技術(shù)報(bào)告一種基于云計(jì)算的網(wǎng)絡(luò)訪問控制方法

1、計(jì)劃類別 項(xiàng)目編號(hào) 項(xiàng)目技術(shù)報(bào)告課題名稱 項(xiàng)目主持人 承擔(dān)單位 題目：一種基于云計(jì)算的網(wǎng)絡(luò)訪問控制方法在分析云計(jì)算安全研究技術(shù)的基礎(chǔ)上，以中國(guó)墻模型為基礎(chǔ)，結(jié)合有關(guān)訪問控制的特點(diǎn)，提出了一種改進(jìn)的基于云計(jì)算的網(wǎng)絡(luò)訪問控制安全方法，該方法使用云端服務(wù)器與客體所有者通過作業(yè)分配權(quán)限的方式，具有清晰的身份管理層次，具有較好的靈活性和安全性，能滿足網(wǎng)絡(luò)訪問控制需求。通過仿真實(shí)驗(yàn)，實(shí)現(xiàn)了強(qiáng)制訪問控制下各級(jí)用戶訪問的分級(jí)管理，表明了有效性。關(guān)鍵詞：云計(jì)算；中國(guó)墻模型；網(wǎng)絡(luò)訪問控制1 引言（Introduction）隨著網(wǎng)絡(luò)的飛速發(fā)展，云計(jì)算已經(jīng)悄然來到我們身邊。20個(gè)世紀(jì)60年代，麥卡錫提出了一種把計(jì)算能

2、力作為公用事業(yè)提供給用戶的理念，這成為云計(jì)算思想的起源。隨著20個(gè)世紀(jì)80年代網(wǎng)格計(jì)算技術(shù)的出現(xiàn)，90年代公用計(jì)算技術(shù)的發(fā)展，以及20世紀(jì)初虛擬化技術(shù)、SOA、SaaS的廣泛應(yīng)用，云計(jì)算作為一種新興的資源使用和交付模式已經(jīng)開始逐漸為學(xué)界和產(chǎn)業(yè)界所認(rèn)知。云計(jì)算一系列的可供所有用戶共享訪問的資源，這些資源可以被虛擬化，并且可以能夠動(dòng)態(tài)升級(jí)。即使不懂云計(jì)算技術(shù)用戶，可以按照各自需求以租賃的方式訪問云，大大的方便了用戶的使用。云計(jì)算以互聯(lián)網(wǎng)為媒介提供服務(wù)，提供動(dòng)態(tài)、可伸縮、虛擬化的資源計(jì)算模式。這種涉及以互聯(lián)網(wǎng)來提供動(dòng)態(tài)、可伸縮、虛擬化資源的計(jì)算模式通常有基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加、使用和交付等模式。

3、運(yùn)用云計(jì)算技術(shù)可以按照需求方便快捷的從互聯(lián)網(wǎng)上共享的資源池中獲得信息，共享的資源池中的資源可以來自網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用和服務(wù)。云計(jì)算的這種資源模式和業(yè)務(wù)資源應(yīng)該支持通過簡(jiǎn)潔的管理或交互過程快速地部署和釋放1。云計(jì)算以動(dòng)態(tài)的服務(wù)計(jì)算為主要技術(shù)特征，以靈活的“服務(wù)合約”為核心商業(yè)特征2。傳統(tǒng)的數(shù)據(jù)存儲(chǔ)模式在云計(jì)算環(huán)境中被打破，云端服務(wù)器中存儲(chǔ)著所有數(shù)據(jù)，這些數(shù)據(jù)以托管的方式存在，用戶通過應(yīng)用程序編程接口（即API），使用瀏覽器來獲得所需要的數(shù)據(jù)和服務(wù)3。這種變化為用戶帶來了很大方便，同時(shí)引發(fā)了基于云計(jì)算的信息系統(tǒng)存在的安全隱患。如惡意訪問者的惡意行為導(dǎo)致的資料外泄；供應(yīng)商系統(tǒng)遭到大量惡意軟件攻

4、擊；云端服務(wù)器中共享信息的不安全性；以及黑客盜取供應(yīng)商系統(tǒng)的數(shù)據(jù)等。近年來，云計(jì)算安全問題大致分為三個(gè)方面：第一方面，云計(jì)算服務(wù)提供商提供的網(wǎng)絡(luò)、存儲(chǔ)是否安全，是否會(huì)造成數(shù)據(jù)泄密。第二方面，云計(jì)算服務(wù)提供商提供的服務(wù)是否安全，客戶數(shù)據(jù)本身是否安全。第三方面，客戶賬戶是否安全，是否能夠防止他人盜取客戶賬號(hào)使用云中的服務(wù)，而讓客戶埋單4。本文從云計(jì)算環(huán)境入手，分析了中國(guó)墻訪問控制模型，RBAC96模型的優(yōu)缺點(diǎn)，發(fā)現(xiàn)由于云計(jì)算環(huán)境的特殊性，數(shù)據(jù)存儲(chǔ)時(shí)采用傳統(tǒng)訪問控制模型已不適合，突出表現(xiàn)就是用戶數(shù)據(jù)安全的重要隱患體現(xiàn)在訪問控制過程。本文提出的基于云計(jì)算的網(wǎng)絡(luò)訪問控制安全方法考慮了層次分明的身份方法管

5、理，兼顧訪問控制的分布式要求，基于云計(jì)算環(huán)境下的云端服務(wù)器，使作業(yè)權(quán)限的分配與客體所有者共同完成。2 相關(guān)研究（Correlational research）中國(guó)墻安全模型由Brewer和Nash提出。中國(guó)墻模型又叫做Brewer and Nash model，是一種提供可動(dòng)態(tài)改變的信息安全訪問控制的安全模型。運(yùn)用這種模型進(jìn)行信息訪問控制，可以減輕客戶在商業(yè)組織中的利益沖突。在這個(gè)模型中，如果一個(gè)主體和客體在某種方式下能產(chǎn)生利益沖突，那么在它們之間的信息流將是被禁止的。例如，如果一個(gè)項(xiàng)目經(jīng)理在多家企業(yè)同時(shí)實(shí)施同一領(lǐng)域的工程，那么在每個(gè)企業(yè)中他只能看見有限的信息，如果某個(gè)信息對(duì)其他企業(yè)有利，那么

6、他將被禁止訪問。中國(guó)墻模型的創(chuàng)建是基于假設(shè)的，然而等價(jià)關(guān)系并不總是成立的，并且全體對(duì)象也并不總是等價(jià)類。因此如何防止非法授權(quán)訪問機(jī)密信息就成了網(wǎng)絡(luò)訪問控制的關(guān)鍵。RBAC96模型由Sandhu等人提出。該模型認(rèn)為客戶不會(huì)一成不變，針對(duì)變化的客戶靈活提供的安全策略。有關(guān)研究人員受到該模型客戶靈活度的啟發(fā)，從理論上對(duì)客戶關(guān)系進(jìn)行了進(jìn)一步分層化劃分，尋找不同客戶間隱藏關(guān)系，進(jìn)而分析出可信度。3 安全模型（Security model）本文提出的基于云計(jì)算的網(wǎng)絡(luò)訪問控制安全模型，通過分析云計(jì)算平臺(tái)下的客戶特點(diǎn)，按照客戶訪問行為特征辨析身份，綜合考慮實(shí)例和權(quán)限等網(wǎng)絡(luò)訪問要素，將其用于中國(guó)墻安全策略模型，

7、支持RBAC系統(tǒng)，實(shí)現(xiàn)強(qiáng)制訪問控制，在客戶多層次角色靈活性方面增加了中國(guó)墻模型的安全性。該模型是一種基于云計(jì)算的網(wǎng)絡(luò)強(qiáng)制訪問控制形式，它采用中庸策略，也就是說每一個(gè)用戶在體系里的權(quán)限不是確定的，是依據(jù)身份的不同而不同的，這樣一個(gè)系統(tǒng)里的安全策略就變得多元了。模型中的基本要素是身份，有了不同的身份才可能有響應(yīng)的任務(wù)，通過多層次身份的定義，劃分出對(duì)應(yīng)的多層次的任務(wù)，不同的任務(wù)才會(huì)被分配到響應(yīng)級(jí)別的權(quán)限，同一個(gè)客戶在不同的場(chǎng)景下訪問時(shí)，可能由于身份不同而獲得不用的權(quán)限，從而使得權(quán)限與客戶分開，實(shí)現(xiàn)了強(qiáng)制訪問控制，增強(qiáng)了安全性。4 基于云計(jì)算的網(wǎng)絡(luò)訪問控制安全方法（Networkaccess cont

8、rol security method based on cloudcomputing）在本方法中，將整個(gè)作業(yè)過程看成很多細(xì)小的任務(wù)，這些任務(wù)之間存在關(guān)聯(lián)，相互依賴，然后依據(jù)職能和責(zé)任將任務(wù)分配給身份，身份通過執(zhí)行任務(wù)實(shí)例從而得到權(quán)限。訪問權(quán)限的控制通過約束集可以實(shí)現(xiàn)，從而實(shí)現(xiàn)控制策略。客體的權(quán)限的獲得是據(jù)身份并通過任務(wù)，會(huì)話通常由用戶發(fā)起，在面向?qū)ο蠓矫?，身份間的部分關(guān)系可實(shí)現(xiàn)繼承。本方法的定義如下：用戶集。身份集。任務(wù)集。 任務(wù)實(shí)例。權(quán)限。操作P，程序映像，可執(zhí)行的。會(huì)話T，用戶需要身份時(shí)，必須發(fā)起會(huì)話?；卦捒梢约せ钣脩羯矸荩せ畹纳矸輧H用于當(dāng)次訪問，該次激活身份的權(quán)限也僅用于當(dāng)次身份。約

9、束集K，用于限制當(dāng)次訪問控制中的規(guī)則集合。5 基于云計(jì)算的網(wǎng)絡(luò)訪問控制需求（Network accesscontrol requirements based on cloud computing）在云計(jì)算平臺(tái)環(huán)境下，數(shù)據(jù)存儲(chǔ)面臨網(wǎng)絡(luò)威脅，相應(yīng)產(chǎn)生云存儲(chǔ)的安全問題。使用云計(jì)算平臺(tái)的用戶在存儲(chǔ)和讀取數(shù)據(jù)時(shí)，也有不用于本地局域網(wǎng)的用戶需求。（1）訪問者類型在云計(jì)算平臺(tái)環(huán)境中，數(shù)據(jù)的訪問者不僅僅是存儲(chǔ)用戶，還包括兩類用戶，即提供云計(jì)算平臺(tái)的供應(yīng)商和有相應(yīng)身份權(quán)限的訪問者。云計(jì)算平臺(tái)的供應(yīng)商負(fù)責(zé)存儲(chǔ)用戶交付的數(shù)據(jù)，這里涵蓋日常數(shù)據(jù)的維護(hù)、安全性保障、數(shù)據(jù)一致性、數(shù)據(jù)恢復(fù)等；有相應(yīng)身份權(quán)限的訪問者主要的行

10、為是讀取數(shù)據(jù)，把關(guān)的關(guān)鍵就是訪問權(quán)限，依據(jù)身份的不同，任務(wù)的不同，獲取不同的身份權(quán)限，任務(wù)權(quán)限，需求不同，權(quán)限也不同。（2）數(shù)據(jù)類型在云計(jì)算平臺(tái)環(huán)境中，用戶交付存儲(chǔ)的數(shù)據(jù)的安全性首先取決于服務(wù)提供商的網(wǎng)絡(luò)環(huán)境是否安全。云計(jì)算平臺(tái)環(huán)境中的服務(wù)器自身存儲(chǔ)數(shù)據(jù)也存在著安全性，以及數(shù)據(jù)完整性的問題。因此，云計(jì)算環(huán)境下，從數(shù)據(jù)角度分析，數(shù)據(jù)的訪問控制應(yīng)當(dāng)根據(jù)不同的安全等級(jí)設(shè)置不同的訪問控制。6 基于云計(jì)算的網(wǎng)絡(luò)訪問控制策略（Network accesscontrol policy based on cloud computing）依據(jù)不同用戶的訪問控制需求，采用作業(yè)分解的方式實(shí)現(xiàn)對(duì)訪問權(quán)限分配的控制。用

11、戶依據(jù)行為獲得身份，依據(jù)身份獲得任務(wù)，依據(jù)任務(wù)獲得權(quán)限，最終權(quán)限被分配的不是用戶，而是分解后的作業(yè)，最后依據(jù)作業(yè)的不同級(jí)別實(shí)現(xiàn)安全的分級(jí)訪問控制?；谠朴?jì)算的網(wǎng)絡(luò)訪問控制方法中，將作業(yè)分成四大類：私有類作業(yè)S、管理類作業(yè)G、日常類作業(yè)R、活躍類作業(yè)H，從而細(xì)化對(duì)作業(yè)權(quán)限分配的管理，作業(yè)的區(qū)別如表1?；谠朴?jì)算的網(wǎng)絡(luò)訪問控制方法的訪問控制策略是基于作業(yè)的，采用作業(yè)分解的方式實(shí)現(xiàn)對(duì)訪問權(quán)限分配的控制。用戶的身份通過分解了的作業(yè)得到，主體的訪問權(quán)限通過實(shí)例權(quán)限分配得到。基于云計(jì)算的網(wǎng)絡(luò)訪問控制方法的訪問控制組件屬性如表2。在實(shí)際的云計(jì)算服務(wù)環(huán)境中，來訪用戶訪問行為非常復(fù)雜，用于保證網(wǎng)絡(luò)訪問控制的策略

12、需要考慮的問題很多，本文方法主要考慮四個(gè)方面：（1）用戶身份類別云計(jì)算平臺(tái)環(huán)境中，數(shù)據(jù)的訪問者不僅僅是存儲(chǔ)用戶，還包括兩類用戶，即提供云計(jì)算平臺(tái)的供應(yīng)商和有相應(yīng)身份權(quán)限的訪問者。本文方法中，提供云計(jì)算平臺(tái)的供應(yīng)商的身份權(quán)限分配策略，可以依據(jù)多層次身份管理，從而獲得多層次權(quán)限管理；提供數(shù)據(jù)的存儲(chǔ)用戶身份權(quán)限分配策略，可以通過強(qiáng)制訪問控制任務(wù)實(shí)例獲得多層次權(quán)限管理；有相應(yīng)身份權(quán)限的訪問者可以通過對(duì)一次訪問過程進(jìn)行工作流作業(yè)分解，從而利用實(shí)例分配權(quán)限，簡(jiǎn)化了用戶管理和權(quán)限分配工作，每次為相同的客體訪問者創(chuàng)建作業(yè)實(shí)例（這里考慮的是外部共享訪問者對(duì)數(shù)據(jù)的操作大多是讀操作）。云計(jì)算服務(wù)提供商不再擁有對(duì)數(shù)據(jù)

13、的超級(jí)權(quán)限，預(yù)防安全隱患。（2）作業(yè)分解類別在基于云計(jì)算的網(wǎng)絡(luò)訪問控制方法中，作業(yè)的分類詳細(xì)分類了對(duì)數(shù)據(jù)訪問控制的安全等級(jí)。本文中使用S、G、R、H對(duì)一次訪問工作流中的作業(yè)分解劃分安全等級(jí)。一旦用戶發(fā)出訪問請(qǐng)求，就激活了會(huì)話，分解后的作業(yè)被啟動(dòng)，依據(jù)身份的層次，獲得相關(guān)權(quán)限。（3）信息安全控制在通常的網(wǎng)絡(luò)訪問控制方法中，網(wǎng)絡(luò)環(huán)境中采用非對(duì)稱密鑰系統(tǒng)進(jìn)行密文存儲(chǔ)，傳輸?shù)男畔踩珨?shù)據(jù)安全取決于私鑰。對(duì)網(wǎng)絡(luò)環(huán)境中來訪者依據(jù)身份層次進(jìn)行劃分，多層次涉及安全等級(jí)，再依據(jù)安全等級(jí)設(shè)置結(jié)果從而實(shí)現(xiàn)對(duì)信息安全的分級(jí)控制。在基于云計(jì)算的網(wǎng)絡(luò)訪問控制方法中，信息安全控制是后續(xù)的研究方向。（4）權(quán)限分配過程在基于云

14、計(jì)算的網(wǎng)絡(luò)訪問控制方法中，用戶的訪問請(qǐng)求由數(shù)據(jù)存儲(chǔ)委托方和云計(jì)算平臺(tái)的供應(yīng)商共同處理。提供云計(jì)算平臺(tái)的供應(yīng)商的身份權(quán)限分配策略，依據(jù)多層次身份管理，從而獲得多層次權(quán)限管理，不再擁有超級(jí)權(quán)限。委托存儲(chǔ)的數(shù)據(jù)在云計(jì)算平臺(tái)分級(jí)，在信息安全管理方面也采用多層次級(jí)別管理。數(shù)據(jù)存儲(chǔ)委托方只負(fù)責(zé)最高保密級(jí)別數(shù)據(jù)訪問請(qǐng)求的監(jiān)管，提供運(yùn)算及平臺(tái)的供應(yīng)商負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)中來訪者對(duì)數(shù)據(jù)保密性較低數(shù)據(jù)的訪問請(qǐng)求。這樣既保證數(shù)據(jù)安全的可控性，又減少了訪問管理工作。本文方法中的相關(guān)定義如下：云服務(wù)器名為FS，用戶Vi訪問用戶Vj擁有的客體Kj。Vi向FS發(fā)送訪問請(qǐng)求Access。FS查找Kj權(quán)限列表，若權(quán)限列表中有此次Kj的

15、訪問授權(quán)，則驗(yàn)證Vi，并返回授權(quán)證書或拒絕，Vi向客體Kj發(fā)起訪問請(qǐng)求；若客體權(quán)限列表中沒有該客體的訪問授權(quán)，就把Access轉(zhuǎn)發(fā)給Vj。Vj驗(yàn)證Vi，Vi驗(yàn)證Vj，依據(jù)雙方驗(yàn)證結(jié)果，選擇是否授權(quán)。若不授權(quán)，向Vi發(fā)送reject；若授權(quán)，Vj向基于云計(jì)算的網(wǎng)絡(luò)訪問控制方法組件申請(qǐng)創(chuàng)建作業(yè)，基于云計(jì)算的網(wǎng)絡(luò)訪問控制方法組件返回授權(quán)證書。Vj向Vi發(fā)送證書。Vi向客體Kj發(fā)起訪問請(qǐng)求。7 結(jié)論（Conclusion）本文仿真實(shí)驗(yàn)環(huán)境為Windows NT 2003，Inter（R）Pentium（R） CPU 2.6GHz，內(nèi)存2.0GB，采用Macromedia公司的Dreamweaver M

16、X作為程序開發(fā)平臺(tái)，ASP.net為腳本語言，利用SQL Server為后臺(tái)數(shù)據(jù)庫，按照本文提出的基于云計(jì)算的網(wǎng)絡(luò)訪問控制方法開發(fā)了一套企業(yè)管理信息系統(tǒng)。該系統(tǒng)應(yīng)用與云計(jì)算網(wǎng)絡(luò)環(huán)境后有效地提高了各種用戶訪問控制的安全性、靈活性。結(jié)果表明，該方法是有效的。 本文從云計(jì)算環(huán)境入手，分析了中國(guó)墻訪問控制模型和RBAC96模型的優(yōu)缺點(diǎn)。這些訪問控制模型對(duì)于云計(jì)算環(huán)境下的數(shù)據(jù)存儲(chǔ)存在一些潛在的可不忽略的安全問題。本文提出的基于云計(jì)算的網(wǎng)絡(luò)訪問控制安全方法是分別從用戶角度和數(shù)據(jù)角度分析了網(wǎng)絡(luò)訪問控制方法中各類身份的訪問控制需求，模型中的基本要素是身份，有了不同的身份才可能有響應(yīng)的任務(wù)，通過多層次身份的定義

17、，劃分出對(duì)應(yīng)的多層次的任務(wù)，不同的任務(wù)才會(huì)被分配到響應(yīng)級(jí)別的權(quán)限，同一個(gè)客戶在不同的場(chǎng)景下訪問時(shí)，可能由于身份不同而獲得不用的權(quán)限，從而使得權(quán)限與客戶分開，實(shí)現(xiàn)了強(qiáng)制訪問控制，增強(qiáng)了安全性。本文還分析了基于云計(jì)算的網(wǎng)絡(luò)訪問控制安全方法對(duì)于云計(jì)算平臺(tái)環(huán)境下的適用性，同時(shí)構(gòu)建了一個(gè)面向共享安全的訪問控制機(jī)制，從用戶身份類別、作業(yè)分解類別、信息安全控制、權(quán)限分配管理四個(gè)方面分析了安全需求。但是基于云計(jì)算的網(wǎng)絡(luò)訪問控制安全方法也有它不足的地方，云計(jì)算環(huán)境下，數(shù)據(jù)存儲(chǔ)除了網(wǎng)絡(luò)訪問控制，還有其他問題，比如在信任管理方面，還有待于進(jìn)一步的研究，這也是下一步研究工作的方向。參考文獻(xiàn)（References）1

18、MELL P，GRANCE T，NIST SD.The NIST Definition of Cloud ComputingS.Gaithersburg，MD：NIST Special Publication，2016（3）：193-202.2 FENG D G，et al.Study on cloud computing securityJ.Journal of Software，2015，22（1）：71-83.3 ZHOU Yu.Data Mining-Based Maintenance Management Framework of Multi-Component SystemJ.Journal of Donghua University（English Edition），2015，32（6）：950-953.4 LIANG B，et al.An Improved Method to Enforce BLP Model and Its Variations in Role-Based Access ControlJ.Journal of Computer，2014，15（5）：636-644.5 馮登國(guó)，等.云計(jì)算安全研究J.軟件學(xué)報(bào)，2014，22（1）：71-83.6 陳全，