0 引言

    云計(jì)算是一種新興的計(jì)算應(yīng)用模式，通過(guò)網(wǎng)絡(luò)按需提供各種應(yīng)用系統(tǒng)所需的硬件、平臺(tái)、軟件資源或者用戶需要的信息化服務(wù)，具有靈活、易擴(kuò)展、成本低、效率高的特點(diǎn)。隨著云計(jì)算技術(shù)在政府、銀行、通信、貿(mào)易、軍隊(duì)等國(guó)家層級(jí)關(guān)鍵基礎(chǔ)設(shè)施建設(shè)中的廣泛運(yùn)用，私有云環(huán)境中的數(shù)據(jù)安全與高效應(yīng)用問(wèn)題逐漸引起重視^[1]。

    近年來(lái)，云計(jì)算行業(yè)出現(xiàn)的安全事故呈現(xiàn)日益增多的趨勢(shì)。世界關(guān)注度最高的云安全研究組織云安全聯(lián)盟(Cloud Security Alliance，CSA)于2016年公布報(bào)告《The Treacherous 12-Top Threat to Cloud Computing+Industry Insights》^[2]，總結(jié)了云計(jì)算領(lǐng)域12個(gè)關(guān)鍵安全威脅，包括數(shù)據(jù)泄露(Data Breaches)、身份認(rèn)證管理缺失(Insufficient Identity，Credential and Access Management)、系統(tǒng)漏洞(System Vulnerabilities)、賬戶劫持(Account Hijacking)、惡意用戶(Malicious Insider)、數(shù)據(jù)丟失(Data Loss)、服務(wù)濫用與非法使用(Abuse and Nefarious Use of Cloud Services)等，并根據(jù)微軟威脅分析模型STRIDE，從身份欺騙(Spoofing Identity)、數(shù)據(jù)篡改(Tampering with Data)、行為否認(rèn)(Repudiation)、信息泄露(Information Disclosure)、拒絕服務(wù)(Denial of Service)、權(quán)限非法提升(Elevation of Privilege)6個(gè)層次，對(duì)各個(gè)安全威脅所能產(chǎn)生的后果進(jìn)行評(píng)估?？梢钥闯觯瓢踩珕?wèn)題的核心是解決云計(jì)算環(huán)境中的數(shù)據(jù)安全，最基本的是通過(guò)密碼技術(shù)和訪問(wèn)控制手段保障數(shù)據(jù)資源的機(jī)密性、完整性和可用性^[3]。本文針對(duì)私云計(jì)算環(huán)境，研究基于加密體制的訪問(wèn)控制技術(shù)的應(yīng)用。

1 傳統(tǒng)訪問(wèn)控制技術(shù)

1.1 訪問(wèn)控制技術(shù)原理

    訪問(wèn)控制技術(shù)是在20世紀(jì)70年代為了解決管理大型主機(jī)系統(tǒng)上共享數(shù)據(jù)授權(quán)訪問(wèn)的問(wèn)題而提出的，其核心在于依據(jù)設(shè)定的授權(quán)策略對(duì)用戶進(jìn)行授權(quán)^[4]。訪問(wèn)控制技術(shù)實(shí)現(xiàn)的基本思路為：首先對(duì)用戶的身份進(jìn)行合法性鑒別，其次通過(guò)某種途徑顯示準(zhǔn)許或限制用戶對(duì)數(shù)據(jù)資源的訪問(wèn)能力與范圍，從而實(shí)現(xiàn)對(duì)關(guān)鍵數(shù)據(jù)資源的保護(hù)。通過(guò)訪問(wèn)控制技術(shù)，能夠?qū)崿F(xiàn)以下3點(diǎn)功能：(1)防止非法用戶訪問(wèn)受保護(hù)的數(shù)據(jù)資源；(2)允許合法用戶訪問(wèn)被授權(quán)的數(shù)據(jù)資源；(3)防止合法用戶訪問(wèn)未授權(quán)的數(shù)據(jù)資源。經(jīng)過(guò)多年的發(fā)展，現(xiàn)有的訪問(wèn)控制模型通常包含主體、客體、訪問(wèn)操作以及訪問(wèn)控制策略4種實(shí)體。

1.2 傳統(tǒng)訪問(wèn)控制模型

    傳統(tǒng)的訪問(wèn)控制分為自主訪問(wèn)控制(Discretionary Access Control，DAC)和強(qiáng)制訪問(wèn)控制(Mandatory Access Control，MAC)兩類。隨著網(wǎng)絡(luò)和計(jì)算技術(shù)的不斷發(fā)展，出現(xiàn)了許多以基于角色的訪問(wèn)控制(Role-Based Access Control，RBAC)為基礎(chǔ)的擴(kuò)展模型。

    DAC模型由客體擁有者自身決定是否將客體的訪問(wèn)權(quán)或部分訪問(wèn)權(quán)授與其他主體，對(duì)客體擁有者而言，這種控制方式是自主的。DAC機(jī)制的優(yōu)點(diǎn)在于簡(jiǎn)單易行，授權(quán)靈活，操作方便，但對(duì)于大型分布式系統(tǒng)，訪問(wèn)控制變得非常復(fù)雜，效率下降。

    MAC模型由專門(mén)的授權(quán)機(jī)構(gòu)為主體和客體分別定義訪問(wèn)權(quán)限。在該機(jī)制下，即使是客體擁有者本身也無(wú)權(quán)對(duì)其進(jìn)行權(quán)限修改。MAC機(jī)制的優(yōu)點(diǎn)在于避免了DAC中出現(xiàn)的訪問(wèn)傳遞問(wèn)題，具有層次性特征；缺點(diǎn)表現(xiàn)在權(quán)限管理難度大，靈活性差。

    RABC模型引入了“角色role”的概念，將權(quán)限與角色進(jìn)行關(guān)聯(lián)，通過(guò)角色建立主體與訪問(wèn)權(quán)限之間的多對(duì)多關(guān)系，權(quán)限被授予角色，角色被授予主體。標(biāo)準(zhǔn)的RBAC參考模型NIST RBAC^[5]如圖1所示。

2 私有云環(huán)境下的訪問(wèn)控制研究

2.1 云環(huán)境下訪問(wèn)控制挑戰(zhàn)

    在云計(jì)算環(huán)境下，訪問(wèn)控制是貫穿整個(gè)云服務(wù)體系的一種安全技術(shù)。云環(huán)境本身具有的數(shù)據(jù)外包、基礎(chǔ)設(shè)施公有化、資源共享、動(dòng)態(tài)定制服務(wù)等特點(diǎn)^[6-10]，對(duì)傳統(tǒng)訪問(wèn)控制技術(shù)提出挑戰(zhàn)，主要存在以下幾個(gè)層面：

    (1)由于虛擬技術(shù)的運(yùn)用，云計(jì)算環(huán)境下的訪問(wèn)控制技術(shù)已從傳統(tǒng)對(duì)用戶進(jìn)行授權(quán)擴(kuò)展到對(duì)虛擬資源的訪問(wèn)和云存儲(chǔ)數(shù)據(jù)的安全訪問(wèn)等方面，因此需要對(duì)訪問(wèn)控制的主體和客體的有關(guān)概念進(jìn)行重新界定。

    (2)云計(jì)算環(huán)境下缺乏統(tǒng)一的權(quán)威管理中心，資源擁有者、資源管理者、資源請(qǐng)求者可能位于不同的安全管理域，當(dāng)用戶跨安全管理域訪問(wèn)資源時(shí)，需要制定跨域授權(quán)認(rèn)證和訪問(wèn)控制機(jī)制的支撐。

    (3)在云計(jì)算環(huán)境中，用戶、資源、網(wǎng)絡(luò)環(huán)境等都是動(dòng)態(tài)的，對(duì)用戶的授權(quán)管理也是不斷變化的，管理員角色眾多、層次復(fù)雜、權(quán)限分配模式變化等因素，對(duì)云環(huán)境下實(shí)現(xiàn)動(dòng)態(tài)的、安全的訪問(wèn)控制提出挑戰(zhàn)。

    (4)在云計(jì)算環(huán)境中，虛擬資源與底層完全隔離的機(jī)制使得隱蔽通道更不易被發(fā)現(xiàn)，需要訪問(wèn)控制機(jī)制加以管理。

    (5)云環(huán)境下的信任與隱私保護(hù)問(wèn)題也需要對(duì)訪問(wèn)控制的實(shí)現(xiàn)進(jìn)行重新思考。

2.2 私有云環(huán)境下訪問(wèn)控制技術(shù)應(yīng)用特點(diǎn)

    私有云是指由企業(yè)或組織自主構(gòu)建、內(nèi)部使用的云平臺(tái)，它的所有服務(wù)均由內(nèi)部人員或分支機(jī)構(gòu)使用，常見(jiàn)于一些組織、機(jī)構(gòu)、企業(yè)等團(tuán)體，如政府部門(mén)、工業(yè)部門(mén)、軍事領(lǐng)域等。分析常見(jiàn)的私有云應(yīng)用環(huán)境，可以將其特點(diǎn)進(jìn)行如下歸納：

    (1)服務(wù)器可信程度高。在大部分公有云計(jì)算環(huán)境下，數(shù)據(jù)資源交付由云服務(wù)提供商進(jìn)行存儲(chǔ)控制，但對(duì)用戶而言，服務(wù)器并不是完全值得信任的角色，而在私有云環(huán)境中，云平臺(tái)的基礎(chǔ)設(shè)施為建設(shè)單位所獨(dú)有的，服務(wù)器位于內(nèi)部多重保護(hù)之下，其可信程度相對(duì)較高。

    (2)內(nèi)部人員可信程度高。私有云通常用于為企業(yè)或組織內(nèi)部的人員或分支機(jī)構(gòu)提供服務(wù)，其服務(wù)對(duì)象范圍固定、人員可控，由內(nèi)部人員造成的安全風(fēng)險(xiǎn)較小。

    (3)應(yīng)用模式定制化程度高。私有云完全依據(jù)建設(shè)單位的組織結(jié)構(gòu)、管理架構(gòu)、業(yè)務(wù)組成等實(shí)際情況進(jìn)行定制化開(kāi)發(fā)，能夠按需實(shí)現(xiàn)高度可控的配置與部署。因此，私有云環(huán)境中的安全更加側(cè)重于數(shù)據(jù)資源自身的安全存儲(chǔ)與有效應(yīng)用，即通過(guò)加密、校驗(yàn)、授權(quán)管理、訪問(wèn)控制等技術(shù)實(shí)現(xiàn)云平臺(tái)中數(shù)據(jù)資源的安全保護(hù)。

    基于密碼體制的訪問(wèn)控制技術(shù)是指利用密碼體制對(duì)數(shù)據(jù)資源進(jìn)行加密保護(hù)，只有擁有解密所需密鑰的用戶才能有效獲取數(shù)據(jù)。該技術(shù)實(shí)現(xiàn)了數(shù)據(jù)資源的加密防護(hù)，同時(shí)對(duì)數(shù)據(jù)資源的應(yīng)用及共享范圍實(shí)現(xiàn)了有效控制。目前，比較成熟的技術(shù)是屬性基加密的訪問(wèn)控制（Attribute-Based Encryption access control，ABE）[11-13]技術(shù)。

    ABE訪問(wèn)控制包括4個(gè)參與方：數(shù)據(jù)資源提供者、可信授權(quán)中心、云服務(wù)器、數(shù)據(jù)資源請(qǐng)求者，如圖2所示。

    實(shí)現(xiàn)機(jī)制描述如下：首先，可信授權(quán)中心生成主密鑰和公開(kāi)參數(shù)，將系統(tǒng)公鑰傳給數(shù)據(jù)提供者；數(shù)據(jù)提供者利用公鑰和訪問(wèn)策略結(jié)構(gòu)對(duì)原始數(shù)據(jù)資源進(jìn)行加密，并將密文和訪問(wèn)策略結(jié)構(gòu)上傳至云服務(wù)器；當(dāng)用戶加入系統(tǒng)后，將自己的屬性集上傳至可信授權(quán)中心，并申請(qǐng)私鑰；可信授權(quán)中心利用用戶提交的信息和主密鑰計(jì)算生成私鑰，并返回給用戶；最后，用戶提出數(shù)據(jù)訪問(wèn)請(qǐng)求，若其屬性集滿足密文數(shù)據(jù)的訪問(wèn)策略結(jié)構(gòu)，則成功共享數(shù)據(jù)資源，否則，訪問(wèn)數(shù)據(jù)失敗。

3 基于加密體制的云計(jì)算訪問(wèn)控制應(yīng)用

    在私有云計(jì)算環(huán)境中，由于平臺(tái)外部的不可信以及不可控因素造成的安全隱患較小，因此安全策略更加側(cè)重于控制防范云內(nèi)部應(yīng)用與存儲(chǔ)之間的安全風(fēng)險(xiǎn)。基于加密體制的訪問(wèn)控制技術(shù)的應(yīng)用有3點(diǎn)關(guān)鍵之處^[14]：(1)用戶的分組與管理機(jī)制；(2)密鑰分發(fā)機(jī)制；(3)不同安全域的授權(quán)機(jī)制。本節(jié)主要對(duì)基于加密體制的云計(jì)算訪問(wèn)控制應(yīng)用方案進(jìn)行描述，然后分別針對(duì)上述3個(gè)機(jī)制的設(shè)計(jì)思路進(jìn)行簡(jiǎn)單探討。

3.1 訪問(wèn)控制方案描述

    私有云環(huán)境下的訪問(wèn)控制方案包含4個(gè)模塊：訪問(wèn)請(qǐng)求解析模塊、訪問(wèn)數(shù)據(jù)保護(hù)模塊、訪問(wèn)控制模塊以及存儲(chǔ)交互模塊，如圖3所示。

    (1)訪問(wèn)請(qǐng)求解析模塊主要是解析云用戶提交的訪問(wèn)請(qǐng)求，通常該請(qǐng)求是對(duì)云存儲(chǔ)端的數(shù)據(jù)庫(kù)操作，根據(jù)不同的請(qǐng)求操作為后續(xù)數(shù)據(jù)加密保護(hù)方式的選擇提供依據(jù)。

    (2)訪問(wèn)數(shù)據(jù)保護(hù)模塊負(fù)責(zé)將明文數(shù)據(jù)(如表名、列名、字符段值)進(jìn)行對(duì)應(yīng)的加密保護(hù)，根據(jù)訪問(wèn)請(qǐng)求解析模塊對(duì)請(qǐng)求操作的分析，選擇相應(yīng)的加密算法。

    (3)訪問(wèn)控制模塊基于用戶屬性加密，將屬性策略作為參數(shù)的一部分引入加密環(huán)節(jié)，根據(jù)密文擴(kuò)充模型生成私鑰。給需要訪問(wèn)控制的字段或行增加標(biāo)志列，用于存放屬性加密結(jié)果，在操作這字段數(shù)據(jù)前，先驗(yàn)證當(dāng)前用戶是否解密這個(gè)標(biāo)志列，解密成功才能完成操作。

    (4)存儲(chǔ)交互模塊依托云存儲(chǔ)端提供的接口，將解析后的訪問(wèn)請(qǐng)求提交給云存儲(chǔ)端處理，并獲得處理結(jié)果。本質(zhì)上該模塊是一個(gè)映射代理，其輸入是用戶端提交的明文訪問(wèn)請(qǐng)求，通過(guò)一系列加密、改寫(xiě)，最后憑借各個(gè)加密結(jié)果輸出密文訪問(wèn)請(qǐng)求，并將這個(gè)請(qǐng)求提交給云存儲(chǔ)端。

    詳細(xì)的用戶訪問(wèn)云服務(wù)流程描述如圖4所示。

    (1)用戶端經(jīng)過(guò)身份認(rèn)證和權(quán)限審計(jì)后，取得訪問(wèn)云服務(wù)的某一部分使用權(quán)限，在權(quán)限內(nèi)根據(jù)實(shí)際需求向云端發(fā)起應(yīng)用請(qǐng)求。

    (2)云服務(wù)器根據(jù)請(qǐng)求，生成一個(gè)標(biāo)準(zhǔn)的云存儲(chǔ)端請(qǐng)求命令，同時(shí)將這條命令發(fā)送給加密代理服務(wù)器。

    (3)加密代理服務(wù)器接收來(lái)自用戶端的請(qǐng)求命令并進(jìn)行分析和判斷，選擇對(duì)請(qǐng)求命令進(jìn)行加密的層次，以完成請(qǐng)求命令加密操作。

    (4)加密代理服務(wù)器依據(jù)分析結(jié)果對(duì)請(qǐng)求語(yǔ)句進(jìn)行加密重寫(xiě)，確保對(duì)數(shù)據(jù)層數(shù)據(jù)的密態(tài)詢問(wèn)。

    (5)數(shù)據(jù)庫(kù)代理將加密后的請(qǐng)求命令發(fā)送給云存儲(chǔ)端管理服務(wù)器。

    (6)云存儲(chǔ)端執(zhí)行請(qǐng)求命令，得到密態(tài)數(shù)據(jù)的處理結(jié)果，并將結(jié)果返回加密代理服務(wù)器。

    (7)加密代理服務(wù)器得到密態(tài)處理結(jié)果后進(jìn)行解密和重寫(xiě)，返回到云服務(wù)器。

    (8)云服務(wù)器接收解密結(jié)果，并將結(jié)果返回給用戶，完成整個(gè)訪問(wèn)請(qǐng)求過(guò)程。

3.2 用戶分組管理機(jī)制

    私有云環(huán)境通常為組織或機(jī)構(gòu)專門(mén)提供服務(wù)，其用戶除了包括組織機(jī)構(gòu)的內(nèi)部人員之外，還包括分支機(jī)構(gòu)及分支機(jī)構(gòu)的內(nèi)部人員、與其業(yè)務(wù)相關(guān)的外部人員等。依據(jù)用戶在云內(nèi)角色、業(yè)務(wù)分工、組織關(guān)系的不同，應(yīng)該為云用戶劃分不同的組織進(jìn)行統(tǒng)一規(guī)范管理。為便于云環(huán)境中的用戶管理與應(yīng)用服務(wù)，符合組織機(jī)構(gòu)的實(shí)際運(yùn)行特征，私有云環(huán)境內(nèi)的用戶管理機(jī)制應(yīng)該依據(jù)機(jī)構(gòu)內(nèi)部的組織架構(gòu)以及業(yè)務(wù)層級(jí)關(guān)系，賦予用戶相應(yīng)的角色，部署用戶的身份識(shí)別與驗(yàn)證機(jī)制，制定服務(wù)資源的安全級(jí)別，劃分用戶的訪問(wèn)權(quán)限，以此實(shí)現(xiàn)云用戶的安全高效管理。

3.3 用戶密鑰分發(fā)機(jī)制

    在私有云環(huán)境中，基于加密機(jī)制的訪問(wèn)控制方案通過(guò)對(duì)用戶身份信息以及訪問(wèn)請(qǐng)求信息進(jìn)行加密處理，有效控制云服務(wù)應(yīng)用的請(qǐng)求范圍，同時(shí)保護(hù)數(shù)據(jù)資源的安全以及用戶的隱私，從而實(shí)現(xiàn)高效、安全、可信的訪問(wèn)控制。其中，對(duì)用戶密鑰進(jìn)行的分發(fā)與管理是整個(gè)方案的關(guān)鍵之處。在密碼學(xué)中，通常密鑰的分析依賴于可信第三方的存在，而在私有云環(huán)境中，內(nèi)部安全風(fēng)險(xiǎn)較小，可信程度較高，同時(shí)云服務(wù)器的用途和服務(wù)范圍較為有限，計(jì)算能力強(qiáng)，因此，用戶密鑰的分發(fā)與管理完全可以依賴云自身的能力。其過(guò)程如圖5所示。

3.4 跨域授權(quán)機(jī)制

    在同一系統(tǒng)組織內(nèi)，由于存在組織架構(gòu)、人員角色、業(yè)務(wù)范圍、數(shù)據(jù)保密等級(jí)等的不同因素，可以將組織內(nèi)部專用的私有云環(huán)境劃分多個(gè)安全域，對(duì)云環(huán)境中的人員、資源、數(shù)據(jù)、業(yè)務(wù)等進(jìn)行更加安全有效的管控。一旦云用戶需要對(duì)自身安全域之外的資源進(jìn)行訪問(wèn)，則涉及對(duì)跨安全域訪問(wèn)操作的授權(quán)與認(rèn)證。多安全域之間的密文訪問(wèn)控制技術(shù)依賴于第三方可信認(rèn)證中心，即私有云域間授權(quán)認(rèn)證管理中心。存在跨域訪問(wèn)需求的用戶在經(jīng)過(guò)本安全域的授權(quán)認(rèn)證之后，還需要向域間授權(quán)認(rèn)證管理中心申請(qǐng)權(quán)限，由管理中心統(tǒng)一對(duì)跨域訪問(wèn)請(qǐng)求進(jìn)行判決，若訪問(wèn)請(qǐng)求被允許，則為訪問(wèn)請(qǐng)求主客體雙方分發(fā)對(duì)稱的數(shù)據(jù)加密密鑰，以此進(jìn)行有效的跨域訪問(wèn)管控。實(shí)現(xiàn)機(jī)制如圖6所示。

4 結(jié)束語(yǔ)

    由于私有云具有特殊的應(yīng)用背景及建設(shè)需求，而訪問(wèn)控制技術(shù)是保障云內(nèi)數(shù)據(jù)與應(yīng)用安全的關(guān)鍵所在，因此需要對(duì)私有云環(huán)境下的訪問(wèn)控制技術(shù)進(jìn)行具體研究。本文分析云環(huán)境下傳統(tǒng)訪問(wèn)控制技術(shù)面臨的挑戰(zhàn)，結(jié)合私有云的特征，分析訪問(wèn)控制技術(shù)應(yīng)用特點(diǎn)，提出基于加密體制的云訪問(wèn)控制方案，并對(duì)其中的用戶分組管理機(jī)制、密鑰分發(fā)機(jī)制以及跨域授權(quán)機(jī)制進(jìn)行簡(jiǎn)單描述。下一步將以此為基礎(chǔ)，開(kāi)展私有云用戶隱私保護(hù)與信任評(píng)估的研究。

參考文獻(xiàn)

[1] 馮朝勝，秦志光，袁丁.云數(shù)據(jù)安全存儲(chǔ)技術(shù)[J].計(jì)算機(jī)學(xué)報(bào)，2015，38(1)：150-163.

[2] Cloud Security Alliance.The treacherous 12-top threats to cloud computing+industry insights[Z].2017.

[3] 陳龍，肖敏，羅文俊，等.云計(jì)算與數(shù)據(jù)安全[M].北京：科學(xué)出版社，2016.

[4] 李昊，張敏，馮登國(guó)，等.大數(shù)據(jù)訪問(wèn)控制研究[J].計(jì)算機(jī)學(xué)報(bào)，2017，40(1)：72-91.

[5] Li Xiehua，Wang Yanlong，Xu Ming，et al.Decentralized attribute-based encryption and data sharing scheme in cloud storage[J].China Communications，2018(2)：138-152.

[6] 張如云.基于云環(huán)境的企業(yè)數(shù)據(jù)安全探析[J].辦公自動(dòng)化，2018，2(1)：56-59.

[7] 王于丁，楊家海，徐聰，等.云計(jì)算訪問(wèn)控制技術(shù)研究綜述[J].軟件學(xué)報(bào)，2015，26(5)：1129-1150.

[8] 張玉清，王曉菲，劉雪峰，等.云計(jì)算環(huán)境安全綜述[J].軟件學(xué)報(bào)，2016，27(6)：1-21.

[9] 陸佳煒，吳斐斐，徐俊，等.基于動(dòng)態(tài)授權(quán)機(jī)制的自適應(yīng)云訪問(wèn)控制方法研究[J].計(jì)算機(jī)應(yīng)用與軟件，2017，34(7)：325-332.

[10] 鄭志恒，張敏情，戴曉明，等.高效的基于代理重加密的云存儲(chǔ)訪問(wèn)控制方案[J].電子技術(shù)應(yīng)用，2016，42(11)：99-105.

[11] Zhang Kai，Li Hui，Ma Jianfeng，et al.Efficient largeuniverse multi-authority ciphertext-policy attribute-based encryption with white-box trace ability[J].Science China(Information Sciences)，2018，61(3)：1-13.

[12] 錢(qián)沖沖，解福.一種基于可信第三方的CP-ABE云存儲(chǔ)訪問(wèn)控制方案[J].計(jì)算機(jī)與數(shù)字工程，2017，45(1)：122-126.

[13] 李勇，雷麗楠，朱巖.密文訪問(wèn)控制及其應(yīng)用研究[J].信息安全研究，2016，2(8)：721-728.

[14] 王靜宇，顧瑞春.面向云計(jì)算環(huán)境的訪問(wèn)控制技術(shù)[M].北京：科學(xué)出版社，2017.

作者信息:

楊豪璞，劉繼光，沈  斌

（中國(guó)人民解放軍92493部隊(duì)，遼寧 葫蘆島125000）