云平臺(tái)訪問(wèn)控制自適應(yīng)風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配方法

楊宏宇，寧宇光

(中國(guó)民航大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，天津300300)

(*通信作者電子郵箱yhyxlx@hotmail.com)

0 引言

云環(huán)境下訪問(wèn)控制模型通常將基于屬性的訪問(wèn)控制(Attribute Based Access Control，ABAC)與基于角色的訪問(wèn)控制(Role Based Access Control，RBAC)相結(jié)合［1］，為進(jìn)一步分析訪問(wèn)授權(quán)所帶來(lái)的安全風(fēng)險(xiǎn)和增強(qiáng)訪問(wèn)控制模型的動(dòng)態(tài)性，通過(guò)引入風(fēng)險(xiǎn)因素改進(jìn)訪問(wèn)控制模型已經(jīng)成為目前的研究熱點(diǎn)［2－3］。

風(fēng)險(xiǎn)值的量化方法是風(fēng)險(xiǎn)訪問(wèn)控制模型研究的重點(diǎn)。Cheng等［4］提出模糊多水平安全模型，將風(fēng)險(xiǎn)值量化為未授權(quán)泄露信息的期望(風(fēng)險(xiǎn)值=信息價(jià)值×未授權(quán)泄露信息的概率)。Ni等［5］提出模糊BLP(Bell-LaPadula)模型，運(yùn)用模糊理論將模糊化的風(fēng)險(xiǎn)量化為具體的風(fēng)險(xiǎn)值。上述2種模型均需預(yù)先給出主客體的安全水平，但在云平臺(tái)下主客體頻繁變動(dòng)，無(wú)法提前評(píng)估其安全水平，故上述2種模型不適用于云平臺(tái)。

Lakshmi等［6］提出一種適用于云平臺(tái)的多風(fēng)險(xiǎn)指標(biāo)訪問(wèn)控制模型，提取訪問(wèn)發(fā)生的時(shí)間、位置等作為風(fēng)險(xiǎn)評(píng)估指標(biāo)并將風(fēng)險(xiǎn)值量化為多個(gè)風(fēng)險(xiǎn)指標(biāo)的平均值，但該模型僅為每個(gè)風(fēng)險(xiǎn)指標(biāo)均分固定的權(quán)重。

在云環(huán)境下存在大量歷史用戶行為信息未得到高效利用、未評(píng)估當(dāng)前系統(tǒng)安全狀態(tài)等問(wèn)題。針對(duì)上述問(wèn)題，Bouchami等［7］提出將用戶歷史行為信息和系統(tǒng)安全狀態(tài)量化為風(fēng)險(xiǎn)評(píng)估指標(biāo)評(píng)估當(dāng)前訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)。但該研究未給出具體的風(fēng)險(xiǎn)訪問(wèn)控制模型。Chen等［8］提出動(dòng)態(tài)風(fēng)險(xiǎn)訪問(wèn)控制模型(Dynamic Risk-based Access Control，DRAC)，利用數(shù)據(jù)流方法量化用戶歷史行為信息并結(jié)合系統(tǒng)安全狀態(tài)構(gòu)建風(fēng)險(xiǎn)評(píng)估指標(biāo)?？飦啀梗?］提出基于系統(tǒng)安全風(fēng)險(xiǎn)的訪問(wèn)控制模型，該模型利用模糊層次分析法為風(fēng)險(xiǎn)評(píng)估指標(biāo)分配權(quán)重。但上述方法均存在風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重固定且不能動(dòng)態(tài)分配的問(wèn)題。

為進(jìn)一步適應(yīng)云環(huán)境，目前主流風(fēng)險(xiǎn)訪問(wèn)控制模型是在傳統(tǒng)的訪問(wèn)控制策略上添加風(fēng)險(xiǎn)評(píng)估模塊［7，10］(如:DRAC)，但這些模型對(duì)訪問(wèn)請(qǐng)求風(fēng)險(xiǎn)值量化時(shí)仍面臨風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配的主觀性和靜態(tài)性問(wèn)題［11］，主要原因?yàn)?

1)采用經(jīng)驗(yàn)或?qū)＜医ㄗh等方法構(gòu)建風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重會(huì)帶有一定程度的主觀臆斷，從而影響風(fēng)險(xiǎn)值的準(zhǔn)確率。

2)風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配后是靜態(tài)的，而對(duì)于動(dòng)態(tài)的云環(huán)境，會(huì)降低風(fēng)險(xiǎn)值對(duì)訪問(wèn)請(qǐng)求的靈敏度。

對(duì)于風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重固定的問(wèn)題，目前常用的動(dòng)態(tài)權(quán)重分配方法如歸一法、主成分分析法和熵值法等均存在準(zhǔn)確率較低或?qū)崟r(shí)性較差的問(wèn)題［12－13］。

針對(duì)上述問(wèn)題，本文提出一個(gè)云平臺(tái)訪問(wèn)控制自適應(yīng)風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配方法，利用系統(tǒng)安全狀態(tài)和用戶歷史行為信息構(gòu)建風(fēng)險(xiǎn)評(píng)估指標(biāo)，設(shè)計(jì)一個(gè)帶約束的多元線性回歸模型，自適應(yīng)分配風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重，通過(guò)對(duì)配方回歸(Programming Regression，PR)［14］算法改進(jìn)求解相應(yīng)權(quán)重，提高風(fēng)險(xiǎn)值對(duì)訪問(wèn)請(qǐng)求的靈敏度，進(jìn)而提出一個(gè)新的動(dòng)態(tài)閾值計(jì)算方法，提高風(fēng)險(xiǎn)值的準(zhǔn)確率。本文方法中，風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重不再主觀設(shè)定而是通過(guò)歷史用戶行為信息和系統(tǒng)安全狀態(tài)等進(jìn)行計(jì)算分配，不僅分配權(quán)重合理，而且可實(shí)時(shí)調(diào)整權(quán)重以適應(yīng)當(dāng)前的訪問(wèn)環(huán)境。本文的研究聚焦于改進(jìn)云平臺(tái)風(fēng)險(xiǎn)訪問(wèn)控制模型中風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配的自適應(yīng)性，提出動(dòng)態(tài)風(fēng)險(xiǎn)值量化公式，并不涉及云平臺(tái)動(dòng)態(tài)資源調(diào)度、彈性計(jì)算和虛擬化等特點(diǎn)。

1 基本定義

定義1 風(fēng)險(xiǎn)閾值t為:

其中AVG()計(jì)算集合中訪問(wèn)請(qǐng)求風(fēng)險(xiǎn)值的平均值。由用戶自定義計(jì)算t的訪問(wèn)請(qǐng)求數(shù)量并將訪問(wèn)請(qǐng)求分為A、B集合，A集合存放ABAC模塊評(píng)估接受(P=0)的訪問(wèn)請(qǐng)求風(fēng)險(xiǎn)值R+，B集合存放ABAC模塊評(píng)估拒絕(P=1)的訪問(wèn)請(qǐng)求風(fēng)險(xiǎn)值R－。

定義2 靈敏度S為:

其中，靈敏度S定義為P=1時(shí)訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)平均值與P=0時(shí)訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)平均值之差。由于靈敏度S反映風(fēng)險(xiǎn)值的波動(dòng)，而風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重影響風(fēng)險(xiǎn)值，所以靈敏度與當(dāng)前風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重密切相關(guān)。

定義3 準(zhǔn)確率Acc為:

其中，num()表示滿足相應(yīng)條件的訪問(wèn)請(qǐng)求數(shù)量。準(zhǔn)確率定義為正常訪問(wèn)請(qǐng)求風(fēng)險(xiǎn)值R+＜t和惡意訪問(wèn)請(qǐng)求風(fēng)險(xiǎn)值R－＞t的數(shù)量占所有訪問(wèn)請(qǐng)求數(shù)量的比例。

定義4 風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重b*邊界調(diào)整公式為:

其中:b*(ij)(j=1，2，…，q且1≤i1＜i2＜… ＜iq≤p)表示b*中為0的分量;函數(shù)g()表示b*中非邊界分量的數(shù)值(小數(shù)點(diǎn)后保留2位)。運(yùn)用配方回歸理論［14］，b*可能存在b*(ij)=0即b*在邊界 上，但任意參與風(fēng)險(xiǎn)計(jì)算的評(píng)估指標(biāo)都應(yīng)分配權(quán)重，故用式(4)為邊界分量分配相應(yīng)值。

2 風(fēng)險(xiǎn)訪問(wèn)控制模型

本文提出的風(fēng)險(xiǎn)訪問(wèn)控制模型框架如圖1所示，其中，風(fēng)險(xiǎn)評(píng)估(Risk Evaluation，RE)包括自適應(yīng)風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配和風(fēng)險(xiǎn)值計(jì)算兩個(gè)過(guò)程。

圖1 風(fēng)險(xiǎn)訪問(wèn)控制模型框架Fig.1 Framework of risk access control model

該模型的處理步驟設(shè)計(jì)如下:

1)通過(guò)訪問(wèn)請(qǐng)求和系統(tǒng)安全狀態(tài)提取風(fēng)險(xiǎn)評(píng)估指標(biāo)。

2)規(guī)則匹配模塊利用ABAC策略與訪問(wèn)請(qǐng)求進(jìn)行規(guī)則匹配，產(chǎn)生匹配結(jié)果P。

3)自適應(yīng)風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配通過(guò)提取的歷史風(fēng)險(xiǎn)評(píng)估指標(biāo)和歷史規(guī)則匹配結(jié)果P得到當(dāng)前各指標(biāo)的權(quán)重b*。

4)風(fēng)險(xiǎn)值計(jì)算通過(guò)b*構(gòu)建動(dòng)態(tài)風(fēng)險(xiǎn)值計(jì)算公式，根據(jù)當(dāng)前訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)評(píng)估指標(biāo)計(jì)算風(fēng)險(xiǎn)值R。

5)動(dòng)態(tài)閾值計(jì)算采用歷史訪問(wèn)請(qǐng)求的P和R實(shí)時(shí)計(jì)算風(fēng)險(xiǎn)閾值t。

6)最終控制決定根據(jù)系統(tǒng)需求綜合閾值t、規(guī)則匹配結(jié)果P和風(fēng)險(xiǎn)值R作出最終訪問(wèn)控制決定。

3 自適應(yīng)風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配

3.1 問(wèn)題分析

風(fēng)險(xiǎn)訪問(wèn)控制模型中風(fēng)險(xiǎn)值量化方法可歸納為:

其中:ε1+ε2+… +εn=1;ωji(j=1，2，…，n)表示對(duì)第i條訪問(wèn)請(qǐng)求reqi中第j個(gè)風(fēng)險(xiǎn)評(píng)估指標(biāo)量化評(píng)估的值;εj(j=1，2，…，n)表示第j個(gè)風(fēng)險(xiǎn)評(píng)估指標(biāo)的權(quán)重。當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，ωji取值由實(shí)際情況決定，所以εj為影響風(fēng)險(xiǎn)值的主要因素之一。大部分風(fēng)險(xiǎn)訪問(wèn)控制模型采用的風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配方法［6－8］為均分相等的權(quán)重，即 ε1= ε2= … = εn=1/n。但該方法存在以下3個(gè)不足:

1)風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重固定;

2)風(fēng)險(xiǎn)值對(duì)訪問(wèn)請(qǐng)求的靈敏度較低;

3)風(fēng)險(xiǎn)值的準(zhǔn)確率較低。

針對(duì)上述3個(gè)不足，在風(fēng)險(xiǎn)值量化過(guò)程中，通過(guò)收集歷史訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)評(píng)估指標(biāo)和ABAC模塊的評(píng)估結(jié)果P，構(gòu)造帶有自適應(yīng)權(quán)重分配的風(fēng)險(xiǎn)值計(jì)算公式，并對(duì)新訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)值進(jìn)行預(yù)測(cè)。

3.2 自適應(yīng)風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配模型

根據(jù)歷史風(fēng)險(xiǎn)評(píng)估指標(biāo)和P構(gòu)建自適應(yīng)權(quán)重分配模型，主要包括如下3個(gè)目標(biāo):

1)構(gòu)造超平面將風(fēng)險(xiǎn)評(píng)估指標(biāo)分為2類(lèi);

2)選擇合適的目標(biāo)值;

3)風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重滿足一定的約束條件。

針對(duì)上述3個(gè)目標(biāo)，本文通過(guò)帶約束的多元線性回歸構(gòu)造風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配模型，并運(yùn)用PR算法求解該模型。

本文使用風(fēng)險(xiǎn)評(píng)估指標(biāo)(I，T，V)。其中:I表示當(dāng)前訪問(wèn)請(qǐng)求的訪問(wèn)活動(dòng)(讀、寫(xiě)等)在歷史請(qǐng)求中被ABAC模塊允許(P=0)的頻率［7］;T根據(jù)訪問(wèn)請(qǐng)求的主體屬性分配具體數(shù)值，角色屬性越高T越小，如:管理者的T值小于普通成員;V使用通用漏洞與披露(Common Vulnerabilities and Exposures，CVE)標(biāo)準(zhǔn)中關(guān)于Hadoop相關(guān)漏洞評(píng)分，即將本文模型部署在以Hadoop為基礎(chǔ)的云平臺(tái)下。

運(yùn)用式(5) 和(I，T，V)，風(fēng)險(xiǎn)值為:

其中，ε1+ ε2+ ε3=1。若ε1、ε2、ε3由經(jīng)驗(yàn)設(shè)定且不能動(dòng)態(tài)改變，則頻繁出現(xiàn)正常訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)值R+大于惡意訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)值R－，從而無(wú)法得到合理閾值，降低風(fēng)險(xiǎn)值的準(zhǔn)確率。若 R+→0且R－→1，則R－－R+→1，由式(2)可知靈敏度S增加，閾值設(shè)定的區(qū)間范圍增大，風(fēng)險(xiǎn)值的準(zhǔn)確率提高。而ABAC中正常訪問(wèn)請(qǐng)求P=0，惡意訪問(wèn)請(qǐng)求P=1，若R+/－→P，則可利用風(fēng)險(xiǎn)評(píng)估指標(biāo)(用戶歷史行為信息和系統(tǒng)安全狀態(tài))動(dòng)態(tài)分配相應(yīng)權(quán)重，所以本文設(shè)計(jì)的自適應(yīng)風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配模型為:

目標(biāo)函數(shù):

約束條件:

其中，ε為隨機(jī)誤差項(xiàng)。

3.3 PR 算法設(shè)計(jì)

本文利用廣度優(yōu)先搜索和剪枝設(shè)計(jì)并優(yōu)化PR算法以求解上述模型。由于PR算法利用矩陣的消去變換求解自適應(yīng)風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配模型，所以比使用二次規(guī)劃或線性規(guī)劃求解該問(wèn)題更加簡(jiǎn)單且計(jì)算量?。?4］。優(yōu)化后的PR算法在最小二乘法的基礎(chǔ)上首先分層存儲(chǔ)消去變換后的矩陣，然后逐層檢查并刪除不滿足條件的矩陣。PR算法設(shè)計(jì)如下。

算法1 PR算法。

輸入 用戶歷史風(fēng)險(xiǎn)數(shù)據(jù)X，規(guī)則評(píng)估結(jié)果Y;

輸出 風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重b*，誤差極小值Qmin。

/*b():從消去變換后的矩陣中得到b*(矩陣最后

一列，第2行到倒數(shù)第2行的元素)，Q():從消去變換后的矩

陣中得到Qmin(矩陣最后一行，最后一列的元素)*/

End if

原料：肥雞1只、無(wú)核李子脯125克、蘋(píng)果3-4個(gè)、洋蔥和胡蘿卜各1個(gè)、生姜1小塊、面粉2大勺、精鹽和胡椒各適量

End for

4 實(shí)驗(yàn)結(jié)果與分析

4.1 實(shí)驗(yàn)環(huán)境與數(shù)據(jù)

為驗(yàn)證本文提出的自適應(yīng)權(quán)重分配方法，在PC上搭建實(shí)驗(yàn)環(huán)境。1)硬件配置:Inter Core i3-2350M CPU@2.30 GHz，4.0 GB RAM。2)軟件環(huán)境:64 位 Windows 7 操作系統(tǒng)，Matlab R2016a。

數(shù)據(jù)集由不同的訪問(wèn)請(qǐng)求組成，每條訪問(wèn)請(qǐng)求信息包含主體、客體、訪問(wèn)活動(dòng)和訪問(wèn)發(fā)生時(shí)間4個(gè)主屬性，每個(gè)主屬性下分層存儲(chǔ)子屬性，子屬性由相應(yīng)的成員組成，例如:主體={管理者，員工，非員工，…}，管理者={管理者1，管理者 2，…}等。

每條訪問(wèn)請(qǐng)求是在4個(gè)主屬性的相應(yīng)子屬性下隨機(jī)選擇成員組成，模擬生成5組訪問(wèn)請(qǐng)求S1、S2、S3、S4和S5。S1至S4分別存在150個(gè)成員，每個(gè)成員在S1至S4中分別有10、100、1000和10000條訪問(wèn)請(qǐng)求，S1至S4中訪問(wèn)請(qǐng)求發(fā)生的順序隨機(jī)。S5為隨機(jī)生成的50條訪問(wèn)請(qǐng)求，由正常訪問(wèn)請(qǐng)求(P=0)和惡意訪問(wèn)請(qǐng)求(P=1)間隔組成。

用ABAC策略評(píng)估5組訪問(wèn)請(qǐng)求得到評(píng)估結(jié)果P;通過(guò)對(duì)用戶歷史行為信息和當(dāng)前系統(tǒng)安全狀態(tài)量化得到5組訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)評(píng)估指標(biāo)(I，T，V)。設(shè)定歷史窗口w=1000，即量化當(dāng)前訪問(wèn)請(qǐng)求的(I，T，V)時(shí)，使用的用戶歷史行為信息為該請(qǐng)求發(fā)生前w條歷史訪問(wèn)請(qǐng)求信息。

訓(xùn)練集Settrain為S1到S4的風(fēng)險(xiǎn)評(píng)估指標(biāo)數(shù)據(jù)(I，T，V)和ABAC模塊評(píng)估結(jié)果Ptrain，即:

其中，(I，T，V)150×10i表示訓(xùn)練集中第i組訪問(wèn)請(qǐng)求存在150 ×10i條風(fēng)險(xiǎn)評(píng)估指標(biāo)數(shù)據(jù)。

4.2 自適應(yīng)權(quán)重分配評(píng)估實(shí)驗(yàn)

實(shí)驗(yàn)步驟設(shè)計(jì)如下:

步驟1 模擬生成5組訪問(wèn)請(qǐng)求數(shù)據(jù)，構(gòu)建訓(xùn)練集Settrain和測(cè)試集Settest。

步驟2 通過(guò)S1至S4組訪問(wèn)請(qǐng)求構(gòu)建的訓(xùn)練集分別訓(xùn)練自適應(yīng)風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配模型，運(yùn)用PR算法得到對(duì)應(yīng)的 b*和 Qmin。

步驟3 將4組b*分別代入式(6)，構(gòu)造自適應(yīng)風(fēng)險(xiǎn)值計(jì)算公式。

步驟4 間隔1秒依次將測(cè)試集中的(I，T，V)代入自適應(yīng)風(fēng)險(xiǎn)值計(jì)算公式，計(jì)算各訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)值(如圖2中虛線所示)。

步驟5 為式(6)分配固定風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重，構(gòu)造固定風(fēng)險(xiǎn)值計(jì)算公式。固定指標(biāo)權(quán)重采用文獻(xiàn)［6－8］中權(quán)重分配方法，即為各風(fēng)險(xiǎn)評(píng)估指標(biāo)均分相等的權(quán)重(1/3，1/3，1/3)。

步驟6 間隔1秒依次將測(cè)試集中的(I，T，V)代入固定風(fēng)險(xiǎn)值計(jì)算公式，得到各訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)值(如圖2中實(shí)線所示)。

步驟7 根據(jù)步驟4、步驟6中計(jì)算得到的風(fēng)險(xiǎn)值，使用式(1)、(2)和(3)得到相應(yīng)的閾值t、靈敏度S和準(zhǔn)確率Acc。

圖2中P=0或P=1的2條曲線分別采用2種指標(biāo)權(quán)重分配方法計(jì)算測(cè)試集中正?；驉阂庠L問(wèn)請(qǐng)求的風(fēng)險(xiǎn)值。從圖2可知，自適應(yīng)風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配使得風(fēng)險(xiǎn)值波動(dòng)較大，即對(duì)于風(fēng)險(xiǎn)感知更靈敏;大部分P=0的訪問(wèn)請(qǐng)求風(fēng)險(xiǎn)值被降低，大幅度減少R+≥t或R－≤t出現(xiàn)的頻率;P=1和P=0的訪問(wèn)請(qǐng)求風(fēng)險(xiǎn)值分布間隔增加，使得閾值可設(shè)定的區(qū)間范圍增大，從而提高風(fēng)險(xiǎn)值的準(zhǔn)確率。

從圖2(a)至圖2(d)可知，隨著訪問(wèn)請(qǐng)求數(shù)量的增加，固定指標(biāo)權(quán)重所得正常訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)值和惡意訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)值分布間隔減小，造成風(fēng)險(xiǎn)值對(duì)訪問(wèn)請(qǐng)求的靈敏度下降;但自適應(yīng)分配指標(biāo)權(quán)重計(jì)算的風(fēng)險(xiǎn)值分布間隔逐漸增大，當(dāng)訓(xùn)練集的數(shù)量增加至十萬(wàn)和百萬(wàn)級(jí)時(shí)，正常訪問(wèn)請(qǐng)求(P=0)的風(fēng)險(xiǎn)值中異常值(波峰)減少，所以本文提出的方法在大并發(fā)用戶數(shù)情況下適應(yīng)性更強(qiáng)，更適合具有大量用戶且動(dòng)態(tài)性強(qiáng)的云環(huán)境。

圖2 不同數(shù)量訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)值分布Fig.2 Risk value distribution for different number of access requests

當(dāng)選取不同數(shù)量訪問(wèn)請(qǐng)求計(jì)算b*時(shí)，生成的風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重不同，故在云平臺(tái)環(huán)境中，可通過(guò)用戶歷史行為信息和系統(tǒng)安全狀態(tài)實(shí)時(shí)動(dòng)態(tài)地調(diào)整風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重。

4.3 權(quán)重分配指標(biāo)參數(shù)對(duì)比分析

為對(duì)比2種權(quán)重分配方法所得風(fēng)險(xiǎn)值的閾值、靈敏度和準(zhǔn)確率，根據(jù)4.2節(jié)實(shí)驗(yàn)步驟7，匯總并統(tǒng)計(jì)3種指標(biāo)數(shù)據(jù)，如表1所示。

從表1可見(jiàn)，針對(duì)閾值t，本文方法所得風(fēng)險(xiǎn)值的閾值低于固定指標(biāo)權(quán)重，由于R+被降低，R－被升高，使得R+與R－的差距增加，從而減小閾值，但閾值設(shè)定的區(qū)間范圍增大，使得閾值的設(shè)定更加靈活、合理。自適應(yīng)分配指標(biāo)權(quán)重所得風(fēng)險(xiǎn)值的閾值，基本穩(wěn)定在0.5左右，而固定指標(biāo)權(quán)重的閾值波動(dòng)較大，運(yùn)用式(1)可知，P=0或P=1訪問(wèn)請(qǐng)求風(fēng)險(xiǎn)值整體出現(xiàn)升高或下降時(shí)，會(huì)導(dǎo)致閾值出現(xiàn)波動(dòng)，所以本文方法在大規(guī)模用戶訪問(wèn)時(shí)，能夠維持P=0和P=1訪問(wèn)請(qǐng)求風(fēng)險(xiǎn)值整體的穩(wěn)定性。

針對(duì)靈敏度S，本文方法所得風(fēng)險(xiǎn)值的靈敏度高于固定指標(biāo)權(quán)重。運(yùn)用式(2)可知，P=0和P=1的訪問(wèn)請(qǐng)求風(fēng)險(xiǎn)值的分布間隔越大，靈敏度越高。自適應(yīng)分配指標(biāo)權(quán)重所得風(fēng)險(xiǎn)值的靈敏度基本維持在0.4以上，隨著訪問(wèn)請(qǐng)求數(shù)量的增加，靈敏度不斷升高。而固定指標(biāo)權(quán)重所得風(fēng)險(xiǎn)值的靈敏度隨著訪問(wèn)請(qǐng)求數(shù)量的增加，逐漸降低。所以本文方法所得風(fēng)險(xiǎn)值不僅靈敏度較高，而且分布具有穩(wěn)定性。

針對(duì)準(zhǔn)確率Acc，本文方法所得風(fēng)險(xiǎn)值的準(zhǔn)確率高于固定指標(biāo)權(quán)重。隨著訪問(wèn)請(qǐng)求數(shù)量的增加，自適應(yīng)分配指標(biāo)權(quán)重所得風(fēng)險(xiǎn)值的準(zhǔn)確率整體呈現(xiàn)上升的穩(wěn)定趨勢(shì)，而固定指標(biāo)權(quán)重風(fēng)險(xiǎn)值的準(zhǔn)確率較低，且不穩(wěn)定，有一定程度的波動(dòng)。所以本文方法更適用高并發(fā)、高動(dòng)態(tài)的云環(huán)境。

表1 2種權(quán)重分配方法相關(guān)參數(shù)Tab.1 Related parameters of two weight allocation methods

4.4 準(zhǔn)確率和靈敏度實(shí)驗(yàn)

通過(guò)靈敏度和準(zhǔn)確率2種指標(biāo)，對(duì)比分析本文方法構(gòu)建的風(fēng)險(xiǎn)訪問(wèn)控制模型與其他風(fēng)險(xiǎn)訪問(wèn)控制模型的性能。本節(jié)實(shí)驗(yàn)通過(guò)Matlab仿真實(shí)現(xiàn)本文模型、文獻(xiàn)［8］提出的DRAC模型和文獻(xiàn)［9］提出的基于系統(tǒng)安全風(fēng)險(xiǎn)的訪問(wèn)控制模型。由于3種風(fēng)險(xiǎn)訪問(wèn)控制模型均是通過(guò)規(guī)則評(píng)估和風(fēng)險(xiǎn)評(píng)估等模塊構(gòu)建，所以分別實(shí)現(xiàn)這些模塊，并根據(jù)數(shù)據(jù)的流向連接不同的模塊。設(shè)計(jì)實(shí)驗(yàn)步驟如下:

步驟1 通過(guò)Matlab仿真實(shí)現(xiàn)本文模型、DRAC模型和基于系統(tǒng)安全風(fēng)險(xiǎn)的訪問(wèn)控制模型。

步驟2 將4組訪問(wèn)請(qǐng)求S1、S2、S3和S4分別代入步驟1中3種模型進(jìn)行訓(xùn)練。

步驟3 將S5代入經(jīng)過(guò)S1至S4訓(xùn)練完成的3種模型，記錄S5中訪問(wèn)請(qǐng)求的風(fēng)險(xiǎn)值。

步驟4 通過(guò)式(2)計(jì)算風(fēng)險(xiǎn)值對(duì)訪問(wèn)請(qǐng)求的靈敏度S，匯總并統(tǒng)計(jì)得到S的分布情況(如圖3(a)所示)。通過(guò)式(3)計(jì)算風(fēng)險(xiǎn)值的準(zhǔn)確率Acc，匯總并統(tǒng)計(jì)得到Acc的分布情況(如圖3(b)所示)。

從圖3(a)可見(jiàn)，本文模型所得風(fēng)險(xiǎn)值的靈敏度整體維持在0.4以上?；谙到y(tǒng)安全風(fēng)險(xiǎn)的訪問(wèn)控制模型在數(shù)據(jù)量較小時(shí)(S2)，風(fēng)險(xiǎn)值的靈敏度達(dá)到0.43，但隨著數(shù)據(jù)量增加，靈敏度下降至0.32。DRAC模型所得風(fēng)險(xiǎn)值的靈敏度隨著數(shù)據(jù)量的增加，也在逐漸增加，最高達(dá)到0.39。所以本文模型所得風(fēng)險(xiǎn)值的靈敏度整體優(yōu)于另外2種模型。

從圖3(b)可見(jiàn)，在訪問(wèn)請(qǐng)求數(shù)量為S1時(shí)，本文模型所得風(fēng)險(xiǎn)值的準(zhǔn)確率為94%，略高于另外2種模型。但在S2時(shí)，基于系統(tǒng)安全風(fēng)險(xiǎn)的訪問(wèn)控制模型風(fēng)險(xiǎn)值的準(zhǔn)確率達(dá)到最高95%，而本文模型出現(xiàn)波動(dòng)，準(zhǔn)確率下降至90%。隨著數(shù)據(jù)量的不斷增加，本文模型風(fēng)險(xiǎn)值準(zhǔn)確率最高達(dá)到98%，明顯優(yōu)于另外2種模型。

DRAC模型根據(jù)數(shù)據(jù)流方法量化風(fēng)險(xiǎn)評(píng)估指標(biāo)，但數(shù)據(jù)流方法對(duì)歷史窗口w依賴較大，若w的選擇不合理，則風(fēng)險(xiǎn)評(píng)估指標(biāo)效果減弱，所以隨著數(shù)據(jù)量的增加，該模型風(fēng)險(xiǎn)值的準(zhǔn)確率和靈敏度都要低于本文提出的模型?；谙到y(tǒng)安全風(fēng)險(xiǎn)的訪問(wèn)控制模型根據(jù)模糊層次分析法分配風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重，但分配后的權(quán)重若更改需進(jìn)行復(fù)雜的代數(shù)運(yùn)算，所以在數(shù)據(jù)量較小時(shí)，該模型的靈敏度和準(zhǔn)確率要優(yōu)于DRAC模型，但隨著數(shù)據(jù)量的增加，權(quán)重?zé)o法動(dòng)態(tài)自適應(yīng)調(diào)整的劣勢(shì)凸顯，準(zhǔn)確率和靈敏度都低于DRAC模型和本文提出的模型。

圖3 準(zhǔn)確率與靈敏度分布Fig.3 Distribution of accuracy and sensitivity

4.5 響應(yīng)時(shí)間對(duì)比分析

根據(jù)文獻(xiàn)［8，15］，訪問(wèn)控制模型對(duì)訪問(wèn)請(qǐng)求的響應(yīng)時(shí)間是模型可擴(kuò)展性的重要度量標(biāo)志，反映訪問(wèn)控制模型在用戶不斷增加時(shí)的處理能力。本文實(shí)驗(yàn)對(duì)比4.3節(jié)3種模型和文獻(xiàn)［15］提出的基于動(dòng)態(tài)屬性的風(fēng)險(xiǎn)感知訪問(wèn)控制(Dynamic Attribute-based Risk Aware Access Control，DA-RAAC)模型，分析4種風(fēng)險(xiǎn)訪問(wèn)控制模型對(duì)不同數(shù)量訪問(wèn)請(qǐng)求的響應(yīng)時(shí)間，具體步驟如下:

步驟1 使用Matlab仿真實(shí)現(xiàn)DA-RAAC模型。該模型基于屬性基加密(Attribute-Based Encryption，ABE)模型和風(fēng)險(xiǎn)引擎，為方便起見(jiàn)，僅實(shí)現(xiàn)風(fēng)險(xiǎn)引擎模塊。

步驟2 隨機(jī)生成640、1 280、…、20 480條訪問(wèn)請(qǐng)求，分別使用4種模型對(duì)6組訪問(wèn)請(qǐng)求進(jìn)行訪問(wèn)授權(quán)。

步驟3 記錄并統(tǒng)計(jì)4種模型對(duì)6組訪問(wèn)請(qǐng)求的響應(yīng)時(shí)間，結(jié)果如圖4所示。

從圖4可知，本文提出的模型比另外3種模型響應(yīng)時(shí)間更短。由于數(shù)據(jù)流和模糊層次分析等數(shù)學(xué)方法，需要長(zhǎng)時(shí)間的代數(shù)運(yùn)算，DA-RAAC模型中存在大量的布爾運(yùn)算，所以本文方法構(gòu)建的模型在保證準(zhǔn)確率和靈敏度都較高的情況下，響應(yīng)時(shí)間也明顯低于其他3種模型。綜上，本文提出的帶有自適應(yīng)指標(biāo)權(quán)重分配的風(fēng)險(xiǎn)訪問(wèn)控制模型更適用于有較大用戶量的云環(huán)境。

圖4 不同模型響應(yīng)時(shí)間Fig.4 Response time of different models

5 結(jié)語(yǔ)

本文針對(duì)大多數(shù)風(fēng)險(xiǎn)訪問(wèn)控制模型風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重固定的不足，提出云平臺(tái)訪問(wèn)控制自適應(yīng)風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配方法。該方法提出風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重分配模型，并改進(jìn)配方回歸算法高效求解相應(yīng)權(quán)重，構(gòu)建動(dòng)態(tài)風(fēng)險(xiǎn)值計(jì)算公式。該方法解決風(fēng)險(xiǎn)評(píng)估指標(biāo)權(quán)重主觀性和靜態(tài)性問(wèn)題。實(shí)驗(yàn)表明該方法所得風(fēng)險(xiǎn)值具有較高的準(zhǔn)確率和靈敏度，且有更短的響應(yīng)時(shí)間。

在本文所提風(fēng)險(xiǎn)訪問(wèn)控制模型中，規(guī)則匹配模塊僅使用ABAC策略，但對(duì)于高并發(fā)的云環(huán)境，ABAC策略更加復(fù)雜且動(dòng)態(tài)性弱。未來(lái)的研究重點(diǎn)是通過(guò)改進(jìn)規(guī)則匹配模塊，進(jìn)一步增強(qiáng)風(fēng)險(xiǎn)訪問(wèn)控制模型的動(dòng)態(tài)性。