（计算机软件与理论专业论文）普适计算安全中的访问控制和信任模型研究.pdf

重庆邮电人学硕十论文 摘要 摘要 随着计算技术的发展，一种新的计算模式一一普适计算，将根本性地 改变人们使用计算机的方式。具有计算和通信能力的设备渗透到我们生活 的每个角落，这些大量的可见的或者不可见的无处不在的设备的相互作用 和合作，极大地方便了人们的尘活。但是普适计算中的安全问题引起越来 越多学者的关注。由于普适计算环境的无处不在性和移动性等不确定特 性，单纯依靠传统安全技术不可能满足，将其他学科的理论或模型应用于 其中成为普适安全发展的必然趋势，近年来成为人工智能研究领域热点的 云理论是一个很好的选择。云理论是知识表示的一种方法，能实现定性和 定量之删的随时转换，反映了知识表示中的不确定性。本文将云理论应用 于普适计算安全关键技术一访问控制和信任模型进行研究和讨论。 # ， 本文通过对普适计算、访问控制技术的回顾和深入研究，研究并设计 了普适计算环境下的安全体系结构参考模型，在此安全体系结构的安全协 同层讨论了普适计算实体之间的信任特性，提出了一个基于分类信任的访 问控制策略，扩充并丰富了普适计算访问控制技术，并在次基础上通过原 型验证了这种访问控制策略是切实有效的。 信任模型是信息安全研究领域的重要分支。为了解决在普适计算环境 中信任关系度量、推理和决策等问题，本文介绍了一种将云理论应用于信 任表示和计算的信任模型，能够真实反映实体之间的模糊性和随机性。另 外，为了解决当前信任模型中信任值更新和合作成功率不理想的问题，引 入了基于云的信任关系的传播和合并算法，并在此基础上提出了基于云理 论的普适计算信任模型，仿真试验结果表明该模型对于提高普适计算环境 的信任水平和和合作成功率都具有很好的效果。 关键词：普适计算，访问控制，云理论，信任模型 里鏖! ! ! ! 生堂堡堡塞 垒里! 墅坠堕 a b s t r a c t w i t ht h ed e v e l o p m e n to ft h ec o m p u t e rt e c h n o l o g y ，an e wc o m p u t i n g p a r a d i g m u b i q u i t o u sc o m p u t i n g ，w i l lm a k e sap r o f o u n di n f l u e n c eo no u r u s i n gc o m p u t e r ss t y l e b u tt h es e c u r i t yp r o b l e mi n u b i q u i t o u sc o m p u t i n g a r i s i n g al o t so fs c h o l a r sa t t e n t i o n b e c a u s e u n c e r t a i n t y c h a r a c t e r i s t i c s ( u b i q u i t o u s ，a m b u l a n ta n ds oo n ) o fu b i q u i t o u sc o m p u t i n ge n v i r o n m e n t ，o n l y r e l y i n go nt r a d i t i o n a ls e c u r i t yt e c h n o l o g yi si n a d e q u a t ea n dc o m b i n a t i o nw i t h o t h e rt e c h n i q u ei sv e r ye s s e n t i a l t h ec l o u dt h e o r yi sa na p p r o p r i a t ec a n d i d a t e t h ec l o u dt h e o r yi sam o d e lo ft h eu n c e r t a i n t yt r a n s i t i o nb e t w e e nal i n g u i s t i c t e r mo fa q u a l i t a t i v ec o n c e p t a n di t sn u m e r i c a l r e p r e s e n t a t i o n t h i s m e t h o d o l o g yh a se f f e c t i v e l y m a d e m a p p i n gb e t w e e nq u a n t i t a t i v e a n d q u a l i t a t i v ek n o w l e d g em u c he a s i e ra ta n yt i m e w ew i l la p p l yc l o u dt h e o r yi n t w oi m p o r t a n tb r a n c h e so fk e yt e c h n i q u e so fu b i q u i t o u sc o m p u t i n gs e c u r i t y ： a c c e s sc o n t r o la n dt r u s tm o d e l i nt h i st h e s i s ，t h r o u g ht h er e v i e wa n de m b e d d e ds t u d yo ft h et h e o r yo f u b i q u i t o u sc o m p u t i n ga n da c c e s sc o n t r o lt e c h n o l o g y , w eh a v es t u d i e da n d p r e s e n t e d a u b i q u i t o u s c o m p u t i n gs e c u r i t y a r c h i t e c t u r e r e f e r e n c e m o d e i ( u c s a r m ) b a s e do ns e c u r i t yc o l l e c t i v i t yl a y e ro ft h eu c s a r mw e h a v ed i s c u s s e dt h et r u s tc h a r a c t e r i s t i co fu b i q u i t o u s c o m p u t i n ge n t i t i e s ， i m p l e m e n t e dt h e 脚b r i db a s e da c c e s sc o n t o i ( h b a c ) p o l i c yb a s e do nt r u s t c l a s s i f i c a t i o n ，e x t e n d i n gu b i q u i t o u sc o m p u t i n ga c c e s sc o n t r o lt e c h n o l o g y ， b a s e do nt h i sw eh a v ei m p l e m e n t e dt h ep r o t o t y p eb a s e do nh b a c t h e s i m u l a t i o n sd e m o n s t r a t et h eh b a cp o l i c yi se f f e c t i v e t r u s tm o d e li 8a n o t h e ri m p o r t a n tb r a n c ho fi n f o r m a t i o ns e c u r i t y i no r d e r t os o l v et h ep r o b l e mf o rt r u s tr e l a t i o n s h i pm e a s u r e m e n t ，r e a s o n i n ga n d d e c i s i o n m a k i n gi nu b i q u i t o u sc o m p u t i n g ，a l le f f e c t i v em o d e l f o rt r u s t r e p r e s e n t a t i o na n dc o m p u t ew i t hc l o u dt h e o r y i tr e a l l yr e f l e c tr a n d o m n e s s a n df u z z i n e s so fe n t i t i e s i na d d i t i o n ，ac l o u dt h e o r y b a s e dt r u s tr e l a t i o n s h i p p r o p a g a t ea n da g g r e g a t ea l g o r i t h mi sp r e s e n t e di no r d e rt os o l v ep r o b l e m so f u p d a t i n g t r u s tv a l u ea n di m p r o v i n gs u c c e s s f u lc o o p e r a t i o np r o b a b i l i t yi n t o d a y st r u s tm o d e l b a s e do nt h i sa l g o r i t h mw eh a v ei m p l e m e n t e dt h ec l o u d u 重庆邮电人学硕十论文 a b s t r a c t t h e o r yb a s e du b i q u i t o u sc o m p u t i n gt r u s tm o d e lc o m p a r e dw i t ho t h e rm o d e l s ， o u rm o d e li m p r o v e st r u s tl e v e la n ds u c c e s s f u l c o o p e r a t i o np r o b a b i l i t yi n u b i q u i t o u sc o m p u t i n ge n v i r o n m e n t e x p e r i m e n t a lr e s u l t sd e m o n s t r a t et h a to u r m o d e li se f f e c t i v ea n dm o r es u i t a b l ef o ru b i q u i t o u sc o m p u t i n g ， k e yw o r d s ：u b i q u i t o u sc o m p u t i n g ，a c c e s sc o n t r o l ，c l o u dt h e o r y , t r u s t m o d e l 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及 取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论 文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得重麽 整壹态兰或其他教育机构的学位或迂书焉使用过的材莘斗。与我同工作 的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢 意。 学位论文作者签 期：芍年莎沪 学位论文版权使用授权书 本学位论文作者完全了解重废鲣曳盔堂有关保留、使用学位论 文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和借阅。本人授权重麽塑直盔堂 可以将学位论文的 全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等 复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论 签字f 1 导师签名 伪荪 字日期：闪年6 月彳日 垩鏖堂皇叁堂堡笙塞 箜= 童堕丝 1 1 引言 第一章绪论 人类社会进入二十一世纪，随着计算机软硬件技术、无线网络技术等 相关技术的发展，通信能力和计算能力的价格正变得越来越便宜，所占用 的体积也越来越小，各种形态的传感器、计算联网设备蓬勃发展；同时由 于人类对生产效率、生活质量的不懈追求，人们开始希望随时随地、透明、 无困难的享用计算能力和信息服务，由此带来了计算模式的新变革，新的 普适计算( u b i q u i t o u sc o m p u t i n g ) 时代已经到来。 在普适计算时代，各种具有计算和联网能力的设备将变得像现在的 水、电、纸、笔一样，随手可得，人与计算机的关系将发生革命性的改变， 变成一对多、一对数十甚至数百，同时，计算机的受众也将从必须具有一 定计算机知识的人员普及到普通百姓。计算机不再局限于桌面，它将被嵌 入到人们的工作、生活空间中，变为手持或可穿戴的设备，甚至与同常生 活中使用的各种器具融合在一起。同时，普适计算环境作为一把双刃剑， 在推动人类进步的同时，也给保障安全带来了极大的挑战。 例如，s 先生去参加一个国际会议，当他参加某个小组的讨论时，他 的p d a 会动态透明的下载这个讨论小组的相关材料和小组讨论人员的简 要介绍。他在开会讨论期问，突然中途有电话打进来，他并没有事先将手 机铃声调到振动，可他却不必担心有铃声响起会干扰到别人。原来他的手 机是普适终端，在他步入会议室的时候，传感器觉察到该移动实体物理位 置的改变，在会议开始的时间自动将手机调为振动模式【引。 这就是在不久的将来，普适计算得到广泛推广应用后，生活中随处可 见的例子。但前提是要保证该普适环境的安全问题得到很好的解决。同传 统有线网络样，在以无线接入技术为主的普适计算中，安全隐患仍然主 要存在于传输和存储两个方面，但却有普适计算自己的特点。其一普适计 算是以多种无线网络和移动网络接入互联网实现的异构集成网络；更易受 到毁灭性攻击。其二普适计算的重点是以人的需求为中心主动提供服务。 这就牵涉到个人隐私和保密性的问题1 3 4 j 。 毫无疑问，普适计算将给人们带来新一代计算模式引领下的崭新的生 重庆邮电人学硕十论文 第章绪论 活方式，科技应当以人为本的理念在普适计算环境中得到了充分的体现， 但信息传输和存储的安全问题仍是该目标的瓶颈。普适计算的问断传输和 轻量计算等特点决定了它和现有网络的根本区别，因此按照现有网络的安 全问题解决方案来解决普适计算中存在的安全问题是不可行的，普适计算 应用的实现和推广是否能够产生突破性的进展关键就在于安全问题是否 能够得到妥善而彻底的解决。否则静述的应用实例就只能是空中楼阁。 1 2 论文的背景及主要工作内容 目前普适计算发展相当迅猛，普适计算终端和相关产品不断问世，因 此要更加深入的发展普适计算产品，必须解决好普适计算安全问题。例如 现有的访问控制技术就存在很多难以解决的问题，如：访问控制技术不能 适应普适计算下的上下文信息动态改变和信任动态决策等一系列问题。 基于概率论、粗糙集、模糊数学、证据理论等不确定数学工具的访问 控制技术能够解决其中的部分问题，采用证据理论基于角色的访问控制技 术引入角色的概念，将用户与角色关联，而角色和一定权限关联，从而实 现用户和访问权限的逻辑分离，使得用户只能通过担任一定的角色而获得 相应的权限1 5 。由于r b a c 是以角色作为授权对象的，因此如果需要修改 使用者权限时，只需在相对应的为用户分配角色或为角色定义关联的权限 上做修改，非常有效率与弹性，也不易出错，降低了管理的复杂性和维护 成本。 然丽，在实际的应用中，一方面只要主体拥有对客体的访问权限，就 可以无数次使用该权限，这样容易造成安全隐患，而且不能更细粒度地刻 画系统的安全策略。另一方面安全管理员除了需要维护用户和角色的关联 关系外，还需要维护信息资源访问权限和角色的映射。因此在信息量巨大、 信息更新频繁的普适计算环境中，如何解决这一问题也是一个关键问题。 因此我们把目光投向了云理论。 云理论主要反映宇宙中事务或人类知识中概念的两种不确定性：模糊 性( 边界的办此办彼性) 和随机性( 发生的概率) ，它把模糊性和随机性 完全集成在一起，研究自然语言中的最基本的语言值( 又称语言原子) 所 蕴含的不确定性的普遍规律，使得有可能从语言值表达的定性信息中获得 定量数据的范围和分御规律，也有可能把精确数值有效转换为恰当的定性 + 语言值。经过几年的完善和发展，目前云理论己成功应用于智能控制、数 据挖掘、系统评估等应用领域。将基于云理论的信任模型应用于普适计算 2 重庆邮电人学硕十论文 第一章绪论 访问控制的研究中，既是该理论应用于普适计算安全的一次新的尝试，也 给普适计算访问控制技术提供了一个新的方向。 本文在这样的研究背景下研究并设计了h b a c 策略( h y b r i db a s e d a c c e s $ c o n t r 0 1 ) 策略和c b u c t m 模型( c l o u db a s e du b i q u i t o u sc o m p u t i n g t r u s tm o d e l ) ，h b a c 策略是将信任和和上下文引入基于角色的访问控制 模型中，c b u c t m 模型是将云理论应用于普适计算信任模型研究中。论文 的主要内容包括：h b a c 策略的研究背景、可行性分析以及安全体系结构； h b a c 策略中的演绎和推导过程及信任表示与决策的设计：基于信任、角 色、授权策略和上下文的访问控制策略的原型设计及验证：c b u c t m 模型 的研究背景和可行性分析：模型中信任关系的表示、传播、合并与推理： 模型的仿真与结果分析等； 1 3 论文组织与结构 本文从一个新的角度出发，探讨了普适计算安全关键技术，主要是普 适计算访问控制技术和普适计算信任模型的研究，其组织结构如下： 第一章：绪论；主要介绍了普适计算发展背景和存在的安全问题，以 及本文的研究背景和研究工作； 第二章：主要理论基础：简要介绍了本文主要涉及的主要理论基础， 包括普适计算、不确定性知识表示一一云理论、普适计算访问控制技术以 及信任模型的相关工作，便于论文后面的阐述； 第三章：基于信任的普适计算访问控制策略：首先讨论和设计了普适 计算下的安全体系结构，并基于此安全体系结构的安全协同层，提出了基 于信任的普适计算综合访问控制策略的设计和访问控制过程介绍，对模型 进行原型设计，并给出模拟结果： 第四章：基于云理论的普适计算信任模型：介绍模型的设计以及该模 型的整体框架，并对基于云理论的信任关系表示和传播合并算法进行详细 介绍，最后给出实验仿真参数、实验比较研究及其仿真结果； 第五章：结论与未来工作；对本论文的主题进行讨论，总结研究的贡 献，并探讨其中的问题、限制与未来的研究方向。 重庆邮电人学硕十论文 第二章土要理论基础 2 1 普适计算 第二章主要理论基础 普适计算( u b i q u i t o u sc o m p u t i n g ) 概念最早源自x e r o xp a r c 计算机 科学实验室首席科学家m a r kw e i s e r t “8 j 在1 9 8 8 年提出的“u b i q u i t o u s c o m p u t i n g ( 缩写为u b i e o m p 或u c ) ”思想，现在文献中又常以“p e r v a s i v e c o m p u t i n g ”出现。其基本思想是为用户提供服务的普适计算技术将从人 们意识中彻底消失，即用户和周围环境( 无数大大小小的计算设备) 在透 明的进行交互，用户不会有意识的弄清楚服务来自周围何处的普适计算技 术就好比我们每天重复着开电灯、关电灯动作，却不会有意识的问自己 电来自何方电厂一样。十年后的今天，随着计算机技术的发展，特别是计 算机硬件( 如低功耗、小型化、微型化轻便硬件设备的出现) 的进一步发 展和计算机网络技术( 如高宽带网络、无线移动网络的普及和组播技术的 应用) 的不断成熟，普适计算受到计算机科学界更多的关注和重视合理地 近似实现m a r kw e i s e r 思想成为可能。 普适计算主要有以下特点： 无所不在：数不清的廉价嵌入式计算设备广泛分布在我们生活、工 作环境的周围，无声无息地为人们提供服务。 互联：整个世界是一个网络的世界，其核心由高速有线网络构成， 外围是许许多多的无线移动网络，这些无线网络又联接到核心有线网络， 所有的计算设备都连接在网络中。 动态性：用户经常活动，所以，些移动设备势必跟着用户不断更 换地理位置，为使移动设备不断适应新环境，移动设备必须具备自我配置 能力( s e l f - c o n f i g u r i n g ) 。 多样性：不同的设备联系在一起共同组成某一服务不像传统的计 算机，普适计算设备没有固定的计算环境，每一类普适计算设备都是面向 某一具体的用户群，设备的计算以及通信带宽大小有一定的局限，物理构 造，电子，软件设计代表了该设备的核心功能，每一类设备的操作系统， 芯片以及用户接口都适合该设备的主要应用。 由于分御式计算环境下，计算机和通信网络能有效地实现资源共享， 4 重庆邮电人学硕十论文 第二章主要理论基础 但资源共享和信息安全是一对矛盾体。随着资源共享地进一步加强，随之 而来的信息安全问题也f j 益突出，而信任管理，权限访f 0 3 控制又是普适计 算网络应用安全的两个重要的内容，因此它们也成为了当前信息安全领域 中的研究热点。 2 2 不确定性知识表示基础一一云理论简介 2 2 1 不确定性知识表示简介 科学进入2 1 世纪，不确定性问题的研究工作受到越来越多的关注， 但是不确定性的内涵并没有得到公认的、必要的说明。人们目前所说的不 确定性，其涵义很广泛，主要包括随机性、模糊性、不完全性、不稳定性 和不一致性这5 个方面，其中随机性和模糊性又是最基本的。 随机性和随机数学 随机性又称偶然性，是指因为事件发生的条件不充分，使得条件与结 果之问没有决定性的因果关系，在事件的出现与否上表现出的不确定性 质，可以用随机数学作为工具进行研究。 以贝叶骺公式为基础的贝叶颠理论，在人工智能中一直是处理不确定 性的重要工具。贝叶斯网用图形模式表示随机变量州的依赖关系，提供一 种框架结构来表示因果信息。贝叶斯网可以表达各个节点自j 的条件独立关 系。人们可以直观地从贝叶斯网中得出属性1 日j 的条件独立以及依赖关系。 另外贝叶斯网还给出了事件的联合概率分布，根据网络结构以及条件概 率表可以得到每个基本事件的概率。贝叶斯理论利用先验知识和样本数据 束获得对未知样本的估计，而概率是先验信息和样本数据信息在贝叶斯理 论中豹表现形式。这样，贝叶耘理论使得不确定知识表示秘推理在逻辑上 非常清晰并且易于理解。 此外在基于概率的不确定性知识表示研究方面，s h o r t l i f f 等人提出 了带可信度的不确定推理，之后，d e m p s t e r 和s h a f e r 又提出证据理论t 引 入信任函数和似然函数来描述命题的不确定性。证据理论满足比概率论弱 的公理，又称为广义概率论。当先验知识很难获得时，证据理论可以区分 不确定和不知道的差异，比概率论更合适。而当先验概率己知时，证据理 论就变成了概率论， 模糊性和模糊数学 重庆邮电人学硕十论文 第二章主要理论基础 模糊性又称非明晰性。它的出现是由于概念本身模糊一个对象是否 符合这个概念难以确定，在质上没有明确含义，在量上没有明确界限。这 种边界不清的性质，不是由人的主观认识造成的，而是事物的一种客观属 性。概念外延的不确定性质，可以用模糊数学作为工具来研究。 1 9 6 5 年，学者l a z a d e h 创建了模糊集合论，提出了模糊信息的处理 方法。模糊集合论的贡献在于引入了集合中元素对该集合的“隶属度”， 从而将经典集合论里的特征函数取值范围由二值 0 ，1 ) 推广到区间 0 ，1 1 ，将 经典二值逻辑推广至多值逻辑，使得模糊性可以用【0 ，1 上的区间来度量。 由p a w l a k 提出的粗糙集理论，g a u 和b u e h r e r 提出的v a g u e 集理论，都是 对模糊集的扩充。粗糙集通过上下边界，v a g u e 集通过对模糊对象赋予真、 假隶属函数，来处理模糊性。 人工智能对模糊性的研究方法，通常是将原有的精确知识的处理方法 以各种方式模糊化，如模糊谓词、模糊规则、模糊框架、模糊语义网、模 糊逻辑等等。模糊逻辑后来又发展成为一种可能性推理方法，借助于可能 性度量与必然性度量。更好地处理模糊性。 随机性和模糊性的关联性 人们分别用随机数学和模糊数学去研究随机性和模糊性，仅仅是从不 同的角度去认识不确定性，并规定了各自的公理系统。 但是，当研究广义的不确定性的时候，这些公理作为前提条件是否成 立，常常成了一个大问题。例如，通过概率分布函数，随机数学可以很好 地刻画随机现象的统计特性，但是应用概率分布的前提条件过于严格。模 糊理论利用隶属函数糖确刻画模糊现象的亦此亦彼性，却忽略了隶属函数 本身的不确定性。这两种理论可以分别处理随机性和模糊性，没有考虑二 者之间的关联性。更何况，研究客观世界和主观世界中的不确定性也并非 总是要从这样的角度切入。 实际上，随机性和模糊性常常是连在一起的，难以区分和独立存在， 作为人类思维和认知载体的语言，表现得尤为明显。近十几年来，在随机 数学和模糊数学的基础上，提出用云理论来统一刻画语言值中大量存在的 随机性、模糊性以及两者之问的关联性，把云理论作为用语言值描述的某 个定性概念与其数值表示之间的不确定性转换模型。以云理论表示自 然语言中的基元一一语言值，用云的数字特征一一期望e x ，熵e n 和超熵 h e 表示语言值的数学性质。熵表示在论域空间可以被定性概念接受的取值 范围，即模糊度，是定性概念办此办彼性的度量。云理论中的超熵是不确 定性状态变化的度量，即熵的熵。云理论既反映代表定性概念值的样本出 重庆邮电人学硕十论文 第二章主要理论基础 现的随机性，又反映了隶属程度的不确定性，揭示了模糊性和随机性之间 的关联。 由于自然科学、社会科学中大量的随机现象都服从正态分布，工f 态云 模型及其普遍适用性【l2 】受到了人们的普遍关注。当然，不确定性还包含不 完全性，不稳定性和不一致性。对这些性质的研究，也许要待随机住和模 糊性的形式化方法建立之后，爿能够深入展开。 2 2 2 云理论的基本概念 云理论的概念首次由李德毅院士于1 9 9 6 年提出，目的是同时处理自 然语言中的随机性和模糊性。云理论能够实现用自然语言值表示的某个定 性概念a 与其定量表示之间的相互转换。设u 是一个用精确数值表示的论 域( 一维的、二维的或多维的) ，u 上对应的定性概念五，对于论域中的任 意一个元素x ，都存在一个有稳定倾向的随机数y = i b ) ，叫作x 对概念a 的确定程度，x 在论域上的分如穆为云理论，简称为云。 云的数字特征用期望e x 、熵e n 和超熵h e 来表征，它们反映了定性 概念整体上的定量特征。 期望e x ( e x p e c t a t i o n ) ：在数域空间最能够代表定性概念a 的点。或 者说是这个概念量化的最典型样本点。 熵e n ( e n t r o p y ) ：熵反映定性概念a 的不确定性，这种不确定性表 现在三个方面。一方面，熵反映了在数域空间可以被语言值a 接受的云滴 群的范围的大小，即模糊度， 是定性概念亦此亦彼性的度量；另一方面， 熵还反映了在数域空问的云滴群能够代表这个语言值的概率密度，表示代 表定性概念的云滴出现的随机性；此外，熵还揭示了模糊性和随机性的关 联性。通常，熵越大，概念越宏观，模糊性和随机性也越大，确定性量化 越难。 超熵h e ( h y p e re n t r o p y ) ：超熵是熵的不确定性的度量，即熵的熵。 2 2 3 和j 用云理论进行知识表示方法 由于自然科学、社会科学中大量的随机现象都服从正态分布，因此本 文采用一态云模型束进行知识表示。 诈态云隐含了三次正态分布规律，记作：n 3 ( e x ，e n ，h e ) ，其中e x 、e n 、 h e 分别称为j 下态云的期望值、正态云的熵、正态云的超熵，是用来表征正 重庆邮电人学硕十论文 第二章主要理论基础 念云的三个数字特征。见图2l 所示，形象的显示了用来描述“1 0 k m 左右” 的f 念云以及对应的3 个数字特征数字。在该图中e x = 1 0 k m ，对应的点 ( 1 0 ，1 ) 是最能代表1 0 k i n 定性概念的点；e n 是1 0 公里定性概念的不确 定性度量，不仅反映了能够代表这个1 0 k m 定性概念的的离散程度，还反 映了在论域空间可被i o k m 定性概念接受的云滴的取值范围。h e 是熵的不 确定性的度量，即熵的熵。超熵越大，云滴离散度越大，确定度的随机性 越大，云的“厚度”也越大。 图2 1 一个云的实例图 跟其他不确定性知识表示的理论和工具相比，云理论主要应用在对随 机性和模糊性的表达与处理上，它从新的视角出发对知识进行了定义把 知识看作是关于论域的分柿，并引入云概念来讨论和表示知识。同其他处 理不完整、不精确知识的数学理论相比，云理论的主要优势在于它可以真 实自然得表示知识的不确定性，比如证据理论中的基本概率赋值，或者模 糊集理论中的隶属度等，云理论既反映代表定性概念值的样本出现的随机 性，又反映了隶属度的不确定性，揭示了模糊性和随机性之间的关联。 2 3 访问控制技术 访问控制是通过某种途径显示地准许或限制主体对客体访问能力及 范围的一种方法。它是针对越权使用系统资源的防御措施，通过限制对关 键资源的访问，防止非法用户的侵入或因为合法用户的不慎操作而造成的 破坏，从而保证系统资源受控地、合法地使用。访问控制的目的在于限制 系统内用户的行为和操作，包括用户能做什么和系统程序根据用户的行为 应该做什么两个方面。 访问控制的核心是授权策略。授权策略是用于确定一个主体是否能对 客体拥有访问能力的一套规则。在统一的授权策略下，得到授权的用户就 重庆邮电人学硕十论文 第二章主要理论基础 是合法用户，否则就是非法用户。访问控制模型规定了主体、客体、访问 是如何表示和操作的，它决定了授权策略的表达能力和灵活性。 若以授权策略来划分，访问控制模型可分为：传统的访问控制模型 ( d a c 或m a c ) 、基于角色的访问控制模型( r b a c ) 、基于任务的访问控 制模型 t b a c ) 、基于角色和任务的访问控制模型( r t b a c ) 等。 2 3 1 传统访问控制策略 传统的访问控制一般被分为两类【1 3 】：自主访问控制d a c ( d i s c r e t i o n a r y a c c e s sc o n t r 0 1 ) 和强制访问控制m a c ( m a n d a t o r y a c c e s sc o n t r 0 1 ) 。 自主访问控制d a c 是在确认主体身份以及它们所属组的基础上对访 问进行限制的一种方法。自主访问的含义是指访问许可的主体能够向其他 主体转让访问权。在基于d a c 的系统中，主体的拥有者负责设置访问权 限。而作为许多操作系统的副作用，一个或多个特权用户也可以改变主体 的控制权限。自主访问控制的一个最大问题是主体的权限太大，无意间就 可能泄露信息，而且不能防备特洛伊木马的攻击。访问控制表( a c l ) 是 d a c 中常用的一种安全机制，系统安全管理员通过维护a c l 来控制用户 访问有关数据。a c l 的优点在于它的表述直观、易于理解而且比较容易 查出对某一特定资源拥有访问权限的所有用户，有效地实施授权管理。但 当用户数量多、管理数据量大时，a c l 就会很庞大。当组织内的人员发生 变化、工作职能发生变化时，a c l 的维护就变得非常困难。另外，对分布 式网络系统，d a c 不利于实现统一的全局访问控制。 强制访问控制m a c 是一种强加给访问主体( 即系统强制主体服从访 问控制策略) 的一种访问方式，所有的主体( 用户，进程) 和客体( 文件， 数据) 都被分配了安全标签，安全标签标识一个安全等级。一般安全级别 从高到低可分为：最高秘密级( t o ps e c r e t ) 、秘密级( s e c r e t ) 、机密级 ( c o n f i d e n t i a l ) 以及无级别级( u n c l a s s i f i e d ) 。它利用上读( 用户级别低 于文件级别的读操作) 下写( 用户级别大于文件级别的写操作) 来保证数 据的完整性，利用下读( 用户级别大于文件级别的读操作) ，上写( 用户级 别低于文件级别的写操作) 来保证数据的保密性。m a c 主要用于多层次 安全级别的军事系统中，它通过梯度安全标签实现信息的单向流通，可以 有效地阻止特洛伊木马的泄露；其缺陷主要在于实现工作量较大，管理不 便，不够灵活，而且它过重强调保密性，对系统连续工作能力、授权的可 管理性方面考虑不足。 9 重庆邮电人学硕十论文 第二二章主要理论基础 2 3 2 基于角色的访问控制 在访问控制方面，d a c 显得太弱，m a c 显得太强。自主访问控制和 强制访问控制，都是由主体和访问权限直接发生关系，主要针对用户个人 授权。普适计算环境中的访问用户往往种类繁多、数量巨大、并且动态变 化，使得权限管理负担巨大且易出错。 在r b a c ( r o l eb a s e d a c c e s sc o n t r 0 1 ) 中【l ，引进了“角色”概念。 所谓角色，就是一个或一群用户在组织内可执行的操作的集合。角色意味 着用户在组织内的责任和职能。在r b a c 模型中，权限并不直接分配给用 户，而是先分配给角色，然后用户分配给那些角色，从而获得角色的权限。 r b a c 系统定义了各种角色，每种角色可以完成一定的职能，不同的用户 根据其职能和责任被赋予相应的角色，一旦某个用户成为某角色的成员， 则此用户可以完成该角色所具有的职能。在r b a c 中，可以预先定义角色 与权限之间的关系，将预先定义的角色赋予用户，明确责任和授权，从而 加强安全策略。与把权限赋予用户的工作相比，把角色赋予用户要容易灵 活得多，这简化了系统的管理。 2 0 0 1 年，标准的r b a c 参考模型n i s t r b a c 被提出，如图2 2 所示。 图2 2n i s t - r b a c 参考模型图 n i s t r b a c 参考模型分成基本r b a c 、等级r b a c 和约束r b a c 三 个子模型。基本r b a c 定义了角色的基本功能，它包括五个基本数据元素： u s e r s ( 用户) 、r o l e s ( 角色) 、s e s s i o n s ( 会话集) 、o b j e c t s ( 客体) 、o p e r a t i o n s ( 操作) 以及角色权限分配( p r a ) 、用户角色分配( u r a ) 。其基本思 想是通过角色建立用户和访问权限之间的多对多关系。用户由此获得访问 权限。 等级r b a c 在基本r b a c 的基础上增加了角色的等级，以对应功能的 或组织的等级结构。角色等级又可分为通用角色等级和有限角色等级。在 通用角色等级中角色之间是一种代数的偏序关系，而有限角色等级是一 1 0 重庆邮电人学硕十论文 第二二章主要理论基础 种树结构。在角色等级中，高等级的角色继承低等级角色的全部权限，这 是一种“全”继承关系。但这并不完全符合实际企业环境中的最小特权原 则，因为企业中有些权限只需部分继承。 约束r b a c 在基本r b a c 的基础上增加了职责分离( s o d ) 关系， 而职责分离又分为静态职责分离( s s d ) 和动态职责分离( d s d ) 。静态职 责分离用于解决角色系统中潜在的利益冲突，强化了对用户角色分配的限 制，使得一个用户不能分配给两个互斥的角色。动态职责分离用于在用户 会话中对可激活的当前角色进行限制，用户可被赋予多个角色，但它们不 能在同一会话期中被激活。d s d 实际上是最小权限原则的扩展，它使得每 个用户根掘其执行的任务可以在不同的环境下拥有不同的访问权限。 n i s t r b a c 参考模型中还包括功能规范分为管理功能、系统支持功 能和审查功能，这里不再详述。上述的d a c ，m a c 和r b a c 都是基于主 体一客体( s u b i e c t o b j e c t ) 观点的被动安全模型，它们都是从系统的角度 ( 控制环境是静态的) 出发保护资源。在被动安全模型中，授权是静态的， 在执行任务之前，主体就拥有权限，没有考虑到操作的上下文，不适合于 工作流系统；并且主体一旦拥有某种权限，在任务执行过程中或任务执行 完后，会继续拥有这种权限，这显然使系统面临极大的安全威胁。工作流 是为完成某一目标而由多个相关的任务( 活动) 构成的业务流程，它的特 点是使处理过程自动化，对人和其他资源进行协调管理，从而完成某项工 作。在工作流环境中，当数据在工作流中流动时，执行操作的用户在改变， 用户的权限也在改变，这与数据处理的上下文环境相关，传统的访问控制 技术d a c 和m a c 对此无能为力。若使用r b a c ，则不仅需频繁更换角色， 而且也不适合工作流程的运转。为了解决此问题，人们提出了基于任务的 访问控制模型t b a c 。 2 3 3 基于任务的访问控制 在t b a c 模型l 中，引进了另一个非常重要的概念一一任务。所谓任 务 可以看出，不信任和未知信任是具有 确定性和不确定性之别的，而且之间可能重合。 重庆邮电人学硕十论文 第四章基于云理论的普适计算信任模型 l0 08 求 艇06 譬 曼” 0 2 o lo 08 求 艋06 壁 0 4 02 ol姒。 f _ f r 膻 t c ( o8 , 0i 00 0 1 ) c 1f r o 确迎的佑仃 0 20 40 6o e10 信任度 t c ( 0 6 , 0l 曩2 ， ( ”有峨小确定的未知信1 】= 蒸 o 2o4o6o8 1o 信任度 o q o0 1 oi 且3 ) ( d ) 未知情任也挹4 i 信任 图4 2 不信任和未知信任云图 4 3 3 信任关系的传播 在普适计算环境中，实体不能总是直接从相邻实体处获得陌生实体的 推荐信任值，因此引入信任传播。假设有m 个实体e l ，e 2 ，e 3 ，e 。， 实体e ，和e ( 0 i m 1 ) 存在信任云t c ，( e x ，e n 。，h e ，) ，这时，常常需要 据此计算e i 对于e 。的信任云t c ( e x ，e n ，h e ) 。 由于e l 对于e 。的信任云是通过中间实体传递的，所以把这叫做信任 云的传播，其计算公式如下： t c ( e x e n h e ) = t c io t c 2o o t c = 兀t c i ( e x ，e n ，h e ；) e x = n e x ， 吣删痧， m = 曲l 善m ”1 j ( 4 3 ) o 隶鏖一莹 o 囊莲一00 兰! i 她坐尘登堡鲨塞 蔓婴里薹王墨墨堡塑萱重盐蔓垡堡堡型 ，这儿的。被称做信任云逻辑乘计算符。例如，假设实体a 与c 之间不 存在信任关系，但是实体a 与b 之间存在信任关系t c 。( o 8 ，0 1 ，0 0 1 ) ，并且 实体b 与c 之间也存在信任关系t c b 。( o 5 ，0 0 5 ，0 0 2 ) ，这时用用式( 4 3 ) 计 算a 对于c 的信任云t c cr x ，e n ，h e ) 的方法如下： e x ；0 8 0 5 = 04 ： e n = m i n 临丽1 ) 。0 1 1 2 ： h e = r a i n ( 0 0 1 + o 0 2 ，1 ) = o 0 3 ； 从面的运算可知a 对于c 的信任云是f c 。( o 4 ，0 1 1 2 ，0 0 3 ) 。通过对参 数意义的分析可知，信任云的期望更加趋进0 ，超熵即云滴的离散度增加， 显然经过传播以后，信任云的信任程度减小和不确定性增加。 4 3 4 信任关系的合并 在普适计算坏境中，众多实体自j 信任关系构成了一个信任网络，两个 实体之1 日j 常常存在多条信任路径。这样，在计算两个实体的信任关系时根 据不同的信任路径就会得到多个信任云。这时，就需要将这些信任云合并 成个信任云。 假设存在m 个信任云t c i ，t 0 2 t e 3 ，t c 。则它们可以根据式( 4 4 ) 合并成一个信任云t c ( e x ，e n ，h e ) ： t c ( e x ，e n ，h e ) = t c lot c 2o ot c 。1 = 艺z = i 嵋( e x i , e n i , h e ) e x - 圭芝e x i 聊百 吣m t n 峙善刚 n c m i n ( 去喜w ) ( 4 4 ) 这儿的0 被称做信任云逻辑加计算符。例如，假设实体a 通过两条路 径传播信任云，比如为t c ，( o 4 , 0 ，1 1 2 , 0 0 3 ) m t c ：( o 7 2 , 0 。2 , 0 ，0 5 ) ，这时用用式( 4 4 ) 合并计算a 的信任云t c ( e x ，e n ，h e ) 的方法如下： e x = ( o 4 + 0 7 2 ) 2 = 0 5 6 ： e n = m i n ( ( 0 ，1 l2 + 0 2 ) 2 ，1 ) = 0 i5 6 ： h e = r a i n ( ( 00 3 + 0 0 5 ) 2 ，1 ) = o0 4 ： 从面的运算可知