卢宏才，张军平

(1.甘肃工业职业技术学院 电信学院，甘肃 天水 741025；2.兰州交通大学，甘肃 兰州 730000)

云计算环境下任务行为访问控制模型研究

卢宏才1，张军平2

(1.甘肃工业职业技术学院 电信学院，甘肃 天水 741025；2.兰州交通大学，甘肃 兰州 730000)

近年来，云计算环境下访问控制机制成为研究热点。针对传统的访问控制模型不能满足云系统中的资源被非法用户恶意访问或处理的访问控制需求的问题，在传统访问控制基础上，通过对基于行为的访问控制(Action Based Access Control)模型的策略和授权机制的研究，基于ABAC模型中的优缺点，引入了用户信任度，给出了模型的形式化定义和信任相似度的算法，设计了基于信任相似度的权限授予机制，提出基于任务行为的访问控制模型(Task-action Based Access Control，TABAC)。安全及性能分析表明，该方案使访问控制灵活可靠，适用范围更广泛。

云计算；访问控制；行为；TABAC

0 引言

随着现代科学技术的迅猛发展，云计算越来越受到人们的亲睐，并且已经发展成为了一项成熟的应用技术，得到了极大的推广。

在云计算得到较快发展的同时，随之而来的安全问题也越来越多。虽然云计算服务商使用了很多方法来保障云计算的访问安全，由于云计算具有虚拟化、跨平台、多租户和动态性的特点，云计算环境下安全事故频繁发生[1]。这些安全问题需要引起重视并进行研究，只有从技术上解决安全隐患，才能赢得用户的信任。其中对数据访问的控制是保护数据机密性的一个最直接的环节，也是最重要的技术手段之一。在众多安全策略中，访问控制在云计算环境中的地位显得非常重要。因为云计算中存在大量的用户、信息交互和资源共享，授权也很复杂，所以在云计算环境中制定有针对性的、安全的访问控制策略很重要[2]。

为满足云计算的访问控制需求，通过对传统访问控制模型的研究，以实现安全访问、动态访问和细粒度访问为目的，从用户访问系统时的环境和时间出发，在ABAC模型的基础上，进一步提出了一个集行为、任务为一体的，又能高效实现灵活访问控制的云计算访问控制模型，从而保障了云计算环境的安全。

1 访问控制模型

1.1 基于角色访问控制模型

在基于角色访问控制(Role-based access control，RBAC)中，权限和角色相关，用户被当作相应角色的成员而获得角色的权限，权限授给角色，用户可拥有多个角色并能实现角色转换。RBAC是进行用户安全管理过程流程化的有效手段，RBAC基本思想如图1所示。

图1 RBAC基本思想

角色是访问权限的集合，用户通过赋予不同的角色获得角色所拥有的访问权限[3]。一个用户可拥有多个角色，一个角色可授权给多个用户；一个角色可包含多个权限，一个权限可被多个角色包含。用户通过角色享有权限，不直接与权限相关联，权限对存取对象的操作许可是通过角色实现的。该模型存在的问题是访问控制粒度不够细，模型简单，权限无法动态变化，RBAC中通常采用域间角色映射的方式实现跨域访问，通过将客体划分为不同的安全域来实现权限控制，也会因域间穿梭导致的域间角色渗透和角色隐提升等安全隐患，容易出现权限渗透问题[4]，不适用于庞杂的云计算系统。

1.2 基于任务的访问控制模型

基于任务的访问控制模型(Task-based Access Control Model,TBAC)是从应用和企业层角度来解决安全问题，以面向任务的观点，从任务的角度来建立模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。在TBAC中，对象的访问权的控制并不是不变的，而是随着执行任务的环境发生变化[5]。

在TBAC模型中，任务(Task)是工作流程中的一个逻辑单元，是一个可区分的动作，与多个用户相关，可以包括几个子任务。授权结构体(Authorization Unit)是1个或多个授权步组成的结构体，它们在逻辑上是联系在一起的。授权步(Authorization Step)是一个原始授权处理步，是在一个工作流程中对处理对象的一次处理过程。许可集是受托集的成员被授予授权步时拥有的访问许可。依赖(Dependency)是授权步之间或授权结构体之间的相互关系。TBAC中，授权需要5元组(S,O,P,L,AS)来表示，其中S表示主体，O表示客体，P表示许可，L表示生命体，AS表示授权步。TBAC模型如图2所示。

图2 TBAC模型

TBAC可以把实际应用中的工作流和访问控制所需的各种关系整体地结合在一起，可以清晰地表达复杂工作流的控制机制。TBAC模型虽然实现动态授权，并且支持最小特权原则和职责分离原则，但是该模型用户和角色没有分离[6]，在多用户多角色的环境应用中存在缺陷，不能满足云计算环境的需求。

1.3 基于行为的访问控制模型

基于行为的访问控制模型(ABAC)是一种为解决行业分布式应用可信关系访问控制模型，它利用相关实体(如主体、客体、环境)的属性作为授权的基础来研究如何进行访问控制。基于这样的目的，可将实体的属性分为主体属性、实体属性和环境属性，这与传统的基于身份的访问控制(IBAC)不同。在基于属性的访问控制中，访问判定是基于请求者和资源具有的属性，请求者和资源在ABAC 中通过特性来标识，而不像IBAC那样只通过ID来标识，这使得ABAC具有足够的灵活性和可扩展性，同时使得安全的匿名访问成为可能，比较适用云计算环境的多终端访问，但目前模型的行为获取和管理研究尚不完善，这使得ABAC中很多概念没有一个规范的定义，ABAC模型图如图3所示。

图3 ABAC模型

以上分析表明，有必要研究一种集任务、行为于一体的控制模型，以支持细粒度，确保安全性，提供动态的权限访问控制为目标的满足具有工作流的系统，并且支持时态、环境等信息来保障云计算环境安全。

2 基于任务行为的访问控制模型构造

2.1 TABAC相关定义

在TABAC模型中，定义U为用户，R为角色，E为环境，Ta为任务，C为约束条件，A为行为，S为会话，E、T、A关系如下：

① 环境层次结构EH⊆E×E是环境E集合的偏序关系。对于任意ei、ej∈E，(ei,ej)⊆EH，当且仅当ei≥ej成立。如果(ei,ej)⊆EH，ej是ei的子环境，则ei≥ej。

② 时态层次结构TH⊆T×T是时态T集合的偏序关系。对于任意ti、tj∈T，(ti,tj)⊆TH当且仅当ti≥tj成立。如果(ti,tj)⊆TH，那么tj是ti子时态，则ti≥tj。

③ 行为层次结构AH⊆A×A是行为A集合的偏序关系。对于任意ai=(ai,ti,ei)，aj=(aj,tj,ej)∈A，(ai,aj)⊆AH当且仅当ri≥rj、ti≥tj、ei≥ej同时成立。如果(ai,aj)⊆AH，那么aj是ai的子行为，则ai≥aj。

2.2 形式化定义

通过对传统的访问控制模型的分析，在TBAC和ABAC模型的基础上，添加了集任务、行为于一体的控制模型TABAC模型，TABAC模型图如图4所示。

图4 TABAC模型

对TABAC的定义如下：

① 定义U为用户集，A为行为集，S为会话集，Ta为任务集，P为权限集(包括只读权限R、只写权限W、读写权限RW和执行权限E)，C为约束集；

②UA:UA⊆U×A，用户与行为的关系；

③TaA:TaA⊆Ta×A，任务与行为的关系；

④PTaA:PTaA⊆P×T，权限与任务的关系；

⑤C包括各类冲突约束和安全约束。

2.3 授权

与TBAC类似，TABAC中授权同样需要5元组(U,O,P,TA,A)。每个5元组含义为：U为云中某个用户；O为访问对象；P为权限；TA为任务，A为用户行为。当任务TA被提交至云环境服务器时，首先检测用户角色、行为状态和任务状态，然后检测用户在云环境中是否有去权限申请任务，用户的行为和执行状态都受到角色权限的限定。这样保证了用户在被授予合法的权限时，才有权执行行为状态对应的权限。

2.3.1 集合内冲突约束

TABAC模型中集合内冲突约束任务之间、权限之间和行为之间的关系如下：

(1) 任务之间关系

① 任务相容：设ta1,ta2∈Ta，如果ta1和ta2能同时执行，那么ta1和ta2任务相容；

② 任务相斥：设ta1,ta2∈Ta，如果ta1和ta2不能同时执行，那么ta1和ta2任务相斥，互相冲突；

③ 任务相依：设ta1,ta2∈Ta，如果必须先执行ta1后才能再执行ta2，那么ta1和ta2任务顺序依赖。

(2) 权限之间关系

① 权限相容：设p1,p2∈P,u∈U，如果权限p1和p2同时被u所拥有，那么p1,p2权限相容；

② 权限相斥：设p1,p2∈P,u∈U，如果权限p1和p2不能同时被u所拥有，那么p1，p2权限相斥。

(3) 行为之间关系

① 行为相容：设a1,a2∈A，u∈U，如果a1，a2能同时被u所拥有，那么a1，a2行为相容；

② 行为相斥：设a1,a2∈A，u∈U，如果a1，a2不能同时被u所拥有，那么a1，a2行为相斥。

2.3.2 授权约束限制

授权约束限制针对用户角色划分，不同用户通过不同的角色来获取相应的权限，执行权限对应内的任务；针对任务划分，不同的任务之间相对独立，根据任务的重要和保密为程度任务制定不同的优先级。当用户的行为与所申请执行的任务的安全等级保护条件相同时，任务才能申请成功，任务的执行状态由约束条件来决定，权限申请成功后，才能启动执行任务。授权约束限制如下：

① 角色R受到环境E和时态T的影响，环境E和时态T相互关联；

② 用户不能同时拥有相斥角色，定义为：GetUser-roles(urd)∩Conflict-R=NULL；

③ 不允许存在用户角色对相斥的2个任务有执行权，定义为：GetUser-Tasks(aid)∩Conflict-Ta=NULL；

④ 假设a1与a2相斥，u∈U的用户不存在，使得a1∈u∩a2∈u，定义为：GetUser-Actions(aid)∩Conflict-A=NULL；

⑤ 最高权限用户有且只有一人，同一用户完成同一行为或任务。

2.3.3 访问授权策略

访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制，授权策略体现了一种授权行为，设定规则，保证正常用户对信息资源的合法使用，既要防止非法用户，也要考虑敏感资源泄露，对于合法用户，更不能越权行驶控制策略所赋予其权利以外的功能[7]。

在模型TABAC中，将行为、角色、时间和环境等定义为树结构，实现分层继承、权限隔离，以角色树为例，结构图如图5所示，其他元组角色树结构图类似。

图5 角色树结构

角色树中根节点权限最高，各节点根据角色来划分，角色r1～r5为行为A在不同角色环境和时间的状态下的划分，角色树中根节点权限比叶结点高，并且根到子节点的叶子节点的分支分为一组。管理员访问授权策略包括主客体管理策略、安全等级和授权权限。定义授权规则的授权策略，用于在运行中进行访问查询，来决定用户权限。

基于行为的安全策略中的授权通常依赖于敏感性[8]。在一个安全系统中，数据或资源应该标注安全标记。代表角色进行活动的进程可以得到与其原发者相应的安全标记。在实现上由系统通过比较角色的级别和行为对应级别来判断是否允许用户访问。

3 TABAC模型安全性分析

TABAC模型要求保证云计算环境下系统的安全性[9]，根据安全要求，对TABAC模型进行安全性分析。

① 支持安全的访问控制原则。由于在TABAC模型中，任务和行为具有的权限密切相关，根据任务的属性，当行为状态符合对应的任务时，分配与之匹配的权限，任务一旦结束，权限立刻撤回，满足最小特权原则[10]。在TABAC模型中，利用任务和角色互斥的约束条件，职责分离也得到了满足，也就是同一用户无法在一个流程中去执行互斥或冲突的任务[11]。

② 权限动态授予和撤销。行为和权限之间加入任务，通过任务能解决动态授权的问题。

③ 环境和时态状态的限制。通过在不同的环境和时态下，限制用户相对应的行为和权限，从而保护了策略安全性。

通过对TABAC模型和传统的访问控制模型RBAC和TBAC在实际应用中分析发现，TABAC模型通过判断用户的R、T和E，得到用户的行为A，通过行为赋予对应的权限，当用户完成对应任务时，退出系统，权限被收回。TABAC是集任务、行为于一体的控制模型，支持细粒度，保障了安全性，提供动态的权限访问控制，并且支持时态和环境等信息来保障云计算环境安全[12]。

4 结束语

在传统访问控制模型的基础上，通过引入工作流和任务设计了一种新的访问控模型TABAC，系统通过行为动作来划分权限，把权限范围定位到很小的动作上，以控制用户的权限，权限随着不同的环境、不同的任务动态地变化。该模型弥补了传统访问控制在云计算应用上的不足，能高效、灵活、 细粒度地进行数据的访问控制，可以使互联网服务更加便捷，同时还能够防止非法用户进入系统窃取机密数据，保证了系统的机密性，保障了云计算环境中数据的安全。

[1] 杨 健，汪海航，王 剑，等.云计算安全问题研究综述[J].小型微型计算机系统，2012，33(3):472-479.

[2] BU Wenjun,ZOU Chaobin,YU Jialin.Hot Cloud Computing Platform Recommendations[J].Silicon Valley,2011,5:10-11.

[3] 邹佳顺,张永胜,高 艳.云环境下基于使用控制的ABAC模型研究[J].计算机应用研究,2014,31(12):3 692-3 894.

[4] 魏利利,袁家斌.云环境下跨域RBAC模型中的风险研究[J].小型微型计算机系统，2012，33(12)：2 720-2 724.

[5] 赵明斌,姚志强.基于RBAC的云计算访问控制模型[J].计算机应用,2012,32(S2):267-270.

[6] 邹 晓.基于角色的访问控制模型分析与实现[J].微计算机信息,2006,22(18):108-111.

[7] 霍成义.面向数据提供者的隐私保护访问控制模型[J].无线电工程,2014,44(2):5-8.

[8] SEJONG O,SEOG P.Task-role-based Access Control Model[J].Information System,2003,28(6):533-562.

[9] 卢宏才.一种改进的RBAC访问控制模型在WEB系统中的应用[J].西安文理学院学报,2011,14(10):59-61.[10]王建功,陈家松,王可人,等.基于云模型与模糊综合评判的系统效能评估研究[J].无线电工程,2015,45(12):77-80.

[11]FERRAIOLOD F,SANDHUR,GAVRILA S,et al.Pro-posed NIST Standard for Role- Based Access Control[J].ACM Transactions on Information and System Security,2001,4(3):224 -274.

[12]岳冬利,刘海涛,孙傲冰.IaaS公有云平台调度模型研究[J].计算机工程与设计,2011(6):1 889-1 892.

卢宏才 男，(1978—)，副教授。主要研究方向：网络安全、软件开发。

张军平 男，(1979—)，工程师。主要研究方向：网络优化、计算机应用。

Research on Task Action Access Control Model in Cloud Computing Environment

LU Hong-cai1,ZHANG Jun-ping2

(1.InstituteofTelecommunications，GansuIndustryPolytechnicCollege,TianshuiGansu741025,China;2.LanzhouJiaotongUniversity,LanzhouGansu730000,China)

In recent years,the access control mechanism in cloud computing environment has become a hot topic of research.Since the traditional access control model cannot address the issue of malicious access or processing of cloud system resources by illegal users,based on the traditional access control,the strategy and authorization mechanism of Action Based Access Control (ABAC) model are studied,and considering the advantages and disadvantages of the ABAC model,a user trust model is introduced,a formal definition of the model as well as the trust similarity algorithm are given,a permission mechanism based trust similarity is designed,and a Task-action Based Access Control (TABAC) model is proposed.The safety and performance analysis shows that this scheme makes access control flexible and reliable,which has a wider application range.

cloud computing;access control;action;TABAC

10.3969/j.issn.1003-3106.2016.11.05

卢宏才,张军平.云计算环境下任务行为访问控制模型研究[J].无线电工程,2016,46(11):17-21.

2016-07-19

甘肃省自然科学基金资助项目(1212RJZA062)。

TP393.8

A

1003-3106(2016)11-0017-05