面向數(shù)據(jù)跨域流轉(zhuǎn)的延伸訪問(wèn)控制機(jī)制

謝絨娜，郭云川，李鳳華,,3，史國(guó)振，王亞瓊，耿魁

（1. 西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院，陜西 西安 710071；2. 中國(guó)科學(xué)院信息工程研究所，北京 100093；3. 中國(guó)科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100049；4. 北京電子科技學(xué)院電子與通信工程系，北京 100070）

1 引言

復(fù)雜網(wǎng)絡(luò)環(huán)境中，運(yùn)行著各種各樣的大型應(yīng)用系統(tǒng)，如專(zhuān)用系統(tǒng)、應(yīng)急指揮系統(tǒng)、電子政務(wù)系統(tǒng)、電子商務(wù)系統(tǒng)等。這些大型應(yīng)用系統(tǒng)為完成某項(xiàng)任務(wù)，往往需要多個(gè)子系統(tǒng)協(xié)同運(yùn)作。比如專(zhuān)用系統(tǒng)中，一個(gè)簡(jiǎn)單的業(yè)務(wù)處理可能會(huì)涉及認(rèn)證系統(tǒng)、業(yè)務(wù)系統(tǒng)、監(jiān)管系統(tǒng)等子系統(tǒng)。數(shù)據(jù)需要在認(rèn)證系統(tǒng)、業(yè)務(wù)系統(tǒng)、監(jiān)管系統(tǒng)之間相互流轉(zhuǎn)和共享。這些子系統(tǒng)大部分屬于不同管理域，部署在不同地域。數(shù)據(jù)跨系統(tǒng)跨域流轉(zhuǎn)已成為復(fù)雜網(wǎng)絡(luò)環(huán)境數(shù)據(jù)共享的趨勢(shì)，如何確保數(shù)據(jù)跨系統(tǒng)跨域流轉(zhuǎn)后的受控共享是訪問(wèn)控制面臨的重大挑戰(zhàn)。

復(fù)雜網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)在不同實(shí)體、不同系統(tǒng)、不同域之間流動(dòng)形成了數(shù)據(jù)流。數(shù)據(jù)跨系統(tǒng)、跨域流轉(zhuǎn)中的延伸訪問(wèn)控制是數(shù)據(jù)流轉(zhuǎn)和共享過(guò)程中急需解決的問(wèn)題。以專(zhuān)用系統(tǒng)為例，當(dāng)數(shù)據(jù)在同一個(gè)子系統(tǒng)中的不同實(shí)體之間流轉(zhuǎn)，或者從一個(gè)子系統(tǒng)流轉(zhuǎn)到另一個(gè)子系統(tǒng)、一個(gè)域流轉(zhuǎn)到另一個(gè)域時(shí)形成了數(shù)據(jù)流。在數(shù)據(jù)流轉(zhuǎn)過(guò)程中，數(shù)據(jù)所有者一旦將數(shù)據(jù)發(fā)送給其他實(shí)體，就失去了對(duì)數(shù)據(jù)的控制。數(shù)據(jù)接收者在得到數(shù)據(jù)后，可以對(duì)數(shù)據(jù)進(jìn)行任意修改和轉(zhuǎn)發(fā)。

數(shù)據(jù)或信息在不同系統(tǒng)、不同域之間的流動(dòng)形成了數(shù)據(jù)流或信息流。針對(duì)數(shù)據(jù)流或信息流的訪問(wèn)控制，早期的文獻(xiàn)[1-4]大多是針對(duì)軟件程序、操作系統(tǒng)或應(yīng)用系統(tǒng)中信息流的控制。Bell等[5]和Biba等[6]分別提出的BLP（Bell and LaPadula）和Biba訪問(wèn)控制模型解決了多級(jí)安全系統(tǒng)中信息流機(jī)密性和完整性問(wèn)題。Zeldovich等[7]將信息流控制從單個(gè)系統(tǒng)引入網(wǎng)絡(luò)環(huán)境中，實(shí)現(xiàn)了多個(gè)不可信服務(wù)系統(tǒng)之間的信息流控制。She等[8]將基于角色的訪問(wèn)控制與起源數(shù)據(jù)相結(jié)合，利用起源數(shù)據(jù)對(duì)數(shù)據(jù)可信度進(jìn)行評(píng)估，根據(jù)信任值評(píng)估結(jié)果對(duì)信息流進(jìn)行訪問(wèn)控制。為提高信息流轉(zhuǎn)的效率，She等[9]提出服務(wù)組合協(xié)議，通過(guò)在信息流轉(zhuǎn)前服務(wù)組合階段對(duì)候選的服務(wù)器進(jìn)行評(píng)估和訪問(wèn)控制策略的驗(yàn)證，改善了由于服務(wù)失效導(dǎo)致信息流轉(zhuǎn)效率降低的問(wèn)題。上述模型沒(méi)有解決數(shù)據(jù)流轉(zhuǎn)過(guò)程中的延伸控制問(wèn)題。Asuquo等[10]為了解決時(shí)延/中斷容忍網(wǎng)絡(luò)（DTN,delay/disruption tolerant network）在數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中的訪問(wèn)控制問(wèn)題，提出了分布式信任管理模型評(píng)估中間節(jié)點(diǎn)的可信性，從而實(shí)現(xiàn)了對(duì)數(shù)據(jù)轉(zhuǎn)發(fā)的訪問(wèn)控制。Li等[11]提出了強(qiáng)制性基于內(nèi)容訪問(wèn)控制機(jī)制，實(shí)現(xiàn)了數(shù)據(jù)中心網(wǎng)絡(luò)數(shù)據(jù)流轉(zhuǎn)過(guò)程中間節(jié)點(diǎn)對(duì)數(shù)據(jù)緩存權(quán)限的控制。上述文獻(xiàn)只是針對(duì)特殊應(yīng)用場(chǎng)景，沒(méi)有對(duì)延伸控制操作進(jìn)行細(xì)粒度延伸控制。

數(shù)據(jù)在全生命周期流轉(zhuǎn)過(guò)程中，來(lái)源于不同域、不同系統(tǒng)中的不同實(shí)體對(duì)數(shù)據(jù)各部分進(jìn)行不同的操作，最終生成數(shù)據(jù)和數(shù)據(jù)流。數(shù)據(jù)跨系統(tǒng)、跨域流轉(zhuǎn)過(guò)程中共享延伸授權(quán)的訪問(wèn)控制面臨如下挑戰(zhàn)。

1) 延伸授權(quán)的訪問(wèn)控制

對(duì)數(shù)據(jù)跨域流轉(zhuǎn)的訪問(wèn)控制，不僅需要在訪問(wèn)請(qǐng)求前判斷訪問(wèn)請(qǐng)求實(shí)體是否有訪問(wèn)的權(quán)限，還需要考慮訪問(wèn)請(qǐng)求實(shí)體得到訪問(wèn)權(quán)限后對(duì)數(shù)據(jù)資源進(jìn)一步的延伸控制問(wèn)題。對(duì)數(shù)據(jù)進(jìn)行共享延伸的訪問(wèn)控制，訪問(wèn)請(qǐng)求實(shí)體不僅要考慮對(duì)數(shù)據(jù)本身的訪問(wèn)權(quán)限，還需要考慮對(duì)數(shù)據(jù)在整個(gè)流轉(zhuǎn)過(guò)程中起源數(shù)據(jù)的訪問(wèn)權(quán)限。

2) 跨域流轉(zhuǎn)的隱私泄露

為了實(shí)現(xiàn)跨域訪問(wèn)控制，很多文獻(xiàn)采用基于角色或基于屬性的訪問(wèn)控制機(jī)制。當(dāng)數(shù)據(jù)在2個(gè)不同域之間流轉(zhuǎn)時(shí)，不同域之間需要進(jìn)行角色或?qū)傩缘挠成?，這樣勢(shì)必會(huì)存在映射關(guān)系復(fù)雜、映射表維護(hù)成本高和隱私泄露的問(wèn)題。如何降低數(shù)據(jù)跨域流轉(zhuǎn)中隱私泄露問(wèn)題是數(shù)據(jù)跨域流轉(zhuǎn)延伸訪問(wèn)控制中急需解決的問(wèn)題。

針對(duì)上述問(wèn)題，本文提出了面向數(shù)據(jù)跨域流轉(zhuǎn)的延伸訪問(wèn)控制機(jī)制，主要貢獻(xiàn)如下。

1) 提出了面向數(shù)據(jù)跨域流轉(zhuǎn)的延伸訪問(wèn)控制機(jī)制，并給出了形式化描述。該機(jī)制將訪問(wèn)控制分為約束訪問(wèn)控制和傳播訪問(wèn)控制2類(lèi)。其中，約束訪問(wèn)控制用于解決訪問(wèn)請(qǐng)求實(shí)體在訪問(wèn)請(qǐng)求前對(duì)數(shù)據(jù)資源的訪問(wèn)授權(quán)問(wèn)題，傳播訪問(wèn)控制用于解決訪問(wèn)請(qǐng)求實(shí)體得到數(shù)據(jù)資源訪問(wèn)授權(quán)后進(jìn)一步的延伸控制問(wèn)題。

2) 面向數(shù)據(jù)跨域流轉(zhuǎn)的延伸訪問(wèn)控制機(jī)制基于訪問(wèn)請(qǐng)求實(shí)體和客體的屬性進(jìn)行訪問(wèn)授權(quán)，并把數(shù)據(jù)流轉(zhuǎn)過(guò)程的起源數(shù)據(jù)作為客體的屬性，實(shí)現(xiàn)訪問(wèn)請(qǐng)求實(shí)體對(duì)數(shù)據(jù)流的間接訪問(wèn)控制。在數(shù)據(jù)跨域流轉(zhuǎn)時(shí)，不同域訪問(wèn)請(qǐng)求實(shí)體和客體通過(guò)屬性映射，實(shí)現(xiàn)域內(nèi)局部屬性與全局屬性的映射，進(jìn)而實(shí)現(xiàn)不同域之間屬性映射，避免了不同域之間直接進(jìn)行屬性映射造成的屬性映射維護(hù)成本高、擴(kuò)展性差的問(wèn)題，同時(shí)降低了不同域之間屬性映射導(dǎo)致的隱私泄露的風(fēng)險(xiǎn)。

3) 對(duì)面向數(shù)據(jù)跨域流轉(zhuǎn)的延伸訪問(wèn)控制機(jī)制的安全性和有效性進(jìn)行了分析，并通過(guò)電子發(fā)票全生命周期的流轉(zhuǎn)過(guò)程展示了數(shù)據(jù)跨域流轉(zhuǎn)的延伸訪問(wèn)控制機(jī)制實(shí)施方法。安全性和性能分析表明，該機(jī)制有效解決了數(shù)據(jù)跨域隨機(jī)流轉(zhuǎn)過(guò)程中的延伸授權(quán)問(wèn)題，并在保證安全性的前提下，有效提高了訪問(wèn)控制的效率。

2 相關(guān)工作

數(shù)據(jù)或信息在不同系統(tǒng)、不同域之間的流動(dòng)形成了數(shù)據(jù)流或信息流，其中，信息代表有一定意義的數(shù)據(jù)。關(guān)于數(shù)據(jù)流或信息流訪問(wèn)控制，早期的文獻(xiàn)大多集中在信息流訪問(wèn)控制。對(duì)于信息流的訪問(wèn)控制，部分文獻(xiàn)采用起源數(shù)據(jù)進(jìn)行訪問(wèn)授權(quán)。本節(jié)從信息流訪問(wèn)控制和基于起源的訪問(wèn)控制2個(gè)方面討論數(shù)據(jù)跨域流轉(zhuǎn)訪問(wèn)的研究進(jìn)展。

2.1 信息流訪問(wèn)控制

對(duì)于信息流控制，早期的文獻(xiàn)[1-4]大多是針對(duì)軟件程序、操作系統(tǒng)或應(yīng)用系統(tǒng)中信息流的控制，保證敏感信息不能輸出到公共端口，并且關(guān)鍵的計(jì)算組件不能受到外部信息的影響。BLP訪問(wèn)控制模型[5]將主體和客體分成不同的安全等級(jí)，通過(guò)“下讀上寫(xiě)”的安全策略解決了多級(jí)安全系統(tǒng)中信息流機(jī)密性。參考BLP模型，Biba訪問(wèn)控制模型[6]將主體和客體賦予不同完整性標(biāo)記屬性，通過(guò)“上讀下寫(xiě)”安全策略實(shí)現(xiàn)了多級(jí)安全系統(tǒng)的完整性。Zeldovich等[7]將信息流訪問(wèn)控制從單個(gè)系統(tǒng)引入網(wǎng)絡(luò)環(huán)境中，實(shí)現(xiàn)了多個(gè)不可信服務(wù)系統(tǒng)之間的信息流控制。Groef等[12]設(shè)計(jì)開(kāi)發(fā)了一個(gè)Web瀏覽器，通過(guò)瀏覽器實(shí)現(xiàn)靈活準(zhǔn)確的信息流控制。但上述文獻(xiàn)大多是在執(zhí)行過(guò)程的訪問(wèn)控制，對(duì)于信息流動(dòng)前不同服務(wù)器組合時(shí)期的訪問(wèn)控制問(wèn)題很少考慮，影響了信息流訪問(wèn)控制執(zhí)行的效率。針對(duì)上述問(wèn)題，She等[9,13-14]提出了服務(wù)組合協(xié)議，將服務(wù)組合分成 3個(gè)階段進(jìn)行服務(wù)器評(píng)估和訪問(wèn)控制策略的驗(yàn)證，從而實(shí)現(xiàn)了可信服務(wù)器組合，提高了訪問(wèn)控制的效率；同時(shí)，引入了轉(zhuǎn)移因子（TF, transformation factor）的概念，提高了中間服務(wù)器訪問(wèn)控制執(zhí)行的效率。但其沒(méi)有考慮信息流轉(zhuǎn)過(guò)程中的延伸控制。針對(duì)特殊應(yīng)用場(chǎng)景下信息流的訪問(wèn)控制問(wèn)題，近期不少文獻(xiàn)提出了針對(duì)性的解決方案。為了解決時(shí)延容忍網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程的訪問(wèn)控制問(wèn)題。Asuquo等[10]提出分布式信任管理模型，通過(guò)直接信任評(píng)估和間接信任評(píng)估相結(jié)合的方式實(shí)現(xiàn)對(duì)數(shù)據(jù)轉(zhuǎn)發(fā)節(jié)點(diǎn)的可信性進(jìn)行動(dòng)態(tài)評(píng)估，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)轉(zhuǎn)發(fā)的訪問(wèn)控制，但只是針對(duì) DTN特殊網(wǎng)絡(luò)環(huán)境，同樣沒(méi)有考慮數(shù)據(jù)流轉(zhuǎn)過(guò)程延伸訪問(wèn)控制問(wèn)題。Li等[11]針對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)中的安全和隱私問(wèn)題，提出了強(qiáng)制性基于內(nèi)容的訪問(wèn)控制機(jī)制，內(nèi)容提供者根據(jù)不同內(nèi)容定義不同的安全標(biāo)簽，實(shí)現(xiàn)數(shù)據(jù)發(fā)送時(shí)中間節(jié)點(diǎn)對(duì)發(fā)送內(nèi)容進(jìn)行緩存的權(quán)限控制，雖然考慮了部分延伸控制問(wèn)題，但只是針對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)這種特殊應(yīng)用場(chǎng)景，中間節(jié)點(diǎn)對(duì)數(shù)據(jù)緩存及其他延伸操作沒(méi)有進(jìn)行進(jìn)一步的細(xì)粒度控制。

2.2 基于起源的訪問(wèn)控制

起源數(shù)據(jù)主要用來(lái)跟蹤、記錄數(shù)據(jù)的生成過(guò)程，即記錄誰(shuí)在什么條件下對(duì)數(shù)據(jù)進(jìn)行了什么操作。目前，不少文獻(xiàn)利用起源數(shù)據(jù)進(jìn)行數(shù)據(jù)流的訪問(wèn)控制。Park等[15]提出了基于起源的訪問(wèn)控制模型，利用起源數(shù)據(jù)實(shí)現(xiàn)訪問(wèn)控制。為提高訪問(wèn)控制策略描述和執(zhí)行的效率，Sun等[16-17]設(shè)計(jì)了類(lèi)型化的起源模型及其解釋器，將起源數(shù)據(jù)當(dāng)做一種特殊的屬性進(jìn)行訪問(wèn)控制。She等[8]針對(duì)服務(wù)導(dǎo)向架構(gòu)（SOA, service-oriented architecture）中的數(shù)據(jù)流跨域流轉(zhuǎn)中的安全性和可信性問(wèn)題，將基于角色的訪問(wèn)控制與起源數(shù)據(jù)相結(jié)合，根據(jù)起源數(shù)據(jù)對(duì)數(shù)據(jù)進(jìn)行可信性評(píng)估，并根據(jù)信任值評(píng)估結(jié)果對(duì)數(shù)據(jù)流進(jìn)行訪問(wèn)控制，通過(guò)域間角色的映射實(shí)現(xiàn)數(shù)據(jù)流跨域的訪問(wèn)控制，但存在映射表維護(hù)復(fù)雜以及域間角色映射造成的隱私泄露問(wèn)題。李鳳華等[18]提出了資源傳播鏈來(lái)記錄數(shù)據(jù)在不同實(shí)體之間的流轉(zhuǎn)過(guò)程，實(shí)現(xiàn)了數(shù)據(jù)受控二次/多次分發(fā)，在一定程度上解決了數(shù)據(jù)資源的延伸控制問(wèn)題，但沒(méi)有給出延伸控制形式化的定義。

上述文獻(xiàn)對(duì)數(shù)據(jù)跨域流轉(zhuǎn)共享延伸訪問(wèn)控制問(wèn)題都沒(méi)有解決。

3 數(shù)據(jù)流模型

3.1 數(shù)據(jù)跨域流轉(zhuǎn)的系統(tǒng)模型

數(shù)據(jù)跨域流轉(zhuǎn)的系統(tǒng)模型如圖1所示，包括多個(gè)不同類(lèi)型的域。不同域包括各種實(shí)體（E, entity）、客體（O, object）、數(shù)據(jù)容器（DC, data container）、安全授權(quán)管理服務(wù)（SA, security authority）。其中，實(shí)體包括使用者、軟件、硬件，客體包括各種數(shù)據(jù)資源（data），數(shù)據(jù)容器可以為文件夾、數(shù)據(jù)庫(kù)、硬盤(pán)等，安全授權(quán)管理服務(wù)負(fù)責(zé)訪問(wèn)控制策略管理、不同域間屬性映射、訪問(wèn)控制判定和授權(quán)。

圖1 數(shù)據(jù)跨域流轉(zhuǎn)系統(tǒng)模型

定義1 數(shù)據(jù)跨域流轉(zhuǎn)的系統(tǒng)包括域集合其中，N*為自然數(shù)集合。一個(gè)域Di為四元組其中，實(shí)體集合客體集合數(shù)據(jù)容器集合為域Di的授權(quán)管理服務(wù)，管理域內(nèi)和域間的訪問(wèn)控制策略集合

3.2 數(shù)據(jù)流模型

不同實(shí)體、不同系統(tǒng)和不同域之間隨機(jī)訪問(wèn)、生成和轉(zhuǎn)發(fā)各種數(shù)據(jù)，形成了數(shù)據(jù)交互，如圖 2所示。

圖2 數(shù)據(jù)交互

域內(nèi)的實(shí)體e接收其他實(shí)體發(fā)來(lái)的數(shù)據(jù)并作為自己的輸入e.In，將輸入的數(shù)據(jù)e.In和本地的數(shù)據(jù)e.L通過(guò)函數(shù)e.F生成輸出數(shù)據(jù)e.Out，實(shí)體e對(duì)輸出數(shù)據(jù)進(jìn)行傳播操作e.G，發(fā)送給其他實(shí)體。數(shù)據(jù)流模型如圖3所示。

定義2 數(shù)據(jù)流模型Q為五元組＜e. I n,e.L,e.Out,e.F,e.G＞，其中，e.In為輸入數(shù)據(jù)的集合，e. I N = {e. i nk|k∈N*}，輸入數(shù)據(jù)可以是本域內(nèi)的實(shí)體發(fā)來(lái)的數(shù)據(jù)，也可以是其他域?qū)嶓w發(fā)來(lái)的數(shù)據(jù)；e.L為本域內(nèi)數(shù)據(jù)集合，e.L= {e.lk|k∈N*}；e.Out為輸出數(shù)據(jù)的集合，e. O ut= {e. o utk|k∈N*}；e.F為實(shí)體e對(duì)輸入數(shù)據(jù)和本地?cái)?shù)據(jù)進(jìn)行的操作，包括讀、寫(xiě)、主體行為等，e. O ut =e.F(e. I n,e.L)；e.G為實(shí)體e對(duì)函數(shù)e.F輸出數(shù)據(jù)e.Out進(jìn)行的傳播操作，包括保存、備份、刪除、轉(zhuǎn)發(fā)等。

圖3 數(shù)據(jù)流模型

數(shù)據(jù)在不同實(shí)體之間的傳播生成一個(gè)數(shù)據(jù)流（data flow）或數(shù)據(jù)傳播鏈（data chain）。

定義3 抽象的數(shù)據(jù)傳播鏈 ＜q1,… ,qi, … ,qn＞ ，其中，q1為數(shù)據(jù)傳播鏈的起點(diǎn)，qn為數(shù)據(jù)傳播鏈的終點(diǎn)，qi=＜ei. In,ei.L,ei. Out,ei.F,e.G＞。其中，ei.In為第i個(gè)實(shí)體輸入數(shù)據(jù)；ei.L為第i個(gè)實(shí)體從本地?cái)?shù)據(jù)容器中獲得的數(shù)據(jù)資源；ei. Out 為第i個(gè)實(shí)體輸出數(shù)據(jù)，ei. Out =ei.F(ei.In,ei.L)；ei.F為第i個(gè)實(shí)體對(duì)數(shù)據(jù)進(jìn)行的操作；ei.G為第i個(gè)實(shí)體對(duì)輸出數(shù)據(jù)ei.Out進(jìn)行的傳播操作。

3.3 基于屬性的訪問(wèn)控制模型

面向數(shù)據(jù)跨域流轉(zhuǎn)的延伸訪問(wèn)控制機(jī)制中，基于實(shí)體屬性和客體屬性進(jìn)行訪問(wèn)授權(quán)。

實(shí)體屬性包括實(shí)體的通用屬性、安全屬性、環(huán)境屬性。令實(shí)體EATT = {＜ e attu, eatts, eattc＞ |eattu∈EAttU, eatts∈EAttS,eattc∈ E AttC}。其中，EAttU表示實(shí)體的通用屬性集合，包括實(shí)體類(lèi)別（人、軟件、硬件）、實(shí)體角色、運(yùn)行的平臺(tái)等；EAttS表示實(shí)體的安全屬性集合，包括實(shí)體的安全等級(jí)、安全域等；EAttC表示實(shí)體的環(huán)境屬性集合，包括時(shí)間、位置等。

客體屬性包括數(shù)據(jù)資源的通用屬性、安全屬性、環(huán)境屬性。令客體OATT = {＜ o attu,oatts,oattc＞|oattu∈ O AttU,oatts∈OAttS,oattc∈ O AttC}。其中，OAttU表示客體的通用屬性集合，包括客體生成者、生成客體所進(jìn)行的操作、客體起源數(shù)據(jù)等，客體起源數(shù)據(jù)用于表示客體生成過(guò)程中所有涉及的相關(guān)客體及其屬性，客體o的起源數(shù)據(jù)o.P= {＜o(jì)1,o1.att＞,＜o(jì)2,o2.att＞,… , ＜o(jì)n,on.att＞} ；OAttS表示客體的安全屬性集合，包括客體的安全等級(jí)、安全域等；OAttC表示客體的環(huán)境屬性集合，包括客體生成的時(shí)間、設(shè)備等。

在進(jìn)行延伸授權(quán)的訪問(wèn)控制時(shí)，除了考慮主體和客體屬性外，還需要考慮數(shù)據(jù)容器的屬性。令數(shù)據(jù)容器屬性DCATT = {＜ d cattu,dcatts, dcattc＞|dcattu∈ D CAttU,dcatts∈DCAttS,dcattc∈ D CAttC}。其中，DCAttU表示數(shù)據(jù)容器的通用屬性集合，包括數(shù)據(jù)容器位置、數(shù)據(jù)容器IP地址、數(shù)據(jù)庫(kù)名、視圖名等；DCAttS表示數(shù)據(jù)容器的安全等級(jí)、安全域等；DCAttC表示容器的環(huán)境屬性集合。

面向數(shù)據(jù)跨域流轉(zhuǎn)的延伸訪問(wèn)控制機(jī)制中，在實(shí)體和客體的眾多屬性中，有一部分屬性是全局屬性，如時(shí)間等；還有一部分屬性是域內(nèi)的局部屬性，如位置、角色、身份等。域內(nèi)的數(shù)據(jù)流轉(zhuǎn)可以采用域內(nèi)的局部屬性直接進(jìn)行訪問(wèn)控制，這樣一方面可以保護(hù)隱私性，另一方面可以避免屬性轉(zhuǎn)化帶來(lái)的空間和時(shí)間開(kāi)銷(xiāo)。在多域的環(huán)境中，跨域的訪問(wèn)控制是不可避免的。為了實(shí)現(xiàn)數(shù)據(jù)跨域安全流轉(zhuǎn)和訪問(wèn)，每個(gè)域都存在一個(gè)或多個(gè)屬性映射函數(shù)，實(shí)現(xiàn)域內(nèi)屬性與全局屬性映射。在進(jìn)行跨域訪問(wèn)時(shí)，例如A域數(shù)據(jù)流轉(zhuǎn)到B域，首先調(diào)用A域的屬性映射函數(shù)，將本域?qū)傩杂成錇槿謱傩?，?dāng)數(shù)據(jù)流轉(zhuǎn)到B域時(shí)，再調(diào)用B域的屬性映射函數(shù)，將全局屬性映射為B域的域內(nèi)屬性。這樣每個(gè)域只需要維護(hù)本域與全局屬性映射關(guān)系，提高了屬性映射的效率，不同域間的屬性互相不可知，降低了隱私泄漏的風(fēng)險(xiǎn)。

4 面向數(shù)據(jù)跨域流轉(zhuǎn)的延伸訪問(wèn)控制機(jī)制

本文提出的面向數(shù)據(jù)跨域流轉(zhuǎn)的延伸訪問(wèn)控制機(jī)制根據(jù)數(shù)據(jù)流轉(zhuǎn)過(guò)程中的起源數(shù)據(jù)進(jìn)行訪問(wèn)授權(quán)，并將訪問(wèn)控制分為約束訪問(wèn)控制和傳播訪問(wèn)控制兩類(lèi)。約束訪問(wèn)控制主要解決實(shí)體在何種條件下能夠?qū)?shù)據(jù)進(jìn)行何種操作的問(wèn)題，也就是控制上述數(shù)據(jù)傳播鏈中e.F函數(shù)的操作。傳播訪問(wèn)控制用于解決實(shí)體得到數(shù)據(jù)后，在何種條件下能進(jìn)行何種傳播操作的問(wèn)題，也就是e.G函數(shù)的操作。通過(guò)約束訪問(wèn)控制和傳播訪問(wèn)控制解決數(shù)據(jù)跨域延伸訪問(wèn)控制的問(wèn)題。

4.1 約束訪問(wèn)控制

在約束訪問(wèn)控制中，實(shí)體可以進(jìn)行操作集合OP主要包括讀、寫(xiě)、主體行為，即OP={read,write,useactions}。

權(quán)限 perms：實(shí)體到操作的映射。perms={＜e, op＞|e∈E,op ∈ O P}。

授權(quán)函數(shù)auth：根據(jù)實(shí)體屬性、客體屬性和對(duì)應(yīng)的訪問(wèn)控制策略分配實(shí)體對(duì)應(yīng)的權(quán)限。

auth=perms ×o= {＜e, op,o＞ |e∈E, op ∈ O P,o∈O}

在判斷實(shí)體對(duì)數(shù)據(jù)資源的讀訪問(wèn)權(quán)限時(shí)，不僅考慮直接讀權(quán)限，還需要考慮數(shù)據(jù)流轉(zhuǎn)過(guò)程中所有涉及的數(shù)據(jù)間接讀權(quán)限，即

auth(e, read,o) ? auth(e, read,o) ∧ auth(e, read,o.P)?auth(e, read,o) ∧ auth(e, read,oi.P)，i= 1,… ,n

其中，數(shù)據(jù)資源o的起源數(shù)據(jù)為o.P= {＜o(jì)1,o1.att＞,＜o(jì)2,o2.att＞,… ,＜o(jì)n,on.att＞}。

寫(xiě)操作與讀操作類(lèi)似，同樣需要考慮數(shù)據(jù)流轉(zhuǎn)過(guò)程中所有涉及的數(shù)據(jù)寫(xiě)權(quán)限，即

用戶(hù)行為（useactions）是實(shí)體對(duì)客體進(jìn)行的一些特殊行為，如加密、簽名、驗(yàn)簽、計(jì)算摘要、隱私保護(hù)、噪聲干擾等操作都屬于用戶(hù)行為。不同的操作對(duì)應(yīng)的訪問(wèn)控制策略不同，在實(shí)際應(yīng)用中，根據(jù)具體的行為類(lèi)型和安全需求制定對(duì)應(yīng)的訪問(wèn)控制策略。

4.2 傳播訪問(wèn)控制

訪問(wèn)請(qǐng)求實(shí)體在得到數(shù)據(jù)訪問(wèn)權(quán)限后，數(shù)據(jù)的管理權(quán)和所有權(quán)就產(chǎn)生了分離。訪問(wèn)請(qǐng)求實(shí)體可以在本地任意留存、備份，留存的時(shí)間、備份的份數(shù)也沒(méi)有限制；還可以將得到的數(shù)據(jù)任意轉(zhuǎn)發(fā)給其他訪問(wèn)實(shí)體或系統(tǒng)。傳播訪問(wèn)控制主要解決訪問(wèn)請(qǐng)求實(shí)體得到數(shù)據(jù)后進(jìn)一步的權(quán)限管理問(wèn)題，用于判斷控制訪問(wèn)請(qǐng)求實(shí)體在得到數(shù)據(jù)的訪問(wèn)權(quán)限后，在什么條件下可以進(jìn)一步對(duì)數(shù)據(jù)進(jìn)行哪些傳播操作。傳播訪問(wèn)控制中，訪問(wèn)請(qǐng)求實(shí)體進(jìn)行的操作集合主要包括保存、備份、刪除、接收、發(fā)送、轉(zhuǎn)發(fā)等操作，即OP = {save,backup,delete,receive,send,forward}。

訪問(wèn)請(qǐng)求實(shí)體在得到數(shù)據(jù)訪問(wèn)授權(quán)后，將數(shù)據(jù)保存在數(shù)據(jù)容器 dc中。在對(duì)保存操作進(jìn)行訪問(wèn)控制判斷時(shí)，不僅需要考慮訪問(wèn)請(qǐng)求實(shí)體是否對(duì)數(shù)據(jù)有保存的權(quán)限，還需要考慮保存數(shù)據(jù)的數(shù)據(jù)容器的屬性是否滿(mǎn)足數(shù)據(jù)保存的條件，以及保存的時(shí)間等。此外，還需要考慮整個(gè)數(shù)據(jù)流轉(zhuǎn)過(guò)程中所有涉及的數(shù)據(jù)保存權(quán)限。

其中，數(shù)據(jù)o的起源數(shù)據(jù)o.P= {＜o(jì)1,o1.att＞,＜o(jì)2,o2.att＞, … ,＜o(jì)n,on.att＞}；dc.att指數(shù)據(jù)容器的屬性，只有數(shù)據(jù)容器的屬性滿(mǎn)足保存條件時(shí)，數(shù)據(jù)容器才可以保存數(shù)據(jù)，例如只有數(shù)據(jù)容器安全等級(jí)大于或等于數(shù)據(jù)的安全等級(jí)時(shí)，才可以保存數(shù)據(jù)；time表示數(shù)據(jù)在數(shù)據(jù)容器中保存的時(shí)間。

為防止數(shù)據(jù)丟失，經(jīng)常將數(shù)據(jù)備份在數(shù)據(jù)容器中。

其中，Number為備份的份數(shù)，Number=1時(shí)可以省略不寫(xiě)。數(shù)據(jù)可以備份在不同的容器中，同一個(gè)容器可以備份多份數(shù)據(jù)。

對(duì)接收、保存和備份的數(shù)據(jù)資源，到了一定時(shí)間期限需要執(zhí)行刪除操作。

接收操作涉及不同實(shí)體之間數(shù)據(jù)流轉(zhuǎn)以及流轉(zhuǎn)的路徑。在進(jìn)行訪問(wèn)控制時(shí)，不僅要考慮數(shù)據(jù)本身和接收數(shù)據(jù)的實(shí)體，還需要考慮發(fā)送數(shù)據(jù)的實(shí)體、發(fā)送的方式和經(jīng)過(guò)的路徑等因素，同時(shí)還需要考慮數(shù)據(jù)流轉(zhuǎn)過(guò)程中所有涉及的數(shù)據(jù)。接收操作可表示為

其中，ei.Out表示第i+1個(gè)實(shí)體接收第i個(gè)實(shí)體輸出的數(shù)據(jù)資源；ei.manner為接收的方式，ei. manner ∈MANNER，MANNER為數(shù)據(jù)傳輸?shù)姆绞?，可以通過(guò)網(wǎng)絡(luò)傳輸，也可以通過(guò)光盤(pán)、U盤(pán)或紙質(zhì)文件傳輸；ei.path為發(fā)送的路徑，ei. path ∈ P ATH，PATH為數(shù)據(jù)傳輸?shù)穆窂郊希〝?shù)據(jù)在不同網(wǎng)絡(luò)節(jié)點(diǎn)傳播時(shí)形成的傳播路徑，或通過(guò)光盤(pán)、U盤(pán)或紙質(zhì)文件傳輸?shù)热斯鞑r(shí)形成的傳播路徑。

其中，ei.Out.P為第i個(gè)實(shí)體輸出的數(shù)據(jù)ei.Out的起源數(shù)據(jù)。

對(duì)于發(fā)送操作同樣要考慮發(fā)送數(shù)據(jù)的實(shí)體、發(fā)送的方式、經(jīng)過(guò)的路徑、接收的實(shí)體以及數(shù)據(jù)流轉(zhuǎn)過(guò)程中所有涉及的數(shù)據(jù)。第i個(gè)實(shí)體將自己輸出的數(shù)據(jù)資源ei.Out發(fā)送給第i+1個(gè)實(shí)體的發(fā)送操作可表示為

其中，ei. manner 為發(fā)送的方式，ei. path 為發(fā)送的路徑。

如果發(fā)送的數(shù)據(jù)是從上一個(gè)實(shí)體轉(zhuǎn)發(fā)來(lái)的，在進(jìn)行轉(zhuǎn)發(fā)控制時(shí)，需要增加轉(zhuǎn)發(fā)的次數(shù)。轉(zhuǎn)發(fā)操作表示為

數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，需要判斷轉(zhuǎn)發(fā)次數(shù)是否超過(guò)上界，轉(zhuǎn)發(fā)成功后，轉(zhuǎn)發(fā)次數(shù)加1。

在對(duì)數(shù)據(jù)進(jìn)行跨域延伸的訪問(wèn)控制時(shí)，對(duì)于域內(nèi)流轉(zhuǎn)直接采用域內(nèi)的屬性進(jìn)行授權(quán)判斷；對(duì)于跨不同域的數(shù)據(jù)流轉(zhuǎn)通過(guò)屬性映射函數(shù)實(shí)現(xiàn)域內(nèi)屬性全局屬性的映射，進(jìn)而實(shí)現(xiàn)域間不同實(shí)體和客體的屬性映射，提高訪問(wèn)控制效率，降低隱私泄露的風(fēng)險(xiǎn)。

4.3 安全性分析

現(xiàn)有訪問(wèn)控制機(jī)制重點(diǎn)考慮訪問(wèn)請(qǐng)求實(shí)體e得到數(shù)據(jù)資源o前的訪問(wèn)權(quán)限的控制。當(dāng)訪問(wèn)請(qǐng)求實(shí)體e得到數(shù)據(jù)資源o后，資源所有者就失去了對(duì)數(shù)據(jù)資源o的控制權(quán)限，訪問(wèn)請(qǐng)求實(shí)體e可以對(duì)數(shù)據(jù)資源o進(jìn)行任意操作，如保存、備份、刪除等操作，甚至轉(zhuǎn)發(fā)給其他訪問(wèn)請(qǐng)求實(shí)體，例如訪問(wèn)請(qǐng)求實(shí)體e轉(zhuǎn)發(fā)給e1，e1再轉(zhuǎn)發(fā)給e2，不同實(shí)體之間任意轉(zhuǎn)發(fā)造成資源的任意擴(kuò)散。為解決上述問(wèn)題，本文提出的跨域延伸訪問(wèn)控制機(jī)制從約束控制和傳播控制2個(gè)方面進(jìn)行訪問(wèn)控制，不僅考慮讀、寫(xiě)等操作，還進(jìn)一步考慮訪問(wèn)請(qǐng)求實(shí)體得到資源后延伸控制，分別從保存、備份、刪除、轉(zhuǎn)發(fā)等操作進(jìn)行細(xì)粒度延伸控制。在對(duì)保存和備份操作進(jìn)行控制時(shí)，不僅考慮實(shí)體對(duì)資源是否有保存的權(quán)限，同時(shí)考慮保存的容器屬性是否滿(mǎn)足條件。對(duì)資源備份時(shí)，還需要考慮備份的份數(shù)等條件。對(duì)于轉(zhuǎn)發(fā)操作，不僅考慮發(fā)送實(shí)體和接收實(shí)體，同時(shí)考慮資源轉(zhuǎn)發(fā)的路徑、方式和次數(shù)，保證資源在受控的實(shí)體范圍內(nèi)通過(guò)受控的方式和平臺(tái)進(jìn)行消息發(fā)布和共享。利用延伸授權(quán)的訪問(wèn)控制機(jī)制有效解決了上述數(shù)據(jù)資源在不同實(shí)體之間任意擴(kuò)散的情況。同時(shí)，在實(shí)體得到數(shù)據(jù)資源后，也不可以對(duì)數(shù)據(jù)資源任意修改、刪除和保存，有效限制了數(shù)據(jù)資源在傳播過(guò)程失真的情況。文獻(xiàn)[8]分別從發(fā)送和接收 2種不同操作限制數(shù)據(jù)傳播，在一定程度上解決了數(shù)據(jù)流轉(zhuǎn)過(guò)程中的訪問(wèn)控制問(wèn)題，但該文獻(xiàn)只考慮發(fā)送和接收2個(gè)單獨(dú)動(dòng)作，沒(méi)有考慮數(shù)據(jù)整個(gè)流轉(zhuǎn)過(guò)程，對(duì)數(shù)據(jù)在不同實(shí)體之間的多次轉(zhuǎn)發(fā)造成的泄露問(wèn)題不能有效解決。

另一方面，現(xiàn)有訪問(wèn)控制重點(diǎn)考慮對(duì)數(shù)據(jù)資源o的直接訪問(wèn)控制，但數(shù)據(jù)資源o通常由不同實(shí)體通過(guò)對(duì)不同數(shù)據(jù)資源進(jìn)行各種不同操作得到。假設(shè)數(shù)據(jù)資源o由實(shí)體e1、e2、e3分別對(duì)數(shù)據(jù)資源o1、o2、o3進(jìn)行不同操作得到。假設(shè)實(shí)體e有對(duì)數(shù)據(jù)資源o讀的訪問(wèn)權(quán)限，但對(duì)數(shù)據(jù)資源o1、o2沒(méi)有讀的權(quán)限，而資源o是由o1、o2組成的，那么e通過(guò)o得到了o1、o2的讀權(quán)限，導(dǎo)致數(shù)據(jù)資源o1、o2的間接泄露。本文利用數(shù)據(jù)傳播鏈（或者數(shù)據(jù)流）記錄了數(shù)據(jù)的起源信息，在進(jìn)行訪問(wèn)控制判斷時(shí)，不僅判斷對(duì)數(shù)據(jù)資源本身是否有訪問(wèn)權(quán)限，同時(shí)考慮對(duì)整個(gè)數(shù)據(jù)傳播鏈中所有參與數(shù)據(jù)資源的生成和傳播的數(shù)據(jù)資源和實(shí)體的訪問(wèn)權(quán)限，有效降低了數(shù)據(jù)資源在不同實(shí)體之間流轉(zhuǎn)造成的間接泄露風(fēng)險(xiǎn)。文獻(xiàn)[15]利用OPM（open provenance model）記錄起源數(shù)據(jù)，并利用起源數(shù)據(jù)進(jìn)行訪問(wèn)控制判斷，但存在起源數(shù)據(jù)過(guò)于復(fù)雜，并且在數(shù)據(jù)跨域流轉(zhuǎn)過(guò)程中由于起源數(shù)據(jù)過(guò)于復(fù)雜導(dǎo)致訪問(wèn)控制效率低。本文利用數(shù)據(jù)傳播鏈（或者數(shù)據(jù)流）記錄了數(shù)據(jù)的起源數(shù)據(jù)，不考慮數(shù)據(jù)生成過(guò)程中不同實(shí)體對(duì)數(shù)據(jù)組成部分進(jìn)行的操作以及不同實(shí)體與數(shù)據(jù)組成部分的關(guān)系，簡(jiǎn)化了起源數(shù)據(jù)，提高了訪問(wèn)控制效率。

5 用例分析

本節(jié)通過(guò)電子發(fā)票全生命周期的流轉(zhuǎn)過(guò)程給出數(shù)據(jù)跨域流轉(zhuǎn)延伸訪問(wèn)控制機(jī)制的實(shí)現(xiàn)方法。

5.1 電子發(fā)票數(shù)據(jù)流分析

電子發(fā)票數(shù)據(jù)流轉(zhuǎn)過(guò)程如圖4所示，共有6個(gè)實(shí)體。

圖4 電子發(fā)票數(shù)據(jù)流轉(zhuǎn)過(guò)程

稅務(wù)機(jī)構(gòu)(e1)。稅務(wù)機(jī)構(gòu)從電子發(fā)票模板庫(kù)中提取要頒發(fā)的電子發(fā)票模板(e1.in1)，然后生成空白發(fā)票的 ID號(hào)、有效期等相關(guān)數(shù)據(jù)e1.l1，以及銷(xiāo)售方名稱(chēng)等銷(xiāo)售方的相關(guān)數(shù)據(jù)e1.l2。為了保證空白發(fā)票的合法性，稅務(wù)機(jī)構(gòu)使用自己的私鑰ske1=e1.l3調(diào)用簽名算法 sig，對(duì)空白發(fā)票相關(guān)數(shù)據(jù)

(e1. in1e1.l1e1.l2) 進(jìn)行簽名，得到稅務(wù)機(jī)構(gòu)的簽名sige1(e1.l4) ,sige1=sig(ske1,e1. in1e1.l1e1.l2)。稅務(wù)機(jī)構(gòu)將空白發(fā)票相關(guān)數(shù)據(jù)和稅務(wù)機(jī)構(gòu)簽名一起生成空白電子發(fā)票e1.out，e1. out =e1. in1e1.l1e1.l2e1.l4，并將生成的空白電子發(fā)票發(fā)送給銷(xiāo)售方。

銷(xiāo)售方(e2)。銷(xiāo)售方得到稅務(wù)機(jī)構(gòu)頒發(fā)的空白電子發(fā)票e1.out后，首先使用稅務(wù)機(jī)構(gòu)的公鑰pke1(e2.in1)調(diào)用簽名驗(yàn)證算法verify驗(yàn)證稅務(wù)機(jī)構(gòu)的簽名，即 verify(pke1,e1.out)，驗(yàn)證通過(guò)說(shuō)明該空白發(fā)票為合法發(fā)票。銷(xiāo)售方生成銷(xiāo)售數(shù)據(jù)e2.l1，為了保證銷(xiāo)售數(shù)據(jù)的真實(shí)性，銷(xiāo)售方使用自己的私鑰ske2=e2.l2調(diào)用簽名算法對(duì)銷(xiāo)售數(shù)據(jù)和空白電子發(fā)票進(jìn)行簽名，得到銷(xiāo)售方的簽名 s ige2(e2.l3) ，e2.l3= s ige2= s ig(ske2,e2.l1| |e1.out)。銷(xiāo)售方將空白電子發(fā)票、銷(xiāo)售數(shù)據(jù)、銷(xiāo)售方簽名一起生成有效電子發(fā)票e2. out =e1. out||e2.l1||e2.l3，發(fā)送給買(mǎi)方（個(gè)人/企業(yè)）。

個(gè)人/企業(yè)(e3)。個(gè)人/企業(yè)得到有效電子發(fā)票e2.out后，首先使用稅務(wù)機(jī)構(gòu)的公鑰pke1(e3.in1)和銷(xiāo)售方公鑰 pke2(e3.in2)驗(yàn)證電子發(fā)票的合法性和真實(shí)性，即 verify(pke1,e1.out)與 verify(pke2,e2.out)。驗(yàn)證通過(guò)后，根據(jù)電子發(fā)票生成電子發(fā)票記賬憑證e3.l1，并將有效電子e2.out和電子記賬憑證e3.l1一起發(fā)送給財(cái)務(wù)部門(mén)進(jìn)行報(bào)銷(xiāo)，即e3. out =e2. out||e3.l1。

財(cái)務(wù)部門(mén)(e4)。財(cái)務(wù)部門(mén)根據(jù)有效電子發(fā)票e2.out和電子記賬憑證e3.l1對(duì)電子發(fā)票進(jìn)行報(bào)銷(xiāo)，并生成賬單數(shù)據(jù)e4.l1=e4. out1發(fā)送給銀行；根據(jù)下一步銀行生成的劃賬數(shù)據(jù)e5. out =e4. in1生成電子發(fā)票報(bào)銷(xiāo)數(shù)據(jù)e4.l2，并將有效電子發(fā)票e2.out、電子記賬憑證e3.l1和電子發(fā)票報(bào)銷(xiāo)數(shù)據(jù)e4.l2存檔保存，根據(jù)需要接受審計(jì)部門(mén)的審查。

銀行(e5)。銀行根據(jù)財(cái)務(wù)部門(mén)生成的賬單數(shù)據(jù)e4.l1=e4. out1對(duì)個(gè)人/企業(yè)劃賬，生成電子發(fā)票劃賬數(shù)據(jù)e5.out，發(fā)送給財(cái)務(wù)部門(mén)。

審計(jì)部門(mén)(e6)。審計(jì)部門(mén)從財(cái)務(wù)部門(mén)調(diào)取電子發(fā)票、電子發(fā)票記賬憑證和電子發(fā)票報(bào)銷(xiāo)e4.out2，e4. out2=e2. oute3.l1e4.l2，進(jìn)行財(cái)務(wù)審計(jì)，生成審計(jì)結(jié)果e6.out。

電子發(fā)票模板庫(kù)是一個(gè)數(shù)據(jù)容器，存放各種電子發(fā)票模板。稅務(wù)機(jī)構(gòu)根據(jù)需要從電子發(fā)票模板庫(kù)調(diào)用電子發(fā)票模板。

為簡(jiǎn)化，本文假設(shè)稅務(wù)機(jī)構(gòu)屬于域 A，銷(xiāo)售方都屬于域B，個(gè)人/企業(yè)和各自的財(cái)務(wù)部門(mén)屬于域 C，銀行屬于域 D，審計(jì)機(jī)構(gòu)屬于域 E，假設(shè)電子發(fā)票流轉(zhuǎn)過(guò)程中，所有的實(shí)體已經(jīng)完成了身份認(rèn)證。

5.2 電子發(fā)票流轉(zhuǎn)中的訪問(wèn)控制需求和訪問(wèn)控制策略

下面從電子發(fā)票流轉(zhuǎn)過(guò)程中的訪問(wèn)控制需求解釋數(shù)據(jù)跨域延伸的訪問(wèn)控制機(jī)制的實(shí)施方法。

約束訪問(wèn)控制需求。在上述電子發(fā)票流轉(zhuǎn)過(guò)程中，各個(gè)實(shí)體對(duì)輸入數(shù)據(jù)和本地?cái)?shù)據(jù)有讀和寫(xiě)的需求。如稅務(wù)機(jī)構(gòu)對(duì)電子發(fā)票模板和稅務(wù)機(jī)構(gòu)私鑰有讀的需求；銷(xiāo)售方需要根據(jù)空白電子發(fā)票、銷(xiāo)售數(shù)據(jù)和銷(xiāo)售方的簽名生成有效電子憑據(jù)，銷(xiāo)售方有對(duì)上述數(shù)據(jù)寫(xiě)的需求。此外，各個(gè)實(shí)體有進(jìn)行主體行為的需求，如稅務(wù)機(jī)構(gòu)需要對(duì)空白電子發(fā)票進(jìn)行簽名，電子發(fā)票流轉(zhuǎn)過(guò)程中的主體行為包括簽名和驗(yàn)證簽名、生成銷(xiāo)售數(shù)據(jù)和電子記賬憑證等。

傳播訪問(wèn)控制需求。各個(gè)實(shí)體在得到數(shù)據(jù)后還需要進(jìn)一步進(jìn)行傳播操作，如各個(gè)實(shí)體有接收輸入數(shù)據(jù)的需求，對(duì)生成的輸出數(shù)據(jù)有發(fā)送需求。部分實(shí)體對(duì)輸入數(shù)據(jù)和生成的數(shù)據(jù)有保存的需求，比如銷(xiāo)售方從稅務(wù)機(jī)構(gòu)拿到空白的電子發(fā)票后有保存的權(quán)限，但保存空白電子發(fā)票的數(shù)據(jù)容器有一定安全要求，空白電子發(fā)票只能保存在特殊的數(shù)據(jù)容器內(nèi)。空白電子發(fā)票有一定的使用期限，超過(guò)使用期限，銷(xiāo)售方需要將空白電子發(fā)票返還給稅務(wù)機(jī)構(gòu)，而且銷(xiāo)售方?jīng)]有備份空白電子發(fā)票的權(quán)限。

針對(duì)上述約束訪問(wèn)控制需求和傳播訪問(wèn)控制需求，生成下述約束訪問(wèn)控制策略和傳播訪問(wèn)控制策略。

1) 約束訪問(wèn)控制

根據(jù)約束訪問(wèn)控制，電子發(fā)票流轉(zhuǎn)過(guò)程中各個(gè)實(shí)體讀和寫(xiě)的訪問(wèn)控制策略為

進(jìn)行讀、寫(xiě)訪問(wèn)授權(quán)判斷時(shí)，不僅需要判斷直接訪問(wèn)權(quán)限，還需要根據(jù)起源數(shù)據(jù)判斷間接訪問(wèn)權(quán)限。

本實(shí)例中的主體行為主要涉及簽名和驗(yàn)簽操作。在執(zhí)行簽名和驗(yàn)簽操作前，訪問(wèn)請(qǐng)求實(shí)體對(duì)所有輸入數(shù)據(jù)有讀權(quán)限、對(duì)輸出數(shù)據(jù)有寫(xiě)權(quán)限。

2) 傳播訪問(wèn)控制

在傳播訪問(wèn)控制中，接收和發(fā)送的訪問(wèn)控制策略為

5.3 電子發(fā)票流轉(zhuǎn)實(shí)例

本節(jié)通過(guò)銷(xiāo)售方保存空白電子發(fā)票，財(cái)務(wù)部門(mén)接收、保存、備份有效電子發(fā)票和電子記賬憑證具體實(shí)例，詳細(xì)解釋傳播控制訪問(wèn)控制中保存、接收操作的訪問(wèn)控制實(shí)現(xiàn)。

銷(xiāo)售方將空白電子發(fā)票保存在自己的數(shù)據(jù)容器 dc2中，銷(xiāo)售方保存空白電子發(fā)票的訪問(wèn)控制策略可以表示為

其中，dc2.att保存空白電子發(fā)票的數(shù)據(jù)容器的屬性，假設(shè)規(guī)定只有安全等級(jí)大于2級(jí)的數(shù)據(jù)容器才可以保存空白電子發(fā)票，那么銷(xiāo)售方要保存空白電子發(fā)票，需要dc2.att.securitylevel＞2。假設(shè)空白電子發(fā)票的有效期為[t1,t2]，在有效期內(nèi)銷(xiāo)售方才可以保存空白電子發(fā)票；如果不在有效期內(nèi)，銷(xiāo)售方將保存的空白電子發(fā)票返回給稅務(wù)機(jī)構(gòu)。

財(cái)務(wù)部門(mén)接收個(gè)人或企業(yè)有效電子發(fā)票和電子記賬憑證e3.out = e2. out e2. l1，審核通過(guò)后對(duì)有效電子發(fā)票進(jìn)行報(bào)銷(xiāo)。財(cái)務(wù)部份接收有效電子發(fā)票和電子記賬憑證的訪問(wèn)控制策略為

其中，有

在數(shù)據(jù)接收時(shí)，需要考慮數(shù)據(jù)傳送的方式和傳送的路徑。比如，有的財(cái)務(wù)部門(mén)規(guī)定只能使用域內(nèi)網(wǎng)絡(luò)進(jìn)行相關(guān)數(shù)據(jù)的發(fā)送和接收，財(cái)務(wù)部門(mén)在接收數(shù)據(jù)時(shí)，可以拒絕接收通過(guò)外網(wǎng)發(fā)送來(lái)的有效電子發(fā)票和電子記賬憑證。本文假設(shè)個(gè)人或企業(yè)和財(cái)務(wù)部門(mén)屬于同一個(gè)安全域，在進(jìn)行數(shù)據(jù)發(fā)送和接收時(shí)，不需要進(jìn)行屬性的映射，可以直接使用域內(nèi)屬性進(jìn)行訪問(wèn)控制判斷。財(cái)務(wù)部門(mén)把相關(guān)數(shù)據(jù)發(fā)送給銀行或?qū)徲?jì)部門(mén)時(shí)，其屬于不同的安全域，需要進(jìn)行跨域的屬性映射，可以通過(guò)全局屬性映射實(shí)現(xiàn)域間不同實(shí)體和客體的屬性映射。

報(bào)銷(xiāo)結(jié)束后，財(cái)務(wù)部門(mén)會(huì)對(duì)e3.Out進(jìn)行保存和備份。假設(shè)財(cái)務(wù)部門(mén)將有效電子發(fā)票和電子記賬憑證保存和備份在自己的數(shù)據(jù)容器 dc4中，且只備份一份。財(cái)務(wù)部門(mén)保存有效電子發(fā)票和電子記賬憑證的訪問(wèn)控制策略為

備份有效電子發(fā)票和電子記賬憑證的訪問(wèn)控制策略為

對(duì)于備份多份的情況，可以對(duì)不同的數(shù)據(jù)容器采用上述策略單獨(dú)考慮。

6 結(jié)束語(yǔ)

數(shù)據(jù)跨系統(tǒng)跨域流轉(zhuǎn)已成為復(fù)雜網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)共享的趨勢(shì)，如何確保數(shù)據(jù)跨系統(tǒng)跨域流轉(zhuǎn)后的受控共享是訪問(wèn)控制的重大挑戰(zhàn)?，F(xiàn)有訪問(wèn)控制機(jī)制主要解決訪問(wèn)請(qǐng)求前的訪問(wèn)控制問(wèn)題，而對(duì)于訪問(wèn)請(qǐng)求實(shí)體得到訪問(wèn)權(quán)限后進(jìn)一步延伸控制的研究很少。針對(duì)上述問(wèn)題，本文提出了面向數(shù)據(jù)跨域流轉(zhuǎn)的延伸訪問(wèn)控制機(jī)制，將訪問(wèn)控制分為約束訪問(wèn)控制和傳播訪問(wèn)控制2類(lèi)，根據(jù)數(shù)據(jù)流轉(zhuǎn)過(guò)程中的起源數(shù)據(jù)進(jìn)行訪問(wèn)授權(quán)，解決數(shù)據(jù)跨域共享延伸授權(quán)的問(wèn)題。安全性和性能分析表明，所提機(jī)制解決了數(shù)據(jù)跨域流轉(zhuǎn)過(guò)程中的延伸控制問(wèn)題，在保證安全性的前提下，有效提高了訪問(wèn)控制的效率，并通過(guò)電子發(fā)票全生命流轉(zhuǎn)過(guò)程展示了數(shù)據(jù)跨域流轉(zhuǎn)的延伸訪問(wèn)控制機(jī)制實(shí)施方法。

未來(lái)還需要在以下方面進(jìn)一步研究：結(jié)合不同的應(yīng)用背景，給出面向數(shù)據(jù)跨域流轉(zhuǎn)的延伸訪問(wèn)控制機(jī)制實(shí)施方法和訪問(wèn)控制執(zhí)行效率優(yōu)化措施。