大数据平台上基于属性的角色访问控制模型

大数据平台上基于属性的角色访问控制模型3500

摘要：随着计算机技术的不断发展与普及，大数据已经在社会经济的各个领域发挥不可忽视的作用。然而，在面对大数据平台海量用户时数据安全成为了首要考量的问题之一。传统动态访问控制数据量巨大，需要对其进行有效的多层访问控制进行合理区隔后配合其他管理手段，从而实现有效的安全防控。本文以角色访问控制为手段，探究此种分层访问控制框架的制定与应用。

关键词：大数据；角色属性；访问控制；数据安全

大数据是现阶段互联网应用的主要技术之一，已经在越来越多的行业内产生一定的经济效益。其中不乏有政府机关、金融机构、商务平台等敏感领域。这些领域内对于数据安全性的要求相对较高。在传统的平台安全策略中采用较为灵活的动态控制方式予以校正。但是在面对大数据的海量用户时，服务器很难承担此种校正方式。为此，研究基于属性的角色访问控制模型有助于对大数据系统内的用户进行分级管理，并做到有效的安全控制。

一、模型的选取与建立

在大数据安全控制实践体系中用用ARAC模型相对普遍，此种控制策略允许设计方通过对不同参数调取来获取客户的基本属性，并按照属性的类别差异来进行有效的分类。从核心体系上来看，在经过了计算机的自动交互分类基础上，大数据平台上的海量用户被合理分割为不同的若干群体，而针对不同群体间的安全特性来给予不同方式与等级的效验模式，从而达到综合降低平台系统负载的根本目的。

在模型的设计实践中其一般包括了如下几个核心部分：第一，用户，该群体是平台所需要面对的全体用户单元，一般用U来进行表示；第二，用户组，是经过适当区分后所形成的用户单元，一般用G来表示；第三，角色，用户组内的实际用户经过了系统初步判断与分配后所形成的用户集合，一般用R来表示；组件，认证的基本方式，一般用C来进行表示等。通过上述单元内的基本构建形成

了大数据平台上针对角色属性判断的不同认证方式，进而构建出本文所探讨的ARAC模型。

在具体的逻辑设计层面上，首先对用户的属性信息进行提取，将用户属性就一种在UAT数据集合中去。在具体的属性信息选择上可以以硬件编码、软件信息、固态IP信息等作为依据，其中硬件编码比较普遍，硬件编码代表着大数据使用群体的固定场所（计算机）从而对于应用人的识别功能相对较强。在收集到有效的属性基础上，对固定群体内的属性进行分析，并按照具体的算法进行有效的分组建议。其中落实到具体的算法上来则主要可以分为RA策略与PA策略两种。其中RA策略是基于一种预设的策略，即在分组体系中采用人为预设的方式形成有效的分组模式，常见的分组规范包括了UAT和EAT等两种。而PA策略则是一种基于历史数据的建议分组模式，系统按照角色属性识别与其对于大数据平台的应用习惯产生严格的对应，从而给出可行的分组建议。常见的策略包括了CAT和OAT模式。无论上述何种算法策略其本质上是将用户的角色属性与用户的使用行为进行对应，从而为后续的不同层级下的安全策略构建提供必要依据。最后，按照不同的分组策略，将登陆大数据平台的用户进行分组，从而为不同给定的组别提供不同的效验方式。就一般情况而言可以采用动态访问控制的方式来予以实现。通过上述的方式能够在分组的情况下降低不同组别动态访问控制的数据运算量，从而达到在保障数据安全的情况下降低系统荷载的根本目的。

从上述的模型选取与构建过程中不难发现，在具体的属性角色访问控制模型体系中其依赖的基本范式是对于固定用户的识别，从而达到用户角色与用户行为之间的对等，系统在根据不同用户行为对于数据安全之间的差异化来提供不同等级与水平的效验模式，从而达到降低综合系统负担的根本目的。

二、模型的应用及其属性控制

通过上文的研究对角色的访问控制下的具体模型选择及其构建方式进行了系统说明。在实际的应用中还应该对具体的控制策略进行分析与构建。如果说模型的建设是为具体的行为单元提供了骨架，则策略的制定则是为骨架提供了丰满的肌肉。只有二者的有效结合才能够产生切实有效的数据保护。在具体的策略层面上，主要分为了角色分配策略、权限分配策略等两种。

在角色的分配策略上：此种控制模型的核心是通过对角色的分类从而降低效验的有效计算量。基于此则必须要对角色的分配进行有效的限制。如果角色的设定为无限大的话，按照用户操作不可能完全一致的基本理论则产生的角色必然也是海量的，同时也就失去了角色集合所存在的根本意义。从实际的效果来看也无法达到有效降低运算律的根本目的。从这一角度出发，系统角色的总数必须根据服务器的载荷控制在一个比较有益的范围之内。因此，需要明确角色分配的具体策略。按照本文所构建的ABAR模型，其在角色分配的过程中采用了自动分配与手动分配相结合的方式来进行。其中允许管理人员对不同的用户身份进行人工的限定，也就是上文中所提到里的CAT模式。此种分配方式的优点在于能够有效的规避系统分配所带来的溢出可能，同时能够形成更为精准的用户预设。与此同时，按照管理员分配的方式可以对用户自身的属性进行直接的分级，从而在考虑了数据安全性的同时还能够映射到现实的用户逻辑关系内部，从而达到更为有效的管理模式。另一方面，在大数据平台系统内部可以完成通过属性及其关系对用户的描述。除了单一的用户属性之外，用户与用户之间的联系也能够成为属性的一种。如上下级关系、认可关系等。这类逻辑策略的引入可以使得在角色分配上更为合规，并形成有效的层级管理。

在权限分配策略层面上：对用户的分组只是实现基于属性管理的基础，其根本目的是通过用户分组之间的权限差异来限制用户在大数据平台中的危害程度。试想任何客户如果都具有对大数据平台内数据的删减权限，则大数据平台的运行稳定性则会受到严重的挑战。在另一个极端，如果任何访问者都无法对数据信息删减的话，那么大数据平台将成为固定数据的“图片网站”，毫无应用的价值。针对这一情况，按照不同的角色分配结果给予不同的权限分配是十分必要的，事实上也是该模型能够发挥实效的根本。在实际的策略过程中要依据“应用为准”的基本原则来进行不同层级间的权限分配。具体而言将具有大数据平台管理权限进行严格的控制，将对大数据平台应用的权限进行多维度的细分。在细分中可以对不同功能进行系统的组合，从而提供更为多样化的权限分支。通过这一权限分配策略一方面可以支持更多的角色分类，从而使得不同需求的使用者均能够得到大数据平台的最大化支持，同时不会对平台的总体数据单元形成威胁；另一方面还能够在多元化权限上整合部分的管理与限制功能，进一步保障了数据的安全性。

除此之外，在权限的分配上还可以通过“影子数据”的方向予以实现，即按照不同用户权限分配影子数据，此部分数据仅仅保存在权限范围内所生成的独立用户空间之内，对于大数据平台的初始数据不造成反向反馈。

三、模型应用效能

为了进一步认证本模型的有效性，在系统设计的基础上将从如下五个方面来对系统的具体效能进行认证。（1）细粒度访问控制。此指标反馈了本模型对于用户细分的有效性，也客观上反馈了具体分级处理在降低系统荷载上的效能。在ARAC 模型使用中，通过属性来描述访问请求过程中用户、环境、组件和数据对象，有效的达到了严格控制访问请求者获得权限的各种条件，并且访问范围可以精确到表、字段级别的数据，客观上反馈了系统分组的有效性。（2）动态授权。该指标认证了分组模式下的分别授权，是提供数据保护的根本。在ARAC 模型应用中，各种实体属性具有很大的灵活性，并支持大规模的动态扩展，可以满足各种应用系统的访问控制需求。（3）授权复杂程度。ARAC 模型保留了RBAC 模型的优势，使用角色来间接地建立用户和权限之间的关系，避免在用户和数据之间设置很多关系参数，系统管理员只需要设置角色与权限的映射，降低了授权复杂程度。（4）属性管理复杂度。ARAC 模型使用用户组层次结构来管理用户属性，用户可以通过从所在组及组继承其他组获得用户的属性。管理员无需为每一个用户设置属性，实现了用户属性的简单管理。（5）大数据平台中多组件数据权限统一管理。结合Hadoop 平台多层访问框架的特点，针对组件属性和数据对象属性授权，统一控制平台中数据的访问权限。

四、总结

本文从模型的选取与建立、模型的具体应用及其利用属性的控制策略以及具体的应用实效等三个方面探究了基于属性的角色访问控制模型。希望能够通过此种方式来解决大数据平台的海量用户分级校正问题，并进一步为提升大数据平台的数据安全作出应有的贡献。

参考文献

[1]苏秋月,陈兴蜀,罗永刚.大数据环境下多源异构数据的访问控制模型[J].网络与信息安全学报,2019,5(01):78-86.

[2]邓辉.大数据背景下的计算机网络信息安全及防护措施[J].通讯世界,2018(07):58-59.

[3]黄河清.大数据下学习流访问控制安全模型及算法研究[J].闽南师范大学学报(自然科学版),2018,31(02):24-33.

[4]庄浩霖,尚涛,刘建伟.基于角色的大数据认证授权一体化方案[J].信息网络安全,2017(11):55-61.