一種面向雲服務的ucon多義務訪問控制方法及系統的製作方法
2023-05-31 09:11:16
一種面向雲服務的ucon多義務訪問控制方法及系統的製作方法
【專利摘要】本發明公開了一種面向雲服務的UCON多義務訪問控制方法及系統。本方法為:1)設置每一雲服務的義務項;建立每一雲服務所包含的義務圖;2)根據用戶所請求的雲服務查找該雲服務的所有強制義務圖和可選義務圖,並提取該用戶對該雲服務的歷史完成情況;3)對每一強制義務圖,監控其每一義務項所對應屬性的屬性值,判斷該義務項是否完成,並檢查所有強制義務圖是否已經完成,如果完成則進行步驟4);4)對每一可選義務圖,監控其每一義務項所對應屬性的屬性值,並根據該義務項的歷史完成情況判斷該義務項的完成概率;然後計算該雲服務所有可選義務圖的完成概率,如果其大於設定閾值則開始為該用戶提供該雲服務。本發明訪問控制靈活且效率高。
【專利說明】—種面向雲服務的UCON多義務訪問控制方法及系統
【技術領域】
[0001]本發明提出一種在雲服務中實施訪問控制的方法,用以保證提供雲服務的系統中數據的安全。本發明的【技術領域】涉及分布式系統,訪問控制。
【背景技術】
[0002]當今,「雲」相關概念已經成為人們關注的熱點。通過雲服務,用戶可從世界上任何一個地方通過網際網路訪問雲端的數據和服務。私有云為一個小型的公司或者組織用戶提供數據存儲服務,公有雲則面向公眾提供多樣化的數據處理服務。無論雲服務規模大小,數據安全都是不容忽視的因素,並且已經成為雲服務進一步發展的瓶頸。訪問控制則是在身份鑑別之後保護系統資源安全的第二道屏障,對於每個提供遠程訪問的系統來說都是一個很重要的組成部分。訪問控制的核心任務是從物理層到服務層限制主體(通常是系統資源的使用者)對客體(數據或者系統資源)任意訪問的行為。一些流行的訪問控制模型,如RBAC模型、中國牆模型、UCON模型,已經被很多雲服務提供商採納用以保障雲平臺安全。
[0003]傳統的訪問控制模型,最經典的應該是BLP模型和Biba模型。BLP模型是由DavidElliott Bell和Leonard J.LaPadula於1973年提出的,主要用於增強對政府和軍事應用的訪問控制,它遵循Roger R.Schell為美國國防部提出的應用於為軍事安全系統設計的多級安全策略。BLP模型本身是一種強制訪問控制,主要面向保護信息的機密性。在該模型中,訪問主體、客體、權利、訪問矩陣等基本思想被詳細闡釋,這些思想被隨後出現的訪問控制模型所沿用。BLP模型提供了訪問控制模型中最基本的思想——S-O-R模式,即一個主體S對應一個客體O有相對應的權利R。而Biba模型則關注數據完整性,它是由KennethJ.Biba在1977年提出,主要為了規避BLP模型中未涉及的有關數據完整性的風險。時至今日,這兩種模型的思想仍然被廣泛使用,然而,由於機密性和完整性在系統安全中都是重要的指標,而BLP模型和Biba模型都只能涵蓋其中一個方面,因此很少有系統直接使用這兩種模型作為訪問控制模型。
[0004]基於角色的訪問控制模型,即RBAC模型,是由Ravi S.Sandhu等人於1996年提出的。它兼顧了強制訪問策略和自助訪問策略,引入了「角色」的概念,以歸類的方式將角色分派給用戶,並對應於特定的權限,角色與角色之間也引入了相互關係,這樣主體之間和客體之間的關係也就自然地相互關聯起來了。RBAC模型是迄今為止使用最廣泛的訪問控制模型,它涵蓋了商業、教育、醫療等各個方面。然而,隨著雲服務的發展,RBAC在應用中逐漸顯現出一些問題。RBAC最主要的問題在於角色爆炸問題和難以管理問題。在雲環境下,尤其是公有雲環境下,RBAC模型需要定義角色並將角色與權利對應起來。但是,雲環境下的訪問控制的一個顯著需求就是適應頻繁變化的環境,系統管理員很難在這種環境下定義出準確的角色並描述角色之間的層級關係,進一步的,角色代表的意義也在頻繁變化,因此管理員需要非常小心的調整屬性與主體、權利之間的對應關係,這種管理工作量在雲環境下是巨大的。雖然隨後又出現了 ARBAC這種專門對RBAC角色結構進行管理的模型,然而ARBAC本身就有很大的局限性,因此所管理的RBAC模型的實現也將受到很大的局限性。[0005]另一種流行的訪問控制模型是中國牆模型。中國牆模型可以提供一個屏障,對於有利益衝突的兩個企業,他們的數據資料通過這個屏障可以有效得到保護,阻止對方獲取數據。中國牆模型中引入了利益衝突域這個概念,它也是中國牆模型的核心概念。然而,它的特點也給它的使用帶來了很大限制,由於任何兩個組織或者企業之間的關係完全歸納於兩種情形即有相互衝突和沒有相互衝突,這種過於簡單的限制很難描述現實中複雜的場景。進一步的,一旦一組衝突關係發生變化,影響到的將是整個系統中衝突關係的重新調整。因此,它也不適用於雲環境這種相對複雜的場景中。
[0006]使用控制(Usage Control, UC0N)模型是一個細粒度的訪問控制模型,它的很多特點都適合於雲環境,其中,屬性易變性和控制連續性最為引人關注,它們能夠顯著提升雲環境下模型的可用性。屬性易變性意味著UCON模型中的屬性可以適應雲環境下不斷變化的情景,並將這種不確定性體現在訪問主體和訪問客體之上;控制連續性意味著UCON模型對整個訪問控制過程是持續監控的,只要有滿足觸發條件,UCON模型可以在用戶訪問雲服務資源的任何時候進行訪問控制檢查,以保證訪問的合法性,維護系統安全。越來越多的雲服務系統已經採用了 UCON作為他們的首選訪問控制模型,UCON甚至被譽為下一代訪問控制模型。在詳細描述我們針對UCON模型的工作之前,了解UCON模型的組成是很有必要的。
[0007]UCON模型如圖1所示。圖1中,主體(Subjects)通常代表想要獲得駐留在雲服務提供商處的數據或資源的用戶。每個主體都有主體屬性(Subject attributes),主體屬性可以對主體進行描述,通過主體屬性,訪問決策者可以判斷出主體的身份並據此做出相應的決策。客體(Objects)是主體所請求的資源或實體。與主體屬性相似的是,每個客體都有客體屬性(Object attributes),客體屬性可以對客體進行描述,通過客體屬性,一個客體可以顯著地區分於其他客體。權利(Rights)是一個主體可以擁有並且操作相應客體的特權。授權(Authorizations)通過評價當前主客體屬性值,決定該客體的某項特權是否可以授予給主體。條件是系統相關的以及環境相關的因子,用以測量系統狀態,它們可以被看作是系統屬性。義務會給出一個主體要獲得某項權利需要完成的動作。UCON是一個基於事務的模型,而每個事物中既包含了主客體的基本信息,又包含了主體需要完成的任務,前者體現在授權中,而後者恰恰可以由義務反映這樣的特性。義務是強制的,這意味著只有所有的與某一權利相關的事務都完成了,雲服務系統才可以斷言義務成功的完成。
[0008]UCON模型反映了訪問控制的強制性要求,即只有滿足授權中指明的訪問規則,完成義務中要求的任務,並在系統狀況正常的情況下,才允許用戶訪問系統資源。
[0009]然而在實際使用中,UCON模型的義務部分仍然缺乏靈活性。由於義務的完成往往是用戶與訪問控制系統交互的過程,因此大量的時間用於等待用戶交互的結果,其執行效率受到很大限制。此外,在雲環境下,用戶的行為以及需求也都是不同的,甚至有時是不確定的,因此,一個嚴格的模型在實際應用中往往無法處理較為靈活和複雜的問題。更進一步的,由於雲環境下的訪問用戶的不確定性,我們希望在非法用戶破壞系統之前就識別出用戶的意圖,或者通過額外的訪問控制檢查驗證用戶的身份,而現有UCON模型僅僅對當前屬性進行判定,而不考慮屬性未來的趨勢。而義務部分會要求用戶和訪問控制系統進行交互,在這期間,系統可以通過收集用戶行為,對用戶未來的動作趨勢進行預測。從以上討論中可以看出,義務最能夠表現UCON模型的特徵,因此,給出一個詳細描述義務的實用的模型是非常必要的。本發明的其中一項重要的工作就是要給出UCON模型中義務組件的詳細設計。[0010]目前,在UCON模型中已經有一些改進的策略,在本發明中,我們參考了這些方案。下面,這些文章內容會被列出,並簡要討論我們的工作與這些工作的區別。
[0011]Park和Sandhu提出了 UCON模型並且定義了 UCON模型中的各個組件。UCON模型既包含了傳統訪問的訪問控制能力,又引入了一些新的特性用以支持細粒度的、面向事務的訪問控制方法。Zhang等人給出了 UCON模型的形式化描述,包括UCON模型各部分的詳細語義描述。基於這些基本概念和思想,我們擴展了 UCON模型,並仍然保留現有UCON模型的所有特性。
[0012]Tavizi等人構建了一個雲環境下的UCON訪問控制模型架構。他們清晰地描述了系統中每一部分,並且討論了系統中的數據流。他們敲掉了義務的重要性,並且設計出了一個架構來存儲義務項、對於事件的反饋方法和事件如何觸發義務變化。然而,他們的方案中所有的義務項都是相互獨立的,並且系統需要等待所有的義務都完成後才可以授予主體相應的權利。
[0013]Chen等人和Almutairi等人通過引入協商機制把用戶加入到系統中。並且,Chen等人給出了一個基於訪問控制條件的參數自動協商機制的方法。然而,他們都只著眼於UCON模型的整體,並未給出詳細的義務設計。我們將著眼於義務的設計,並實現義務完成與用戶的交互以及義務執行的自動調整。
[0014]Krautsevich等人指出,每個屬性可以歸納出多個離散的值,並且這些值都關聯著一個基於歷史情況的概率。他們採用連續時間馬爾科夫鏈來預測屬性值在下一刻的變化,並根據預測值採取措施規避風險。他們的工作在UCON的屬性上很好的工作,但這些工作並不完全適用於義務。我們使用貝葉斯網絡構建屬性結構,並且用它來預測完成所有義務項的可能性。
[0015]在本發明中,我們將提出「基於UCON的多義務模型」,定義義務部分的組件,討論由多義務模型衍生出來的針對訪問控制系統的優化,最後給出實現多義務系統的原型架構設計圖。
【發明內容】
[0016]針對現有UCON模型訪問控制過程中靈活性較低,只能檢查當前狀態而不能預測用戶行為的問題,本發明提供了一種改進策略,即通過對UCON模型中的義務模塊進行詳細設計,使義務模塊既能增強系統數據的安全性,又能提高訪問控制的靈活性。
[0017]雲環境的特性是頻繁變化和不確定性,因此雲服務提供商更希望要求用戶完成一些任務來表明自己的身份。因此,我們需要一個細粒度的機制來管理和監視每個任務的完成情況。更進一步地,完成任務的序列也是不可以忽視的問題。實際中存在這樣的情況,一個任務只有當另一個任務已經完成的前提下,才可以開始完成,因為另一個任務需要為這個任務做數據準備;為了給用戶更多的自主權,雲服務系統甚至可能允許用戶從一些備選任務中自由選擇任務去完成。根據用戶的選擇,系統可以根據不同的需求自動調整後面需要完成的任務。當用戶正在完成任務時,我們可以通過用戶已完成任務的情況以及歷史上完成任務的方式來預測用戶下一步的動作。除此之外,任務的完成通常是費時的,現有系統總是會等待用戶完成所有的任務。在這種情況下,系統效率很難保證,因為用戶必須在完成所有任務後等待系統計算並返回給用戶最終結果,因此在能夠保證系統安全的前提下,我們可以嘗試提前為用戶進行數據準備,以縮短用戶最終等待數據計算結果的時間,以改善用戶體驗。
[0018]為實現上述目標,本發明將訪問控制中任務的概念融合到UCON的義務中。我們通過引入義務項的概念,細化了整個模型。一個義務項是一項任務,這個任務是雲服務提供商要求用戶完成的,例如在購買一張數字唱片的版權之前填寫一個相關的調查問卷。接著,我們引入了不同義務項之間執行順序的的概念。例如,我們需要首先使用用戶計算機上的TPM模塊來構建一個可信環境,然後一些安全參數如私鑰才可以進行傳遞。我們同時允許用戶從多個備選義務項中選擇一部分義務項去完成,例如用戶可以從使用信用卡支付和使用支票支付中進行選擇。根據用戶的選擇,系統將會提供給用戶不同的後續義務項,以達到不同的安全目的。最後,我們會使用概率算法預測用戶下一步的動作,如果我們發現用戶後續動作很有可能威脅系統安全,我們可能對其實施額外的訪問控制檢查,甚至在確信該用戶是帶有不良企圖來訪問系統時直接吊銷其訪問資格;另一方面,通過計算我們發現用戶有很大可能性完成所有訪問控制檢查,我們會為用戶提前準備執行環境和用戶數據,以減少用戶在完成訪問控制檢查後的等待結果時間,提升用戶體驗。
[0019]通過多義務訪問模型,雲環境的安全性可以得到提升,同時,增加了訪問控制的靈活性,保證了系統的高效運轉。
[0020]技術方案
[0021]一種面向雲服務的UCON多義務訪問控制方法,其步驟為:
[0022]I)設置每一雲服務的義務項;建立每一雲服務所包含的義務圖並將其保存到一義務圖資料庫中;所述乂務圖包括強制乂務圖和可選乂務圖;所述乂務圖為有向無環圖;
[0023]2)根據用戶所請求訪問的雲服務從所述義務圖資料庫中查找該雲服務的所有強制義務圖和可選義務圖,並提取該用戶對該雲服務的歷史完成情況;
[0024]3)對於該雲服務的每一強制義務圖,依次監控該強制義務圖每一義務項所對應屬性的屬性值,判斷該義務項是否完成,並檢查該雲服務的所有強制義務圖是否已經完成,如果完成,則進行步驟4);
[0025]4)對於該雲服務的每一可選義務圖,依次監控該可選義務圖每一義務項所對應屬性的屬性值,並根據該義務項的歷史完成情況判斷該義務項的完成概率;然後計算該雲服務所有可選義務圖的完成概率,如果其大於設定閾值,則開始為該用戶提供該雲服務。
[0026]進一步的,所述有向無環圖為BG〈V,E> ;其中,V代表是該有向無環圖中所有義務項的集合;E為有向無環圖中的邊的集合,每一邊為一義務項二元組,其中第一個元素指向第二個元素;所述強制義務圖為除開始義務項和終結義務項之外的所有義務項都有唯一的一個前驅義務項和一個後繼義務項;所述可選義務圖為除初始頂點外,每個頂點都有一個或多個後繼頂點以及一個或多個前驅頂點。
[0027]進一步的,所述可選義務圖中設置一終節點,所述可選義務圖中所有的無後繼義務項的義務項頂點指向該終節點。
[0028]進一步的,所述步驟4)中,如果可選義務圖中的義務項完成概率會受到它的前驅節點完成情況的影響,則利用貝葉斯網絡計算所述可選義務圖的完成概率;其中,貝葉斯網絡中代表隨機變量的節點為義務項,該節點上附加有對應義務項的完成概率;貝葉斯網絡中節點間相互關係的邊為可選義務圖中表示義務執行先後關係的邊。[0029]進一步的,所述步驟4)中,如果可選義務圖中的義務項完成概率不受到它的前驅節點完成情況的影響,即每個義務項的完成情況視為相互獨立的,則將該可選義務圖中每個義務項的完成概率相乘,得到該可選義務圖的完成概率。
[0030]進一步的,所述步驟4)中,如果可選義務圖中的分支大於設定值,則使用Dijkstra算法從該可選義務圖中找出最大完成可能性的路徑,計算該路徑的完成概率作為該可選義務圖的完成概率。
[0031]進一步的,利用公式
【權利要求】
1.一種面向雲服務的UCON多義務訪問控制方法,其步驟為: 1)設置每一雲服務的義務項;建立每一雲服務所包含的義務圖並將其保存到一義務圖資料庫中;所述乂務圖包括強制乂務圖和可選乂務圖;所述乂務圖為有向無環圖; 2)根據用戶所請求訪問的雲服務從所述義務圖資料庫中查找該雲服務的所有強制義務圖和可選義務圖,並提取該用戶對該雲服務的歷史完成情況; 3)對於該雲服務的每一強制義務圖,依次監控該強制義務圖每一義務項所對應屬性的屬性值,判斷該義務項是否完成,並檢查該雲服務的所有強制義務圖是否已經完成,如果完成,則進行步驟4); 4)對於該雲服務的每一可選義務圖,依次監控該可選義務圖每一義務項所對應屬性的屬性值,並根據該義務項的歷史完成情況判斷該義務項的完成概率;然後計算該雲服務所有可選義務圖的完成概率,如果其大於設定閾值,則開始為該用戶提供該雲服務。
2.如權利要求1所述的方法,其特徵在於所述有向無環圖為BG〈V,E>;其中,V代表是該有向無環圖中所有義務項的集合;E為有向無環圖中的邊的集合,每一邊為一義務項二元組,其中第一個元素指向第二個元素;所述強制義務圖為除開始義務項和終結義務項之外的所有義務項都有唯一的一個前驅義務項和一個後繼義務項;所述可選義務圖為除初始頂點外,每個頂點都有一個或多個後繼頂點以及一個或多個前驅頂點。
3.如權利要求2所述的方法,其特徵在於所述可選義務圖中設置一終節點,所述可選義務圖中所有的無後繼義務項的義務項頂點指向該終節點。
4.如權利要求1所述的方法,其特徵在於所述步驟4)中,如果可選義務圖中的義務項完成概率會受到它的前驅節點完成情況的影響,則利用貝葉斯網絡計算所述可選義務圖的完成概率;其中,貝葉斯網絡中代表隨機變量的節點為義務項,該節點上附加有對應義務項的完成概率;貝葉斯網絡中節點 間相互關係的邊為可選義務圖中表示義務執行先後關係的邊。
5.如權利要求1所述的方法,其特徵在於所述步驟4)中,如果可選義務圖中的義務項完成概率不受到它的前驅節點完成情況的影響,即每個義務項的完成情況視為相互獨立的,則將該可選義務圖中每個義務項的完成概率相乘,得到該可選義務圖的完成概率。
6.如權利要求1所述的方法,其特徵在於所述步驟4)中,如果可選義務圖中的分支大於設定值,則使用Dijkstra算法從該可選義務圖中找出最大完成可能性的路徑,計算該路徑的完成概率作為該可選義務圖的完成概率。
7.如權利要求1或4或5或6所述的方法,其特徵在於利用公式〃⑻%計算所述義務項的完成概率r;其中,m為用戶在歷史上總共被要求完成此義務項的次數,η為該用戶實際完成的η次;η Sm。
8.一種面向雲服務的UCON多義務訪問控制系統,其特徵在於包括義務轉譯器、屬性監視器、決策中心、義務圖資料庫、執行義務圖資料庫;其中, 所述義務圖資料庫,用於保存針對每一雲服務所建的義務圖;每一雲服務設置有多個義務項;所述義務圖包括強制義務圖和可選義務圖;所述義務圖為有向無環圖; 所述義務轉譯器,用於根據用戶所請求訪問的雲服務從所述義務圖資料庫中查找該雲服務的所有強制義務圖和可選義務圖,並將其副本保存到所述執行義務圖資料庫;並且提取該用戶對該雲服務的歷史完成情況; 所述屬性監視器,用於根據用戶當前執行的義務圖,監控對應的屬性的屬性值; 所述決策中心,用於根據用戶當前執行的義務圖,以及當前監控的屬性值和期望的屬性值,確定當前義務項的完成情況;並且計算所有強制義務圖和可選義務圖的完成情況。
9.如權利要求8所述的系統,其特徵在於所述有向無環圖為BG〈V,E>;其中,V代表是該有向無環圖中所有義務項的集合;E為有向無環圖中的邊的集合,每一邊為一義務項二元組,其中第一個元素指向第二個元素;所述強制義務圖為除開始義務項和終結義務項之外的所有義務項都有唯一的一個前驅義務項和一個後繼義務項;所述可選義務圖為除初始頂點外,每個頂點都有一個或多個後繼頂點以及一個或多個前驅頂點。
10.如權利要求8或9所述的系統,其特徵在於所述屬性監視器在當前執行的義務圖未完成時,監控到該義務圖中的屬性值發生變化,則所述決策中心主動檢查該屬性對應的義務項是否完成,並根據檢`查結果對該義務項進行記錄。
【文檔編號】H04L29/08GK103888445SQ201410066781
【公開日】2014年6月25日 申請日期:2014年2月26日 優先權日:2014年2月26日
【發明者】楊雅輝, 沈晴霓, 高天辰, 吳中海 申請人:北京大學