數(shù)據(jù)中心資源池用戶(hù)身份識(shí)別與權(quán)限控制

馬志程 楊仕博 邵詩(shī)韻 馬勇

摘要 資源池采用基于角色的權(quán)限控制模型，實(shí)現(xiàn)系統(tǒng)管理員、審計(jì)管理員和安全管理員三權(quán)分權(quán)管理，解決了系統(tǒng)的資源使用、管理和治理的行為制約平衡的難題。制定用戶(hù)、終端和服務(wù)器身份標(biāo)識(shí)的設(shè)計(jì)規(guī)則，簡(jiǎn)化各個(gè)組成部分身份標(biāo)識(shí)細(xì)則，提升管理效率。描述身份鑒別流程通過(guò)加密和安全的通信通道來(lái)保護(hù)驗(yàn)證憑證，提升資源池安全性。

【關(guān)鍵詞】資源池 虛擬化 身份識(shí)別 權(quán)限控制

1 引言

云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪(fǎng)問(wèn)，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲(chǔ)，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。美國(guó)政府在2010年到2015年在云計(jì)算的支出年增長(zhǎng)率為40%，在2015年達(dá)到70億美元。云計(jì)算中應(yīng)用服務(wù)沒(méi)有固定的安全邊界，用戶(hù)對(duì)資源的可控性減弱，很難規(guī)劃統(tǒng)一的安全防護(hù)措施。因此需要設(shè)計(jì)相應(yīng)的安全機(jī)制和體系結(jié)構(gòu)來(lái)保護(hù)用戶(hù)數(shù)據(jù)的機(jī)密性、完整性、可用性。訪(fǎng)問(wèn)控制技術(shù)保護(hù)合法用戶(hù)訪(fǎng)問(wèn)云資源，保障信息安全。

傳統(tǒng)的訪(fǎng)問(wèn)控制模型包括自主訪(fǎng)問(wèn)控制、強(qiáng)制訪(fǎng)問(wèn)控制和基于角色的訪(fǎng)問(wèn)控制?；诮巧脑L(fǎng)問(wèn)控制模型與企事業(yè)的崗位可以很好的對(duì)照與綁定，系統(tǒng)為每個(gè)用戶(hù)分配相應(yīng)的角色，每個(gè)角色按照崗位職責(zé)獲得一定系統(tǒng)訪(fǎng)問(wèn)權(quán)限。Sandh[7，8]提出RBAC96等一系列的訪(fǎng)問(wèn)控制模型，這些訪(fǎng)問(wèn)策略幾乎都是靜態(tài)的授權(quán)模式，不適用于動(dòng)態(tài)的云計(jì)算環(huán)境。本文從數(shù)據(jù)操作屬性出發(fā)分為三類(lèi)：訪(fǎng)問(wèn)、管理和審計(jì)，從體系上保證了數(shù)據(jù)操作管控的完整性，是其他基于角色訪(fǎng)問(wèn)控制方法的有效補(bǔ)充。通過(guò)客戶(hù)端、用戶(hù)、服務(wù)器的身份鑒定和完整認(rèn)定流程，進(jìn)一步增強(qiáng)了資源訪(fǎng)問(wèn)的安全性，并在管理復(fù)雜性和安全性上某種程度達(dá)到了平衡。

2 三權(quán)分離管理安全設(shè)計(jì)

如圖1所示，資源池采用基于角色的權(quán)限控制模型，禁止超級(jí)特權(quán)用戶(hù)，實(shí)現(xiàn)三員（系統(tǒng)管理員、審計(jì)管理員、安全管理員）分權(quán)管理。

系統(tǒng)將資源與操作相結(jié)合形成相應(yīng)的授權(quán)策略，并將授權(quán)策略授權(quán)給角色，建立以上三種類(lèi)型的角色（包括：系統(tǒng)管理員角色、審計(jì)管理員角色、安全管理員角色）;將角色分配給相應(yīng)的用戶(hù)，實(shí)現(xiàn)用戶(hù)對(duì)資源的權(quán)限控制與分配。對(duì)資源的操作分為管理和使用兩種方式，實(shí)現(xiàn)對(duì)系統(tǒng)資源管理和使用的權(quán)限分離。

結(jié)合以上三類(lèi)管理員的模式，將系統(tǒng)的資源使用和管理進(jìn)行分離及三類(lèi)管理員的行為進(jìn)行相互制約;虛擬化平臺(tái)系統(tǒng)在初始化時(shí)禁止初始化超級(jí)管理員用戶(hù)，初始化三個(gè)管理員主要包括系統(tǒng)管理員、審計(jì)管理員、安全管理員。如圖2所示。

安全管理員：負(fù)責(zé)對(duì)虛擬化平臺(tái)系統(tǒng)中系統(tǒng)管理員的創(chuàng)建及資源權(quán)限的分配，安全管理員自身不具備對(duì)資源使用的權(quán)限;安全管理員對(duì)資源權(quán)限的分配是根據(jù)管理員的安全域進(jìn)行限制（如安全級(jí)別資源池），安全管理員不能為自身分配權(quán)限。

系統(tǒng)管理員：由安全管理員創(chuàng)建、維護(hù)，系統(tǒng)管理員只能對(duì)虛擬化平臺(tái)系統(tǒng)的資源擁有使用的權(quán)限，不具備相應(yīng)的管理權(quán)限;其使用資源的權(quán)限范圍由安全管理員分配。

審計(jì)管理員：負(fù)責(zé)對(duì)系統(tǒng)安全管理員及系統(tǒng)管理員的行為進(jìn)行審計(jì)，并對(duì)虛擬化平臺(tái)系統(tǒng)資源的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，不能使用虛擬化平臺(tái)系統(tǒng)資源，也不能對(duì)虛擬化平臺(tái)系統(tǒng)資源進(jìn)行分配和管理。

3 身份鑒別安全設(shè)計(jì)

3.1 身份鑒別策略

虛擬化平臺(tái)系統(tǒng)對(duì)宿主服務(wù)器、終端、虛擬桌面用戶(hù)、管理員等主體均創(chuàng)建唯一的身份標(biāo)識(shí)和強(qiáng)制認(rèn)證措施，對(duì)指定用戶(hù)可采用數(shù)字證書(shū)等強(qiáng)制認(rèn)證機(jī)制和雙層多因子認(rèn)證機(jī)制，通過(guò)限定登錄IP/MAC地址等機(jī)制限制指定用戶(hù)的終端機(jī)位置。

3.2 身份標(biāo)識(shí)符

3.2.1 用戶(hù)身份標(biāo)識(shí)符

虛擬化平臺(tái)系統(tǒng)與現(xiàn)有認(rèn)證體系集成，關(guān)于虛擬桌面用戶(hù)與管理員身份標(biāo)識(shí)符設(shè)計(jì)如下：

（1）用戶(hù)身份的生成與來(lái)源，由系統(tǒng)管理員在現(xiàn)有認(rèn)證體系中統(tǒng)一生成，且在集團(tuán)公司整個(gè)身份認(rèn)證系統(tǒng)中唯一存在;

（2）虛擬化平臺(tái)系統(tǒng)用戶(hù)身份的管理與維護(hù)，由系統(tǒng)管理員在現(xiàn)有認(rèn)證體系中統(tǒng)一進(jìn)行增加、修改、查詢(xún)、禁用等操作，流程上沒(méi)有刪除用戶(hù)身份的操作;

（3）用戶(hù)身份相關(guān)的所有操作，包括用戶(hù)的生成、修改權(quán)限、修改密碼、修改配置與描述信息、用戶(hù)禁用等操作，均在現(xiàn)有認(rèn)證體系中統(tǒng)一完成，并生成審計(jì)日志信息。

3.2.2 宿主服務(wù)器身份標(biāo)識(shí)符

虛擬化平臺(tái)系統(tǒng)宿主服務(wù)器采用以服務(wù)器硬件特征值作為種子生成的長(zhǎng)度為10位由小寫(xiě)英文字母與阿拉伯?dāng)?shù)字組合的唯一序列作為身份標(biāo)識(shí)符。

3.2.3 終端機(jī)身份標(biāo)識(shí)符

虛擬化平臺(tái)系統(tǒng)終端機(jī)采用以終端設(shè)備硬件特征值作為種子生成的長(zhǎng)度為32位由小寫(xiě)英文字母與阿拉伯?dāng)?shù)字組合的唯一序列作為身份標(biāo)識(shí)符。

3.3 用戶(hù)身份鑒別

虛擬化平臺(tái)系統(tǒng)對(duì)用戶(hù)身份鑒別認(rèn)證流程設(shè)計(jì)如圖3所示。

（1）當(dāng)最終用戶(hù)若干次嘗試登錄失敗后，禁用該用戶(hù)帳戶(hù)或?qū)⑹录?xiě)入日志;

（2）強(qiáng)制定期修改密碼，設(shè)置密碼復(fù)雜度，保證密碼安全，初始密碼登錄N（如：5）次后，未修改就失效，用戶(hù)不能再登錄。

（3）提供賬戶(hù)禁用功能，預(yù)防當(dāng)系統(tǒng)受到威脅時(shí)遭受進(jìn)一步攻擊;

（4）將用戶(hù)/密碼與數(shù)據(jù)存儲(chǔ)進(jìn)行比對(duì)，只返回認(rèn)證結(jié)果，不支持密碼直接取出校驗(yàn);

（5）對(duì)密碼長(zhǎng)度、復(fù)雜度進(jìn)行校驗(yàn);

（6）用戶(hù)在輸入登錄信息后，用戶(hù)密碼通過(guò)SHA-1等加密方式加密傳輸?shù)胶笈_(tái)處理程序，保證密碼不是以明文的方式傳輸?shù)胶笈_(tái)，使用SSL對(duì)數(shù)據(jù)流加密;

通過(guò)加密和安全的通信通道來(lái)保護(hù)驗(yàn)證憑證。限制驗(yàn)證憑證的有效期，以防止因重復(fù)攻擊導(dǎo)致的欺騙威脅。減少Cookie超時(shí)時(shí)間限制攻擊者利用竊取的Cookie來(lái)訪(fǎng)問(wèn)站點(diǎn)的時(shí)間。

4 結(jié)束語(yǔ)

本文從數(shù)據(jù)操作屬性出發(fā)分為三類(lèi)：訪(fǎng)問(wèn)、管理和審計(jì)，從體系上保證了數(shù)據(jù)操作管控的完整性，是其他基于角色訪(fǎng)問(wèn)控制方法的有效補(bǔ)充。通過(guò)客戶(hù)端、用戶(hù)、服務(wù)器的身份鑒定和完整認(rèn)定流程，進(jìn)一步增強(qiáng)了資源訪(fǎng)問(wèn)的安全性。需要進(jìn)一步考慮仿冒用戶(hù)通過(guò)驗(yàn)證后，通過(guò)分析其行為特點(diǎn)，判斷數(shù)據(jù)操作可能帶來(lái)的危害，建立動(dòng)態(tài)數(shù)據(jù)保護(hù)機(jī)制。

（通訊作者：邵詩(shī)韻）

參考文獻(xiàn)

[1]Tian L，Lin C，Ni Y.Evaluation of userbehavior trust in cloud computing[C].Computer Application and SystemModeling （ICCASM）， 2010 InternationalConference on. IEEE， 2010，7：V7-567-V7-572.

[2] Feng D G，Zhang M，Zhang Y，etal. Study on cloud computingsecurity [J]. Journal ofsoftware， 2011， 22 （01）： 71-83.

[3] HUANG J，F(xiàn)ANG O.Context and rolebased access control for cloudcomput ing [J]. Journal of ComputerApplications，2015，2： 023.

[4] Curry S，Darbyshire J，F(xiàn)isher D W，etal. Infrastructure security： Get tingto the bottom of compliance in thecloud [J]. RSA Security Brief， 2010.

[5] Kaur P J，Kaushal S.Securityconcerns in cloud computing[M].HighPerformance Architecture and GridComputing. Springer， Berlin， Heidelberg，2011：103-112.

[6] Lin G Y，He S，Huang H，et al. Accesscontrol security model basedon behavior in cloud computingenvironment [J]. Journal of ChinaInstitute of Communications，2012，33（03）：59-66.

[7] Tianyi Z，Weidong L，Jiaxing S.Anefficient role based access controlsystem for cloud computing [C].Computer and Information Technology（CIT），2011 IEEE 11th

Internat ionalConference on. IEEE， 2011： 97-102.

[8]Sandhu R S，Coyne E J，F(xiàn)einsteinHL，etal.Role-basedaccess control models [J].Computer， 1996， 29 （02）： 38-47.