调查访问策略

调查访问策略（共6篇）

1.调查访问策略 篇一

群众满意度电话访问调查问卷（样稿发乡镇）

您好！我是岳家庄乡的访问员，受岳家庄乡的委托，想了解您对当地党委、政府有关工作情况的评价，问您几个方面的问题，有满意、基本满意、不满意三个选项，可以吗？

(如果被访者有顾虑，请读出：请您放心，您的电话是电脑随机抽取的，您的电话号码等信息我们是不知道的。可以吗？

如果被访者询问时间会多久，请读出：共有8个简单问题，都是和您生活密切相关的，如就业、医疗、教育方面等。

如果被访者不愿接受访问，请读出：您的评价对我们了解当地党委、政府工作情况，进一步改进工作是很重要的，希望您配合一下，可以吗？)谢谢您的支持和配合！

问题

1、您对本地社会治安状况，感到满意、基本满意，还是不满意？

满意---1 基本满意---2 不满意---3 不了解（访问员不读出）--4（社会治安状况按照被访者自己的理解回答就可以了。）

问题

2、您对本地学校教育情况，感到满意、基本满意，还是不满意？

满意---1 基本满意---2 不满意---3 不了解（访问员不读出）--4 学校教育情况是指中学或者小学老师的教学水平高不高，对学生是否负责。

如果被访者提到幼儿园教育情况，访问员要及时提醒被访者我们这里是想了解您对本地中小学教育情况的评价。

问题

3、您对在本地看病治病情况，感到满意吗？

满意---1 基本满意---2 不满意---3 不了解（访问员不读出）--4 看病治病情况是指当地医院、卫生服务中心（卫生所）的各项服务水平以及治疗水平如何。

如果被访者说药价太高，访问员要提醒被访者，我们是想了解您对当地医院、卫生所的医疗水平和服务质量的评价。

问题

4、您对本地环境保护和环境卫生情况，感到满意吗？

满意---1 基本满意---2 不满意---3 不了解（访问员不读出）--4 环境保护是指当地的自然环境保护的如何，河水、空气是否被污染，山林是否被破坏等；环境卫生是指您生活的周边环境是否干净、卫生。

问题

5、您对本地群众文化生活情况，感到满意吗？

满意---1 基本满意---2 不满意---3 不了解（访问员不读出）--4 群众文化生活是指群众参加的各种形式的文体娱乐活动，如社区组织的文化活动、广场舞等。

如果被访者说我们这里没有什么群众文化生活，访问员需追问：那么就目前这种情况，您是感觉满意、基本满意还是不满意呢？如果被访者继续说当地没有文化生活，无法评价，访问员此题选择不了解即可。

问题

6、您对本地政府救助困难群众情况，感到满意吗？

满意---1 基本满意---2 不满意---3 不了解（访问员不读出）--4 救助困难群众是指对困难户、残疾人、孤寡老人开展救助，如送米面油、资金帮助、帮助困难户就业等。

问题

7、您对本地政府采取措施扩大就业、增加群众收入评价如何？您感到满意吗？

满意---1 基本满意---2 不满意---3 不了解（访问员不读出）--4 促进就业是指政府提供就业信息，组织招聘会、举办培训班、组织农民外出打工等。增加收入是指家里收入有没有增加，生活水平有没有提高。

问题

8、您对本地干部工作作风感到满意吗？

满意---1 基本满意---2 不满意---3 不了解（访问员不读出）--4（干部工作作风按照被访者自己的理解回答就可以了。

2.调查访问策略 篇二

一般来讲, 在一个访问控制系统中都包括3个要素[1]:

主体:发出访问操作的主动方, 通常指用户或用户的某个进程。

客体:被访问的对象, 包括:网络中的一些活跃元素 (例如:程序、进程等) 、数据、信息、各种网络服务和功能、网络设备设施。

授权策略:一套规则, 确定某个主体是否对某个客体拥有访问能力。

访问控制的目标主要有4个方面[2]: (1) 机密性:防止信息泄露给未授权的用户; (2) 完整性:防止未授权用户对信息的修改; (3) 可用性:保障授权用户对系统信息的可访问性; (4) 可审计性:防止用户对访问过某信息或执行过某一操作进行否认。

根据授权策略的不同, 传统使用的计算机信息系统访问控制技术主要有:自主访问控制DAC (discretionary access control) 和强制访问控制MAC (mandatory access control) 。20世纪90年代又出现了一种基于角色的访问控制技术RBAC (role-based access control) 。它们在计算机信息系统安全访问控制中发挥了重要作用。

随着信息系统的安全需求日益增强, 保密标准越来越高, 与应用领域有关的安全需求也大量出现。同时, 网络和分布技术的发展使得访问控制在以单位或部门的网络设计、实施的基础上, 要考虑其开放性, 以便相互间的系统互联[3]。这些都对访问控制技术提出了新的要求, 而独立使用的传统访问控制技术很难应对, 并逐步显现出若干缺陷。

1 传统访问控制技术及其缺陷

DAC技术的本质是客体主人控制客体的访问权限。它的主体可以按自己的意愿决定哪些用户可以访问他们的资源, 亦即主体有自主的决定权, 一个主体可以有选择地与其他主体共享他的资源[4]。因此, 系统管理者就很难确定哪些用户对哪些资源有访问权限, 不易实现统一的全局访问控制, 不便于用户间关系的管理。DAC根据用户的身份及允许访问权限决定其访问操作, 这种访问控制机制的灵活性较高, 在商业领域它被广泛使用, 尤其是在操作系统和关系数据库系统上。然而, 也正是由于这种灵活性使信息安全性能有所降低。同时, DAC在抵御病毒攻击的能力较弱, 例如特洛伊木马 (trojan horse) 的攻击, 木马程序会嵌入在系统的合法程序中致使重要信息泄漏和损坏, 甚至篡改对信息资源的访问权限设置。所以, DAC不能应用于有高级别安全要求的系统。

MAC是系统强制主体服从访问控制政策。用户 (或其他主体) 与文件 (或其他客体) 都被标记了固定的安全属性 (如安全级、访问权限等) 。这对合法用户造成了限制, 致使用户共享数据的机制不灵活[5]。另外, MAC对用户恶意泄漏信息无能为力, 虽然MAC增强了信息的机密性, 但不能实施完整性控制, 而网络应用对信息完整性具有较高的要求。因此, MAC可能无法胜任某些网络应用。此外, MAC过于强调保密性, 对系统的授权管理不便。它的应用领域范围较小, 如多用于军事等特殊领域。

RBAC是权限与角色相关联, 用户依据它的责任和资格来被指派相应的角色, 对系统操作的各种权限不是直接授予具体的用户, 而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后, 该用户就拥有此角色的所有操作权限。这样做的优点是, 不必在每次创建用户时都进行分配权限的操作, 只要分配用户相应的角色即可, 而且角色的权限变更比用户的权限变更要少得多, 这样将简化用户的权限管理, 减少系统的开销[6]。

与DAC和MAC相比, RBAC技术的优势非常明显[7]。RBAC易于权限管理, 能实现最小权限分配并可灵活定义角色间的关系。其应用领域也较广, 如多用在数据库管理系统、PKI (public key infrastructure) 、工作流管理系统等领域。但RBAC也存在不足, 一是RBAC还不很成熟, 有很多方面需要进一步的研究发展;二是RBAC在规定大量角色和访问权限及其他们之间的关系时比较复杂。

总之, DAC限制太弱, MAC限制太强, 且二者的工作量较大, 不便管理。RBAC则可以折衷以上问题, 角色控制相对独立, 根据具体的系统需求可以使某些角色接近DAC, 某些角色接近MAC。

2 叠加式策略的构思及分析

叠加式访问控制策略的基本思路是, 在角色的访问控制的基础上, 将自主访问控制和强制访问控制技术也应用进来, 三者叠加应用, 构成交集。模型如图1所示。根据安全策略划分角色, 为不同角色分配不同的操作权限, 为不同用户分配不同的角色, 而且可以对用户在除了角色之外还能对相关的权限进行限制或添加一些特殊权限。同时, 对用户和对象 (资源) 分级, 使用安全级别限制用户对角色的操作。叠加式策略构思如图2所示。因此, 为了达到叠加控制的目的, 需要完成3个方面的规划:角色定义和角色分配、权限定义和权限分配、安全策略规定和级别划分。

角色定义和角色分配是指根据安全策略对角色进行定义, 对用户在系统中所应具有的角色进行规定。用户和角色之间是多对多的关系, 也就是说, 一个用户可以有许多角色, 一个角色可以分配给多个用户。

权限定义和权限分配是指对数据库信息的访问和对功能模块的操作的权限界定, 对用户的权限进行限制、添加, 也对角色的权限进行分配。用户权限由角色、增添权限、限制权限、安全级别来最终形成。

安全策略规定和级别划分是指建立用于系统安全访问的规则, 并对用户和对象 (资源) 进行安全级别划分。其中, 对象 (资源) 安全级别的划分是指根据对象 (资源) 本身具有的特点界定出其安全级别, 如分为普通级、特殊级等;用户级别的划分是指分配用户能访问不同对象 (资源) 的身份级别, 如分为系统管理员、高级用户、普通用户等。

在实际应用中, 多数信息系统设计都是基于B/S模式的。用户使用系统前应先进行注册。基于安全因素考虑, 用户注册后不能立即使用系统, 需要管理员对用户信息审核并授权, 在用户得到授权后才可访问相关资源。不同用户所拥有的角色和权限不同, 用户在登录系统访问资源时, 访问控制根据用户所拥有的角色和权限来返回用户具有相应功能模块的操作界面, 从而简化了系统操作的复杂性, 增强了系统安全性。权限分配过程如图3所示。

需要注意的是, 在用户的角色分配上, 对一个用户可分配到的最大角色数和一个角色可拥有的最大用户数要有一定的限制。同时, 在访问控制权限分配上, 要限制一个访问控制权限最多可被分配给多少个角色, 以及一个角色可拥有多个访问权限。对于上述各种分配限制, 可按照最大基数约束原则进行。

3 小结

在信息系统中应用叠加式访问控制策略, 可对用户所拥有的角色和权限进行严格分配, 同时也可对角色的权限根据实际访问需求进行相关约束, 从而严格控制了用户对资源的安全访问, 增强了系统安全性。

摘要：在分析传统访问控制技术缺陷的基础上, 提出了叠加式访问控制策略, 即将基于角色的访问控制与自主访问控制和强制访问控制技术结合起来, 交合使用, 构成叠加控制方式。从而能够严格限制用户和角色的访问权限, 增强了系统的安全性。

关键词：叠加,访问控制,权限

参考文献

[1]GB17859-1999, 计算机信息系统安全保护等级划分准则[S].

[2]林闯.新型网络环境下的访问控制技术[J].软件学报, 2007, 18 (4) .

[3]安之廷.Web服务加密与签名技术实现[D].大连理工大学, 2003.

[4]什么是自主访问控制[EB/OL]. (2006-4-26) .http://www.gxu.edu.cn/college/hxhgxy/sec/COURSE/ch08/2-1.htm.

[5]强制访问控制[EB/OL]. (2010-9-27) .http://baike.baidu.com/view/4420215.htm.

[6]基于角色的访问控制[EB/OL]. (2007-10-30) .http://baike.baidu.com/view/1227497.htm.

3.浅议调查访问的心理把握 篇三

但是在实际调查工作中,部分被调查者由于种种原因,或多或少、有意无意地存在隐瞒真实信息的情况。要想在调查过程中取得比较完全的真实信息,显然,调查技巧是至关重要的。调查技巧的关键所在是根据自身和被访者的具体情况把握调查心理,取得对方信任,进而获取真实信息。

■ 入户面访调查的心理把握

为了调查顺利进行,调查者必须把握好被访者的心理和自己的心态,应当注意以下几个方面的影响:(1)调查人员仪表仪态因素的心理影响。爱美之心人皆有之,因而端庄的仪态,优雅的举止,适时的装扮,谦和的态度,礼貌的言语都会给被调查者留下美好的印象,为积极配合调查赢得良好的开端。(2)知识因素的心理影响。当今时代是尊重知识尊重人才的时代,因此渊博的知识、宽泛的知识面、入乡随俗的常识都是与被访者交流的基础。(3)诚实因素的心理影响。诚实是人的美德,也是人与人交流的前提。古语云:“腹心相照,谓之知心”,“朋而不心,面朋也;友而不心,面友也”,所以在调查过程要以诚相待,决不能搀杂虚伪、虚假、虚幻的成分。(4)信用因素的心理影响。要求自己守信用,也要对他人充分信任。人们常说,“人无信,不可交”,因此在与被访者交往中要“言必信,行必果”。不要轻易许诺对方,答应了对方就一定要尽力办好,以取信于人。比如要遵守预约时间,如果许诺有礼物或者酬劳一定及时兑现等。(5)共鸣因素的心理影响。在调查中的心理共鸣现象是常见的,也是值得我们注意和重视的。因此我们在与被访者交流中要善于寻找共鸣点,要从众多不同之中寻找近似的特征,主动从自身方面创造引起共鸣的条件,对自己要扬长避短,对被访者要善于发现其长处,争取有更多的共鸣。(6)隐私因素的心理影响。特别是涉及个人收入、支出等敏感问题时,或者要提出尖锐问题和投诉建议时,要注意支走周围无关人员,主动提供有利于调查的宽松环境。

■ 电话调查的心理把握

由于电话调查时互相看不到对方,彼此的表情和环境都不得而知,心理把握和语言交流尤为重要。因此运用语言文字是否确切对调查效果有很大影响,正确地运用语言文字能够使被调查者心情愉悦,心理环境舒适,有利于提高调查沟通的效果。若语言文字使用不当,则容易引起误会甚至挂机拒绝调查。电话调查时应注意:(1)态度要诚恳,尽量不用或少用评论性的语言;(2)选用简明的词语,表达要准确明了,不要拖泥带水使对方抓不住要领;(3)通俗易懂,尽量避免使用对方不了解的字眼,尽量少用专业性术语,力戒陈词滥调,套话空话;(4)尽量使用短句,一般情况下少用或不用长句,避免产生累赘之感;(5)语速适中,问话的快慢要根据被调查者的情绪特点、理解能力、反应快慢等心理变化及时进行调整;(6)调查中涉及对方生疏的人名、地名的时候要读得慢些,关键词语要重复一下;(7)调查结束时一定说出感谢配合之类话语。

■ 会场集中调查的心理把握

将所有被调查者集中在会场进行调查也是经常使用的组织方式。在会场发放问卷集中调查,首先,应讲解调查意义、目的和作用,解除被调查人员的疑问;其次,应做好周全的保密措施,解除被调查者的戒备。比如单桌答卷、让被调查者亲自将问卷装入密封袋、亲自粘贴密封条等;第三,组织调查者尽量不要使用照相、录像器材、不要在会场来回走动,解除被调查者的紧张心理及其他后顾之忧。

■ 街头拦截调查的心理把握

街头拦截调查访问是开展社情民意调查的另一种有效形式,也是明察暗访时常用的调查方法。如果把握好被访者的心理可提高调查效率和质量,若把握不好可能会拦截不到被访者。一是拦截调查前要做好充分准备,将调查目的及作用等变为通俗话语,将问卷内容熟记于心,做到问话流畅自然,节省缩短调查时间,消除被访者怕耽误事、怕耽误时间的心理;二是装扮端庄典雅,大方得体,做到态度温和,微笑招呼,切忌穿戴奇装异服,消除被访者遇骗遇诈的心理,最大限度地取得信赖和配合。

■ 克服调查中的心理障碍

一是避开心理敏感区。开展调查,与被调查者的交流有问有答,和谐相处,但每个人都有自己特有的“心理敏感区”,调查中要特别忌讳,否则会使对方恼羞成怒,终止调查。比如在弱势人群、残疾人群面前不能使用歧视词语等。二是力避自我中心意识。有的调查员不管场合,不顾对方心情、处境,一味地由着个人的性子去调查,尽管出发点不错且热情万分,也会使人生厌,产生心理避拒作用,影响调查访问的顺利进行。三是克服被拒访时的低落情绪。在入户进店调查、电话调查、拦截调查时,往往会遇到被访者以种种理由、种种表现形式拒绝接受调查访问,比如挡在门外、锁门离去、中途送客、中途挂断电话,另外出言不逊、恶言恶语的情况也时有发生。面对这种遭遇和经历,极大地伤害了调查员的感情和自尊心,打击了调查访问的热情和积极性。然而在当今多元化的社会里,存在这样不和谐的现象也实属正常,我们应理性分析和对待,避免正面冲突、激化矛盾,以致危及自身安全,应尽快地调整被伤害的情绪,克服暂时的心理障碍,迅速恢复到正常的心理状态,投入到下一步需要统计调查的工作中。

4.调查访问策略 篇四

。如果将全部的访问操作都记录在日志中，那么日志的容量会变得很大，反而不易于后许的维护与管理。为此系统管理员在设置审计文件访问策略时，往往需要选择一些特定的事件，以减少安全访问日志的容量。为了达到这个目的，下面的一些建议各位系统管理员可以参考一下。

一、最少访问操作原则

在Win7中，将这个访问操作分为很细，如修改权限、更改所有者等等十多种访问操作。虽然系统管理员需要花一定的时间去考虑该选择哪些操作或者进行相关的设置，但是对于系统管理员来说这仍然是一个福音。权限细分意味着管理员选择特定的访问操作之后，就可以得到最少的审核记录。简单的说，“产生的审核记录最少而且可以涵盖用户的安全需求”这个目标更容易实现。因为在实际工作中，往往只需要对特定的操作进行审计即可。如只对用户更改文件内容或者访问文件等少部分操作进行审计即可。而不需要对全部操作进行审计。如此产生的审计记录就会少的多，同时用户的安全需求也得以实现。

二、失败操作优先选择

对于任何的操作，系统都分为成功与失败两种情况。在大部分情况下，为了收集用户非法访问的信息，只需要让系统记入失败事件即可。如某个用户，其只能够只读访问某个共享文件。此时管理员就可以给这个文件设置一个安全访问策略。当用户尝试更改这个文件时将这个信息记入下来。而对于其他的操作，如正常访问时则不会记录相关的信息。这也可以大幅度的减少安全审计记录。所以笔者建议，一般情况下只要启用失败事件即可。在其不能够满足需求的情况下，才考虑同时启用成功事件记录，此时一些合法用户合法访问文件的信息也会被记录下来，此时需要注意的是，安全日志中的内容可能会成倍的增加。在Windows7操作系统中可以通过刷选的方式来过滤日志的内容，如可以按“失败事件”，让系统只列出那些失败的记录，以减少系统管理员的阅读量。

三、如何利用蜜糖策略收集非法访问者的信息?

在实际工作中，系统管理员还可以采用一些“蜜糖策略”来收集非法访问者的信息。什么叫做蜜糖策略(蜜罐策略)呢?其实就是在网络上放点蜜糖，吸引一些想偷蜜的蜜蜂，并将他们的信息记录下来。如可以在网络的共享文件上，设置一些看似比较重要的文件。然后在这些文件上设置审计访问策略。如此，就可以成功地收集那些不怀好意的非法入侵者。不过这守纪起来的信息，往往不能够作为证据使用。而只能够作为一种访问的措施。即系统管理员可以通过这种手段来判断企业网络中是否存在着一些“不安分子”，老是试图访问一些未经授权的文件，或者对某些文件进行越权操作，如恶意更改或者删除文件等等。知己知彼，才能够购百战百胜。收集了这些信息之后，系统管理员才可以采取对应的措施。如加强对这个用户的监控，或者检查一下这个用户的主机是否已经成为了别人的肉鸡等等。总之系统管理员可以利用这种机制来成功识别内部或者外部的非法访问者，以防止他们做出更加严重的破坏。

四、注意文件替换并不会影响原有的审计访问策略

5.调查访问策略 篇五

随着人们对网络依赖程度的日益增强,网络安全性愈发重要,路由器作为网络传输过程中的重要设备,对报文安全、正确和快速的转发起着关键作用。在路由器上配置访问控制列表ACL[1],通过访问规则控制和过滤经过路由器的数据流,防止外部用户对内部网络不安全的访问。访问控制列表由源地址、目的地址、端口号等一系列特定指示条件组成,其采用自上而下的执行顺序,当数据包到达时,路由器会遍历ACL内所有规则,直至找到第一条匹配数据包的规则,并执行该规则所定义的操作( 拒绝或允许) 。在高速网络环境中,会引入一种特殊的硬件机制( TCAMs)[2]来对遍历并行处理以加快数据包转发速度,但TCAM内存受限且价格昂贵,因此需要考虑如何尽可能地压缩ACL内规则条数以优化TCAM的存储结构[3]。此外,当ACL内规则条数达到一定数量时,对ACL进行编辑和管理会变得非常繁琐而且容易出错,甚至由此带来灾难性的后果[6]。因此,有必要在保持ACL语义不变的前提下,对ACL进行尽可能的压缩。不失一般性,本文研究只包含源地址和目标地址的二维ACL压缩问题。

对一维ACL压缩问题,已经证明其可以在多项式时间内求得最优解[4,6],但二维区间ACL压缩问题已被证明是NP难[4,5],即该问题无法在多项式时间内求得最优解。目前最好的近似度为O( min( n1 /3,OPT1 /2) )[4],这里n是输入规则集的规则条数,而OPT是优化后的规则条数。Daly等针对多维ACL压缩问题,提出了一个基于差异处理的压缩工具Diplomat[7],并证明该方法在一定条件下能达到O( min( n1 /3,OPT1 /2) ) 的近似度。文献[8]提出了一种基于多维矩阵的防火墙规则设计方法,将防火墙规则依次映射到多维矩阵中形成不相交的单元空间。我们发现,通过该映射操作,可以将二维区间ACL压缩问题转换成直线多边形的矩形覆盖问题RPC( Rectilinear Polygon Cover)[10,11],不失一般性,设多边形P的顶点数为n ,且P可能含有洞,目前最好的算法近似度为,显然,其相比O( min( n1 /3,OPT1 /2) ) 而言要更优。因此,如果能将二维区间ACL压缩问题转化为RPC问题,从而直接利用文献[11]的覆盖算法进行求解,可以为ACL压缩问题提供一种新的有效求解途径。

1 理论基础

一般而言,ACL内任意规则可以表示为形如“F1∈D( F1) ( F2∈ D( F2) → decision”的形式,这里Fi( 1 ≤ i ≤ 2) 分别表示源地址和目标地址,D( Fi) 表示对应的域值区间,decision表示规则的决策( 接受或拒绝) 。根据文献[8]中规则空间的定义,可进一步将ACL规则表示为R[( l1,l2) ( d1,d2) : 0]( 如果< decision > = discard) ) 或者R[( l1,l2) ( d1,d2) : 1]( 如果< decision > = accept) ,这里li是D( Fi) 的下界,而di代表D( Fi) 的大小。下面正式给出本文算法所涉及的一些概念定义。

定义1针对域( F1,F2) 的映射矩阵M2满足以下几点要求:

( 1) M2是一个二维矩阵,各维坐标用Fi表示,相应坐标区间为[0,D( Fi) ],1 ≤ i ≤ 2 。

( 2) M2由一系列单元矩阵组成,每个单元矩阵可用其下界坐标及相应坐标区间表示: [( l1,l2) ( d1,d2) ]。

( 3) 任一具有形如< predicate > → < decision > 的ACL规则可在M2中表示,即每一条规则的前缀可以用M2中的一个单元矩阵来表示,而单元矩阵的值则可以用来表示规则的决策:value = 0 ( 如< decision > = discard ) ,或value = 1 ( 如< decision > = accept) 。

( 4) 一个包含有m个互为独立的单元矩阵的二维矩阵M2可以形式化描述为:

这m个独立单元矩阵在M2内互不相交,我们把这些独立单元矩阵称作单元空间。

定理1 任意原始ACL规则,采用FDM构建算法[8],在矩阵M2内按逆序依次映射后,可得到一串语义与原始ACL规则完全相同的单元空间。

证明: 因为ACL规则遵循首次匹配优先原则,即数据包会执行最先匹配规则的决策。根据算法过程,原始规则按逆序逐条映射到二维矩阵之中,并根据规则各维域值范围及对应决策对相应单元空间进行赋值。因为自后而前的映射过程保证了规则的首次优先匹配,同时单元空间与规则域值范围保证了完全一致。因此,可知原始ACL规则采用FDM构建算法在二维矩阵内映射后,规则语义保持不变。得证。

定理2 任意两个单元空间Ui和Uj在某一个维度上的坐标关系R( Ui,Uj) = r有且只属于{ 左相邻、右相邻、左相交、右相交、分离、覆盖、包含、相等} 之一,分别表示为。本定理证明略。

我们定义两个单元空间的空间关系为各个维度上的坐标关系的组合。当两个单元空间的空间关系中,有一个“║”或者同时有两个“╜或╙”,则定义对应的两个单元空间的空间关系为“分离”。我们可以把任一单元空间看作无向连通图中的一个点,两单元空间不互为分离则表示其对应图中的两点之间有边相连,类似求独立连通子图,我们把映射后得到的单元空间划分为若干独立的单元空间集。每个独立单元空间集正好可以构成一个二维直线多边形,由定义1 可知多边形内各单元空间的值均为1,若几个单元空间围成一个圈,而圈内区域值为0,则把这些值为0 的区域称作“洞”[4]。

2 基于RPC问题模型的ACL压缩算法

我们首先用FDM构建算法[8]将原始ACL规则映射成一系列单元空间,然后基于各单元空间的空间关系将它们划分为若干独立单元空间集,每个独立单元空间集正好可以构成一个直线多边形。从几何学观点看,此时ACL压缩问题等价于如何用最少的矩形去覆盖该直线多边形,即RPC问题。下面,我们举一个例子来详细说明方法步骤。设原始ACL包含9 条规则,如图1 所示。

步骤1 将ACL规则映射到二维矩阵M2

将规则ri映射到二维矩阵M2的详细算法可参考文献[8],图2 为该算法过程示例。设有两条规则r1: F1∈[4,5]∧ F2∈[4,6]→ discard,r2: F1∈[1,7]∧ F2∈[2,8]→ accept ,图2( a) 为规则r2映射后的结果。这里( 1,r2) 表示规则r2的决策为接受,类似地,图2( b) 内( 0,r1) 表示规则r1的决策为拒绝。因为r1的决策是拒绝且r1的规则空间被包含在r2映射后的单元空间内,首先将单元空间[( 1,2) ( 7,7) ]在F1维上切分成三部分,{ [( 1,2) ( 3,7) ],[( 4,2) ( 2,7) ],[( 6,2) ( 2,7) ]} ,而在F2维上保持不变,然后继续将[( 4,2) ( 2,7) ]在F2维上进行切分为三部分: { [( 4,2) ( 2,2) ],[( 4,4) ( 2,3) ],[( 4,7) ( 2,2) ]} ,因为[( 4,4) ( 2,3) ]与r1的规则空间一样,将其移除,从而得到最终的四个单元空间{ [( 1,2) ( 3,7) ],[( 4,2) ( 2,2) ],[( 4,7) ( 2,2) ],[( 6,2) ( 2,7) ]} 。

图2映射示例:r1:F1∈[4,5]∧F2∈[4,6]discard,r2:F1∈[1,7]∧F2∈[2,8]→accept

以图1 所示的原始ACL为输入,通过映射过程,可以得到六个单元空间格,最后的FDM为{ [( 0,4) ( 3,4) ],[( 2,2) ( 1,2) ],[( 3,2) ( 1,3) ],[( 5,5) ( 2,3) ],[( 7,2) ( 2,8 ) ],[( 9,5 )( 1,3) ]} ,如图3 所示。

步骤2 求独立子集

该方法第一步需要判断任意两单元空间之间的空间关系( 具体判定过程见算法1) ,可得到对应的空间关系矩阵M,图4展示了图3 各单元空间之间的空间关系矩阵。对M内每一个矩阵元素,当存在一个“║”或有两个“╜或╙”时,对应的两单元空间可以定义为“分离”。我们把任一单元空间看作无向连通图中的一个点,两单元空间不互为分离则表示其对应图中的两点之间有边相连,类似求独立连通子图方法[12],可以容易地求得独立单元空间集S1和S2:

算法1 构建空间关系矩阵

输入:包含n个单元空间的单元空间集UNs

输出:空间关系矩阵M,矩阵元素为任意两单元空间的空间关系

步骤3 直线多边形的矩形覆盖

每个独立单元空间集正好可以构成一个直线多边形,从几何学观点看,此时ACL压缩问题等价于RPC问题。考虑一般情况,该直线多边形可能含有“洞”。

根据算法2,对独立子集S1和S2分别进行处理,得覆盖S1的矩形{ [( 0,4) ( 3,4) ],[( 2,2) ( 2,3) ]} ,覆盖S2的矩形{ [( 5,5) ( 5,3) ],[( 7,2) ( 2,8) ]} 。最后根据文献[8]内的规则生成算法,可得压缩后的ACL规则为:

算法2 Covering Rectilinear Polygons with Rectangles

3 理论分析与仿真结果

定理3 两个在空间上互为独立的单元空间,其所对应的规则集也互为独立。即求整个单元空间的最少矩形覆盖等价于求各独立单元空间集的最少矩形覆盖的组合。

证明: 采用反证法,设两个独立的单元空间集,所对应的规则集不互为独立,即存在两条规则( 记为ra和rb) 分别属于不同的单元空间集,但两规则互为包含或者相交,即等价于存在某个区间,同时属于ra和rb,但根据我们的FDM构建算法,此即意味着存在某个单元空间,同时属于两个不同的单元空间集,这与两单元空间集互为独立相矛盾。得证。

定理4 二维ACL规则通过矩阵映射[8]后的压缩问题求解近似度可以突破O( logn) 。

证明: 直线多边形的最少轴平行矩形覆盖问题( RPC问题)已经证明其求解近似度可以达到。因此,如果能证明二维ACL规则通过矩阵映射[8]后的压缩问题等价于RPC问题[10],则问题得证。下面我们给出其证明过程: 不失一般性,假定规则只有两种决策( 接收和拒绝) ,映射后在矩阵中一定可以表示为二值单元空间( 0 或1) 。

1) 基于各单元空间相互之间的空间关系,可以将全部的单元空间划分到各独立单元空间子集。

2) 各单元空间子集内值为1 的单元空间通过邻接关系连在一起,可以构成一个多边形,该多边形内部可能有值为0 的单元空间,其可以看作多边形的洞。

3) 如果能用最少的矩形覆盖该多边形,即相当于对这些单元空间进行最大程度地压缩,问题模型与RPC相同。故得证。

实验分别选取实际ACL规则和合成规则进行测试,我们选取了一个53 条规则的实际ACL,此外用Classbench[13]自动生成了十个合成规则,规则条数分别从14 至200 条。任意ACL规则前缀均有且只包含源和目标IP地址两个域。采用文献[8]中的FDM方法和本文提出的RPC方法分别对各规则进行压缩,得到的压缩结果如图5 所示。

可以看到,RPC方法相比FDM方法而言,在压缩率上更优,这个结果不难理解,因为FDM方法相当于图6( a) 所示的MNC问题( Minimal Nonoverlapping Cover) 而RPC方法相当于图6( b)所示的MOC( Minimal Overlapping Cover) 问题[11]。

4 结语

随着网络的飞速发展,ACL在网络安全、网络优化等方面得到越来越多的应用。但二维及以上的区间ACL压缩问题已被证明是NP难。本文基于矩阵映射方法基础,提出将ACL压缩问题转化成RPC问题,突破了目前已知的最好近似度O( min( n1 /3,OPT1 /2) ) 。仿真实验表明其比传统ACL压缩方法具有更高的压缩比。下一步工作研究如何将该方法应用到多维防火墙规则压缩之上。

摘要：访问控制列表(ACL)提供了对网络设备接口的一种基本访问控制,是维护网络系统安全的重要手段之一。随着网络应用的日益增多,ACL条目也随之增加,使得管理ACL更加困难,降低了网络设备的转发性能。因此对ACL进行压缩显得尤为重要,但该问题已被证明是NP难。针对ACL压缩问题,提出基于矩阵映射和构建独立单元空间集的方法,将其转换为直线多边形的矩形覆盖问题。分析表明该问题的求解近似度可以突破O(logn),为ACL压缩问题的求解提供了新的思路。

6.调查访问策略 篇六

近年来,云计算在计算机网络与信息技术领域的发展如火如荼,其应用前景也极其诱人。云计算以其超大规模、虚拟化、高可靠性的独特优势引发计算机网络变革,然而频繁发生的云安全问题却给云计算的前景蒙上了一层阴影。云计算中的“云”即是集结了网络中大规模计算资源、软件资源及存储资源的共享虚拟资源池,因此云计算就是共享的计算,云计算中要实现资源共享,必须解决资源的访问控制问题。对于每个用户来说,在对方身份未知的情况下要求进行协同,存在很大的风险性,因为该用户可能是一个善意的用户,也可能是一个恶意的用户。因此,安全的访问控制策略就变得格外重要。“传统的访问控制技术需要设定统一的安全管理域,是一种在管理域范围内的基于身份的授权技术。”

云计算既然是通过网络中的虚拟资源池提供服务,各资源主体往往不属于同一安全管理域,同时云计算的网络覆盖范围极广,因此云计算具有跨域性、动态性等特征。而传统的基于身份的访问控制技术显然已经无法满足云计算的安全要求。当前最有效的方法就是在传统的访问控制的基础上进行改进与拓展,进而适应云计算的安全新需求。如何将传统的访问控制技术扩展更新以适应新的安全需求,解决云计算平台下的安全问题是当前研究的一大热点,也是云计算环境下的访问控制技术的重要内容。

早期的访问控制技术不仅可以保证合法用户的正常访问,防止非授权用户的入侵,而且可以解决合法用户失误操作引起的安全问题。在云计算模式下,研究者关心的是如何通过非传统的访问控制类手段实施数据对象的访问控制,而目前云计算中的访问控制技术主要是IAM(Identity and Access Management)技术,但IAM技术并不能很理想地解决云计算中跨域访问控制与授权问题。安全问题成为跨域访问中科学研究的一个重要方向,而信任是安全问题的核心。

1996年Blaze M等人提出了“信任管理”的概念,第一次将人类社会中的信任机制应用到技术领域,为解决云计算环境中的安全问题提供了一条新思路,即在信任管理的基础上,把信任机制引入到访问控制技术中,给出信任的定义与计算方法,并将这种拓展的访问控制模型植入云计算平台进行研究。

为了解决云计算这种分布式多域环境下的信任问题,采用了信任管理的方法,可以对信任采用分层的管理模型。分析分布式多域环境下的信任模型,并对模型中的信任计算与信任更新机制进行讨论,由于信任的动态性特征,信任计算是一大难点。

本文通过分析云计算安全的特点,在信任管理与RBAC模型的基础上进行改进与拓展,将信任度的概念引入访问控制模型,提出云计算中基于信任的多域访问控制策略,并给出了信任度在本地域与跨域两种计算方法,较好地实现了云计算平台与云用户之间的信任关系的建立以及跨域访问控制和动态授权。

2 相关研究

云计算作为一种新兴的信息服务模式,尽管带来新的安全风险与挑战,但其与传统IT信息服务的安全需求并没有本质的区别,它的核心需求仍然是对数据及应用的机密性、完整性、可用性和隐私性的保护,而满足这些安全需求的关键技术是访问控制技术。文献[3]分析云计算环境中对访问控制的动态需求,将基于角色的访问控制(RBAC)模型应用到云计算环境,以适应云计算复杂的访问控制管理需要,实现访问控制的动态管理并增加其可维护性。但是RBAC模型是基于标识、封闭式的,即访问控制机制适用于集中封闭式的网络环境,而不适用于大规模、开放式的分布式网络,尤其是无法满足云计算中多域环境的安全需求。因此,如何对跨域访问控制进行授权成为云计算访问控制急需解决的问题。

另外,RBAC模型在将角色分配给用户时,只验证用户的身份真实性,而没有考虑用户的行为可信性。同时,RBAC模型采用预先分配方式为角色进行访问授权,而在用户实际使用权限的过程中并不进行监管与控制,当发现用户进行恶意操作时,系统很可能已经受到侵害。为了解决这些问题,一些学者提出将信任机制集成到传统的访问控制模型中。文献[5]针对RBAC模型的不足对其进行扩展,在Blaze提出的“信任管理”的基础上,将信任的概念引入到访问控制机制,提出了基于信任的访问控制模型TRBAC(Trust Role Based Access Control Model)。

该模型从权限对用户的具体要求出发,综合计算用户的多种信任特征,实现细粒度、灵活的授权机制,从而更为安全合理地为用户分配所需的权限。文献[6]和文献[7]也都是针对RBAC的不足的改进,提出了云计算环境下基于信任的动态RBAC模型。前者给出了信任度的详细计算过程,并根据用户的角色信息和信任度为其分配资源的访问控制权限,能够降低云计算中通信的安全隐患并提高安全性。而后者多为理论分析,没有给出详细的信任度求解方法。但是以上一些研究都没有考虑到云计算存在多个安全管理域的特点,没有给出跨域的访问控制方法。

将可信计算技术融入云计算环境,以可信赖的方式提供云服务是云安全研究领域的一大热点。Santos等人在文献[8]中提出了一种可信云计算平台TCCP,基于此平台,Iaa S服务商可以向其用户提供一个密闭的箱式执行环境,保证客户虚拟机运行的机密性。

另外,它允许用户在启动虚拟机前检验Iaa S服务商的服务是否安全。Sadeghi等人认为,可信计算技术提供了可信的软件和硬件以及证明自身行为可信的机制,可以被用来解决外包数据的机密性和完整性问题。同时设计了一种可信软件令牌,将其与一个安全功能验证模块相互绑定,以求在不泄露任何信息的前提条件下,对外包的敏感(加密)数据执行各种功能操作。以上研究都是期望通过实现云计算平台的可信来保障数据资源的安全性,但是都未考虑云用户的可信性。

云计算是一个多域的环境,一般将云计算中的安全域划分为三级,各安全域之间通常根据安全需求用防火墙进行安全隔离,确保安全域之间的数据传输符合相应的访问控制策略。但是现有的访问控制模型并不能满足跨域的访问控制。文献[10]提出一种基于信任的跨域访问控制模型,该模型能够较好地实现本地域和跨域的访问控制策略。本文针对RBAC模型进行拓展,并结合文献[10]跨域访问控制的思想,提出云计算环境下的跨域访问控制策略。

3 云计算中信任的度量

人类社会是一个复杂的系统,系统中实体之间的交互依赖于彼此之间的信任关系,因此人们提出将人类社会中的信任机制引入云计算中,作为实体间交互的决策依据。文献[11]中最早提出了信任的一般概念,信任是实体在特定环境下能够安全、可靠地完成工作的能力。文章中还给出了信任关系的相关性质,信任关系总是存在于两个实体之间,并且具有动态性、传递性、特定性、模糊性和不确定性。在此后不久,计算机网络中信任的研究被广泛应用到P2P网络、电子商务、网格计算、云计算等领域。

现实生活中的信任是一个主观的概念,取决于人的经验,而将信任应用到网络环境中却往往难以用精确的模型或算法进行描述和度量。信任是对一个实体身份和行为的可信度的评估,与该实体的可靠性、诚信和性能有关。根据以上概念可以将信任分为身份信任和行为信任。身份信任用来表明实体的身份,传统的访问控制技术中往往只考虑身份信任,如身份的验证,通过身份信任以后实体就可以访问相应的资源。而现实的网络环境中,却并不能够保证通过了身份验证的用户的行为都是合法的,因此需要将实体的行为信任也列入考虑范围本文即在行为信任的基础上实施访问控制策略。

云计算环境中信任可以理解为实体在保证安全可靠的云计算服务的能力。这种方法虽然能够清晰表达信任,却无法确定信任的程度。信任度是客观存在的,在访问控制领域,信任度可以使安全策略的定义更加清晰明确,并可针对不同的信任度制定不同的安全策略。

围绕信任度的量化表达,国内外出现一些相关研究,并提出了典型的信任表达与推理模型。比较有代表性的是Beth模型和Jφsang模型。Beth模型引入了经验的概念来描述和度量信任关系,并给出了由经验推荐所引出的信任度推导计算公式,该模型将信任分为直接信任与间接信任两种,直接信任是指实体之间通过直接交互形成的信任关系,间接信任是从未交互的两实体通过中间实体的推荐而获得的信任关系。这种信任的分类方法被后续很多模型所采用根据信任的这种分类方法,可以将信任关系的建立方式分为两种:

(1)直接建立:如果两个实体之间有交互经验,就可以通过二者的交互结果直接建立信任关系;

(2)推荐建立:如果两个实体之间未交互过,可以通过第三方的推荐建立信任关系。

本文提出的信任模型就是延用了这种分类方法。J准sang模型根据概率论的思想提出了证据空间和观念空间的概念,并以此来描述和度量信任关系,该模型没有明确区分直接信任与推荐信任,但提供了推荐算子用于信任度的推导。该模型与Beth模型一样都无法有效地消除恶意推荐的影响。

本文在Beth模型的基础上进行拓展,提出基于信任的多域访问控制模型。模型中实体可以根据自己的信任策略对直接信任和信誉分配不同的权重。比如有些实体相信自己直接交互的经验,它就赋予直接信任较大的权重,有些实体没有直接交互经验得到的信任值,它比较相信同盟节点的推荐,它就赋予信誉较大的比重。

3.1 本地域的信任关系

实体访问处于同一安全管理域中的其他实体时,不需要考虑跨域访问的问题,因此可以直接将信任度引入传统的访问控制模型进行安全操作。本文在RBAC模型的基础上,建立云用户与云资源之间的信任关系,并进行本地域内信任度的评估。

假定A域是云计算环境中的某个安全管理域,域中包含多个实体n,A域中的实体之间进行交互时,计算实体之间信任度,并实施本地域的访问控制策略。本地域实体之间的信任度是由域内直接信任度和推荐信任度组成。

定义1(域内评估值):在同一域中,某个实体与另一实体完成一次交互后,另一实体对该实体的评估值,用符号E表示,评估值-1≤E≤1,负值表示不满意,将会降低信任度,正值表示满意,将会提高信任度。实体nj对ni在第k次交互完成以后给出的评估值可形式化表示为E(ni,nj)k。

定义2(服务满意度):在同一域中,某实体与另一实体完成多次交互以后,另一实体对该实体的总体服务满意度,记为S。完成k次服务以后实体nj对ni的总体满意度的计算公式如下:

定义3(直接信任度):某个实体的域内直接信任度与其域内评估值有关,域内评估值越高,实体可信度就越高,直接信任度也越高,用符号DTD表示,对于两个从未交互过的实体,DTD的值通常设为零。在A域中实体ni和nj在完成第k次交互后的直接信任度计算公式如下:

定义4(信誉):实体在域中的信誉可由实体与域内所有其他实体交互后获得的满意度求得,用Rp表示。实体ni在A域的信誉可表示为Rp(ni,A),具体计算公式如下:

定义5(域内信任度):一个实体的域内信任度是指该实体在域内的可信程度,由域内直接信任度和信誉两部分组成,用符号TD表示。A域中的第i个实体ni的信任度可形式化表示为TD(ni,A),计算公式如下:

其中,α,β,γ>0这些权重参数的值与本地域的安全策略有关,存储在本地域认证授权中心。

3.2 跨域的信任关系

不同安全管理域之间的信任度的评估与单个域中的评估方法不同,跨域之间的信任度的影响因素涉及单个实体的信任度和每个实体的行为。同时,传统的RBAC模型在跨域访问控制中不再适用,如果期望将RBAC模型应用到云计算这种多域环境中,需要进行角色的关联与转换,关于跨域角色转换问题后文会有相关介绍。

假设A、B表示云计算环境中两个不同的安全管理域,mi是B域中的实体。A域中的实体与B域中实体进行交互时,需要计算两个实体之间信任度,并实施跨域的访问控制策略。

定义6(域间直接信任度):两个域的直接信任度与域中实体对另一域的直接信任度有关。DTD(A,B)用于计算B域对A域之间的直接信任度,随着时间的改变结果会不断更新变化,计算公式如下:

定义7(域间信誉):实体mi在域A中的信誉用Rpa(mi,A)表示,则B域对A域的域间信誉为Rp(A,B),计算公式如下:

式中引入一个权值因子θj,与B域中的某个实体mj在该域中的直接信任度相对。

定义8(域间信任度):B域对A域的域间综合信任度表示为TD(A,B),由域间直接信任度和信誉两部分组成,二者由安全管理中心被分配不同的权值。

4 基于信任的多域访问控制策略

通过用户行为分析建立起用户与云计算平台之间的相互信任关系,根据信任模型计算出的信任度,结合基于角色的访问控制技术,实施云计算环境下的动态访问控制。本文针对云计算环境存在多个安全管理域的特点,将信任度引入访问控制模型中,构建云计算环境下基于信任的多域访问控制模型。基于信任的多域访问控制与传统的访问控制机制的主要区别在于用户在本地域和跨域进行访问时,采用两种访问控制策略。在基于信任的多域访问控制模型中,用户在登录时,首先要对用户的身份进行验证,对于身份可信的用户,根据其身份决定是否进行授权。同时,该模型中的用户行为信任级别反应了用户行为的可信度,使授权不再是单纯基于身份信任的静态机制,而是基于身份信任和行为信任相结合的动态机制。因此,该模型实现了用户身份信任和行为信任的结合。基于信任的多域访问控制总体框架如图1所示。

云用户首先通过角色管理中心获取相应的角色,然后与认证授权中心交互,提交用户ID、密码、角色及所要访问资源的信息,申请授权访问。若用户请求访问的资源处于本地域中,则采用本地域访问控制策略,若请求访问外域资源,则采用跨域访问控制策略,进行权限分配与管理。

4.1 本地域访问控制策略

将信任度引入基于角色的访问控制的主要方法是把信任度作为云用户与云服务或云资源的基本属性。本地域中的访问控制认证、授权及信任管理由认证授权中心AAC(Authentication and Authorization Center)负责,而跨域的访问控制与信任管理则需要高级认证授权中心MAAC(Master Authentication and Authorization Center)与AAC共同完成。

在本地域中,云用户每一次请求访问云服务或云资源,认证授权中心都会查看云用户的信任度,确保云用户的信任度达到了访问的信任度阈值,才允许云用户的访问请求。本地域的访问控制结构如图2所示。

本地域访问控制过程。

(1)在基于角色的访问控制中,云用户在发起访问控制请求之前,首先要请求角色分配,从而间接地获得相应的访问控制权限,但在本模型中,用户仅仅是通过角色获得访问权限,但能否使用这些访问权限,还要通过信任管理阶段来决定。

(2)云用户向AAC发送访问控制请求,请求信息中包括用户ID、密码和访问资源或服务的ID,AAC首先根据用户的身份信息对其进行身份认证,通过认证之后,再通过信任管理根据其信任度对云用户进行相应的授权。授权的过程包括:

(1)策略库对本域内的安全策略进行初始化;

(2)策略实施端将用户的访问请求传递给策略决策端;

(3)策略决策端将访问请求传送给策略信息端;

(4)策略信息端获取网格用户的信任度及其他属性信息,返回给策略决策端;

(5)策略决策端根据获得的用户的所有信息以及当前的安全策略,做出访问控制决策,并返回给策略实施端;

(6)策略实施端将结果反馈给用户实体。

如果用户的访问请求得到许可,就会给用户发放一个证书,这样用户就获得了其角色相对应的访问权限的使用权。

(3)云用户执行其访问控制权限,访问云服务或云资源。

(4)访问结束后,用户对云服务或云资源的性能进行评价,通过信任评估代理计算出一个新的信任度,并发送给AAC。

(5)云服务或资源提供者同样也对云用户进行信任度评估,并反馈给AAC。

4.2 跨域访问控制策略

由于云用户通常需要访问处于不同安全管理域中的云服务或云资源,安全有效地跨域访问控制十分必要。云计算环境中跨域访问控制问题的研究不多,但这却是一个不容忽视的问题。传统的基于角色的访问控制适用于封闭式的网络环境,无法满足多域环境的安全需求,因此,需要进行多域中的角色关联,即将外域中的角色转换成本地域的角色。基于信任的跨域访问控制结构如图3所示。

跨域访问控制过程如下:

(1)Bob在A域中的角色由角色分配中心分配,通过角色分配,Bob获得了A域中相应的访问控制角色。Alice在B域中的角色同样也由B域中的角色分配中心分配。

(2)Bob向A域的AAC发送访问请求,AAC计算Bob的信任度,通过本地的安全策略,AAC判断Bob是否有具有访问目的域的权限。

(3)A域的AAC将访问请求发送给MAAC,MAAC查看A域与B域的信任关系,判断访问是否被允许,如果允许,AAC给Bob发放一个证书。

(4)Bob向Alice提供访问请求和安全证书及其在A域中的角色。

(5)Alice收到Bob的访问控制请求以后,首先将Bob在A域中的角色通过角色关联转换成B域可以理解的角色,查看该角色是否具有访问Alice的资源的权限,如果有,进行第6步;如果没有,直接拒绝Bob的访问控制请求。

(6)Alice将证书交给B域的AAC。

(7)B域的AAC与MAAC联系,根据A域与B域的信任度和身份映射,MAAC完成两个域之间的联系和证书的传递,然后计算Bob在域B中的信任度,将结果返回给B域的AAC。

(8)B域的AAC将Bob的安全属性与本地安全策略进行判断,将结果反馈给Alice。

(9)Alice将授权结果返回给Bob,如果请求被允许,Alice就允许Bob使用资源,如果不被运行,Alice会拒绝Bob的请求。

(1)Bob对资源服务进行评价,将结果发送给A域的AAC,AAC再发送给MAAC。

(11)Alice对用户Bob进行评价,将结果发送给B域的AAC,AAC再发送给MAAC。

(12)MAAC根据从A、B域的AAC提供的评价值,计算并更新A、B域之间的相互信任度。

4.3 域间角色转换

在云计算网络环境中,存在多个安全管理域,因此需要考虑两个安全域之间的安全互操作问题。IRBAC2000模型首次提出了跨域的访问控制,不同的安全管理域之间通过动态角色转换实现安全互操作。管理域是被单一的管理权限所管辖,由多个主机、路由器及互联网组成的一个集合体。

在本文基于信任的访问控制模型中,继续使用RBAC模型的思想,为每个云用户被分配一个角色,该角色代表了用户所能执行的权限。如果两个安全域A和B希望进行安全互操作,A和B之间就需要建立安全上下文。安全上下文是处于某种域安全策略管理之下的两个实体之间的安全性会话。为了建立安全上下文,两个域之间必须在安全策略上达成某种共识。一种最基本的方法是两个域能建立一种缺省的安全策略,以此提供基本的安全性。但这并不能满足具有高安全可靠性要求的多域的云计算环境。例如,图2中处于A域中的Bob希望同域B中的目标对象Alice建立一个安全上下文,它必须依赖底层的安全机制来建立这个安全上下文。

为了获得更高程度的灵活性,Bob和目标对象Alice都必须知道对方的身份,这种情况在单个域中很常见。但是,因为Bob和Alice在不同的域中,他们通常互不相识,不知道对方的身份。为了解决这个问题,我们提出一个策略框架来简化两个或多个域之间的安全互操作。这个策略框架通过在本地域和外域角色层次之间建立一组关联来运转。这些关联构成一个组合的角色层次,并且该角色层次仍然是偏序的。

将外域中的某个角色a转换成本域的某个角色b,使a在本地域中获得b的权限,成为a关联到b,用符号aR1|→bR0表示,或直接简化为(a,b)。R1R0表示从R1到R0的所有关联的集合,因此有。定义角色x和角色y的关系:x>y,表示在角色层次中x高于y,或者说“x是y的祖先”。

关联分为两种,一种是可传递性关联,另一种是非传递性关联。

(1)可传递性关联

(2)非传递性关联

设有关联aR1|→bR0,但不允许aR1的祖先(即级别高于aR1的角色)继承这一关联。这样的关联称为非传递性关联,记为aR1|→NTbR0或(a,b)NT∈R1R0。

角色关联就是将外域角色转换成可被本地域实体所理解的本地角色,当这些关联建立之后,所有的外域角色将动态地转换成本地角色。

在本地域和外域角色层次之间,通过使用可传递关联和非传递关联,我们可以创建一个组合偏序关系,并且定义一种安全策略。这些策略可以分成三类。

(1)缺省策略

这种策略是在外域角色集和本地域角色g0R1(Guest)(本地域的最小角色)之间建立最小数目的关联:g1R1|→g0R0,使得

(2)明确的策略

安全员明确地将每个外域角色映射到一个本地域角色。

(3)部分明确策略

一个映射,如果它不是明确策略,并且除缺省策略外还存在一个或多个关联,则称其为部分明确策略。这种策略体现了动态角色转换真正意义上的灵活性。在这种偏序层次中,没有明确关联的外域角色仍然可以通过部分明确策略具有逻辑上的关联。

图4中标号为1、2、3的关联可以说明这种策略。考察图中域D0中和D1中的角色层次H0和H1。从角色x指向角色y的箭头表示x是y的父结点,在角色层次中x高于y。尽管H0和H1的角色层次的结构很相似,但其语义不同。如果来自外域中具有“Manager”角色的客体希望和本域中的一个应用程序进行互操作,而该应用程序通常只允许本地的“Professor”角色访问,因此须将外域“Manager”角色转换成有意义的本地角色“Professor”(即标号为1的关联)。标号为2的关联是一个非传递性关联。从图3中可以看到两个域中都有“Guest”角色。如果外域角色不能被本域理解,可以定义这样一种简单策略:将所有的外域角色都当作本地“Guest”角色对待,即从Guest H1到Guest H0的关联(标号为3)。但是,既然所有的外域角色都被当作同一类角色(本地角色Guest),显然这种方案不够灵活。

策略框架通过在两个角色层次之间添加一系列关联,产生了一种组合偏序关系。通过这种机制,可以很方便地管理某个外域角色的访问级别。对每一个外域角色,以它在本地角色层次中关联所允许的最高角色为其转换角色。

实现过程:

(1)本地域安全员通过角色编辑器建立关联;

(2)策略服务器遍历所有的关联,构造一个本地域角色的所有入口点的列表;

(3)外域主体向本地域策略服务器提供它的证书;

(4)策略服务器将该主体(主体的外域角色)的入口列表添加到该外域角色的证书中,转换完成。

5 结束语

本文讨论了云计算环境中的访问控制问题,提出了基于信任的多域访问控制模型与框架,它结合传统的基于角色的访问控制机制,并分别在本地域与外域的安全互操作中进行讨论,本地域中的访问控制中涉及角色分配、信任管理及认证授权,而跨域的访问控制涉及角色转换问题,本文使用角色关联的方法将外域的角色转换成本地域的角色,同时进行信任管理与认证授权。在云计算环境中,采用基于信任的访问控制,并考虑云计算环境包含多个安全管理域的特点,能够更加直观、有效地保障云用户及云计算平台的安全。

摘要：在云计算环境中,访问控制策略是保障云用户与云资源/服务安全的有效手段。本文在分析云计算安全特点的基础上,将信任度的概念引入基于角色的访问控制策略,并结合云计算环境存在多个安全管理域的特点,给出了信任度在本地域以及跨域的计算方法,提出基于信任度的多域访问控制框架。本地域的访问控制策略在RBAC的基础上引入信任度进行实施,而跨域的访问控制会涉及到角色转换。文章在基于信任的RBAC模型中,提出一种灵活的通过角色关联和动态角色转换实现跨域访问控制的方法。