试论大数据时代访问控制安全模型及算法

　　下面文章以角色为基础的访问控制技术，进行学习流访问控制的模型构建及改进扩展，并进一步建立基于动态控制机制的学习流安全模型，然后综合多种权限控制方式，提出基于大数据云服务的学习流访问控制安全模型，并且提出改进角色查找算法IRSA。所构建的几种模型开放、一致、实用，能保护学习资源不被非法使用和访问，适合大数据环境下复杂学习流程控制的安全需要，支持云端移动学习所要求的安全访问。

　　关键词：大数据,云计算,移动学习流,访问控制,安全访问控制模型,基于角色的访问控制

　　移动网络和大数据时代，移动智能终端的普及应用，给学习和教育带来了崭新的环境及方式。大数据环境下的移动学习，能随时随地按照用户的需求，获得相关的学习资源，实现底层学习资源动态配置，进行学习过程的实时监控和智能导学等等，使得目前海量的、个性化的、云端化的移动学习，正在与学科教学深度融合[1]，大数据在线学习的发展前景广阔。

　　由于大数据存储模式的开放性和共享性[2]，相应的移动终端学习流的动态性和不确定性，各自治域中的局部策略之间关系的复杂性[3]，及不同自治域的安全控制策略的多样性[4]，使学习流系统面临着非法访问及恶意攻击等安全威胁。第一，多租户环境下，访问主体重新界定，使得非法访问可能发生;第二，虚拟化技术下的学习资源共享，使学习资源等信息有可能在同一物理设备中被非法窃取和使用[5]。第三，大数据平台还会根据实时需求提供动态学习资源[2]，使得访问控制策略产生动态变化[6]，需要动态的安全访问控制机制的支持。

　　面对出现的安全问题，本研究使用访问控制技术进行研究和解决，访问控制技术是系统安全的核心内容和关键技术，能保证信息的机密性和完整性，是公认的、能保证数据安全的技术[7]。本研究先分析移动学习流在大数据环境下的特征及安全访问控制机制与方法;然后建模，进行基于角色的复杂学习流程访问控制的安全模型的构建及改进、建立动态的安全访问控制模型;并设计和优化基于角色的查找算法。从而解决访问控制面临的安全的问题，支持基于大数据的移动学习流访问控制的安全性和授权的有效性。

　　1移动学习流的特征及安全访问控制模型方法

　　1.1移动学习流的概念与特征

　　移动学习流MLF(MoveLearningFlow)[8]，是由移动终端处理的学生自主学习过程及导师因材施教的过程。表现为学习者对学习知识点、难点或学习任务按照一定流程进行学习，并令其在生生、师生之间传递。从广义理解，移动学习流活动是导师和学生利用移动终端进行的教与学的所有事务，包含各个教学支持服务下的各项教学任务及各种教学过程按时间关系组成的课程关系及师生关系的流程，也包括教师自身的培训学习流程及学生的自主学习流程。

　　具体地说，移动学习流(MLF)表示了学习的流程，人们在利用移动终端进行学习的过程中，每个活动单元用节点node表示，各个学习活动单元之间的时间先后关系，用关系Relation表示，各个学习活动(节点)及其先后顺序(关系)用一个有向图来描述，构成一个图状数据结构，这样的学习流程称为一个移动学习流[4]。移动学习流的数学模型可以表示为：MLF=(node，Relation)，node是学习活动的有限集，Relation是node上的关系的有限集。由于移动学习流节点的移动特性和随机特点[9]，其角色的权限机制需要适应移动环境，能支持角色权限的弹性执行或继承，也就是能对移动节点进行弹性授权。

　　1.2移动学习流的安全访问控制方法及模型选用

　　学习流安全访问控制中，用户执行某项操作和访问某个资源的权限，是通过对用户(User)身份进行认证及授予用户权限(PRMS)来实现控制的。在移动学习流中，访问控制包括两个功能，一是判断用户是否具有执行某个任务的权限，判断的参数是根据用户角色的权限值，二是判断用户是否有登录某个移动学习流的权限，判断的参数是用户登陆某个移动学习流的权限。

　　因为学习流程的管理与其它流程管理在形式上有着本质上相似的方面，流程的研究源于现代企业的过程管理与控制[10]，也称工作流管理(WorkflowManagement)，简称WFM技术。WFM已有较为成熟的理论与应用。对于新兴的大数据移动学习过程[11]，其实质是以学习活动为基本单元，按一定的顺序开展的一种流程，这与WFM有着相似的特性，因此已有的工作流技术的相关概念、方法和研究成果可以借鉴到移动学习流的研究中。

　　目前对大数据学习流安全访问控制的系统研究成果尚缺少，值得借鉴的是国内外工作流访问控制方面的成果[11-15]，例如，自主访问控制DAC(如HRU)、强制访问控制MAC(如BLP模型、状态机模型)、以执行任务为单位的授权控制模型TBAC、以角色为基础的访问控制模型RBAC等等[11]。DAC模型的访问控制方法是[16]：被访问的客体与访问主体之间的许可关系用访问控制列表来描述，访问主体和被访客体中间没有媒介，直接把权限赋予用户，方便易用，但授权的灵活性缺乏，在用户权限转移上的适应性较差。

　　而MAC模型的访问控制方法为：以DAC模型为基础，客体的安全级别先予以定义，其访问权限用分级的方式管理，提高需要保护的客体的安全性。但是，授权灵活性的问题仍然存在，在用户权限转移上适应性还是不好。因此，这两种安全访问控制模型较为僵化，难以满足大数据移动学习在授权灵活方面的要求。TBAC模型的访问控制方法为[17]：针对过程中的任务(Task)进行授权，通过任务关联访问控制中的各种实体，优点是能有效地表达学习过程、表达执行步骤与访问控制之间的关联关系。

　　缺点是没考虑各种安全约束以及这些约束之间的冲突，且访问控制中的用户视图表示不理想，在支持用户权限转移方面较为欠缺，源于TBAC没有对任务(Task)和用户(User)的授权关系直接地表示出来。而RBAC模型的访问控制方法是[13-15]：增加了角色(Role)作为媒介，用户(User)和被访客体(OBJS)之间以角色(Role)作为联系，通过Role到OBJS的指派和User到Role的指派进行授权操作;授权灵活性高，遵守最小权限原则。

　　在学习流管理中，班级群体或学生个体用户(User)能够根据自己的具体学习情况，自主地进行选择和转换不同角色，通过角色指派得到进行学习所需的最小权限。可见，进行大数据学习流管理，RBAC模型的授权机制及安全性较好。

　　综上，本研究选择基于角色的访问控制技术，参考RBAC的基本方法，进行学习流大数据访问控制的安全解决方案的研究。该模型以角色的授权控制方法为基础，能进行学习流管理中权限转移方面的各种操作，授予班级或学生完成学习任务所需的最小权限。这种通过用户的角色选择或转换，授权控制用户访问权限的方式，能有效禁止非法用户入侵学习系统，防止合法用户超越权限对学习系统非法使用，满足大数据云端移动学习环境下的安全访问控制的要求。

　　2基于角色的移动学习流访问控制安全模型的建模及模型扩展

　　研究从大数据环境及移动智能终端的安全需要出发，根据教与学过程中学习流程的特点，以角色为基础，进行学习流安全模型的构建及有关算法的研究。协调组成学习流的四大元素[8，11]：学习人员、学习资源、学习事件、学习状态之间的关系，实现学习流的发生、发展、完成全程的安全控制及监控。对学习过程中教师的教学情况、包括教学资源的建设和应用情况[18]、以及学生的学习效果进行考试[19]及智能评价，并根据个性化的教与学的效果，来进行学习流方向和进度的控制。

　　需要注意的是，学习流安全模型与工作流的安全模型在控制的内容和要求上是不同的，主要有：学习流中流动的是学习信息数据，学习者在流动，学习过程中产生变化的参数是学习者的知识和能力。对于特定的学习流，主要角色通常是学习者、导师和学习小组，流程的执行者相对固定等等，因而研究学习流访问控制时，需要重新建模，根据学习过程的特征，通过角色来限制用户对数据信息的访问能力及范围，构建适合移动学习流的访问控制安全模型。

　　2.1基于角色的移动学习流访问控制安全模型

　　在移动学习流(MLF)的访问控制中，使用以角色为基础的访问控制(Role-BasedAuthorizationControl)技术建模[16]，模型包含访问控制最基本的元素：用户(Users)、角色(Roles)、会话(Session)和权限(PRMS)，其中权限又包括对象(OBJS)和操作(OPS)。模型中，角色(Roles)是安全访问控制方法的核心，用户的访问条件和权限是通过角色来获取的，模型中用户与角色是相关联的、角色与权限也是互相关联的，当一个用户拥有某个权限，则该用户所具有的某一个角色与该权限是相关联的。

　　会话作为动态元素，能建立用户与激活的角色之间的映射关系，用户是通过会话来设置角色的。分配(Assignment)有：用户分配(Userassignment)，就是对用户或者用户组进行分配，分给特定的角色;还有许可分配(PermissionAssignment)，给系统中的角色进行分配，分给访问主体Object和操作Operation的访问权限。

　　3总结与展望

　　本研究在分析常用经典安全访问控制模型优缺点的基础上，选择了基于角色的访问控制(RBAC)技术，以大数据为环境，构建学习流访问控制安全框架模型及算法。首先进行基本和改进的学习流访问控制模型建模;然后进一步进行动态控制机制的移动学习流访问控制模型构建，新模型加上了动态安全控制机制，实现了权限的动态管理，解决了职责分离的问题，为最小特权原则提供了保证，实现了更为细粒度的权限管理;最后综合多种方式的权限控制，提出基于大数据云服务的学习流访问控制安全模型，研究设计角色查找算法，并予优化。

　　学习流安全问题的研究，提高了网络学习系统的安全控制水平，提升了学习控制系统化解安全威胁的能力，有利于各种学习资源及信息系统间较为安全的无缝衔接。在大数据时代，保证了远程学习的访问控制性能和学习网络互通互联的可靠性[31]，适用于大数据网络、复杂网络、社区网络[32]。提高学习流控制上的服务效率，使教学支持服务系统的学习流程高度开放、灵活多样、适合男女老少的个性化需求，有利于满足人们不断增长的对于学习流程的安全需求。

　　整个系统可根据用户的需要来自定义，填补了移动环境里大数据学习流在安全控制模型及算法方面研究的欠缺。当然，对于学习流的访问控制，无论在理论研究还是在应用推广方面都还处于发展阶段[33]，由于学习流内外环境的多样性，给学习流安全领域的研究提出了很多新的安全需求，提出了很多尚待解决的安全访问控制问题;目前还需要深入研究和严格规范教育信息大数据访问控制技术及其标准，迫切要求在技术上有所突破，在标准上不断完善，以营造安全高效的教育大数据环境，推动教育大数据建设的规模化发展。

　　参考文献:

　　[1]陈兴炎。开放大学建设背景下的福建电大转型发展之路[J]。福建广播电视大学学报,2017(4):1-6。

　　[2]HadiHashem,DanielRanc。Pre-ProcessingandModelingToolsforBigdata[J]。FoundationsofComputingandDecisionSciences,2016,41(3)。

　　[3]王于丁,杨家海。一种基于角色和属性的云计算数据访问控制模型[J]。清华大学学报(自然科学版),2017,57(11):1150-1158。

　　[4]王于丁,杨家海,徐聪,凌晓,杨洋。云计算访问控制技术研究综述[J]。软件学报,2015,26(05):1129-1150。

　　[5]王小威,赵一鸣。一种基于任务角色的云计算访问控制模型[J]。计算机工程,2012,38(24):9-13。

　　[6]杨天怡,董红林,黄勤,刘益良。应用角色和任务访问控制的工作流动态授权模型[J]。计算机应用研究,2010,27(04):1511-1513。

　　[7]冯登国,张敏,李昊。大数据安全与隐私保护[J]。计算机学报,2014,37(01):246-258。

　　[8]曹晓明。从"工作流"到"学习流":E-learning系统设计的新视角[J]。开放教育研究,2009,15(3):94-98。

　　[9]王建军。移动环境角色权限机制改进[D]。电子科技大学,2014。

　　[10]陈默,常会友。基于角色的工作流系统访问控制管理模型[J]。中国科技论文在线2007。03。27。

　　[11]黄河清。基于工作流及大数据的学习流引擎的构建与实现[J]。安阳师范学院学报,2018(02):53-60

　　推荐期刊：《计算机时代》(月刊)创刊于1983年，由浙江省计算技术研究所和浙江省计算机学会主办，是《中国期刊网》、《中国学术期刊(光盘版)》和《中国核心期刊(遴选)数据库》收录期刊，全国发行，丰富的内容使您能够自由的遨游在信息的海洋里，了解最新技术，掌握最新技术，享受精彩纷呈的数字生活。