基于拟态防御的数据安全访问控制技术研究文献综述

1. 文献综述（或调研报告）：

1.前言

本课题主要研究 “基于拟态防御机制的访问控制技术”的设计，致力于构建更加安全、可靠的访问控制系统。拟态防御机制首先由邬江兴院士^[11]提出，本机制搭建了一个“动态异构冗余”系统，可以大幅提高系统安全性以及鲁棒性，而梁惠兵等^[12]则在此基础上开发了更多的基于拟态防御机制的安全架构。同时，在查阅了有关访问控制技术的文章^[3][4][5]后，我学习了传统的访问技术及其扩展应用，为搭建基于拟态防御的访问控制系统做理论准备。

2.正文

首先，我查阅了访问控制机制的相关文献，着重学习李昊^[6]提出的大数据访问控制研究，并发现传统的访问策略主要有以下三种：1.RBAC基于角色的访问控制模型，以主体为中心，系统将角色分配给主体，并且将权限分配给角色，然后角色作为一种中介，主体可以通过它来获得权限。2.OBAC基于对象的访问控制模型，将访问控制列表（ACL）与客体或客体的属性相关联，并且将访问控制项（ACE）设计成为用户、组或角色及其对应权限的集合。3.ABAC基于属性的访问控制模型，包括主体、资源、操作和环境四类对象，其自身也具有属性，分别是主体属性SA、资源属性RA、 操作属性OA以及环境属性EA ，可以将属性形式化的定义为{SA=A、RA、OA、EA}，可为任一次主体访问提供细粒度的控制。完整访问控制授权的过程主要被分成以下三步：1）主体向系统请求访问客体；2）访问控制机制评估：i.访问控制机制接收到主体的访问请求，即获得主体、资源以及操作的相关属性值，检测当前环境属性值；ii.依据上述属性和属性值，查找其内部存储的由 SA ,OA, EA, RA 构成的相关访问控制规则；iii.通过评估查找到相关访问控制规则，判断该访问请求是否被允许。3）如果访问控制决定返回值为真，则主体被授予权限访问客体；如果访问控制决定返回值为假，则主体的访问请求被拒绝。访问控制技术被广泛用于云计算和大数据处理系统中，例如罗杨等^[5]给出了云计算平台下的创新型的权限管理机制，罗杨等^[3]]则在论文中重点阐述了访问控制机制的运作原理与基本组成部分,还讲述了基于属性的访问控制机制创新应用，但是这些不是我们本次课题研究的重点，本次课题中只需要知道如何搭建、编写实现具有访问控制机制的系统即可。

下面将综合阐述本次研究的重点——拟态防御机制：

在阅读了多篇拟态防御机制的相关文献，并重点研读、翻译了邬江兴院士的文章^[11]后，我掌握了拟态机制的基本原理：构造一个“动态、异构、冗余”的系统，该系统主要由异构变体集合、拟态调度算法、分发器、判决器组成，异构变体集合需要我们从资源池中搜集各种资源（不同类型的处理器、语言、算法、虚拟内存等）组合成功能相同结构互异的变体，并组成集合。之后，在系统对应功能部分运行的时候调用多个相应的变体并行运行，这些变体的输入则由分发器统一派发。之后，变体的输出经过判决器，由判决器决定哪些是正确的输出、哪些是错误的输出，并由此确定正确的结果，同时还可以检查相应的变体是否被入侵，从而及时清除系统内部存在的攻击行为。

邬江兴团队在其论文^[11]中给出了一个基于拟态防御机制的路由系统，该系统利用拟态防御机制可以防止自未知漏洞和后门发起的进攻。文中，邬江兴团队将路由器不同部分细分，并搭建了由多个控制器平台的异构变体实例组成的变体集合，在收到输入的路由信息条目（RIB）后，拟态路由器一次调用多个路由控制平台变体并行运行，并将得到的下一节点的路由地址发送至裁决器，裁决器判断正误后，检查、刷新有问题的变体，并输出正确结果。同时，拟态路由器中的变体调度器会每隔一定时间T就重新选择一组变体替代当前运行的变体。

Li B等^[9]则在文献中提出了一种基于拟态防御的网络加密系统。数据链路层的信息在传统系统中是直接暴露出去的，为了数据的保密性与网路安全，该系统利用拟态防御机制建立了一套加密系统，巩固了数据链路层的安全性和数据保密性，降低了路由数据等被篡改的风险。类似于邬江兴团队的拟态防御机制，文献[9]中采用的是另一种具有“随机、动态、多样化”特点的架构。文中通过在CPU外添置一个FPGA处理器将拟态防御机制引入数据链路层，一方面，FPGA将输出的数据进行加密，并在加密的时候采用拟态防御机制：引入多种不同的加密算法以及加密结构，将FPGA处理过的数据发送出去；另一方面，FPGA将接受的加密数据读取出来，并进行相应的基于拟态防御机制的解密过程，最终把数据送至CPU进行处理。这篇文章提出了FPGA实现了拟态加密方案，根据仿真结果，极大地提升了数据链路层的安全性。

3.总结

根据参考文献可知，拟态防御机制可以极大的提升原有系统的安全性，并且可以加装在大部分系统之上。综合上述文献，若要搭建一个基于拟态防御机制的访问控制系统，则需要首先对原有系统进行划分，并对划分的部分设计相应的异构变体集合，搭建拟态调度机制。根据相关文献^[7]也可看出，拟态防御机制还可用于区块链领域，有着广阔的发展前景。

您可能感兴趣的文章

• 基于笔画特征的自然场景文本检测方法及实现文献综述
• 基于统计特征的在线签名验证方法及实现文献综述
• 高精度油压传感器设计文献综述
• 超声液位传感器设计文献综述
• 测向通信一体化方案设计文献综述
• 基于拟态防御的数据安全访问控制技术研究文献综述
• 区块链的可监管匿名认证技术研究文献综述
• 基于深度神经网络的语音增强算法研究文献综述
• 液晶可重构微波器件设计研究文献综述
• 基于CW-LFM波形组合的主动探测技术研究文献综述