基于中心控制動(dòng)態(tài)域模型的資源共享方法

黃 謙,高 巖,李 坎,王 晶,董 適,李曉龍

(1. 軍事科學(xué)院戰(zhàn)略評(píng)估咨詢中心,北京 100091；2. 中國(guó)人民解放軍61001部隊(duì),北京 100072；3. 陸軍步兵學(xué)院石家莊校區(qū),河北 石家莊 050227)

數(shù)據(jù)資源已經(jīng)成為當(dāng)今社會(huì)的重要資產(chǎn),如何實(shí)現(xiàn)信息資源共享,并進(jìn)行科學(xué)有效的訪問(wèn)控制和安全管理,是網(wǎng)絡(luò)安全領(lǐng)域研究的熱點(diǎn)和難點(diǎn)。當(dāng)前較為常見的資源共享網(wǎng)絡(luò)架構(gòu)是對(duì)等網(wǎng)絡(luò)(Peer-to-Peer,簡(jiǎn)稱P2P)。P2P模式具有節(jié)點(diǎn)對(duì)等，去中心化，易拓展，資源利用率高，負(fù)載均衡，健壯性強(qiáng)等優(yōu)點(diǎn)[1],每個(gè)加入網(wǎng)絡(luò)的成員在提供資源的同時(shí)共享服務(wù),支持網(wǎng)絡(luò)快速創(chuàng)建和成員動(dòng)態(tài)變更,并提供一個(gè)用于通信、任務(wù)管理和文檔共享的基礎(chǔ)平臺(tái)。但是每個(gè)成員需要自己完成維護(hù)工作,安全性取決于其自身所采取的防護(hù)措施和訪問(wèn)控制策略,因此,P2P模式在服務(wù)提供和控制上存在明顯的不足。

為實(shí)現(xiàn)對(duì)數(shù)據(jù)資源訪問(wèn)權(quán)限的有效控制,有學(xué)者提出應(yīng)用區(qū)塊鏈的數(shù)據(jù)訪問(wèn)控制與共享模型[2],探索采用屬性基加密和區(qū)塊鏈相結(jié)合的方法[3],也有學(xué)者提出采用云數(shù)據(jù)和云網(wǎng)絡(luò)的資源共享與隔離方法[4-5],這些研究探索在很大程度上促進(jìn)了網(wǎng)絡(luò)安全和資源共享技術(shù)的發(fā)展。但是,隨著網(wǎng)絡(luò)技術(shù)應(yīng)用的日益廣泛,網(wǎng)絡(luò)用戶迅猛增加,網(wǎng)絡(luò)應(yīng)用場(chǎng)景也不斷更新,不同場(chǎng)景下，工作目標(biāo)、任務(wù)背景和用戶需求的個(gè)性特點(diǎn)呈多樣化,對(duì)計(jì)算機(jī)、數(shù)據(jù)和服務(wù)等資源共享提出了新標(biāo)準(zhǔn)、新要求,指引更多學(xué)者探索更為高效的網(wǎng)絡(luò)架構(gòu)。

1 應(yīng)用場(chǎng)景分析

隨著應(yīng)用場(chǎng)景愈加復(fù)雜,資源控制和用戶訪問(wèn)權(quán)限處理所面臨的新問(wèn)題、新挑戰(zhàn)不斷凸顯,其對(duì)網(wǎng)絡(luò)服務(wù)快速創(chuàng)建、數(shù)據(jù)資源實(shí)時(shí)共享等要求越來(lái)越高。本文以三個(gè)在數(shù)據(jù)隔離、數(shù)據(jù)限制和快速組網(wǎng)方面要求較為突出的典型場(chǎng)景為例,對(duì)網(wǎng)絡(luò)服務(wù)創(chuàng)建和資源共享需求進(jìn)行分析。

1)數(shù)據(jù)隔離。假設(shè)三個(gè)不同政府的軍事集團(tuán)要組織一次小規(guī)模聯(lián)合演習(xí),需要臨時(shí)合作，但是，沒(méi)有一個(gè)軍隊(duì)完全信任其他軍隊(duì)的計(jì)算機(jī)網(wǎng)絡(luò),都希望能夠隔離其自身網(wǎng)絡(luò)之外的計(jì)算機(jī)、資源及訪問(wèn)操作,僅保留必需的通信。在這個(gè)場(chǎng)景中,每個(gè)網(wǎng)絡(luò)只有一部分可以進(jìn)行共享,在此將可以共享的網(wǎng)絡(luò)部分稱為動(dòng)態(tài)域,那么，原有網(wǎng)絡(luò)與動(dòng)態(tài)域之間就需要實(shí)現(xiàn)嚴(yán)格的數(shù)據(jù)隔離。

2)數(shù)據(jù)限制。假設(shè)食品與藥品管理局評(píng)估一種新藥的效果,為完成對(duì)藥物的徹底檢查,需要與開發(fā)該藥物的制藥公司以及對(duì)該藥物進(jìn)行實(shí)驗(yàn)的醫(yī)院合作。在這一合作中,信息限制極為關(guān)鍵,因?yàn)橹扑幑鞠ＭM可能少地泄露其研發(fā)信息,而醫(yī)院也不想泄露其實(shí)驗(yàn)信息，兩個(gè)單位都不希望政府有任何非必要的網(wǎng)絡(luò)訪問(wèn)權(quán)限。此外,制藥公司也希望其提供的信息數(shù)據(jù)僅用于藥物評(píng)估工作。

3)快速組網(wǎng)。假設(shè)兩個(gè)大型企業(yè)或集團(tuán)公司合并,完全整合兩個(gè)截然不同的公司網(wǎng)絡(luò)并建立信任關(guān)系，需要較長(zhǎng)的時(shí)間,難以滿足快速建網(wǎng)的工作需求,不便于公司合并工作的開展。因此，在公司合并的開始階段,需要各公司的重要部門、機(jī)構(gòu)首先開展合作,快速構(gòu)建網(wǎng)絡(luò)，進(jìn)行聯(lián)合,為公司合并初期所必需的交互和互操作創(chuàng)造條件。

2 中心域模型的基本思想

基于中心控制的動(dòng)態(tài)域(簡(jiǎn)稱中心域)的基本目標(biāo)是將多個(gè)網(wǎng)絡(luò)以可允許的、高度集成的方式快速整合,實(shí)現(xiàn)資源共享。模型的本質(zhì)是基于成員域創(chuàng)建一個(gè)新域,即每個(gè)成員貢獻(xiàn)自己的一部分,通過(guò)整合這些資源形成動(dòng)態(tài)域,而不是簡(jiǎn)單地聯(lián)合各個(gè)成員,核心思想如圖1所示。中心域模型采用不同于P2P分布式的模式構(gòu)建網(wǎng)絡(luò),這使得域可以集中管理?；谥行挠虻馁Y源共享方法可以迅速連通不同用戶或成員的所有元素構(gòu)建網(wǎng)絡(luò),根據(jù)不同原則和要求,實(shí)現(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)、服務(wù)等資源共享,合理控制訪問(wèn)權(quán)限,解決不同用戶或組織之間的互操作問(wèn)題[6]。

基于中心控制的動(dòng)態(tài)域由中心域管理員(CDA, Central Domain Administrator)管理。用戶加入這個(gè)中心域后，要么向CDA提交包含適當(dāng)信息的請(qǐng)求,CDA根據(jù)預(yù)定義的策略接受或拒絕請(qǐng)求，要么由CDA通過(guò)預(yù)先設(shè)計(jì)或脫機(jī)，獲取必要信息，添加用戶。成員域?qū)⑵淇梢怨蚕淼馁Y源復(fù)制或轉(zhuǎn)移到中心域,通過(guò)對(duì)中心域管理員進(jìn)行授權(quán),實(shí)現(xiàn)對(duì)所有資源的中心控制,同時(shí)將資源切換到一個(gè)新域，增加了訪問(wèn)控制策略的靈活性。中心域模型的核心思想如圖1所示。

圖1 中心域模型的核心思想

3 中心域的創(chuàng)建與配置

創(chuàng)建中心域的過(guò)程主要包括策略配置，創(chuàng)建中心域目錄對(duì)象，建立身份驗(yàn)證機(jī)制。雖然現(xiàn)有技術(shù)支持自動(dòng)創(chuàng)建共享域,但是，創(chuàng)建一個(gè)中心域所涉及的策略并不能完全自動(dòng)配置和實(shí)現(xiàn)。

3.1 策略配置

一個(gè)動(dòng)態(tài)域需要有效處理大量主體和成員,這對(duì)資源管理及用戶交互控制策略提出了更高的要求。CDA必須根據(jù)中心域的特性,如任務(wù)背景、工作目標(biāo)、使命與性質(zhì)等,合理調(diào)整用戶控制策略。例如,在公司合并場(chǎng)景中,動(dòng)態(tài)域中的某些信息可以自由共享,因?yàn)檫@兩家公司最終是要完全合并的,充分的共享會(huì)促進(jìn)工作推進(jìn),而嚴(yán)格的安全策略可能會(huì)阻礙進(jìn)展。然而，由不同軍事集團(tuán)參加的聯(lián)合軍演的場(chǎng)景中,兩國(guó)政府短暫合并后又將分離,一種嚴(yán)格的安全防護(hù)策略就非常有必要了。

因?yàn)樵赑2P對(duì)等網(wǎng)絡(luò)中沒(méi)有新的域需要配置,在創(chuàng)建動(dòng)態(tài)域時(shí)，P2P不需要權(quán)衡各成員的本地策略,策略僅由P2P的單個(gè)成員域管理員自行決定,所以，P2P采用的是分布式策略。而中心域模型在中心域中可封裝策略,通過(guò)CDA對(duì)各成員貢獻(xiàn)的資源進(jìn)行控制,允許成員域保持本地策略,但策略必須在中心域的統(tǒng)一控制之下,這就增加了控制策略的自主性。

3.2 中心域目錄對(duì)象

中心域創(chuàng)建者將查找、評(píng)估潛在成員所必需的信息以及用戶加入中心域可能需要的信息(如中心域功能、可用資源類型、訪問(wèn)要求、指令格式等),將其放置到中心域目錄對(duì)象(CDO, Community Directory Object)中,并發(fā)布在一個(gè)公共位置,如某個(gè)網(wǎng)站,用戶可以通過(guò)訪問(wèn)CDO中所包含的信息向CDA提交加入請(qǐng)求。

3.3 身份驗(yàn)證機(jī)制

在不同任務(wù)背景下,域成員的身份驗(yàn)證有不同的要求。中心域模型通過(guò)發(fā)布全網(wǎng)統(tǒng)一的身份授權(quán)認(rèn)證(CA, Community-Wide Authorization)來(lái)建立身份證明,完成成員資格驗(yàn)證。CA是中心域的一個(gè)基本部分,由CDA管理。CA應(yīng)該脫離于單個(gè)成員,原因是如果CA依賴于某個(gè)成員域,那么，該域管理員將享有比其他成員更高的資源控制權(quán)限。P2P沒(méi)有CA,因此，P2P要求每個(gè)成員域信任來(lái)自其他成員域的全部身份證書,其中包括未加入P2P網(wǎng)絡(luò)的域成員的證書,這將產(chǎn)生潛在的安全漏洞。

4 資源和用戶管理

4.1 資源管理

若要實(shí)現(xiàn)資源的網(wǎng)絡(luò)共享,資源所有者首先通過(guò)移動(dòng)、復(fù)制或直接將擁有資源的服務(wù)器加入中心域等方式,將資源放入中心域,如圖2所示。中心域中的資源可能仍然處于原所有者的控制之下,以避免CDA必須管理大量的網(wǎng)絡(luò)資源。

圖2 中心域模型資源創(chuàng)建

為保證信息安全,每個(gè)成員域都要執(zhí)行嚴(yán)格的訪問(wèn)控制和安全策略,因此，訪問(wèn)控制在資源共享中尤為重要。倘若繼續(xù)使用每個(gè)成員域原有的嚴(yán)格的本地策略,難度將比制定一項(xiàng)統(tǒng)一的安全策略更大。此外,轉(zhuǎn)移資源可以避免在中心域和其成員的原域之間建立復(fù)雜的信任關(guān)系。

資源的添加或刪除可通過(guò)CDA迅速實(shí)現(xiàn),并將添加的資源以不同權(quán)限分配給不同用戶。基于中心域模型構(gòu)建的網(wǎng)絡(luò)采用中心控制模式,CDA擁有對(duì)所有用戶和資源的最高控制權(quán)限,可以阻止資源原所有者從中心域中移除資源。但是在CDA的授權(quán)下,用戶可以通過(guò)本地控制對(duì)資源進(jìn)行刪除或修改。是否移除資源可能取決于中心域本身,如公司合并，也可能依賴于成員域,如不同政府的軍事集團(tuán)的聯(lián)合軍演,在創(chuàng)建中心域時(shí),需要設(shè)計(jì)不同的策略。

4.2 用戶管理

用戶通過(guò)向CDA發(fā)送加入請(qǐng)求,CDA基于特定機(jī)制(如在全網(wǎng)范圍內(nèi)的投票),對(duì)該請(qǐng)求進(jìn)行評(píng)估,決定接受或拒絕。如果接受加入請(qǐng)求,那么，CDA將向新成員頒發(fā)身份驗(yàn)證憑證,并將其分配到相應(yīng)的授權(quán)組。新用戶將根據(jù)授權(quán)和網(wǎng)絡(luò)的安全策略,獲取對(duì)某些網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限。

中心域模型可以便捷地實(shí)現(xiàn)對(duì)用戶的添加或刪除。若要從網(wǎng)絡(luò)中刪除用戶,CDA只需撤銷其身份憑證，從服務(wù)器中刪除用戶索引,然后，資源所有者更新訪問(wèn)控制列表即可。結(jié)合不同應(yīng)用場(chǎng)景,離開網(wǎng)絡(luò)的用戶可以同時(shí)移除原來(lái)其擁有的資源,也可以將原來(lái)?yè)碛械馁Y源繼續(xù)保留在網(wǎng)絡(luò)中供其他用戶使用。如在多國(guó)軍事集團(tuán)聯(lián)合軍演情景下,資源所有者會(huì)在離開網(wǎng)絡(luò)時(shí),移除其共享的資源;然而，在其他情況下,這些資源可能被認(rèn)為是網(wǎng)絡(luò)功能中必不可少的部分,需要繼續(xù)保留。

5 基于共識(shí)的中心域管理

基于共識(shí)的中心域管理(CBA, Consensus-based Administration)是控制網(wǎng)絡(luò)和服務(wù)授權(quán)的一種有效方式。眾所周知,在一個(gè)典型的系統(tǒng)中,通常由不同組件相互協(xié)作提供一些關(guān)鍵服務(wù),當(dāng)其中任何一個(gè)組件受到攻擊或破壞時(shí),服務(wù)將受到危害,甚至整個(gè)系統(tǒng)都將癱瘓,這也是當(dāng)前網(wǎng)絡(luò)攻擊的一個(gè)重要手段。在采用基于共識(shí)的中心域管理(CBA)方式的條件下,當(dāng)中心域中一定數(shù)量的實(shí)體達(dá)成一致時(shí),整體就會(huì)采取行動(dòng);任何數(shù)量低于某個(gè)閾值的惡意用戶(或被破壞的用戶),都不會(huì)影響或破壞整個(gè)系統(tǒng)或服務(wù)?？梢?基于CBA的網(wǎng)絡(luò)系統(tǒng)容錯(cuò)能力更強(qiáng),穩(wěn)健性和魯棒性也更好,對(duì)由于偶然事故或不正確配置引起的故障,擁有更強(qiáng)的健壯性。CBA尤其適用于規(guī)模龐大、成員眾多且需要協(xié)議來(lái)執(zhí)行操作的網(wǎng)絡(luò)或系統(tǒng)。因?yàn)镃BA便于融合多個(gè)獨(dú)立的決策,通過(guò)一個(gè)安全框架為網(wǎng)絡(luò)或系統(tǒng)做出綜合決策。

基于共識(shí)管理的核心思想是提高系統(tǒng)容錯(cuò)能力和健壯性,即當(dāng)系統(tǒng)或網(wǎng)絡(luò)中出現(xiàn)一個(gè)單點(diǎn)故障或者系統(tǒng)中有少量組件受損或受到惡意攻擊時(shí),系統(tǒng)或網(wǎng)絡(luò)整體仍然可以正常運(yùn)行[7]。假設(shè)網(wǎng)絡(luò)由n個(gè)單位或個(gè)體構(gòu)成,設(shè)置閾值為t,只要受損或故障組件數(shù)量低于閾值t,網(wǎng)絡(luò)仍可正常提供相關(guān)服務(wù),不影響正常運(yùn)行。但是，閾值t設(shè)置不能大于(n-1)/2,否則，網(wǎng)絡(luò)中一旦出現(xiàn)兩組規(guī)模相當(dāng)?shù)墓收宵c(diǎn)或惡意組件,就無(wú)法形成一致決策,也無(wú)法達(dá)成共識(shí)并采取行動(dòng)。

實(shí)現(xiàn)基于共識(shí)的管理的一個(gè)簡(jiǎn)單方法是使用閾值技術(shù)組合多個(gè)單獨(dú)的密鑰。n個(gè)服務(wù)器創(chuàng)建各自的公鑰對(duì),所有公鑰的集合用作閾值方案的公鑰。這種方法的問(wèn)題是,每個(gè)簽名或加密都需要一個(gè)大小與n成比例的密鑰,該方法擴(kuò)展性不好。此外,這種技術(shù)需要更改系統(tǒng)用戶的簽名和加密算法,對(duì)于現(xiàn)有系統(tǒng)存在實(shí)現(xiàn)難度。

基于以上考慮,對(duì)共享密鑰的方法進(jìn)行改進(jìn)。在n個(gè)成員之間,任何t+1個(gè)正常成員都能計(jì)算一個(gè)有效的公共密鑰,比如，可以采用基于離散對(duì)數(shù)的復(fù)數(shù)或使用t+1插值t次多項(xiàng)式的方法實(shí)現(xiàn)。該算法可用于CBA對(duì)中心域中的服務(wù)訪問(wèn)進(jìn)行控制,決定是否授予或拒絕訪問(wèn),加快了服務(wù)請(qǐng)求的授權(quán)速度,提高了時(shí)效性,為其成員用戶關(guān)注更重要的決策創(chuàng)造了條件。

6 基于.NET的初步實(shí)現(xiàn)

.NET企業(yè)版服務(wù)器的動(dòng)態(tài)目錄管理(AD, Active Directory)和基于域的計(jì)算思想為創(chuàng)建動(dòng)態(tài)域(DC, Dynamic Community)創(chuàng)造了很好的基礎(chǔ)[8]。

創(chuàng)建動(dòng)態(tài)目錄(AD)管理就是DC的目錄服務(wù)，其提供了一種組織和管理用戶、計(jì)算機(jī)、站點(diǎn)、域、信任、服務(wù)和域控制器組織單元的方法。實(shí)體的管理也通過(guò)AD進(jìn)行,允許添加、刪除和修改策略。通過(guò)AD建立服務(wù)目錄,DC可以為目錄中列出的元素建立管理策略。

然后，建立系統(tǒng)審核策略,可完成從本地計(jì)算機(jī)到全域范圍內(nèi)的所有實(shí)體的審核。倘若出現(xiàn)安全事件,可通過(guò)記錄相應(yīng)的信息和數(shù)據(jù),確定事件出現(xiàn)的原因和結(jié)果。通過(guò)對(duì)加入DC的成員進(jìn)行審核,可以增加整體行為的健壯性和魯棒性。一旦某個(gè)成員出現(xiàn)惡意行為,將對(duì)其進(jìn)行記錄,通過(guò)評(píng)估，視情采取相應(yīng)措施。

最后，添加域名控制器來(lái)運(yùn)行.NET服務(wù)器和AD。通過(guò)復(fù)制AD數(shù)據(jù),提升AD的可靠性和效能；建立身份授權(quán)認(rèn)證(CA),即從本地的自身授權(quán)認(rèn)證到全域的完全授權(quán)認(rèn)證。對(duì)于DC需要考慮很多因素和要求,但是，目前仍存在一些需求是.NET無(wú)法妥善處理和解決的。

7 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)應(yīng)用的日益廣泛,通過(guò)分析當(dāng)前資源控制和用戶訪問(wèn)權(quán)限處理所面臨的新問(wèn)題,本文提出了中心控制動(dòng)態(tài)域模型,延續(xù)了從P2P網(wǎng)絡(luò)的分布式共享到資源集成的發(fā)展趨勢(shì)。中心域采用集中控制模式,通過(guò)對(duì)資源和服務(wù)進(jìn)行移動(dòng)或復(fù)制,將其從各自的貢獻(xiàn)域分離出來(lái),強(qiáng)化用戶身份管理,采用基于共識(shí)的中心域管理,為網(wǎng)絡(luò)資源整合共享以及數(shù)據(jù)管理提供了很好的框架。中心域模型在解決當(dāng)前資源共享面臨的快速組網(wǎng)、數(shù)據(jù)隔離、數(shù)據(jù)訪問(wèn)限制等新挑戰(zhàn)等方面具有廣泛應(yīng)用場(chǎng)景。中心域模型在解決現(xiàn)實(shí)問(wèn)題方面的具體應(yīng)用,需要進(jìn)一步研究和探索,也需要更多專家學(xué)者的共同努力。