黄兰英,熊曾刚，叶从欢

(湖北工程学院 计算机与信息科学学院，湖北 孝感 432000)



一种面向云计算的信任-角色访问控制模型

黄兰英,熊曾刚，叶从欢

(湖北工程学院 计算机与信息科学学院，湖北 孝感 432000)

针对云计算模式下用户访问安全问题，以传统的基于角色的访问控制模型为基础，将可信机制与角色相结合，提出一种面向云计算的信任-角色的访问控制模型T-RBAC(Trust-Role Based Access Control )。该模型根据信任值决定当前用户是否可以访问，拥有独立的信任管理中心，在进行角色映射和权限授予之前，首先判断用户的可信性，可信性达不到阈值，就不授予资源访问权限，有效防止了可信性比较低的用户非法攻击系统带来的损害，减轻了网络拥塞程度，增强访问控制模型的抗干扰能力和吞吐量，降低网络延迟，在一定程度上提升了系统的工作效率。

云安全;可信机制;角色;访问控制

云计算是一种新型的计算模式，在互联网中的应用越来越广泛，它提供了大型数据存储和计算服务，为网络资源共享提供了便利。云计算作为一个资源池，不必随身携带，用户可以随时随地连接到其中的资源并进行相关操作。在云计算为人们提供方便的同时，云安全也是不可忽视的问题，如数据安全、访问控制、数据隔离加密和身份认证管理等。在网络安全技术中，访问控制技术实现了用户数据机密性和隐私保护，是信息安全领域中一类非常重要的技术[1-4]。文献[5]提出一种云计算存贮访问控制算法，有效提高了访问控制效率。文献[6-9]提出了基于任务-角色访问控制模型，对传统的访问控制模型进行了不同程度的改进，此模型将权限和用户之间通过角色隔离开来，在一定程度上方便了权限的管理，有效实现了云计算上的访问控制，但总体表现不稳定。文献[10-12]在角色管理方面一定程度上降低了复杂度，解决了云环境下访问控制的一些问题，但对访问控制过程中时态、环境等限制条件考虑不够。上述角色访问控制模型虽然在解决云安全问题上提供了一定的策略，但仍存在诸多的不足，不能很好地解决用户的身份验证和可信性，对实体的恶意攻击不能及时抵制，因此，正确判断实体的可信性成为解决安全问题的一个重要方面[13]。

本文提出了一种改进的面向云计算的基于信任和角色的访问控制模型 (Trust-Role Based Access Control ) T-RBAC，并通过模拟实验对模型的网络延迟、吞吐量及抗干扰性进行了验证。

1 基于角色的访问控制

1.1 传统的角色访问控制模型

传统的角色访问控制模型在逻辑上用户与权限是分离的(见图 1 )。它对系统操作的各种权限不是直接授予具体的用户，而是在用户与权限间通过角色集合进行关联，每一种角色对应一组相应的权限，用户一旦被分配了适当的角色后，该用户就拥有此角色的所有操作权限[14]。这样的访问控制策略，容易带来授权过程的一些安全隐患，给云端数据的分配、使用在一定程度上带来了威胁。

图1 基于角色的访问控制模型

1.2 RBAC访问控制

RBAC访问控制模型是20世纪90年代对信息系统安全模型研究的主要成果之一，NIST(National Institute of Standards and Technology)在RBAC96的基础上于2000年提出，此模型在2004年正式成为ANSI标准。 RBAC模型由四个部件模型组成，分别是核心模型RBAC0(Core RBAC)、角色层级模型RBAC1(Hierarchal RBAC)、角色限制模型RBAC2(Constraint RBAC)和统一模型RBAC3(Combines RBAC)。基本模型RBAC0如图2示。

图2 RBAC0模型

RBAC0也称为核心RBAC，是任何基于角色的访问控制模型的必要构件，其基本要素是用户、角色、会话和权限。一个用户可以获得多个角色，一个角色也可以指派给多个用户。角色与权限之间也是多对多的关系，可以赋予一个角色多个权限，一个权限也可以赋给多个角色。当用户进入系统时，就会建立一个会话，这个会话可以激活该用户全部角色的一个子集，用户获得的是被激活角色的所有权限。在RBAC0系统中，每个用户至少拥有一个角色，每个角色至少具备一个权限。RBAC0与传统访问控制的差别在于增加了角色作为用户和权限的中介，RBAC1、RBAC2和RBAC3都是在RBAC0上的扩展。RBAC1在 RBAC0基础上引入角色间的继承关系，RBAC2模型在RBAC0的基础上增加责任分离关系，而RBAC3 集结了 RBAC1 和 RBAC2 的全部特点，RBAC3既提供了角色间的继承关系，又提供了责任分离关系，角色继承和限制都集结到 RBAC模型中，而且角色继承和限制两者之间可以相互作用[15]。

在RBAC模型中每个用户可以分配到相同或者不同的角色，但不同的角色具有不同访问权限的子集，系统管理者给用户分配角色从而使用户得到访问权限。相同的角色可以分配给不同的用户，同时同一用户可以获得不同的角色。访问权限同理，角色获得不同的访问权限子集，同一权限可分配给不同的角色，这样使得用户、角色以及角色、访问权限形成了多对多的关系。在云环境下RBAC 模型的不足之处明显存在：一是缺乏对用户行使权限过程的监督；二是仅仅验证用户身份合法与否，缺乏对用户整体可信性方面的考虑。以上两方面的缺陷很容易造成恶意攻击的漏洞，给云端资源带来危害，因此需加强对新的访问控制策略的研究。

2 云环境下的信任关系

2.1 信任关系

目前，云计算技术面临着许多安全危机，如电子签名的假冒、伪造、变造、抵赖，以及木马攻击和病毒损毁等都严重威胁着互联网云计算的云信任。云计算环境下，可信关系一般分为三类[16]：直接可信、间接可信和推荐可信。这三种可信关系都是根据网络实体间的交互记录来判断它们之间的可信性。

2.2 信任度的计算

云计算环境中，主体用户在发出资源请求访问后，都要对主体用户的可信度进行精确计算，在确保主体用户是可信的基础上，才能进行相应的权限授予操作。

定义 1：直接可信值，指两个实体A、B之间的直接交互，得出的相互信任度用TAB来表示即为直接信任。

式中Q(A,B)表示惩罚因子，αi表示衰减系数

定义2：推荐可信值，也即间接信任，在两个实体A、B没有直接交互，与第三方实体C推荐交互，得出的相互信任度用WAB表示，即A、B之间的间接可信性为推荐可信。

定义3：综合可信值，是对实体整体性的可信性评估，两个实体A、B之间的综合可信值用ZAB来表示。可用如下公式计算：

ZAB= a × TAB+ b × WAB(3)

式中: a + b = 1，a、b 分别代表直接信任值和推荐信任值所占的比重。综合可信度是结合直接可信度和推荐可信度的计算结果，得到的一种综合可信评估的结果。

3 基于信任-角色的云计算访问控制

由于云计算环境具有跨域性、虚拟化以及动态变化性，这就要求访问控制随自身条件和外部环境不断变化来动态调节权限和角色之间的关系。本文在基于角色的访问控制模型的基础上引入信任度，给出一种基于信任和角色的访问控制模型T-RBAC(见图3)。T-RBAC模型拥有独立的信任管理中心，用户在进行资源访问请求时，要求进行角色和信任认证，只有两者的认证都符合要求，才对用户进行合理的授权操作和角色分配；否则，资源访问请求予以驳回。

图3 T-RBAC 模型

在T-RBAC 模型中，引入信任度的角色访问控制具体流程描述如下：(1)为了获得相应的角色身份，用户请求访问某种资源时，用户集先向可信管理中心请求该用户的可信度；(2) 可信管理中心将该可信度请求转发给策略执行点PEP (Policy Enforcement Point)；(3)策略执行点PEP通过发送可扩展访问控制标记语言(Extensible Access Control Markup Language)XACML请求到策略决策点(Policy Decision Point) PDP，来获得可信度。(4)策略管理点(Policy Administration Point) PAP向策略决策点PDP发送相应的可信决策策略；(5)策略决策点 (Policy Decision Point) PDP通过返回(Extensible Access Control Markup Language)XACML响应向策略执行点PEP返回策略决策结果；(6)计算得到的可信度由策略执行点PEP将返回给可信管理中心；(7)可信管理中心将从策略执行点PEP处获得的可信度返回给权限集和角色集合；(8)角色集和用户集根据角色集获得的可信度进行角色映射；(9)权限集根据获得用户可信度，在用户分配完角色之后，才能对相应的角色授予权限。

在T-RBAC 模型中，由于引入了可信机制，集结了基于信任和角色的两种访问控制模型的优点，根据图3的模型流程可知，在进行角色映射和权限授予之前，首先要判断用户的可信度，可信度达不到阈值，就不授予资源访问权限，从而有效防止了可信度比较低用户的非法攻击，避免给系统资源带来损害。

4 实验仿真

在传统基于角色的访问控制模型的基础上，引入信任机制，不仅有效防止了可信度比较低用户的非法攻击，同时在解决网络拥塞问题方面，也有成效。模拟实验主要从吞吐量、网络延迟两方面来比较T-RBAC模型和传统的基于角色访问控制模型RBAC模型之间的差异。在模拟实验中环境设置如下：用户请求数表示网络中的负载，请求数目越大，说明网络负载越大。实验结果如图4和图5所示。从图4 的实验结果可以看出，在初始状态，用户请求较少，T-RBAC 模型和传统基于角色的访问控制模型RBAC 的网络延迟都比较小，二者的区分度不大，但随着请求数目的增多，T-RBAC模型和RBAC 模型所对应的网络延迟都增大。在业务请求相同的情况下，T-RBAC 模型对应的网络延迟小于RBAC模型对应的网络延迟。在系统吞吐量方面(见图5)，当业务请求数目还没达到 10 前，T-RBAC 模型和 RBAC 模型对应的吞吐量都一直在增加，当业务请求的数目达到 10 后，二者对应的吞吐量都有所下降，但在整个过程中，T-RBAC模型对应的吞吐量始终大于RBAC 模型对应的吞吐量。

图4 平均网络延迟差异

图5 平均吞吐量差异

以上实验说明，引入信任机制后，基于角色和信任的访问控制模型T-RBAC在减小网络延迟和提高系统吞吐量方面，都较传统的基于角色的访问控制模型 RBAC 有较大的进步，T-RBAC 模型更加适合云计算环境。

同样，在不同恶意攻击情境下，发现在面对不同的恶意攻击时，T-RBAC 模型较 RBAC 模型的抗干扰能力强，具有较好的稳定性。

5 结束语

本文在分析传统的基于角色的访问控制模型的基础上，引入信任机制，提出了基于信任和角色的访问控制模型T-RBAC，阐述了T-RBAC模型的可信值计算和流程机制，通过仿真模拟实验，对RBAC模型和T-RBAC模型从网络延迟和吞吐量两方面进行了差异比较，验证了T-RBAC 模型在增大系统吞吐量、减少网络延迟、抗干扰能力方面都具有较大的优势。在云环境下，T-RBAC模型具有更加安全的权限授予机制，能更好地保护云端数据等资源的安全。

[1] 宋振．基于角色和任务的权限管理扩展模型研究及应[D].长沙：长沙理工大学, 2008.

[2] 李凤华,苏铓,史国，等．访问控制模型研究进展及发展趋势[J]．电子学报，2012，4(4):805-813．

[3] 韩道军，高洁，翟浩良，等．访问控制模型研究进展[J]． 计算机科学，2010，37(11):29-33．

[4] 陈全，邓倩妮．云计算及其相关技术[J]．计算机应用，2009，29(9):2562-2566．

[5] 孙国梓，董宇，李云．基于 CP-ABE 算法的云存储数据访问控制[J]．通信学报，2011，32(7):145-152．

[6] 陈泉冰，王会进．一种改进的基于任务-角色的访问控制模型[J]．暨南大学学报，2010，31(1):29-34．

[7] 韩若飞，汪厚祥．基于任务-角色的访问控制模型的研究[J]．计算机工程与设计，2007，28(6):800-807．

[8] Hong C, Lv Z, Zhang M, et al. A secure and efficient role-based access policy towards cryptographic cloud storage[C]//Proceedings of 12th International Conference on Web-Age Information Management,2011:264-276.

[9] 黄毅.一种面向云计算的任务-角色访问控制模型[J].计算机应用研究,2013,30(12):3735-3737.

[10] 张斌，张宇．基于属性和角色的访问控制模型[J]．计算机工程与设计，2012，33(10):3807-3811．

[11] 费洪晓，陈炯，邓小鸿，等．面向资源所有者访问控制模型的设计与实现[J]．计算机应用与软件，2012，29(6):26-29．

[12] 于春生，聂晶．基于组和角色的工作流权限访问控制模型[J]．计算机应用，2011，31(3):778-780．

[13] 马强，艾中良．面向云计算环境访问控制模型[J]．计算机工程与设计，2012，33(12):4487-4492．

[14] 吕慎娟.基于角色的可信云计算安全策略研究[D].济南：山东师范大学,2014.

[15] Subashini S, Kavitha V. A survey on security issues in service delivery models of cloud computing[J].Journal of Network and Computer Applications,2011, 34(1):1-11.

[16] 胡春华,刘济波,刘建勋. 云计算环境下基于信任演化及集合的服务选择[J].通信学报,2011,32(7):71-79.

(责任编辑：熊文涛)

A Trust-role Access Control Model Facing Cloud Computing

Huang Lanying, Xiong Zenggang, Ye Conghuan

(SchoolofComputerandInformationScience,HubeiEngineeringUniversity,Xiaogan,Hubei432000，China)

With focus on the issue of user access security against cloud computing mode and on the base of traditional role-based access control model, a trust-role based access control model T-RBAC is proposed by the combination of trusted mechanism and role. The model owns independent trust management center which could first of all judge user credibility before role mapping and permission granting. If user's credibility did not reach the threshold value, the user would not receive the permission for resource access, which would effectively prevent potential damage from illegal attack launched by the users who own relatively minor credibility, effectively ease network congestion, enhance the ability to resist interference and the throughput of the access control model, shorten network delay and improve the system efficiency to some extent.

cloud security; trusted mechanism; role; access control

2016-03-03

国家自然科学基金(61370092)；湖北省教育厅人文社科项目(15Y141)；湖北高校大学生创新创业训练计

黄兰英(1973- )，女,湖北孝感人，湖北工程学院计算机与信息科学学院副教授，硕士。

熊曾刚(1974- )，男，湖北汉川人，湖北工程学院计算机与信息科学学院教授，博士。

TP393

A

2095-4824(2016)03-0057-05

划项目(201510528026)

叶从欢(1981- )，男，湖北孝昌人，湖北工程学院计算机与信息科学学院副教授，博士。