云服務(wù)以其高可靠性與低成本的優(yōu)勢(shì)逐漸被廣泛應(yīng)用到電子政務(wù)、電子商務(wù)、協(xié)作醫(yī)療及網(wǎng)絡(luò)購(gòu)物等各個(gè)領(lǐng)域。隨著商業(yè)過(guò)程漸漸復(fù)雜，單一的云服務(wù)已經(jīng)無(wú)法滿足用戶需求，云服務(wù)被組合起來(lái)形成組合服務(wù)為用戶提供更加豐富的功能。但是服務(wù)提供商間可能存在商業(yè)上的競(jìng)爭(zhēng)關(guān)系，從而導(dǎo)致各云服務(wù)間的利益沖突(Conflict of Interest， COI)。云服務(wù)間利益沖突的存在要求云組合服務(wù)必須對(duì)組件服務(wù)間的信息流動(dòng)進(jìn)行控制，以防止敏感數(shù)據(jù)隨著服務(wù)間的消息傳遞在存在利益沖突的服務(wù)間流動(dòng)，給相關(guān)服務(wù)提供商造成一定的損失。

中國(guó)墻模型[1-2]可解決利益沖突問(wèn)題。近年來(lái)，學(xué)者們紛紛提出面向云計(jì)算與云服務(wù)的中國(guó)墻策略模型或基于中國(guó)墻策略的信息流控制方法。2010年，Wu等[3]提出了面向基礎(chǔ)設(shè)施即服務(wù)(Infrastructure as a Service, IaaS)云的基于中國(guó)墻策略的信息流控制方法，該方法將虛擬機(jī)視為客體并在此基礎(chǔ)上定義了安全組與利益沖突類的概念，依據(jù)BN中國(guó)墻模型[1]控制用戶對(duì)虛擬機(jī)的訪問(wèn)，以防止有沖突關(guān)系的虛擬機(jī)之間的信息流動(dòng)。2013年，Alqahtani等[4]針對(duì)服務(wù)鏈中如何避免COI的問(wèn)題，基于BN模型提出了一種防止COI的服務(wù)鏈組合方法，并使用安全監(jiān)控?cái)?shù)據(jù)庫(kù)對(duì)COI類進(jìn)行集中式的審計(jì)與監(jiān)控。但是，該文采用的BN模型的沖突關(guān)系劃分是不客觀的[2]，且僅研究了服務(wù)鏈的利益沖突問(wèn)題，沒(méi)有考慮更復(fù)雜的組合結(jié)構(gòu)。2015年，F(xiàn)ehis等[5-6]提出了一種面向分布式系統(tǒng)(如云計(jì)算、社交網(wǎng)絡(luò))的新型中國(guó)墻策略模型，該模型針對(duì)分布式系統(tǒng)中主、客體間讀、寫(xiě)操作引起的信息流動(dòng)，分別從主體與客體兩個(gè)方面建立“墻”，以解決一般分布式系統(tǒng)訪問(wèn)過(guò)程中的利益沖突問(wèn)題。

針對(duì)組合服務(wù)的信息流控制問(wèn)題，國(guó)內(nèi)外學(xué)者進(jìn)行了一系列的研究。Hutter等[7]提出了一種基于類型演算的信息流控制方法以安全、動(dòng)態(tài)地組合服務(wù)，保護(hù)數(shù)據(jù)在動(dòng)態(tài)服務(wù)組合的計(jì)算與傳播過(guò)程中的安全。She等[8]在2009年提出了一種面向服務(wù)鏈的信息流控制(Service Chain Information Flow Control， SCIFC)方法。該方法為服務(wù)鏈中的信息流建立了一種安全增強(qiáng)模型，并且提出了請(qǐng)求流和響應(yīng)流中的控制協(xié)議，以防止服務(wù)鏈中敏感信息泄漏給不被信任的服務(wù)。2011年，She等[9]進(jìn)一步提出了面向運(yùn)行中服務(wù)鏈的信息流控制方法。該方法在分析服務(wù)鏈運(yùn)行過(guò)程中本地訪問(wèn)數(shù)據(jù)與動(dòng)態(tài)產(chǎn)生數(shù)據(jù)間依賴關(guān)系的基礎(chǔ)上，給出了服務(wù)鏈中服務(wù)如何釋放敏感數(shù)據(jù)與接收何種類型數(shù)據(jù)的策略。在She等工作的基礎(chǔ)上，Yu等[10]提出了組合服務(wù)中一種新的面向服務(wù)鏈的基于標(biāo)簽的分布式信息流控制(Label-Based Information Flow Control， LBIFC)方法，以解決SCIFC中數(shù)據(jù)對(duì)象的利益相關(guān)者的計(jì)算過(guò)于低效的問(wèn)題。Xi等[11]提出了一種面向云計(jì)算環(huán)境的基于信息流控制的分布式服務(wù)組合方法。該方法首先定義了面向組合服務(wù)的多級(jí)安全模型，在組合過(guò)程中先驗(yàn)證每個(gè)組件服務(wù)是否滿足該模型，然后再進(jìn)行服務(wù)組合，以確保所構(gòu)建組合服務(wù)的信息流安全。Solanki等[12]針對(duì)面向服務(wù)的系統(tǒng)提出了一種訪問(wèn)與信息流控制方法。該方法為每個(gè)數(shù)據(jù)對(duì)象附上數(shù)據(jù)依賴列表，在服務(wù)主體訪問(wèn)數(shù)據(jù)對(duì)象時(shí)不僅進(jìn)行傳統(tǒng)的訪問(wèn)控制，而且檢查是否滿足數(shù)據(jù)依賴表中的相關(guān)域的信息流策略，以保護(hù)多域環(huán)境下服務(wù)組合時(shí)的信息流安全。需要指出的是，上述面向組合服務(wù)的信息流控制模型與方法都只是單一地解決了數(shù)據(jù)的機(jī)密性(或完整性)問(wèn)題，防止信息的非授權(quán)泄露與篡改，并沒(méi)有解決云組合服務(wù)中的利益沖突問(wèn)題。

基于此，本文通過(guò)構(gòu)建云組合服務(wù)的加權(quán)有向圖模型，形式地描述了具有復(fù)雜組合結(jié)構(gòu)的云組合服務(wù)中的信息流；提出了云服務(wù)間聯(lián)盟關(guān)系與數(shù)據(jù)依賴關(guān)系的概念，將云服務(wù)間的沖突關(guān)系擴(kuò)展為組合沖突關(guān)系，以準(zhǔn)確表述云組合服務(wù)面臨的利益沖突問(wèn)題；引入中國(guó)墻策略，提出了一種支持中國(guó)墻策略的云組合服務(wù)信息流控制(Chinese Wall-based Cloud Composite Service Information Flow Control， CW-CCSIFC)模型，以解決云組合服務(wù)面臨的組合沖突問(wèn)題，并給出了模型的形式化定義及相關(guān)定理證明。定理的證明與分析說(shuō)明了CW-CCSIFC模型可以有效保證云組合服務(wù)中信息流動(dòng)滿足中國(guó)墻策略，阻止了有沖突關(guān)系的云服務(wù)間的非法信息流動(dòng)。最后，舉例說(shuō)明了模型的實(shí)用性。

1　云組合服務(wù)模型

云組合服務(wù)是一個(gè)由云服務(wù)及云服務(wù)之間的組合關(guān)系定義的信息系統(tǒng)。云服務(wù)提供商開(kāi)發(fā)出各種各樣功能的服務(wù)部署在云平臺(tái)上，供服務(wù)消費(fèi)者與其他提供商使用。

定義1云服務(wù)s是一個(gè)三元組(s.F,s.In,s.Out)。其中:s.In表示云服務(wù)s的所有輸入數(shù)據(jù)的集合；s.Out表示云服務(wù)s的所有輸出數(shù)據(jù)的集合；s.F表示云服務(wù)s的計(jì)算過(guò)程，且s.Out=s.F(s.In)。

圖1　云組合服務(wù)中的四種基本結(jié)構(gòu)Fig. 1　Four basic structures of cloud composite service

從圖1可以看出，順序與分支結(jié)構(gòu)中云服務(wù)之間的組合關(guān)系是確定的，而選擇與循環(huán)結(jié)構(gòu)中的云服務(wù)間的組合關(guān)系與執(zhí)行條件有關(guān)。為了描述云組合服務(wù)中服務(wù)間的組合關(guān)系與其條件執(zhí)行的概念，引入條件函數(shù)φ。

定義2云組合服務(wù)中云服務(wù)si、sj間的組合關(guān)系(如果是分支或循環(huán)結(jié)構(gòu)則存在執(zhí)行條件condi, j)由抽象條件函數(shù)φi, j決定，且：

φi, j(si.OutC)=

其中:si.OutC是si.Out中決定執(zhí)行條件condi, j是否成立的輸出數(shù)據(jù)集合，且si.OutC?si.Out；函數(shù)值為1表示執(zhí)行組合關(guān)系，否則不執(zhí)行。由函數(shù)定義可知，順序與分支結(jié)構(gòu)的組合關(guān)系對(duì)應(yīng)值恒為1的常函數(shù)。下面給出云組合服務(wù)的定義。

定義3云組合服務(wù)可表示為加權(quán)有向圖(S,R,Γ,I)。其中：S是頂點(diǎn)集，表示所有組件服務(wù)的集合{s0,s1,…,sn}；R是邊集，表示所有存在組合關(guān)系的組件服務(wù)的有序?qū)Φ募希鐖D1(a)中si和si+1可表示為有序?qū)Α磗i,si+1〉；Γ是權(quán)值集合，表示組合服務(wù)的條件函數(shù)集{φ0,φ1,φ2,…}；I是邊與權(quán)值的映射函數(shù)，I:R→Γ。

圖2(a)是某云組合服務(wù)示例，圖2(b)是該云組合服務(wù)的加權(quán)有向圖表示，其中φ0是常函數(shù)，其值恒為1。

圖2　云組合服務(wù)及其加權(quán)有向圖示例Fig. 2　Example for cloud composite service and its weighted directed graphs

定義4在某云組合服務(wù)加權(quán)有向圖中，如果節(jié)點(diǎn)si和sj間存在一條邊的權(quán)值均為1的路徑，那么稱從si到sj是可達(dá)的。

2　支持中國(guó)墻策略的信息流模型

2.1　信息流

云組合服務(wù)中形成信息流動(dòng)的是所有云服務(wù)輸入輸出的數(shù)據(jù)，用O表示考察的所有數(shù)據(jù)的集合。

定義5O是云組合服務(wù)中所有云服務(wù)輸入輸出的數(shù)據(jù)集合，?o∈O? ?s∈S,o∈s.In∪s.Out。

云組合服務(wù)中數(shù)據(jù)可分為兩類：①清潔數(shù)據(jù)，指不含有任何云服務(wù)敏感信息的數(shù)據(jù)，用O0表示所有清潔數(shù)據(jù)的集合；②敏感數(shù)據(jù)，指含有某些服務(wù)敏感信息的數(shù)據(jù)，用Om表示所有敏感數(shù)據(jù)的集合。顯然，O=O0∪Om。

云服務(wù)的數(shù)據(jù)處理與服務(wù)間的組合導(dǎo)致了云組合服務(wù)中信息的流動(dòng)。云組合服務(wù)信息流分為兩類：①直接信息流，指發(fā)生在一次服務(wù)計(jì)算中或者發(fā)生在一次相鄰服務(wù)交互過(guò)程中的信息流動(dòng)；②組合信息流，指由多個(gè)連續(xù)的直接信息流產(chǎn)生的信息流動(dòng)。

直接信息流又存在兩種類型。

1)隱式信息流。由條件函數(shù)計(jì)算產(chǎn)生的信息流，這種信息流動(dòng)發(fā)生在選擇或循環(huán)結(jié)構(gòu)中。

2)顯式信息流。由云服務(wù)的計(jì)算操作或相鄰服務(wù)間的消息傳遞引起的信息流，這種信息流動(dòng)發(fā)生在任意的組合結(jié)構(gòu)中。

定義7?o∈O,o′∈O且o∈si.In∪si.Out,o′∈sj.In∪sj.Out，其中si,sj∈S：

1)當(dāng)si=sj時(shí)，若o∈si.In,o′∈si.Out則存在顯式信息流o→o′；

定義7中定義了兩種顯式信息流，條件1)指o與o′分別是同一個(gè)服務(wù)的輸入與輸出；條件2)中sj是si的直接后繼，并且si輸出的數(shù)據(jù)o就是后繼服務(wù)sj的輸入數(shù)據(jù)o′。

顯式信息流會(huì)直接導(dǎo)致數(shù)據(jù)內(nèi)容由一個(gè)云服務(wù)流向下一個(gè)云服務(wù)，而隱式信息流是產(chǎn)生顯式信息流并進(jìn)一步產(chǎn)生組合信息流的必要條件，但本身并不直接導(dǎo)致數(shù)據(jù)內(nèi)容的流動(dòng)，不會(huì)直接產(chǎn)生利益沖突問(wèn)題，所以接下來(lái)僅考慮由多次顯式信息流引起的組合信息流。

定義8?o∈O,o′∈O，si,sj∈S，且o∈si.In∪si.Out，o′∈sj.In∪sj.Out，若?o″∈O，且o″∈sk.In∪sk.Out，若sk∈Suc(si)∪{si}且sk∈Pre(sj)∪{sj}，并且滿足o→o″,o″→o′，則存在組合信息流o→o′。

在下面的部分，我們將顯式信息流以及組合信息流統(tǒng)稱為信息流，不再考慮隱式信息流。

2.2　組合沖突關(guān)系

云服務(wù)由眾多的服務(wù)提供商部署運(yùn)營(yíng)，這些提供商之間由于商業(yè)上的競(jìng)爭(zhēng)關(guān)系會(huì)導(dǎo)致其所屬的云服務(wù)之間存在沖突關(guān)系(Conflict of Interest Relation， CIR)。

定義9?s,s′∈S，若s與s′的提供商間存在商業(yè)上的競(jìng)爭(zhēng)關(guān)系，則認(rèn)為s與s′之間存在沖突關(guān)系，記為(s,s′)，系統(tǒng)中所有存在沖突關(guān)系的云服務(wù)對(duì)集合記為CIR，CIR?S×S，沖突關(guān)系具有以下性質(zhì)：

1)反自反性：(s,s)?CIR；

2)對(duì)稱性：(s,s′)∈CIR? (s′,s)∈CIR。

定義10?s∈S，s有聯(lián)盟關(guān)系IAR(s)?S，若s′滿足以下條件之一，則s′∈IAR(s)。

1)s′=s；

定義11?om∈Om，om有依賴關(guān)系DDR(om)?S，若?s′∈S,om∈s′.Out且s∈IAR(s′)，則s∈DDR(om)。

根據(jù)云服務(wù)的聯(lián)盟關(guān)系與數(shù)據(jù)的依賴關(guān)系，可以定義云服務(wù)與數(shù)據(jù)的組合沖突關(guān)系(Composite Service-Conflict of Interest Relation， CS-CIR)來(lái)表示云組合服務(wù)中信息流動(dòng)引起的沖突問(wèn)題。

定義12?s∈S，s有組合沖突關(guān)系CS-CIR(s)?S，若?s′∈IAR(s)，存在(s′,s″)∈CIR，則s″∈CS-CIR(s)。

定義13?om∈Om，om有組合沖突關(guān)系CS-CIR(om)?S，?s∈DDR(om)，存在(s,s′)∈CIR，則s′∈CS-CIR(om)。

本文提出CW-CSIFC模型的目的就是為了解決云組合服務(wù)中的組合沖突問(wèn)題。

2.3　模型描述

CW-CCSIFC模型可以用三條規(guī)則與兩個(gè)公理描述。在云組合服務(wù)的執(zhí)行過(guò)程中，云服務(wù)的聯(lián)盟關(guān)系與組合沖突關(guān)系和數(shù)據(jù)的依賴關(guān)系與組合沖突關(guān)系會(huì)隨著服務(wù)過(guò)程中云服務(wù)的輸入輸出而動(dòng)態(tài)變化。下面給出云服務(wù)的聯(lián)盟關(guān)系與組合沖突關(guān)系和數(shù)據(jù)的依賴關(guān)系與組合沖突關(guān)系的計(jì)算規(guī)則。

規(guī)則1初始狀態(tài)下，?s∈S，IAR(s)={s}，CS-CIR(s)={s′|?s′∈S,(s,s′)∈CIR}；?om∈Om，DDR(om)=?，CS-CIR(om)=?。

規(guī)則2如果敏感數(shù)據(jù)om輸入云服務(wù)s(om∈Om,s∈S)，則更新云服務(wù)的聯(lián)盟關(guān)系與組合沖突關(guān)系，即CS-CIR(s)=CS-CIR(s)∪CS-CIR(om),IAR(s)=IAR(s)∪DDR(om)。

規(guī)則3如果云服務(wù)s輸出敏感數(shù)據(jù)om(om∈Om,s∈S)，則更新數(shù)據(jù)的依賴關(guān)系與組合沖突關(guān)系，即CS-CIR(om)=CS-CIR(om)∪CS-CIR(s)，DDR(om)=DDR(om)∪IAR(s)。

下面給出云組合服務(wù)中云服務(wù)輸入輸出控制應(yīng)遵循的公理，以防止發(fā)生非法的信息流動(dòng)。

公理1簡(jiǎn)單安全性。云服務(wù)s允許敏感數(shù)據(jù)om輸入(om∈Om,s∈S)，當(dāng)且僅當(dāng)CS-CIR(s)∩DDR(om)=?或CS-CIR(om)∩IAR(s)=?。

公理2*-屬性。云服務(wù)s允許輸出敏感數(shù)據(jù)om(om∈Om,s∈S)，當(dāng)且僅當(dāng)CS-CIR(om)∩IAR(s)=?或CS-CIR(s)∩DDR(om)=?。

2.4　模型性質(zhì)

定理1一致性定理。

1)?s,s′,s″∈S，s′∈IAR(s)∧(s′,s″)∈CIR?s″?IAR(s)；

2)?om∈Om,s′,s″∈S，s′∈DDR(om)∧(s′,s″)∈CIR?s″?DDR(om)。

證明定義某時(shí)刻云組合服務(wù)系統(tǒng)的安全狀態(tài)q是由所有組件服務(wù)的聯(lián)盟關(guān)系和敏感數(shù)據(jù)依賴關(guān)系的狀態(tài)構(gòu)成的集合，并且本定理所描述的安全狀態(tài)稱為非沖突狀態(tài)，反之則稱為沖突狀態(tài)。假設(shè)Q是系統(tǒng)所有可能的安全狀態(tài)的集合，QN是系統(tǒng)所有非沖突狀態(tài)的集合，QY是系統(tǒng)所有沖突狀態(tài)的集合。

模型規(guī)則2與規(guī)則3(分別用r2,r3表示)使系統(tǒng)安全狀態(tài)發(fā)生改變，用狀態(tài)轉(zhuǎn)移函數(shù)δ:Q×{r2,r3}→Q表示。假設(shè)L是在狀態(tài)轉(zhuǎn)移函數(shù)作用下生成的一個(gè)安全狀態(tài)序列，L=〈q0,q1,q2,…,qn〉，且?qk∈L(1≤k≤n)，qk=δ(qk-1,r2)或qk=δ(qk-1,r3)，初始狀態(tài)q0由模型規(guī)則1定義。

定理1可以重新描述為：對(duì)于任意安全狀態(tài)序列中的任一狀態(tài)q，都有q∈QN。下面采用數(shù)學(xué)歸納法證明。

1)對(duì)初始狀態(tài)q0， 根據(jù)規(guī)則1定義， ?om∈Om，DDR(om)=?，?s∈S，IAR(s)={s}，顯然，q0∈QN。

2)假設(shè)序列中第k-1個(gè)狀態(tài)qk-1∈QN:

(1)若qk=δ(qk-1,r2)，用反證法可證明qk∈QN。

假設(shè)qk∈QY，那么?s,s′,s″∈S，s′,s″∈IAR(s)且(s′,s″)∈CIR。s′,s″存在以下兩種可能方式加入至IAR(s)：①s′,s″分兩次加入IAR(s)。假設(shè)s′先被加入，即在qk-1時(shí)s′∈IAR(s)，那么s″加入IAR(s)需要通過(guò)規(guī)則2，即?om∈Om,s∈S，om∈s.In，且s″∈DDR(om)，但是與公理1(簡(jiǎn)單安全性)矛盾。由于沖突關(guān)系的對(duì)稱性，s″先被加入時(shí)也會(huì)產(chǎn)生矛盾，所以這種情況不成立。②s′,s″同時(shí)通過(guò)規(guī)則2被加入IAR(s)，即?om∈Om,s∈S，om∈s.In，s′,s″∈DDR(om)并且(s′,s″)∈CIR，但是由假設(shè)可知，qk-1∈QN，所以不存在這樣的數(shù)據(jù)o，與假設(shè)矛盾?？梢?jiàn)，當(dāng)qk=δ(qk-1,r2)時(shí)，qk∈QN。

(2)若qk=δ(qk-1,r3)，用反證法可證明qk∈QN。

假設(shè)qk∈QY，那么?om∈Om,s′,s″∈S，s′,s″∈DDR(om)且 (s′,s″)∈CIR。s′,s″存在以下兩種可能方式加入至DDR(om)：①s′,s″分兩次加入DDR(om)。假設(shè)s′先被加入，即在qk-1時(shí)s′∈DDR(om),那么s″加入DDR(om)需要通過(guò)規(guī)則3，即?om∈Om,s,s″∈S，om∈s.Out，且s″∈IAR(s)，但是與公理2(*-屬性)矛盾。由于沖突關(guān)系的對(duì)稱性，s″先被加入時(shí)也會(huì)產(chǎn)生矛盾，所以這種情況不成立。②s′,s″同時(shí)通過(guò)規(guī)則2加入DDR(om)，即?s,s′,s″∈S，s′,s″∈IAR(s)∧(s′,s″)∈CIR。但是由假設(shè)可知qk-1∈QN，所以不存在這樣的云服務(wù)s，與假設(shè)矛盾?？梢?jiàn)，當(dāng)qk=δ(qk-1,r3)時(shí)，qk∈QN。

綜上1)、2)所述，對(duì)于任意安全狀態(tài)序列中的任一狀態(tài)q，都有q∈QN。定理成立。

證明下面針對(duì)不同類型的信息流，分別進(jìn)行證明。

綜上所述，定理成立。

3　模型分析與應(yīng)用

3.1　模型分析

定理1保證了模型中任意云服務(wù)的聯(lián)盟關(guān)系或數(shù)據(jù)的依賴關(guān)系中不存在有沖突關(guān)系的數(shù)據(jù)集，說(shuō)明模型不會(huì)產(chǎn)生矛盾，而定理2說(shuō)明模型準(zhǔn)確地表達(dá)了由信息流動(dòng)導(dǎo)致的組合沖突問(wèn)題。下面的定理將證明本文模型可以有效保證云組合服務(wù)中信息流動(dòng)滿足中國(guó)墻策略。

定理1、2、3的證明顯示，CW-CCSIFC模型能夠正確地表達(dá)云組合服務(wù)信息流動(dòng)過(guò)程中的利益沖突問(wèn)題，并且可以有效地阻止非法的信息流動(dòng)。

3.2　與傳統(tǒng)中國(guó)墻模型的比較

CW-CCSIFC模型是針對(duì)云組合服務(wù)中的信息流安全問(wèn)題提出的中國(guó)墻模型的改進(jìn)模型，與傳統(tǒng)的中國(guó)墻模型相比最大的區(qū)別在于它的分布式特性。在實(shí)際應(yīng)用中，傳統(tǒng)的中國(guó)墻模型(如BN模型[1])需要集中地維護(hù)一個(gè)訪問(wèn)矩陣以記錄主體對(duì)客體的訪問(wèn)歷史，主體不攜帶歷史信息也沒(méi)有安全標(biāo)簽，當(dāng)主體訪問(wèn)客體時(shí)，需要系統(tǒng)檢查訪問(wèn)矩陣判斷是否違反安全策略。而在CW-CCSIFC模型中主體與客體均有安全標(biāo)簽，訪問(wèn)歷史信息被記錄在云服務(wù)的聯(lián)盟關(guān)系(IAR)與數(shù)據(jù)的依賴關(guān)系(DDR)以及它們的組合沖突關(guān)系(CS-CIR)中，檢查信息流時(shí)僅依據(jù)訪問(wèn)主客體攜帶的信息即可以作出判斷。例如，有主體s，敏感數(shù)據(jù)o1、o2，且o1、o2之間有利益沖突。傳統(tǒng)模型中可以用-1表示未訪問(wèn)，0表示拒絕訪問(wèn)，1表示曾經(jīng)訪問(wèn)，s對(duì)o1、o2的訪問(wèn)矩陣可記為M，M=[-1,-1]表示o1、o2均未被訪問(wèn)過(guò)的狀態(tài)。當(dāng)s訪問(wèn)o1時(shí)，先檢查訪問(wèn)矩陣中的信息以及系統(tǒng)對(duì)數(shù)據(jù)的沖突關(guān)系的設(shè)置是否允許訪問(wèn)。而在CW-CCSIFC模型中則可表示為DDR(o1)={o1},CS-CIR(o1)={o2},DDR(o2)={o2},CS-CIR(o2)={o1},IAR(s)=?,CS-CIR(s)=?，當(dāng)s訪問(wèn)o1時(shí)，直接根據(jù)s與o1攜帶的信息即可判斷是否允許訪問(wèn)。

傳統(tǒng)的中國(guó)墻模型對(duì)于寫(xiě)操作的強(qiáng)約束限制了某些正常的信息流動(dòng)[14]。例如，現(xiàn)有3個(gè)敏感數(shù)據(jù)oA、oB、oC分別屬于石油公司A與石油公司B，銀行C(A與B有利益沖突)，兩個(gè)程序f1、f2對(duì)這3個(gè)數(shù)據(jù)進(jìn)行讀、寫(xiě)操作。在BN模型中，若f1讀過(guò)oA后就不允許對(duì)oC進(jìn)行寫(xiě)操作(實(shí)際上是對(duì)A公司以外的任何數(shù)據(jù)都不允許進(jìn)行寫(xiě)操作)，雖然這兩者并沒(méi)有沖突關(guān)系。這是因?yàn)槿绻试Sf1對(duì)oC進(jìn)行寫(xiě)操作，那么oC就可能含有oA的信息，而B(niǎo)N模型中f2讀過(guò)oB以后，再讀取oC是被允許的，這會(huì)導(dǎo)致oA與oB的信息同時(shí)流向了f2，違反信息流安全策略。而CW-CCSIFC模型對(duì)寫(xiě)操作的約束較弱，現(xiàn)將數(shù)據(jù)的輸入看作讀操作，輸出看作寫(xiě)操作，并定義系統(tǒng)初始狀態(tài)：DDR(oA)={A},CS-CIR(oA)={B},DDR(oB)={B},CS-CIR(oB)={A},DDR(oC)={C},CS-CIR(oC)=?,IAR(f1)=?,CS-CIR(f1)=?,IAR(f2)=?,CS-CIR(f2)=?。在使用CW-CCSIFC模型進(jìn)行控制時(shí)，允許f1讀取oA再對(duì)oC進(jìn)行寫(xiě)操作，這之后CS-CIR(oC)={B}，如果f2讀過(guò)oB后IAR(f2)={B}，再讀取oC則會(huì)因違反簡(jiǎn)單安全性被拒絕，從而避免了非法的信息流動(dòng)。

3.3　模型應(yīng)用

本節(jié)將用一個(gè)實(shí)例說(shuō)明模型是怎樣發(fā)揮作用的?？紤]一個(gè)如圖3所示的復(fù)雜的云組合服務(wù)，其中s0是組合服務(wù)的發(fā)起者，它將根據(jù)φ1與φ3選擇執(zhí)行云服務(wù)s1或s3。當(dāng)它選擇s1后，將根據(jù)φ2與φ4選擇執(zhí)行云服務(wù)s2或s4；而選擇s3后，將根據(jù)φ5與φ6選擇執(zhí)行云服務(wù)s4或s5。最后執(zhí)行云服務(wù)s6(φ0為常函數(shù)其值為1)。

圖3　信息流模型應(yīng)用示例Fig. 3　An example of information flow model

在這7個(gè)服務(wù)中，在考慮到利益沖突問(wèn)題以后，給出沖突關(guān)系集合CIR={(s1,s3),(s2,s4),(s4,s5)}。為了避免發(fā)生利益沖突，應(yīng)用CW-CCSIFC模型對(duì)該組合服務(wù)的信息流動(dòng)進(jìn)行控制。為了體現(xiàn)模型的效果，默認(rèn)服務(wù)在輸出時(shí)一定含有敏感數(shù)據(jù)。

假設(shè)當(dāng)該組合服務(wù)第一次運(yùn)行時(shí)，φ1=1,φ2=1,φ3=0,φ4=0，組合服務(wù)的執(zhí)行路徑為s0→s1→s2→s6，各服務(wù)的聯(lián)盟關(guān)系與組合沖突關(guān)系更新如表1所示。

表1　云服務(wù)狀態(tài)1Tab. 1　The first cloud service state

假設(shè)當(dāng)該云組合服務(wù)第二次運(yùn)行時(shí)φ1=0,φ3=1,φ5=1,φ6=0，那么組合服務(wù)的執(zhí)行路徑將是s0→s3→s5→s6。但是，當(dāng)執(zhí)行到服務(wù)s5時(shí)，各服務(wù)的聯(lián)盟關(guān)系與組合沖突關(guān)系更新如表2所示。云服務(wù)s5輸出的任意敏感數(shù)據(jù)om，都有{s1,s4}?CS-CIR(o)，而IAR(s6)={s0,s1,s2,s6}，由公理2可知，s5輸出的敏感數(shù)據(jù)將被s6拒絕，阻斷了具有組合沖突關(guān)系的s5和s6間的敏感信息流動(dòng)。

表2　云服務(wù)狀態(tài)2Tab. 2　The second cloud service state

4　結(jié)語(yǔ)

本文將中國(guó)墻策略引入到云組合服務(wù)的信息流模型中，以解決云組合服務(wù)中的利益沖突問(wèn)題。通過(guò)定義云服務(wù)的聯(lián)盟關(guān)系與數(shù)據(jù)的依賴關(guān)系，將云服務(wù)間的沖突關(guān)系擴(kuò)展為云服務(wù)與數(shù)據(jù)的組合沖突關(guān)系，提出了一種面向云組合服務(wù)的支持中國(guó)墻策略的信息流控制模型——CW-CCSIFC。分析表明，CW-CCSIFC模型可以有效地阻止具有組合沖突關(guān)系的云服務(wù)間的敏感信息流動(dòng)，保護(hù)云組合服務(wù)的信息流安全。

CW-CCSIFC模型的沖突擴(kuò)散特點(diǎn)(見(jiàn)定理2)將導(dǎo)致云組合服務(wù)中出現(xiàn)越來(lái)越多的組合沖突關(guān)系，這會(huì)使系統(tǒng)中的信息流限制不斷增加，影響系統(tǒng)的可用性。如何精確地標(biāo)記沖突關(guān)系以實(shí)現(xiàn)細(xì)粒度的信息流控制，以及如何安全地進(jìn)行組合沖突關(guān)系的清理，將是我們下一步研究的重點(diǎn)。

參考文獻(xiàn):

[1]BREWER D F C, NASH M J. The Chinese Wall security policy [C]// Proceedings of the 1989 IEEE Symposium on Security and Privacy. Washington, DC: IEEE Computer Society, 1989: 206-214.

[2]LIN T Y. Chinese Wall security policy — an aggressive model [C]// Proceedings of the 1989 Fifth Annual Computer Security Applications Conference. Piscataway, NJ: IEEE, 1990: 286-293.

[3]WU R, AHN G-J, HU H, et al. Information flow control in cloud computing [C]// Proceedings of the 2010 6th International Conference on Collaborative Computing: Networking, Applications and Worksharing. Piscataway, NJ: IEEE, 2010: 1-7.

[4]ALQAHTANI S M, GAMBLE R, RAY I. Auditing requirements for implementing the Chinese Wall model in the service cloud [C]// SERVICES ’13: Proceedings of the 2013 IEEE Ninth World Congress on Services. Washington, DC: IEEE Computer Society, 2013: 298-305.

[5]FEHIS S, NOUALI O, KECHADI T. A new Chinese Wall security policy model based on the subject’s wall and object’s wall [C]// ICACC 2015: Proceedings of the 2015 International Conference on Anti-Cybercrime. Piscataway, NJ: IEEE, 2015: 1-6.

[6]FEHIS S, NOUALI O, KECHADI M-T. A new distributed Chinese Wall security policy model [J]. Journal of Digital Forensics, Security and Law, 2016, 11(4): Article 11.

[7]HUTTER D, VOLKAMER M. Information flow control to secure dynamic Web service composition [C]// SPC 2006: Proceedings of the 2006 International Conference on Security in Pervasive Computing, LNCS 3934. Berlin: Springer, 2006: 196-210.

[8]SHE W, YEN I-L, THURAISINGHAM B, et al. The SCIFC model for information flow control in Web service composition [C]// ICWS ’09: Proceedings of the 2009 IEEE International Conference on Web Services. Piscataway, NJ: IEEE, 2009: 1-8.

[9]SHE W, YEN I-L, THURAISINGHAM B, et al. Rule-based run-time information flow control in service cloud [C]// ICWS 2011: Proceedings of the 2011 20th IEEE International Conference on Web Services. Washington, DC: IEEE Computer Society, 2011: 524-531.

[10]YU B, YANG L, CHEN S, et al. An information flow control approach in composite services [C]// IETICT 2013: Proceedings of the 2013 IET International Conference on Information and Communications Technologies. [S.l.]: IET, 2013: 263-269.

[11]XI N, SUN C, MA J, et al. Secure service composition with information flow control in service clouds [J]. Future Generation Computer Systems, 2015, 49: 142-148.

[12]SOLANKI N, HOFFMAN T, YEN I-L, et al. An access and information flow control paradigm for secure information sharing in service-based systems [C]// COMPSAC 2015: Proceedings of the 2015 IEEE 39th Computer Software and Applications Conference. Washington, DC: IEEE Computer Society, 2015: 60-67.

[13]XI N, SUN C, MA J, et al. Distributed information flow verification for secure service composition in smart sensor network [J]. China Communications, 2016, 13(4): 119-130.

[14]馬俊,王志英,任江春,等. 一種實(shí)現(xiàn)數(shù)據(jù)主動(dòng)泄漏防護(hù)的擴(kuò)展中國(guó)墻模型[J].軟件學(xué)報(bào),2012, 23(3):677-687. (MA J, WANG Z Y, REN J C, et al. Extended Chinese Wall model for aggressive data leakage prevention [J]. Journal of Software, 2012, 23(3): 677-687.)