0 引言

    云計算是一種新興的計算應用模式，通過網(wǎng)絡按需提供各種應用系統(tǒng)所需的硬件、平臺、軟件資源或者用戶需要的信息化服務，具有靈活、易擴展、成本低、效率高的特點。隨著云計算技術(shù)在政府、銀行、通信、貿(mào)易、軍隊等國家層級關(guān)鍵基礎(chǔ)設施建設中的廣泛運用，私有云環(huán)境中的數(shù)據(jù)安全與高效應用問題逐漸引起重視^[1]。

    近年來，云計算行業(yè)出現(xiàn)的安全事故呈現(xiàn)日益增多的趨勢。世界關(guān)注度最高的云安全研究組織云安全聯(lián)盟(Cloud Security Alliance，CSA)于2016年公布報告《The Treacherous 12-Top Threat to Cloud Computing+Industry Insights》^[2]，總結(jié)了云計算領(lǐng)域12個關(guān)鍵安全威脅，包括數(shù)據(jù)泄露(Data Breaches)、身份認證管理缺失(Insufficient Identity，Credential and Access Management)、系統(tǒng)漏洞(System Vulnerabilities)、賬戶劫持(Account Hijacking)、惡意用戶(Malicious Insider)、數(shù)據(jù)丟失(Data Loss)、服務濫用與非法使用(Abuse and Nefarious Use of Cloud Services)等，并根據(jù)微軟威脅分析模型STRIDE，從身份欺騙(Spoofing Identity)、數(shù)據(jù)篡改(Tampering with Data)、行為否認(Repudiation)、信息泄露(Information Disclosure)、拒絕服務(Denial of Service)、權(quán)限非法提升(Elevation of Privilege)6個層次，對各個安全威脅所能產(chǎn)生的后果進行評估。可以看出，云安全問題的核心是解決云計算環(huán)境中的數(shù)據(jù)安全，最基本的是通過密碼技術(shù)和訪問控制手段保障數(shù)據(jù)資源的機密性、完整性和可用性^[3]。本文針對私云計算環(huán)境，研究基于加密體制的訪問控制技術(shù)的應用。

1 傳統(tǒng)訪問控制技術(shù)

1.1 訪問控制技術(shù)原理

    訪問控制技術(shù)是在20世紀70年代為了解決管理大型主機系統(tǒng)上共享數(shù)據(jù)授權(quán)訪問的問題而提出的，其核心在于依據(jù)設定的授權(quán)策略對用戶進行授權(quán)^[4]。訪問控制技術(shù)實現(xiàn)的基本思路為：首先對用戶的身份進行合法性鑒別，其次通過某種途徑顯示準許或限制用戶對數(shù)據(jù)資源的訪問能力與范圍，從而實現(xiàn)對關(guān)鍵數(shù)據(jù)資源的保護。通過訪問控制技術(shù)，能夠?qū)崿F(xiàn)以下3點功能：(1)防止非法用戶訪問受保護的數(shù)據(jù)資源；(2)允許合法用戶訪問被授權(quán)的數(shù)據(jù)資源；(3)防止合法用戶訪問未授權(quán)的數(shù)據(jù)資源。經(jīng)過多年的發(fā)展，現(xiàn)有的訪問控制模型通常包含主體、客體、訪問操作以及訪問控制策略4種實體。

1.2 傳統(tǒng)訪問控制模型

    傳統(tǒng)的訪問控制分為自主訪問控制(Discretionary Access Control，DAC)和強制訪問控制(Mandatory Access Control，MAC)兩類。隨著網(wǎng)絡和計算技術(shù)的不斷發(fā)展，出現(xiàn)了許多以基于角色的訪問控制(Role-Based Access Control，RBAC)為基礎(chǔ)的擴展模型。

    DAC模型由客體擁有者自身決定是否將客體的訪問權(quán)或部分訪問權(quán)授與其他主體，對客體擁有者而言，這種控制方式是自主的。DAC機制的優(yōu)點在于簡單易行，授權(quán)靈活，操作方便，但對于大型分布式系統(tǒng)，訪問控制變得非常復雜，效率下降。

    MAC模型由專門的授權(quán)機構(gòu)為主體和客體分別定義訪問權(quán)限。在該機制下，即使是客體擁有者本身也無權(quán)對其進行權(quán)限修改。MAC機制的優(yōu)點在于避免了DAC中出現(xiàn)的訪問傳遞問題，具有層次性特征；缺點表現(xiàn)在權(quán)限管理難度大，靈活性差。

    RABC模型引入了“角色role”的概念，將權(quán)限與角色進行關(guān)聯(lián)，通過角色建立主體與訪問權(quán)限之間的多對多關(guān)系，權(quán)限被授予角色，角色被授予主體。標準的RBAC參考模型NIST RBAC^[5]如圖1所示。

2 私有云環(huán)境下的訪問控制研究

2.1 云環(huán)境下訪問控制挑戰(zhàn)

    在云計算環(huán)境下，訪問控制是貫穿整個云服務體系的一種安全技術(shù)。云環(huán)境本身具有的數(shù)據(jù)外包、基礎(chǔ)設施公有化、資源共享、動態(tài)定制服務等特點^[6-10]，對傳統(tǒng)訪問控制技術(shù)提出挑戰(zhàn)，主要存在以下幾個層面：

    (1)由于虛擬技術(shù)的運用，云計算環(huán)境下的訪問控制技術(shù)已從傳統(tǒng)對用戶進行授權(quán)擴展到對虛擬資源的訪問和云存儲數(shù)據(jù)的安全訪問等方面，因此需要對訪問控制的主體和客體的有關(guān)概念進行重新界定。

    (2)云計算環(huán)境下缺乏統(tǒng)一的權(quán)威管理中心，資源擁有者、資源管理者、資源請求者可能位于不同的安全管理域，當用戶跨安全管理域訪問資源時，需要制定跨域授權(quán)認證和訪問控制機制的支撐。

    (3)在云計算環(huán)境中，用戶、資源、網(wǎng)絡環(huán)境等都是動態(tài)的，對用戶的授權(quán)管理也是不斷變化的，管理員角色眾多、層次復雜、權(quán)限分配模式變化等因素，對云環(huán)境下實現(xiàn)動態(tài)的、安全的訪問控制提出挑戰(zhàn)。

    (4)在云計算環(huán)境中，虛擬資源與底層完全隔離的機制使得隱蔽通道更不易被發(fā)現(xiàn)，需要訪問控制機制加以管理。

    (5)云環(huán)境下的信任與隱私保護問題也需要對訪問控制的實現(xiàn)進行重新思考。

2.2 私有云環(huán)境下訪問控制技術(shù)應用特點

    私有云是指由企業(yè)或組織自主構(gòu)建、內(nèi)部使用的云平臺，它的所有服務均由內(nèi)部人員或分支機構(gòu)使用，常見于一些組織、機構(gòu)、企業(yè)等團體，如政府部門、工業(yè)部門、軍事領(lǐng)域等。分析常見的私有云應用環(huán)境，可以將其特點進行如下歸納：

    (1)服務器可信程度高。在大部分公有云計算環(huán)境下，數(shù)據(jù)資源交付由云服務提供商進行存儲控制，但對用戶而言，服務器并不是完全值得信任的角色，而在私有云環(huán)境中，云平臺的基礎(chǔ)設施為建設單位所獨有的，服務器位于內(nèi)部多重保護之下，其可信程度相對較高。

    (2)內(nèi)部人員可信程度高。私有云通常用于為企業(yè)或組織內(nèi)部的人員或分支機構(gòu)提供服務，其服務對象范圍固定、人員可控，由內(nèi)部人員造成的安全風險較小。

    (3)應用模式定制化程度高。私有云完全依據(jù)建設單位的組織結(jié)構(gòu)、管理架構(gòu)、業(yè)務組成等實際情況進行定制化開發(fā)，能夠按需實現(xiàn)高度可控的配置與部署。因此，私有云環(huán)境中的安全更加側(cè)重于數(shù)據(jù)資源自身的安全存儲與有效應用，即通過加密、校驗、授權(quán)管理、訪問控制等技術(shù)實現(xiàn)云平臺中數(shù)據(jù)資源的安全保護。

    基于密碼體制的訪問控制技術(shù)是指利用密碼體制對數(shù)據(jù)資源進行加密保護，只有擁有解密所需密鑰的用戶才能有效獲取數(shù)據(jù)。該技術(shù)實現(xiàn)了數(shù)據(jù)資源的加密防護，同時對數(shù)據(jù)資源的應用及共享范圍實現(xiàn)了有效控制。目前，比較成熟的技術(shù)是屬性基加密的訪問控制（Attribute-Based Encryption access control，ABE）[11-13]技術(shù)。

    ABE訪問控制包括4個參與方：數(shù)據(jù)資源提供者、可信授權(quán)中心、云服務器、數(shù)據(jù)資源請求者，如圖2所示。

    實現(xiàn)機制描述如下：首先，可信授權(quán)中心生成主密鑰和公開參數(shù)，將系統(tǒng)公鑰傳給數(shù)據(jù)提供者；數(shù)據(jù)提供者利用公鑰和訪問策略結(jié)構(gòu)對原始數(shù)據(jù)資源進行加密，并將密文和訪問策略結(jié)構(gòu)上傳至云服務器；當用戶加入系統(tǒng)后，將自己的屬性集上傳至可信授權(quán)中心，并申請私鑰；可信授權(quán)中心利用用戶提交的信息和主密鑰計算生成私鑰，并返回給用戶；最后，用戶提出數(shù)據(jù)訪問請求，若其屬性集滿足密文數(shù)據(jù)的訪問策略結(jié)構(gòu)，則成功共享數(shù)據(jù)資源，否則，訪問數(shù)據(jù)失敗。

3 基于加密體制的云計算訪問控制應用

    在私有云計算環(huán)境中，由于平臺外部的不可信以及不可控因素造成的安全隱患較小，因此安全策略更加側(cè)重于控制防范云內(nèi)部應用與存儲之間的安全風險?；诩用荏w制的訪問控制技術(shù)的應用有3點關(guān)鍵之處^[14]：(1)用戶的分組與管理機制；(2)密鑰分發(fā)機制；(3)不同安全域的授權(quán)機制。本節(jié)主要對基于加密體制的云計算訪問控制應用方案進行描述，然后分別針對上述3個機制的設計思路進行簡單探討。

3.1 訪問控制方案描述

    私有云環(huán)境下的訪問控制方案包含4個模塊：訪問請求解析模塊、訪問數(shù)據(jù)保護模塊、訪問控制模塊以及存儲交互模塊，如圖3所示。

    (1)訪問請求解析模塊主要是解析云用戶提交的訪問請求，通常該請求是對云存儲端的數(shù)據(jù)庫操作，根據(jù)不同的請求操作為后續(xù)數(shù)據(jù)加密保護方式的選擇提供依據(jù)。

    (2)訪問數(shù)據(jù)保護模塊負責將明文數(shù)據(jù)(如表名、列名、字符段值)進行對應的加密保護，根據(jù)訪問請求解析模塊對請求操作的分析，選擇相應的加密算法。

    (3)訪問控制模塊基于用戶屬性加密，將屬性策略作為參數(shù)的一部分引入加密環(huán)節(jié)，根據(jù)密文擴充模型生成私鑰。給需要訪問控制的字段或行增加標志列，用于存放屬性加密結(jié)果，在操作這字段數(shù)據(jù)前，先驗證當前用戶是否解密這個標志列，解密成功才能完成操作。

    (4)存儲交互模塊依托云存儲端提供的接口，將解析后的訪問請求提交給云存儲端處理，并獲得處理結(jié)果。本質(zhì)上該模塊是一個映射代理，其輸入是用戶端提交的明文訪問請求，通過一系列加密、改寫，最后憑借各個加密結(jié)果輸出密文訪問請求，并將這個請求提交給云存儲端。

    詳細的用戶訪問云服務流程描述如圖4所示。

    (1)用戶端經(jīng)過身份認證和權(quán)限審計后，取得訪問云服務的某一部分使用權(quán)限，在權(quán)限內(nèi)根據(jù)實際需求向云端發(fā)起應用請求。

    (2)云服務器根據(jù)請求，生成一個標準的云存儲端請求命令，同時將這條命令發(fā)送給加密代理服務器。

    (3)加密代理服務器接收來自用戶端的請求命令并進行分析和判斷，選擇對請求命令進行加密的層次，以完成請求命令加密操作。

    (4)加密代理服務器依據(jù)分析結(jié)果對請求語句進行加密重寫，確保對數(shù)據(jù)層數(shù)據(jù)的密態(tài)詢問。

    (5)數(shù)據(jù)庫代理將加密后的請求命令發(fā)送給云存儲端管理服務器。

    (6)云存儲端執(zhí)行請求命令，得到密態(tài)數(shù)據(jù)的處理結(jié)果，并將結(jié)果返回加密代理服務器。

    (7)加密代理服務器得到密態(tài)處理結(jié)果后進行解密和重寫，返回到云服務器。

    (8)云服務器接收解密結(jié)果，并將結(jié)果返回給用戶，完成整個訪問請求過程。

3.2 用戶分組管理機制

    私有云環(huán)境通常為組織或機構(gòu)專門提供服務，其用戶除了包括組織機構(gòu)的內(nèi)部人員之外，還包括分支機構(gòu)及分支機構(gòu)的內(nèi)部人員、與其業(yè)務相關(guān)的外部人員等。依據(jù)用戶在云內(nèi)角色、業(yè)務分工、組織關(guān)系的不同，應該為云用戶劃分不同的組織進行統(tǒng)一規(guī)范管理。為便于云環(huán)境中的用戶管理與應用服務，符合組織機構(gòu)的實際運行特征，私有云環(huán)境內(nèi)的用戶管理機制應該依據(jù)機構(gòu)內(nèi)部的組織架構(gòu)以及業(yè)務層級關(guān)系，賦予用戶相應的角色，部署用戶的身份識別與驗證機制，制定服務資源的安全級別，劃分用戶的訪問權(quán)限，以此實現(xiàn)云用戶的安全高效管理。

3.3 用戶密鑰分發(fā)機制

    在私有云環(huán)境中，基于加密機制的訪問控制方案通過對用戶身份信息以及訪問請求信息進行加密處理，有效控制云服務應用的請求范圍，同時保護數(shù)據(jù)資源的安全以及用戶的隱私，從而實現(xiàn)高效、安全、可信的訪問控制。其中，對用戶密鑰進行的分發(fā)與管理是整個方案的關(guān)鍵之處。在密碼學中，通常密鑰的分析依賴于可信第三方的存在，而在私有云環(huán)境中，內(nèi)部安全風險較小，可信程度較高，同時云服務器的用途和服務范圍較為有限，計算能力強，因此，用戶密鑰的分發(fā)與管理完全可以依賴云自身的能力。其過程如圖5所示。

3.4 跨域授權(quán)機制

    在同一系統(tǒng)組織內(nèi)，由于存在組織架構(gòu)、人員角色、業(yè)務范圍、數(shù)據(jù)保密等級等的不同因素，可以將組織內(nèi)部專用的私有云環(huán)境劃分多個安全域，對云環(huán)境中的人員、資源、數(shù)據(jù)、業(yè)務等進行更加安全有效的管控。一旦云用戶需要對自身安全域之外的資源進行訪問，則涉及對跨安全域訪問操作的授權(quán)與認證。多安全域之間的密文訪問控制技術(shù)依賴于第三方可信認證中心，即私有云域間授權(quán)認證管理中心。存在跨域訪問需求的用戶在經(jīng)過本安全域的授權(quán)認證之后，還需要向域間授權(quán)認證管理中心申請權(quán)限，由管理中心統(tǒng)一對跨域訪問請求進行判決，若訪問請求被允許，則為訪問請求主客體雙方分發(fā)對稱的數(shù)據(jù)加密密鑰，以此進行有效的跨域訪問管控。實現(xiàn)機制如圖6所示。

4 結(jié)束語

    由于私有云具有特殊的應用背景及建設需求，而訪問控制技術(shù)是保障云內(nèi)數(shù)據(jù)與應用安全的關(guān)鍵所在，因此需要對私有云環(huán)境下的訪問控制技術(shù)進行具體研究。本文分析云環(huán)境下傳統(tǒng)訪問控制技術(shù)面臨的挑戰(zhàn)，結(jié)合私有云的特征，分析訪問控制技術(shù)應用特點，提出基于加密體制的云訪問控制方案，并對其中的用戶分組管理機制、密鑰分發(fā)機制以及跨域授權(quán)機制進行簡單描述。下一步將以此為基礎(chǔ)，開展私有云用戶隱私保護與信任評估的研究。

參考文獻

[1] 馮朝勝，秦志光，袁丁.云數(shù)據(jù)安全存儲技術(shù)[J].計算機學報，2015，38(1)：150-163.

[2] Cloud Security Alliance.The treacherous 12-top threats to cloud computing+industry insights[Z].2017.

[3] 陳龍，肖敏，羅文俊，等.云計算與數(shù)據(jù)安全[M].北京：科學出版社，2016.

[4] 李昊，張敏，馮登國，等.大數(shù)據(jù)訪問控制研究[J].計算機學報，2017，40(1)：72-91.

[5] Li Xiehua，Wang Yanlong，Xu Ming，et al.Decentralized attribute-based encryption and data sharing scheme in cloud storage[J].China Communications，2018(2)：138-152.

[6] 張如云.基于云環(huán)境的企業(yè)數(shù)據(jù)安全探析[J].辦公自動化，2018，2(1)：56-59.

[7] 王于丁，楊家海，徐聰，等.云計算訪問控制技術(shù)研究綜述[J].軟件學報，2015，26(5)：1129-1150.

[8] 張玉清，王曉菲，劉雪峰，等.云計算環(huán)境安全綜述[J].軟件學報，2016，27(6)：1-21.

[9] 陸佳煒，吳斐斐，徐俊，等.基于動態(tài)授權(quán)機制的自適應云訪問控制方法研究[J].計算機應用與軟件，2017，34(7)：325-332.

[10] 鄭志恒，張敏情，戴曉明，等.高效的基于代理重加密的云存儲訪問控制方案[J].電子技術(shù)應用，2016，42(11)：99-105.

[11] Zhang Kai，Li Hui，Ma Jianfeng，et al.Efficient largeuniverse multi-authority ciphertext-policy attribute-based encryption with white-box trace ability[J].Science China(Information Sciences)，2018，61(3)：1-13.

[12] 錢沖沖，解福.一種基于可信第三方的CP-ABE云存儲訪問控制方案[J].計算機與數(shù)字工程，2017，45(1)：122-126.

[13] 李勇，雷麗楠，朱巖.密文訪問控制及其應用研究[J].信息安全研究，2016，2(8)：721-728.

[14] 王靜宇，顧瑞春.面向云計算環(huán)境的訪問控制技術(shù)[M].北京：科學出版社，2017.

作者信息:

楊豪璞，劉繼光，沈  斌

（中國人民解放軍92493部隊，遼寧 葫蘆島125000）