Page 317 - 《软件学报》2025年第9期
P. 317
4228 软件学报 2025 年第 36 卷第 9 期
3.3 安全目标
本文中 CBAC 的安全目标指在 f-out-of-N 攻击者和异步网络环境下实现以下 3 点安全性质.
● 即时性 (timeliness): 当所有诚实 PDP 节点都接收到某条用户访问请求后, 任意的诚实节点都能在期望常数
轮交互后对该请求授予访问权限.
● 统一性 (unitarity): 针对每一个用户请求, 所有诚实 PDP 节点最终授予的访问权限是相同的.
● 正确性 (correctness): 对任意一个用户请求, 诚实 PDP 节点们最终一致授予的访问权限一定等于 (或低于)
N −2 f 个诚实 PDP 节点本地独立决策的授予权限.
至少
关于上述安全性质, 做出以下说明: (1) 即时性和统一性的定义都是直接和自然的, 前者保证了诚实用户的访
问请求能够被快速处理, 后者保证了诚实的 PDP 节点无法被攻击者影响而对恶意用户授予不同的权限, 可见即时
性和统一性共同保障了分布式的 PDP 节点能够快速地对用户请求达成一致决策; (2) 正确性的定义存在微妙之处,
因此本文定义的正确性是 CBAC 在异步网络环境下可实现的最强定义.
4 基于共识的访问权限控制系统
4.1 基本系统框架
如图 3 所示, 系统分为用户域、信任域和共识域. 用户域包含所有向系统发出请问请求的计算实体, 简称用
户, 其中存在恶意的用户. 信任域包含 PEP、PDP 和可访问资源实体. PEP 和 PDP 对应的策略 (policy) 由共识域取
代, 共识域以 Super-Dumbo 为共识协议, 网络中的所有 PDP 实体为参与协议方, 其中包含被恶意用户控制的腐化
PDP 节点. 用户在向系统发送访问请求后, 会由 PEP 向 PDP 询问是否访问, PDP 向所有 PDP 节点发起共识协议,
并基于共识结果做出决策, 返回给 PEP, 最终决定是否接受用户的访问请求.
访问 访问资源 1
请求 PEP 0
能 2
… 否 决
访
问 策 3
?
… …
m
PDP 0
用户域 共识结果 信任域
共识请求
Super-Dumbo
… …
PDP 1 PDP 2 PDP 3 PDP f PDP n
共识域
图 3 基于共识 (Super-Dumbo) 的访问权限控制系统框架
4.2 Super-Dumbo: 实现 CBAC 的高性能异步共识协议
拜占庭共识问题由 Lamport 等人 [38] 于 1982 年首次提出, 旨在讨论如何在不可信的网络环境中, 各诚实计算节
点能够高效地达成一致的、正确的共识. 解决该问题的协议被称为共识协议, 而适用于更差的网络环境中, 即异步
网络环境中的共识协议被称为异步共识协议. Dumbo BFT [27] 是首个应用于区块链的、实用的异步共识协议, 其优
秀的安全性和高效性也能够适用于访问控制中.
本文中 CBAC 使用的 Super-Dumbo 基于 Dumbo BFT 中的 Dumbo2 协议, 分别使用多可靠广播实例的 k-RBC、
可预测随机源置换优先的 Opti-MVBA 和循环等待的单调外部验证断言, 对其广播阶段吞吐量、共识阶段随机置
换和外部验证断言进行优化, 在吞吐量和延迟上均实现较大改进.
本节将先分别介绍 k-RBC、Opti-MVBA 和循环等待的单调外部验证断言 3 处优化细节, 最后对 3 处优化的
