面向普适计算的自适应模糊访问控制方法

面向普适计算的自适应模糊访问控制方法
张立臣;王小明;窦文阳
【摘要】普适环境中的上下文信息是普适访问控制的关键因素,对主体的授权和对主体使用权限过程的控制具有决定性影响.系统安全强度和安全策略应随上下文的变化而动态改变.传统访问控制模型均未考虑上下文对安全强度和安全策略的动态影响,不适合普适计算环境.提出了普适环境下安全强度和安全策略随上下文动态变化的思想,基于区间值模糊集合理论建立了上下文信息相关的产生式规则,设计了一种简单高效的区间值模糊访问控制方法,以提高普适计算系统中安全强度和安全策略的自适应性,更符合普适环境.%Context information is one of the key factors in pervasive access control systems, and produces the decisive influence on authorization and permission control on the subjects in pervasive computing environments. The security threshold intensity and the security policies should rectify according to the changes of context information, which has not been taken into consideration by traditional access control models, not fitting for the pervasive computing environment. In order to deeply adapt to the pervasive computing environment, the idea of security threshold intensity and security policies adjusted according to the changes of context information is proposed. A context related production rules based on the interval-valued fuzzy theory are produced, and a simple efficient interval value fuzzy access control method is designed to improve the adaptivity of the security threshold intensity and security policies in pervasive computing systems.
【期刊名称】《计算机工程与应用》
【年(卷),期】2012(048)027
【总页数】6页(P7-11,16)
【关键词】访问控制;区间值模糊推理;自适应;安全策略;普适计算
【作者】张立臣;王小明;窦文阳
【作者单位】陕西师范大学计算机科学学院,西安710062;陕西师范大学非线性综合集成实验室,西安710062;陕西师范大学计算机科学学院,西安710062;陕西师范大学计算机科学学院,西安710062
【正文语种】中文
【中图分类】TP309
ZHANG Lichen,WANG Xiaoming,DOU Wenyang.Adaptive fuzzy access control method for pervasive puter Engineering andApplications,2012,48（27）：7-11.
普适计算[1-2]是物理空间与计算空间的高度融合，在这个融合的空间中用户可以
随时随地、透明地享用计算资源。

为了对用户提供个性化、智能化的服务，普适计算系统必须能够收集与用户活动相关的上下文和环境上下文[3]，但是普适计算所
具有的高度开放性、网络化和分布式计算等重要特征使得普适计算的安全问题尤为突出[4]。

由于上下文信息在普适访问控制中对授权结果和访问控制过程具有决定
性的作用，普适访问控制必须根据应用环境中上下文对用户进行动态授权并对用户的权限使用过程进行有效控制。

而普适计算环境中的上下文信息往往是高度模糊的、动态变化的和不完备的，这导致普适访问控制具有高度的模糊不确定性和动态自适
应性[5-6]。

如何从高度模糊、动态变化和不完备的上下文中推导出可靠的授权结
论和访问控制结论是普适访问控制亟待解决的问题。

普适访问控制的研究得到了学者和安全专家的广泛关注，取得了一定的研究成果[7-8]。

时空属性[9]是上下文信息的重要组成部分，时态访问控制[10]、支持空间
上下文的访问控制[11]、时空访问控制[12]和上下文感知的访问控制[13]和属性访问控制[14]等相继被提出。

与上下文信息一样，普适环境中实体间的信任关系同样具有模糊性和动态变化性[15]，基于信任的访问控制系统根据上下文信息的变化动态确定实体之间的动态信任关系，并依据预先定义的信任授权策略对主体进行动态自适应授权[16-18]。

文献[13，19]提出一系列RBAC扩展模型，根据上下文信息动态确定主体角色，进行上下文感知的动态访问控制。

但是在普适计算环境中，某些上下文信息更新较快，某些更新较慢。

如果每次授权推理过程都根据同样的上下文信息进行计算，往往使得计算量增加，授权和访问控制效率降低，不适合需要快速授权和具有能量限制的普适计算环境。

比如：系统针对某打印机的授权策略是当打印机空闲、请求者在办公室内、当前是上班时间、网络带宽较好时，系统授权请求者使用打印机。

如果在一个较短的时间内用户A和用户B依次对这台打印机提
出了打印请求，即使“当前是上班时间”和“网络带宽较好”这两个上下文在这段时间内没有发生变化，系统仍然需要重复计算这两个条件，这必然延长了推理时间。

针对如上缺点，本文根据系统安全强度和安全策略随上下文信息动态调整的思想，建立上下文感知的产生式规则形式，设计了一种高效上下文信息与访问控制策略的匹配算法。

每隔固定时间结合上下文进行上下文信息与规则条件的匹配度的计算，从而动态调整系统的安全强度和安全策略。

当用户请求资源时，从规则库中取出与访问请求相关的规则，这些规则分别与当前上下文进行匹配运算，仅仅激活那些匹配度大于当前系统安全强度的规则，并进行推理，对得到的推理结果依据当前的安全策略进行融合，得出可靠的授权和访问控制结论。

普适计算上下文信息具有信息空间和物理空间的特征，它可以分为四类：计算上下文（如网络的连接情况、通信成本、通信的带宽和附近的资源）；用户上下文（用户的状态、位置、时间、附近的人员、当前的人际关系、正在进行的活动等）、物理上下文（如光照、噪声程度、交通条件和温度等）和上下文的历史[1]。

系统安
全强度是上下文相关的，随着上下文的变化而动态调整。

基于规则的访问控制模型的最大优点是其具有很强的灵活性、授权推理能力和策略表达能力，而且易于实现，所以本文采用基于产生式规则的访问控制模型，访问控制策略和安全强度自调整策略均采用产生式规则描述，对用户的授权推理过程和安全强度自调整过程均采用基于产生式规则的推理过程来实现。

普适计算环境中的上下文条件可能对系统安全强度产生增强或抑制作用，可能提高安全强度或者降低安全强度。

比如，存在安全强度策略：“当网络带宽空闲时，系统安全强度较低”。

该策略潜在含义是：网络带宽越空闲，系统安全强度越低。

因此，模糊谓词“网络带宽比较空闲”对安全强度起到抑制作用。

同样，安全强度策略“办公室人数较多时，安全强度较高”中的模糊谓词“办公室人数较多”对安全强度起提高作用。

因此需要建立上下文感知的安全强度自调整规则。

另一方面，模糊理论可以有效描述模糊上下文信息，又因为对象的隶属度函数一般难以确定，而其区间值模糊数往往容易确定，所以本文采用一种具有如下形式的区间值模糊规则，作为普适计算系统安全强度的策略描述语言。

其中，R是规则标识；b∈[0，1]是规则R的可信度因子，表示规则R在推理过程中相对于其他规则的重要性程度。

[an，cn])是规则前件，每个Pi是上下文信息相关的谓词，[ai，ci]表示 Pi的区间值隶属度(0≤ai≤ci≤1，1≤i≤n)，λi∈[-1，1]表示 Pi对安全强度的潜在影响，λi＞0表示Pi对安全强度起到提高作用，λi＜0表
示Pi对安全强度起到抑制作用，λi=0表示Pi对安全强度没有影响。

Q是规则前
件满足时所产生的推理结果，表示将系统安全强度调整为模糊数v，v∈[0，1]表
示具体的安全强度。

规则R的语义是：如果规则前件被模糊满足，那么系统安全
强度得以模糊修改。

安全强度产生式规则一般与实际环境相关，一个典型的安全强度产生式规则：“网络带宽空闲、办公室人数较多、当前是上班时间时，系统安全强度约为0.7”。

该策略规则可能包含如下潜在含义：“网络带宽越空闲，系统安全强度越低”，“办公室人数越多，系统安全强度越高”和“上班时间对安全强度无潜在影响”。

因此，如果用P1表示网络带宽空闲，P2表示办公室人数较多，P3表示当前是上班时间，那么根据实际情况所建立的模糊安全策略规则可能如下所述：
其中，模糊策略规则前件中模糊谓词P1、P2和P3的区间值隶属度分别为[0.7，0.9]、[0.8，0.9]和[0.8，1.0]，对规则的潜在影响分别为 -0.3、0.2和0。

如果当
前系统的上下文信息的满足程度与规则中的隶属度相同，则系统安全强度就为0.7；若系统当前的上下文信息与规则中的隶属度不同，则模糊谓词P1对安全强度的影响大于P2的影响(|-0.3|＞0.2)，P2对安全强度的影响大于P3的影响（0.2＞0）。

系统每隔一定时间主动获取上下文，或者实时监控相关上下文，并依据预先定义的安全强度产生式规则进行模糊推理，得出并调整系统安全强度。

整个推理过程可以转换为如下模糊推理问题：
其中，区间值隶属度[c'i]是上下文模糊谓词Pi实际的满足程度(1≤i≤n)，其具体数值由普适环境中传感器收集到的环境信息和系统状态确定，本文不再讨论。

对于区间值模糊推理问题，研究者已经进行了大量的研究工作[19]，所提出的区间值模糊推理方法广泛适合于工业控制、人工智能等领域，并取得了丰硕的研究和应用成果。

本文中安全强度产生式规则中每个上下文信息对安全强度的潜在影响，而这种潜在影响与具体的模糊谓词相关，不同的模糊谓词对安全强度的影响可能不同，但是目前已有区间值模糊推理方法对规则中所有模糊谓词采用统一的计算方式，使得已有区间值模糊推理方法不能直接应用于本文的推理过程。

因此在已有区间值模糊推理
方法的基础上，本文提出了一种简单高效的区间值模糊推理方法：首先判断当前上下文信息与产生式规则前件的匹配度，然后用计算出的匹配度与规则的结论v作
乘积运算，最终得到v'。

本文提出的安全强度自调节模糊推理过程如下所述：（1）收集模糊谓词 P1，P2，…，Pn的区间值隶属度
不妨将收集到模糊谓词P1，P2，…，Pn的区间值隶属度分别设为
（2）计算匹配度
根据收集到的每个模糊谓词的区间值隶属度，计算其与规则前件相应模糊谓词的匹配度；然后对各个谓词之间的匹配度进行算术平均，得出规则前件的匹配度。

（3）计算最终安全强度v'
用计算出的匹配度与规则的结论v作乘积运算，得到更新的安全强度v'。

在上述推理过程中，已知模糊谓词A的区间值隶属度为[a-，a+]，模糊谓词B的
区间值隶属度为[b-，b+]，则B与A的匹配度的计算公式d(A，B)定义为：
传统区间值模糊推理过程中，模糊谓词A与B的匹配度d(A，B)往往具有自反性，即 d(A，B)=d(B，A)。

传统的匹配度计算公式为d(A，B)=t。

在普适环境下，比
如模糊谓词P表示“网络带宽较为空闲”，其区间值隶属度设定为[0.8，0.9]，如果实际测量得到的结果为P'=[0.85，0.95]，用传统的匹配度计算公式为d=0.95。

由于（0.8+0.9）＜（0.85+0.95），本文认为后者的语义为“网络带宽更为空闲”。

如果模糊谓词P对安全强度的影响λ=0.3，则本文改进的匹配度的计算公
式为 d(P'，P)=0.95×(1+λ)=1.235＞0.95 ，体现了对安全强度提高的作用。

虽然匹配度大于1，但考虑到有多个模糊谓词的情况，实际效果是综合作用。

在匹配度计算公式的基础上，上述安全强度自调节模糊推理过程可以采用如下的区间值模糊推理算法实现：
本文提出的安全强度自调节模糊推理具有如下特点：（1）算法的时间复杂度仅为线性复杂度，即O(n)，其中n为产生式规则所含模糊谓词的个数，线性复杂度非
常适合能量受限的普适网络。

（2）上下文信息的区间值隶属度与其隶属度函数相比更易确定。

（3）算法具有模糊推理方法的重要性质——还原性，即当匹配事实的区间值隶属度与模糊规则的前件的区间值隶属度分别对应相等时，规则前件与匹配的事实的匹配度为1，推理结果还原为v。

（4）通过为规则的前件设置影响因子，模糊上下文可以对推理结果起到提高或降低作用，考虑并突出了上下文信息对系统安全强度的影响，增强了安全强度的自适应性。

在普适计算系统中，上下文信息的改变往往同时触发多条安全强度产生式规则，需要采取某种策略将所有被触发规则的推理结果进行融合，最终得到惟一可靠的推理结论，从而把安全强度调整到合适的水平。

比如：上下文信息改变时触发了3条
安全强度产生式规则，其推理结果分别为0.6、0.7和0.9。

通常提出的推理结果的融合策略主要分为四类：平均、加权平均、取大、取小。

本文提出的安全强度产生式规则定义中包含规则可信度因子，比较适合应用加权平均策略，也可根据实际情况采用其他融合策略。

普适计算环境下，安全强度随着上下文信息的变化而动态自调节。

同理，本文认为实际系统采用何种安全强度融合策略可以由当时的上下文状态来动态确定，普适计算环境下安全强度融合策略本身也可以随上下文信息的改变而自调节。

类似上述安全强度产生式规则，本文提出如下形式的安全强度融合策略产生式规则：
其中，Q'={Q1，Q2，Q3，Q4}，其元素分别表示调整安全强度融合策略为平均、加权平均、取大、取小；其他符号与安全强度产生式规则相同。

由于采用相同的符号体系，因此可以采用前文的区间值模糊推理方法来进行安全强度融合策略的推理。

如果上下文信息的改变触发了多条安全强度融合策略产生式规则，则选取被触发规则中推理结果最大的规则，或者根据当前安全强度融合策略来融合推理结果，并由此调整当前安全强度融合策略，从而使得安全强度融合策略本身自适应于上下文。

基于区间值模糊集合理论，本文提出了安全强度产生式规则和安全强度融合策略规
则，并设计了安全强度自适应模糊推理方法和融合策略。

为了在普适环境中实施安全强度自适应模糊访问控制方法，本文采用如下安全强度自调节访问控制体系结构，如图1所示。

在图1中，上下文信息监控器负责监控安全强度产生式规则相关的上下文，在上
下文信息库中记录所监控到的上下文，并把发生变化的上下文发送到安全强度推理器。

安全强度推理器根据发送来的上下文，检索安全强度产生式规则库，从中找到相关的产生式规则并通过区间值模糊推理方法计算当前的上下文与规则前件的匹配度，把得到的模糊推理结果发送到安全强度决策器。

依据当前系统的安全强度融合策略，安全强度决策器把接收到的模糊推理结果进行融合，得到最终精确的推理结果，发送到安全强度调节器，由安全强度调节器执行，从而调整系统当前的安全强度。

上下文信息监控器同时也监控着与安全强度融合策略产生式规则相关的上下文，并把发生改变的上下文发送给安全强度推理器。

安全强度推理器检索安全强度融合策略产生式规则库，并根据上下文触发相应的融合策略产生式规则，进行区间值模糊推理，把推理结果发送到安全强度决策器。

如果安全强度决策器接收到多个安全强度策略规则的推理结果，那么它将取最大的推理结果所对应的产生式规则的融合策略，并发送给安全强度调节器，由其修改系统当前的安全强度融合策略。

在普适访问控制系统中，用户提出的资源访问请求触发一定的授权规则。

与安全强度产生式规则形式相同，本文采用的授权和访问控制规则的结构如下：
其中，Q是授权相关的模糊谓词，v是Q的区间值隶属度。

当用户提出资源访问
请求时，系统计算当前上下文信息与所触发的产生式规则前件的匹配度，并进行如下判断：如果匹配度大于等于系统当前的安全强度，则激活该规则，进行区间值模糊推理，得到模糊结论，并根据当前系统的融合策略，得到精确的授权结论；如果匹配度小于系统当前安全强度，则不再激活相应规则，拒绝用户的资源访问请求。

这样，在不同的上下文环境中，用户提出的相同的资源访问请求，可能产生不同的授权结论。

由此，普适访问控制系统实现了安全强度自适应模糊访问控制。

从灵活性和可维护性角度来说，基于产生式规则的访问控制模型的具有很强的灵活性、授权推理能力和策略表达能力，而且易于实现和维护。

本文提出的安全强度自适应模糊推理方法使得系统的安全强度和安全融合策略可以自适应于环境上下文，从而可以实现细粒度和自适应访问控制。

安全管理员通过更新和维护访问控制系统中的安全强度自调整规则库和访问控制规则库，可以实现对实际安全策略的表达，而现有基于产生式规则库的安全策略集的冗余性、一致性和矛盾性检查工具使得规则库的更新和维护更加容易。

从计算复杂性角度来说，本文提出的安全强度自适应模糊推理算法的时间复杂度仅为线性复杂度，推理效率较高，非常适用于计算和存储资源均受限的普适设备和普适网络。

从受到的可能攻击角度来说，本文提出的安全强度自适应模糊访问控制方法采用基于产生式规则的访问控制模型，因此任何资源请求者都必须经过系统的判定，并在得到授权之后才能访问系统资源。

这与强制访问控制模型类似，有效抵制了用户共谋、伪造等安全威胁，不足之处在于缺少了用户之间的权限委托、代理等功能。

普适访问控制的研究得到了研究者的广泛关注，取得了一定的研究成果，但都没有考虑系统安全强度的自调节性。

在已有研究的基础上，本文基于区间值模糊集合理论提出了系统安全强度随上下文信息动态自调整的思想，设计了一种上下文相关的安全强度产生式规则，并提出了安全强度和安全强度融合策略的区间值模糊推理方法。

该方法不仅自适应于模糊上下文，而且考虑了模糊上下文的对系统安全强度的潜在促进和抑制作用，更适合于普适计算环境。

这为通过模糊理论和模糊推理来进行普适环境下的自适应访问控制研究提供了新思路。

【相关文献】
[1]Weiser M.The computer for the twenty-first century[J].Scientific American，1991，265（3）：94-104.
[2]徐光祐，史元春，谢伟凯.普适计算[J].计算机学报，2003，26（9）：1042-1050.
[3]尚建嘎，余胜生，廖红虹.普适计算环境下位置模型研究进展[J].计算机工程与应用，2011，47（36）：1-4.
[4]Wu I，Li X，Song M，et al.Security in ad hoc networks and pervasive
computing[J].Security and Communication Networks，2010，3（5）：359-361.
[5]Hilary H H.Security is fuzzy：applying the fuzzy logic paradigm to the multipolicy paradigm[C]//Proceedings of the ACM Workshop on New Security Paradigms，1993.New York：ACM，1993：175-184.
[6]Janczewski L J，Portougal V.Need-to-know principle and fuzzy security clearances modeling[J].Information Management&Computer Security，2000，8（5）：210-217.
[7]王小明.面向普适计算的区间值模糊访问控制[J].计算机科学与探索，2010，4（10）：865-880.
[8]李凤华，苏铓，史国振，等.访问控制模型研究进展及发展趋势[J].电子学报，2012，40（4）：805-813.
[9]Erwig M，Schneider M.Spatio-temporal predicates[J].IEEE Transactions on Knowledge and Data Engineering，2002，14（4）：881-901.
[10]石伟丞，谭良，周明天.带周期时间特性的自主访问控制委托树模型[J].计算机工程与应用，2011，47（6）：93-98.
[11]张颖君，冯登国，陈恺.面向空间索引树的授权机制[J].通信学报，2010，31（9）：64-73.
[12]张立臣，王小明.普适计算环境下的时空访问控制模型[J].计算机工程与应用，2008，44（17）：94-97.
[13]Li L，Cao T.Context-role based access control model for ubiquitous computing environment[J].Asian Journal of Information Technology，2008，7（2）：74-78.
[14]盖新貌，沈昌祥，刘毅，等.基于属性访问控制的CSP模型[J].小型微型计算机系统，2011，
32（11）：2217-2222.
[15]李小勇，桂小林.大规模分布式环境下动态信任模型研究[J].软件学报，2007，18（6）：
1510-1521.
[16]孙凌，辛艳，罗长远.基于概率和可信度方法的普适计算信任模型[J].计算机应用，2010，30（9）：2379-2382.
[17]郭亚军，王亮，洪帆，等.基于信任的普适计算的动态授权模型[J].华中科技大学学报：自然科
学版，2007，35（8）：70-73.
[18]曹利峰，陈性元，杜学绘，等.多级安全网络区域边界访问控制模型研究[J].计算机工程与应用，2011，47（32）：118-122.
[19]Khan M，Sakamura K.Context-aware access control for clinical information
systems[C]//Proceedings of the International Conference on Innovations in Information Technology（IIT），2012.United Arab Emirates：IEEE，2012：123-128.
[20]王国俊.三I方法与区间值模糊推理[J].中国科学：E辑，2000，30（4）：331-340.。