0 引言

    云計算是一種新興的計算應(yīng)用模式，通過網(wǎng)絡(luò)按需提供各種應(yīng)用系統(tǒng)所需的硬件、平臺、軟件資源或者用戶需要的信息化服務(wù)，具有靈活、易擴(kuò)展、成本低、效率高的特點。隨著云計算技術(shù)在政府、銀行、通信、貿(mào)易、軍隊等國家層級關(guān)鍵基礎(chǔ)設(shè)施建設(shè)中的廣泛運用，私有云環(huán)境中的數(shù)據(jù)安全與高效應(yīng)用問題逐漸引起重視^[1]。

    近年來，云計算行業(yè)出現(xiàn)的安全事故呈現(xiàn)日益增多的趨勢。世界關(guān)注度最高的云安全研究組織云安全聯(lián)盟(Cloud Security Alliance，CSA)于2016年公布報告《The Treacherous 12-Top Threat to Cloud Computing+Industry Insights》^[2]，總結(jié)了云計算領(lǐng)域12個關(guān)鍵安全威脅，包括數(shù)據(jù)泄露(Data Breaches)、身份認(rèn)證管理缺失(Insufficient Identity，Credential and Access Management)、系統(tǒng)漏洞(System Vulnerabilities)、賬戶劫持(Account Hijacking)、惡意用戶(Malicious Insider)、數(shù)據(jù)丟失(Data Loss)、服務(wù)濫用與非法使用(Abuse and Nefarious Use of Cloud Services)等，并根據(jù)微軟威脅分析模型STRIDE，從身份欺騙(Spoofing Identity)、數(shù)據(jù)篡改(Tampering with Data)、行為否認(rèn)(Repudiation)、信息泄露(Information Disclosure)、拒絕服務(wù)(Denial of Service)、權(quán)限非法提升(Elevation of Privilege)6個層次，對各個安全威脅所能產(chǎn)生的后果進(jìn)行評估?？梢钥闯?，云安全問題的核心是解決云計算環(huán)境中的數(shù)據(jù)安全，最基本的是通過密碼技術(shù)和訪問控制手段保障數(shù)據(jù)資源的機(jī)密性、完整性和可用性^[3]。本文針對私云計算環(huán)境，研究基于加密體制的訪問控制技術(shù)的應(yīng)用。

1 傳統(tǒng)訪問控制技術(shù)

1.1 訪問控制技術(shù)原理

    訪問控制技術(shù)是在20世紀(jì)70年代為了解決管理大型主機(jī)系統(tǒng)上共享數(shù)據(jù)授權(quán)訪問的問題而提出的，其核心在于依據(jù)設(shè)定的授權(quán)策略對用戶進(jìn)行授權(quán)^[4]。訪問控制技術(shù)實現(xiàn)的基本思路為：首先對用戶的身份進(jìn)行合法性鑒別，其次通過某種途徑顯示準(zhǔn)許或限制用戶對數(shù)據(jù)資源的訪問能力與范圍，從而實現(xiàn)對關(guān)鍵數(shù)據(jù)資源的保護(hù)。通過訪問控制技術(shù)，能夠?qū)崿F(xiàn)以下3點功能：(1)防止非法用戶訪問受保護(hù)的數(shù)據(jù)資源；(2)允許合法用戶訪問被授權(quán)的數(shù)據(jù)資源；(3)防止合法用戶訪問未授權(quán)的數(shù)據(jù)資源。經(jīng)過多年的發(fā)展，現(xiàn)有的訪問控制模型通常包含主體、客體、訪問操作以及訪問控制策略4種實體。

1.2 傳統(tǒng)訪問控制模型

    傳統(tǒng)的訪問控制分為自主訪問控制(Discretionary Access Control，DAC)和強(qiáng)制訪問控制(Mandatory Access Control，MAC)兩類。隨著網(wǎng)絡(luò)和計算技術(shù)的不斷發(fā)展，出現(xiàn)了許多以基于角色的訪問控制(Role-Based Access Control，RBAC)為基礎(chǔ)的擴(kuò)展模型。

    DAC模型由客體擁有者自身決定是否將客體的訪問權(quán)或部分訪問權(quán)授與其他主體，對客體擁有者而言，這種控制方式是自主的。DAC機(jī)制的優(yōu)點在于簡單易行，授權(quán)靈活，操作方便，但對于大型分布式系統(tǒng)，訪問控制變得非常復(fù)雜，效率下降。

    MAC模型由專門的授權(quán)機(jī)構(gòu)為主體和客體分別定義訪問權(quán)限。在該機(jī)制下，即使是客體擁有者本身也無權(quán)對其進(jìn)行權(quán)限修改。MAC機(jī)制的優(yōu)點在于避免了DAC中出現(xiàn)的訪問傳遞問題，具有層次性特征；缺點表現(xiàn)在權(quán)限管理難度大，靈活性差。

    RABC模型引入了“角色role”的概念，將權(quán)限與角色進(jìn)行關(guān)聯(lián)，通過角色建立主體與訪問權(quán)限之間的多對多關(guān)系，權(quán)限被授予角色，角色被授予主體。標(biāo)準(zhǔn)的RBAC參考模型NIST RBAC^[5]如圖1所示。

2 私有云環(huán)境下的訪問控制研究

2.1 云環(huán)境下訪問控制挑戰(zhàn)

    在云計算環(huán)境下，訪問控制是貫穿整個云服務(wù)體系的一種安全技術(shù)。云環(huán)境本身具有的數(shù)據(jù)外包、基礎(chǔ)設(shè)施公有化、資源共享、動態(tài)定制服務(wù)等特點^[6-10]，對傳統(tǒng)訪問控制技術(shù)提出挑戰(zhàn)，主要存在以下幾個層面：

    (1)由于虛擬技術(shù)的運用，云計算環(huán)境下的訪問控制技術(shù)已從傳統(tǒng)對用戶進(jìn)行授權(quán)擴(kuò)展到對虛擬資源的訪問和云存儲數(shù)據(jù)的安全訪問等方面，因此需要對訪問控制的主體和客體的有關(guān)概念進(jìn)行重新界定。

    (2)云計算環(huán)境下缺乏統(tǒng)一的權(quán)威管理中心，資源擁有者、資源管理者、資源請求者可能位于不同的安全管理域，當(dāng)用戶跨安全管理域訪問資源時，需要制定跨域授權(quán)認(rèn)證和訪問控制機(jī)制的支撐。

    (3)在云計算環(huán)境中，用戶、資源、網(wǎng)絡(luò)環(huán)境等都是動態(tài)的，對用戶的授權(quán)管理也是不斷變化的，管理員角色眾多、層次復(fù)雜、權(quán)限分配模式變化等因素，對云環(huán)境下實現(xiàn)動態(tài)的、安全的訪問控制提出挑戰(zhàn)。

    (4)在云計算環(huán)境中，虛擬資源與底層完全隔離的機(jī)制使得隱蔽通道更不易被發(fā)現(xiàn)，需要訪問控制機(jī)制加以管理。

    (5)云環(huán)境下的信任與隱私保護(hù)問題也需要對訪問控制的實現(xiàn)進(jìn)行重新思考。

2.2 私有云環(huán)境下訪問控制技術(shù)應(yīng)用特點

    私有云是指由企業(yè)或組織自主構(gòu)建、內(nèi)部使用的云平臺，它的所有服務(wù)均由內(nèi)部人員或分支機(jī)構(gòu)使用，常見于一些組織、機(jī)構(gòu)、企業(yè)等團(tuán)體，如政府部門、工業(yè)部門、軍事領(lǐng)域等。分析常見的私有云應(yīng)用環(huán)境，可以將其特點進(jìn)行如下歸納：

    (1)服務(wù)器可信程度高。在大部分公有云計算環(huán)境下，數(shù)據(jù)資源交付由云服務(wù)提供商進(jìn)行存儲控制，但對用戶而言，服務(wù)器并不是完全值得信任的角色，而在私有云環(huán)境中，云平臺的基礎(chǔ)設(shè)施為建設(shè)單位所獨有的，服務(wù)器位于內(nèi)部多重保護(hù)之下，其可信程度相對較高。

    (2)內(nèi)部人員可信程度高。私有云通常用于為企業(yè)或組織內(nèi)部的人員或分支機(jī)構(gòu)提供服務(wù)，其服務(wù)對象范圍固定、人員可控，由內(nèi)部人員造成的安全風(fēng)險較小。

    (3)應(yīng)用模式定制化程度高。私有云完全依據(jù)建設(shè)單位的組織結(jié)構(gòu)、管理架構(gòu)、業(yè)務(wù)組成等實際情況進(jìn)行定制化開發(fā)，能夠按需實現(xiàn)高度可控的配置與部署。因此，私有云環(huán)境中的安全更加側(cè)重于數(shù)據(jù)資源自身的安全存儲與有效應(yīng)用，即通過加密、校驗、授權(quán)管理、訪問控制等技術(shù)實現(xiàn)云平臺中數(shù)據(jù)資源的安全保護(hù)。

    基于密碼體制的訪問控制技術(shù)是指利用密碼體制對數(shù)據(jù)資源進(jìn)行加密保護(hù)，只有擁有解密所需密鑰的用戶才能有效獲取數(shù)據(jù)。該技術(shù)實現(xiàn)了數(shù)據(jù)資源的加密防護(hù)，同時對數(shù)據(jù)資源的應(yīng)用及共享范圍實現(xiàn)了有效控制。目前，比較成熟的技術(shù)是屬性基加密的訪問控制（Attribute-Based Encryption access control，ABE）[11-13]技術(shù)。

    ABE訪問控制包括4個參與方：數(shù)據(jù)資源提供者、可信授權(quán)中心、云服務(wù)器、數(shù)據(jù)資源請求者，如圖2所示。

    實現(xiàn)機(jī)制描述如下：首先，可信授權(quán)中心生成主密鑰和公開參數(shù)，將系統(tǒng)公鑰傳給數(shù)據(jù)提供者；數(shù)據(jù)提供者利用公鑰和訪問策略結(jié)構(gòu)對原始數(shù)據(jù)資源進(jìn)行加密，并將密文和訪問策略結(jié)構(gòu)上傳至云服務(wù)器；當(dāng)用戶加入系統(tǒng)后，將自己的屬性集上傳至可信授權(quán)中心，并申請私鑰；可信授權(quán)中心利用用戶提交的信息和主密鑰計算生成私鑰，并返回給用戶；最后，用戶提出數(shù)據(jù)訪問請求，若其屬性集滿足密文數(shù)據(jù)的訪問策略結(jié)構(gòu)，則成功共享數(shù)據(jù)資源，否則，訪問數(shù)據(jù)失敗。

3 基于加密體制的云計算訪問控制應(yīng)用

    在私有云計算環(huán)境中，由于平臺外部的不可信以及不可控因素造成的安全隱患較小，因此安全策略更加側(cè)重于控制防范云內(nèi)部應(yīng)用與存儲之間的安全風(fēng)險。基于加密體制的訪問控制技術(shù)的應(yīng)用有3點關(guān)鍵之處^[14]：(1)用戶的分組與管理機(jī)制；(2)密鑰分發(fā)機(jī)制；(3)不同安全域的授權(quán)機(jī)制。本節(jié)主要對基于加密體制的云計算訪問控制應(yīng)用方案進(jìn)行描述，然后分別針對上述3個機(jī)制的設(shè)計思路進(jìn)行簡單探討。

3.1 訪問控制方案描述

    私有云環(huán)境下的訪問控制方案包含4個模塊：訪問請求解析模塊、訪問數(shù)據(jù)保護(hù)模塊、訪問控制模塊以及存儲交互模塊，如圖3所示。

    (1)訪問請求解析模塊主要是解析云用戶提交的訪問請求，通常該請求是對云存儲端的數(shù)據(jù)庫操作，根據(jù)不同的請求操作為后續(xù)數(shù)據(jù)加密保護(hù)方式的選擇提供依據(jù)。

    (2)訪問數(shù)據(jù)保護(hù)模塊負(fù)責(zé)將明文數(shù)據(jù)(如表名、列名、字符段值)進(jìn)行對應(yīng)的加密保護(hù)，根據(jù)訪問請求解析模塊對請求操作的分析，選擇相應(yīng)的加密算法。

    (3)訪問控制模塊基于用戶屬性加密，將屬性策略作為參數(shù)的一部分引入加密環(huán)節(jié)，根據(jù)密文擴(kuò)充模型生成私鑰。給需要訪問控制的字段或行增加標(biāo)志列，用于存放屬性加密結(jié)果，在操作這字段數(shù)據(jù)前，先驗證當(dāng)前用戶是否解密這個標(biāo)志列，解密成功才能完成操作。

    (4)存儲交互模塊依托云存儲端提供的接口，將解析后的訪問請求提交給云存儲端處理，并獲得處理結(jié)果。本質(zhì)上該模塊是一個映射代理，其輸入是用戶端提交的明文訪問請求，通過一系列加密、改寫，最后憑借各個加密結(jié)果輸出密文訪問請求，并將這個請求提交給云存儲端。

    詳細(xì)的用戶訪問云服務(wù)流程描述如圖4所示。

    (1)用戶端經(jīng)過身份認(rèn)證和權(quán)限審計后，取得訪問云服務(wù)的某一部分使用權(quán)限，在權(quán)限內(nèi)根據(jù)實際需求向云端發(fā)起應(yīng)用請求。

    (2)云服務(wù)器根據(jù)請求，生成一個標(biāo)準(zhǔn)的云存儲端請求命令，同時將這條命令發(fā)送給加密代理服務(wù)器。

    (3)加密代理服務(wù)器接收來自用戶端的請求命令并進(jìn)行分析和判斷，選擇對請求命令進(jìn)行加密的層次，以完成請求命令加密操作。

    (4)加密代理服務(wù)器依據(jù)分析結(jié)果對請求語句進(jìn)行加密重寫，確保對數(shù)據(jù)層數(shù)據(jù)的密態(tài)詢問。

    (5)數(shù)據(jù)庫代理將加密后的請求命令發(fā)送給云存儲端管理服務(wù)器。

    (6)云存儲端執(zhí)行請求命令，得到密態(tài)數(shù)據(jù)的處理結(jié)果，并將結(jié)果返回加密代理服務(wù)器。

    (7)加密代理服務(wù)器得到密態(tài)處理結(jié)果后進(jìn)行解密和重寫，返回到云服務(wù)器。

    (8)云服務(wù)器接收解密結(jié)果，并將結(jié)果返回給用戶，完成整個訪問請求過程。

3.2 用戶分組管理機(jī)制

    私有云環(huán)境通常為組織或機(jī)構(gòu)專門提供服務(wù)，其用戶除了包括組織機(jī)構(gòu)的內(nèi)部人員之外，還包括分支機(jī)構(gòu)及分支機(jī)構(gòu)的內(nèi)部人員、與其業(yè)務(wù)相關(guān)的外部人員等。依據(jù)用戶在云內(nèi)角色、業(yè)務(wù)分工、組織關(guān)系的不同，應(yīng)該為云用戶劃分不同的組織進(jìn)行統(tǒng)一規(guī)范管理。為便于云環(huán)境中的用戶管理與應(yīng)用服務(wù)，符合組織機(jī)構(gòu)的實際運行特征，私有云環(huán)境內(nèi)的用戶管理機(jī)制應(yīng)該依據(jù)機(jī)構(gòu)內(nèi)部的組織架構(gòu)以及業(yè)務(wù)層級關(guān)系，賦予用戶相應(yīng)的角色，部署用戶的身份識別與驗證機(jī)制，制定服務(wù)資源的安全級別，劃分用戶的訪問權(quán)限，以此實現(xiàn)云用戶的安全高效管理。

3.3 用戶密鑰分發(fā)機(jī)制

    在私有云環(huán)境中，基于加密機(jī)制的訪問控制方案通過對用戶身份信息以及訪問請求信息進(jìn)行加密處理，有效控制云服務(wù)應(yīng)用的請求范圍，同時保護(hù)數(shù)據(jù)資源的安全以及用戶的隱私，從而實現(xiàn)高效、安全、可信的訪問控制。其中，對用戶密鑰進(jìn)行的分發(fā)與管理是整個方案的關(guān)鍵之處。在密碼學(xué)中，通常密鑰的分析依賴于可信第三方的存在，而在私有云環(huán)境中，內(nèi)部安全風(fēng)險較小，可信程度較高，同時云服務(wù)器的用途和服務(wù)范圍較為有限，計算能力強(qiáng)，因此，用戶密鑰的分發(fā)與管理完全可以依賴云自身的能力。其過程如圖5所示。

3.4 跨域授權(quán)機(jī)制

    在同一系統(tǒng)組織內(nèi)，由于存在組織架構(gòu)、人員角色、業(yè)務(wù)范圍、數(shù)據(jù)保密等級等的不同因素，可以將組織內(nèi)部專用的私有云環(huán)境劃分多個安全域，對云環(huán)境中的人員、資源、數(shù)據(jù)、業(yè)務(wù)等進(jìn)行更加安全有效的管控。一旦云用戶需要對自身安全域之外的資源進(jìn)行訪問，則涉及對跨安全域訪問操作的授權(quán)與認(rèn)證。多安全域之間的密文訪問控制技術(shù)依賴于第三方可信認(rèn)證中心，即私有云域間授權(quán)認(rèn)證管理中心。存在跨域訪問需求的用戶在經(jīng)過本安全域的授權(quán)認(rèn)證之后，還需要向域間授權(quán)認(rèn)證管理中心申請權(quán)限，由管理中心統(tǒng)一對跨域訪問請求進(jìn)行判決，若訪問請求被允許，則為訪問請求主客體雙方分發(fā)對稱的數(shù)據(jù)加密密鑰，以此進(jìn)行有效的跨域訪問管控。實現(xiàn)機(jī)制如圖6所示。

4 結(jié)束語

    由于私有云具有特殊的應(yīng)用背景及建設(shè)需求，而訪問控制技術(shù)是保障云內(nèi)數(shù)據(jù)與應(yīng)用安全的關(guān)鍵所在，因此需要對私有云環(huán)境下的訪問控制技術(shù)進(jìn)行具體研究。本文分析云環(huán)境下傳統(tǒng)訪問控制技術(shù)面臨的挑戰(zhàn)，結(jié)合私有云的特征，分析訪問控制技術(shù)應(yīng)用特點，提出基于加密體制的云訪問控制方案，并對其中的用戶分組管理機(jī)制、密鑰分發(fā)機(jī)制以及跨域授權(quán)機(jī)制進(jìn)行簡單描述。下一步將以此為基礎(chǔ)，開展私有云用戶隱私保護(hù)與信任評估的研究。

參考文獻(xiàn)

[1] 馮朝勝，秦志光，袁丁.云數(shù)據(jù)安全存儲技術(shù)[J].計算機(jī)學(xué)報，2015，38(1)：150-163.

[2] Cloud Security Alliance.The treacherous 12-top threats to cloud computing+industry insights[Z].2017.

[3] 陳龍，肖敏，羅文俊，等.云計算與數(shù)據(jù)安全[M].北京：科學(xué)出版社，2016.

[4] 李昊，張敏，馮登國，等.大數(shù)據(jù)訪問控制研究[J].計算機(jī)學(xué)報，2017，40(1)：72-91.

[5] Li Xiehua，Wang Yanlong，Xu Ming，et al.Decentralized attribute-based encryption and data sharing scheme in cloud storage[J].China Communications，2018(2)：138-152.

[6] 張如云.基于云環(huán)境的企業(yè)數(shù)據(jù)安全探析[J].辦公自動化，2018，2(1)：56-59.

[7] 王于丁，楊家海，徐聰，等.云計算訪問控制技術(shù)研究綜述[J].軟件學(xué)報，2015，26(5)：1129-1150.

[8] 張玉清，王曉菲，劉雪峰，等.云計算環(huán)境安全綜述[J].軟件學(xué)報，2016，27(6)：1-21.

[9] 陸佳煒，吳斐斐，徐俊，等.基于動態(tài)授權(quán)機(jī)制的自適應(yīng)云訪問控制方法研究[J].計算機(jī)應(yīng)用與軟件，2017，34(7)：325-332.

[10] 鄭志恒，張敏情，戴曉明，等.高效的基于代理重加密的云存儲訪問控制方案[J].電子技術(shù)應(yīng)用，2016，42(11)：99-105.

[11] Zhang Kai，Li Hui，Ma Jianfeng，et al.Efficient largeuniverse multi-authority ciphertext-policy attribute-based encryption with white-box trace ability[J].Science China(Information Sciences)，2018，61(3)：1-13.

[12] 錢沖沖，解福.一種基于可信第三方的CP-ABE云存儲訪問控制方案[J].計算機(jī)與數(shù)字工程，2017，45(1)：122-126.

[13] 李勇，雷麗楠，朱巖.密文訪問控制及其應(yīng)用研究[J].信息安全研究，2016，2(8)：721-728.

[14] 王靜宇，顧瑞春.面向云計算環(huán)境的訪問控制技術(shù)[M].北京：科學(xué)出版社，2017.

作者信息:

楊豪璞，劉繼光，沈  斌

（中國人民解放軍92493部隊，遼寧 葫蘆島125000）