擴展了信任與隱私的ABAC模型研究

　　摘要：基于屬性的訪(fǎng)問(wèn)控制模型(ABAC)特別適用于大規模分布式網(wǎng)絡(luò )。然而，由于其訪(fǎng)問(wèn)控制決策依賴(lài)于屬性的暴露，又沒(méi)有有效的敏感屬性保護機制，使得訪(fǎng)問(wèn)主體的敏感屬性存在非法暴露的風(fēng)險。本文提出了一種擴展了信任與隱私的ABAC模型，它包含了信任與隱私這兩個(gè)特殊屬性，并使訪(fǎng)問(wèn)控制決策敏感于跨組織的協(xié)作上下文，以解決ABAC模型本身不含敏感屬性保護機制的問(wèn)題。設計了一種促使管理者在危機管理系統中做出更優(yōu)決策的圖形化原型工具，并驗證本文方法的有效性。

　　編者按：ABAC模型(基于屬性的訪(fǎng)問(wèn)控制模型)是業(yè)界專(zhuān)為物聯(lián)網(wǎng)這類(lèi)分布式環(huán)境定制的，用于解決動(dòng)態(tài)分布式環(huán)境下的訪(fǎng)問(wèn)控制問(wèn)題，此模型基礎上進(jìn)行擴展以提供對被訪(fǎng)問(wèn)者的隱私保護機制，防止訪(fǎng)問(wèn)過(guò)程中隱私的非法暴露。文中解決了物聯(lián)網(wǎng)的一個(gè)應用實(shí)例(協(xié)作危機管理)中可靠的訪(fǎng)問(wèn)控制問(wèn)題，將此方法推廣到物聯(lián)網(wǎng)層面上也是有效的。

　　引言

　　近年來(lái)，隨著(zhù)大規模分布式網(wǎng)絡(luò )的廣泛使用，網(wǎng)絡(luò )上出現了大量安全性要求很高的關(guān)鍵服務(wù)，如協(xié)作危機管理，而這些服務(wù)都必須有足夠的安全手段來(lái)防止非授權的訪(fǎng)問(wèn)。訪(fǎng)問(wèn)控制AC是企業(yè)信息安全關(guān)注的重心^[1]。而諸如基于角色的訪(fǎng)問(wèn)控制^[2]等傳統模型不適用于這類(lèi)分布式環(huán)境中，其原因在于潛在用戶(hù)眾多并且大多數是事先不可知的，此外，其策略表達力、靈活性、可擴展性都不能滿(mǎn)足協(xié)作危機管理的需要。正因如此，文獻^[3]提出了基于屬性的訪(fǎng)問(wèn)控制模型ABAC( Attribute-Based Access Control)。ABAC與XACML(eXtensible Access Control Makeup Language)標準密切相關(guān)，雖然這種基于屬性的方法有更好的靈活性、更細的訪(fǎng)問(wèn)控制粒度和良好的跨域訪(fǎng)問(wèn)控制機制，但其訪(fǎng)問(wèn)決策過(guò)程依賴(lài)于主體、客體和環(huán)境屬性的暴露，而ABAC模型本身不具備有效的隱私保護機制，這可能導致在訪(fǎng)問(wèn)控制策略決策階段訪(fǎng)問(wèn)主體敏感信息的非法暴露。為了解決上述問(wèn)題，本文在基本的ABAC模型中擴展信任與隱私兩個(gè)要素，以支持協(xié)作危機管理中安全的訪(fǎng)問(wèn)控制。

　　1 擴展了信任與隱私的ABAC模型介紹

　　本文所用基本模型的策略決策是基于各訪(fǎng)問(wèn)實(shí)體屬性的ABAC模型。由于屬性作為訪(fǎng)問(wèn)控制粒度的細致性與通用性，幾乎所有現有的AC模型都可以在此模型基礎上約減得到。

　　對比于現存的ABAC機制，本文提出的擴展模型包含協(xié)作上下文以及對主體集與客體集的信任及敏感屬性保護。本文通過(guò)在協(xié)作環(huán)境下加入信任與隱私這兩個(gè)關(guān)鍵要素，來(lái)實(shí)現上述的觀(guān)點(diǎn)。其目的是將這樣一個(gè)通用模型作為協(xié)作危機管理AC授權框架。本文首次將信任、隱私與上下文三個(gè)概念結合到ABAC模型中并同時(shí)服務(wù)于A(yíng)C的主客體。

　　圖1表述了本文提出的擴展模型的元素關(guān)系，該模型包含的基本元素有主體(用戶(hù)的集合)、客體(資源的集合)、上下文、屬性(主體屬性AttributeS與客體屬性AttributeO)、操作、許可、許可分配函數、信任(主體信任TrustS與客體信任TrustO)及隱私(主體隱私PrivacyS與客體隱私PrivacyO)。

　　圖2是關(guān)于用戶(hù)請求的AC的一個(gè)實(shí)例。通過(guò)該實(shí)例說(shuō)明，當主體試圖訪(fǎng)問(wèn)客體屬性并做出某種操作時(shí)，本文模型在通用工作流中是怎樣運作的。在對該操作進(jìn)行授權或拒絕之前，該用戶(hù)請求通過(guò)該模型被截獲，通過(guò)評價(jià)主客體之間的訪(fǎng)問(wèn)目的的兼容性來(lái)保證客體隱私，在特定上下文中通過(guò)使用主體與客體的屬性來(lái)決定ABAC規則的評估結果。