李娜， 董云衛(wèi)， 景鴻理， 車天偉， 張玉臣

基于混合云的數(shù)據(jù)流圖越權(quán)訪問檢測算法

李娜1， 董云衛(wèi)1， 景鴻理2， 車天偉3， 張玉臣4

(1.西北工業(yè)大學(xué)計算機(jī)學(xué)院，陜西西安710129；2.北京天融信科技有限公司，北京100085；3.北京建投科信科技發(fā)展有限公司，北京100055；4.解放軍信息工程大學(xué)，河南鄭州450001)

通過對在私有云、公有云并存的混合云數(shù)據(jù)訪問的研究，發(fā)現(xiàn)越權(quán)訪問普遍存在，且對于數(shù)據(jù)安全存在很大的安全威脅?；诖饲闆r，采取對狀態(tài)、規(guī)則、自動機(jī)、系統(tǒng)資源等多要素在多級混合云環(huán)境下進(jìn)行形式化描述；運用數(shù)據(jù)流圖記錄了不同狀態(tài)的訪問行為及其所造成的數(shù)據(jù)流動方向，設(shè)計了讀操作和寫操作訪問合法性檢測算法，并對其形式化進(jìn)行描述，該算法可有效地檢測混合云中越權(quán)訪問違規(guī)操作，解決了現(xiàn)有模型對數(shù)據(jù)間接傳遞防護(hù)方面的不足。

混合云；授權(quán)控制；數(shù)據(jù)流圖；違規(guī)訪問

0　引言

在云平臺、云計算應(yīng)用日益推廣，訪問安全、數(shù)據(jù)安全成為云應(yīng)用所要研究的熱點問題。

在多級混合云環(huán)境中，數(shù)據(jù)的訪問者可能來自不同等級的云系統(tǒng)中，不同等級云的訪問控制方法存在差異，這勢必會造成針對同一數(shù)據(jù)的訪問控制策略和強(qiáng)度不一致問題。并且，目前的訪問控制策略和方法通常只針對本地，不同云系統(tǒng)在進(jìn)行信息共享時，無法實施某云或多云的安全策略，對用戶的訪問行為進(jìn)行聯(lián)合控制。更嚴(yán)重的是當(dāng)?shù)偷燃壴浦杏脩粼L問高等級云資源的時候，由于低等級云中的訪問控制強(qiáng)度低于高等級云，會造成高等級云資源的保護(hù)強(qiáng)度降低。

在多級混合云中，訪問控制策略通常只針對用戶的單次訪問行為，惡意用戶間可以通過多次訪問造成違法安全策略的數(shù)據(jù)流動，這種惡意行為在高等級(四級及以上)的云系統(tǒng)中要求必須防范[1-2]。但是，由于多級混合云中必然存在低等級的云，這給數(shù)據(jù)間接泄密的防護(hù)帶來了巨大困難[3]。惡意用戶可以通過低等級云用戶輕易的繞開高等級云的安全措施[4-5]。特別是在云環(huán)境中，由于有云服務(wù)商直接訪問的可能性存在，使得這種威脅進(jìn)一步加大[6-9]。

針對以上分析，多級混合云系統(tǒng)必須根據(jù)數(shù)據(jù)共享時不同等級云的安全要求，調(diào)整訪問控制策略，使整個云系統(tǒng)的訪問控制策略統(tǒng)一和一致，以此建立一套完整的防護(hù)機(jī)制，避免數(shù)據(jù)間接泄密行為的發(fā)生。

1　符號定義

●R表示為訪問請求集合。

●V表示為虛擬機(jī)。

●S＝{S1，S2，…}表示虛擬機(jī)內(nèi)的用戶。根據(jù)云系統(tǒng)的安全規(guī)則，用戶應(yīng)只允許訪問虛擬機(jī)中的用戶資源，不允許訪問宿主機(jī)上的系統(tǒng)資源。

●O＝{o1，o2，...}表示用戶所能訪問到資源，注:不包括宿主機(jī)資源。

●OP＝{r，w，...}為用戶對資源的訪問操作，如讀(r)、只寫(w)，本文定義的操作為原子操作，不包括起草、審批等應(yīng)用流程中的復(fù)合操作，復(fù)合操作可以由原子操作構(gòu)成，如“編輯”由讀和寫構(gòu)成。

●(訪問控制矩陣):M:Mij∈OP。M為訪問控制矩陣，用Mij表示，其中縱坐標(biāo)j表示用戶資源oj，行坐標(biāo)i表示用戶si，Mij的意思是si對的oj訪問權(quán)限。若Mij＝{w}，則si對oj權(quán)限為“只寫”。

定義2.1(數(shù)據(jù)流):

φ＝(x1，x2…，xt∈(X×X×…×X))，其中X∈S或O，且t≥2。

本文使用φ表示數(shù)據(jù)流。數(shù)據(jù)流至少包括2個元素，可記為x1→x2→…xt其中x1為數(shù)據(jù)流的起點，xt為數(shù)據(jù)流的結(jié)束點。在一條數(shù)據(jù)流φ中，相鄰的元素之間構(gòu)成了直接數(shù)據(jù)流向，如φ1＝(x1，x2，x3，x4)中，包含了三個直接數(shù)據(jù)流向:x1→x2、x2→x3、x3→x4。數(shù)據(jù)流φ中不相鄰元素間構(gòu)成間接數(shù)據(jù)流向，如φ1中包含了三個間接數(shù)據(jù)流向:x1→x3、x1→x4、x2→x4。

定義2.2(全局流圖T):T＝(D，V，X，B)

其中，D表示宿主機(jī)；V表示虛擬機(jī)；X表示資源和用戶的集合，X＝{S，O}，在全局流圖T上表示為一個元素；B表示直接數(shù)據(jù)流向集合，B＝{b1，…，bn}，一個直接全局流圖Γ上表示為一條有向邊。

全局流圖T記錄了某個狀態(tài)下，多級混合云中已經(jīng)發(fā)生的訪問行為所導(dǎo)致的數(shù)據(jù)流傳遞情況，如圖1所示。

圖1　全局流圖T

2　算法設(shè)計

對于虛擬機(jī)Vi，用戶為Si發(fā)起對虛擬機(jī)Vj，資源為Oi的訪問X(為讀r或?qū)憌)時，違規(guī)檢測算法流程圖如圖2所示。

圖2　違規(guī)檢測算法

(1)判斷用戶為Si目標(biāo)虛擬機(jī)Vj是經(jīng)過信任、是已認(rèn)證的用戶或目標(biāo)虛擬機(jī)，否則屬于違規(guī)操作，退出系統(tǒng)操作。

(2)用戶sj是子系統(tǒng)vj的合法用戶，且非服務(wù)器管理員DM，且oj不是服務(wù)器資源DO，否則屬于違規(guī)操作，退出系統(tǒng)操作。合法性寫檢測如圖3所示。

圖3　合法性寫檢測

(3)判斷訪問X是讀操作，還是寫操作，如果是寫操作轉(zhuǎn)到第(6)步。如果是讀r操作，判斷si和oj同屬一個虛擬機(jī)，而且訪問請求r在這個虛擬機(jī)的訪問控制矩陣中。sj和oj分別屬于不同的子系統(tǒng)，而且訪問請求r分別在sj的虛擬機(jī)vi和oj的子系統(tǒng)vj的訪問控制矩陣中，其中si'是si的映射對偶，vi為用戶si'所在信息系統(tǒng)。如果不符合要求，則系統(tǒng)不做任何操作，拒絕該訪問請求，退出系統(tǒng)操作。

該步驟主要用于檢測直接違反各虛擬機(jī)訪問控制策略的簡單越權(quán)訪問。寫操作合法性檢測步驟如圖4所示。

圖4　寫操作合法性檢測

(4)si的安全等級支配可能等于oj的安全等級。

該步驟主要用于檢測數(shù)據(jù)從高安全級流向低安全級的跨級越權(quán)訪問。

(5)繼續(xù)判斷，在全局流圖T中包含(oj→si)的所有數(shù)據(jù)流φk中，若存在系統(tǒng)等級大于等于4級的節(jié)點，則在si后序方向的四級子系統(tǒng)vbm中有前方向的四級子系統(tǒng)vfm中存在策略在子系統(tǒng)v和v存在策略ij

該步驟主要用于檢測間接違反各虛擬機(jī)訪問控制策略的間接越權(quán)訪問。

在全局流圖T中，所有以(oj→si)為路徑的數(shù)據(jù)流φk中，若流經(jīng)的系統(tǒng)中有大于等于4級的信息系統(tǒng)，則在si后方向的四級子系統(tǒng)vbm中存在策略前方向的四級子系統(tǒng)vfm中存在策略

(6)若已經(jīng)在oj→si全局流圖T中出現(xiàn)，則讀操作被允許執(zhí)行，系統(tǒng)給出的響應(yīng)為yes，后續(xù)狀態(tài)仍然保持為當(dāng)前狀態(tài)；否則給出的響應(yīng)為no，當(dāng)前狀態(tài)不發(fā)生變化。

(7)判斷訪問請求寫操作w是否在該虛擬機(jī)的訪問控制矩陣中。si和oj分別屬于不同的虛擬機(jī)，而且訪問請求w分別在si的虛擬機(jī)vi和oj的虛擬機(jī)vj的訪問控制矩陣中。

(8)繼續(xù)判斷oj的安全等級支配可能等于si的安全等級，在全局流圖T包含(si→oj)的所有數(shù)據(jù)流φk中，若存在系統(tǒng)等級大于等于4級的節(jié)點，則在si后序方向的四級子系統(tǒng)vbm中有r∈前方向的四級子系統(tǒng)vfm中存在策略

(9)若si→oj已經(jīng)在全局流圖T中出現(xiàn)，則該操作被允許執(zhí)行，系統(tǒng)給出的響應(yīng)為yes，后續(xù)狀態(tài)仍然保持為當(dāng)前狀態(tài)。否則給出的響應(yīng)為no，當(dāng)前狀態(tài)不發(fā)生變化。

3　結(jié)語

本文在基于多級混合云環(huán)境下，根據(jù)數(shù)據(jù)流向具有方向性的特性，利用數(shù)據(jù)流圖，對虛擬機(jī)、用戶、資源、訪問行為進(jìn)行形式化的描述，通過安全等級、系統(tǒng)等級和訪問控制矩陣等作為綜合約束條件，設(shè)計了多級混合云環(huán)境下的數(shù)據(jù)訪問合法性檢測算法，該算法可以對典型常見的簡單、跨級、間接等違規(guī)操作進(jìn)行形式化的檢測，有效地避免了直接和間接的違規(guī)訪問，提高了云環(huán)境下各種數(shù)據(jù)訪問和安全策略的應(yīng)用需求。

[1] 馮登國，張敏，張妍等.云計算安全研究[J].軟件學(xué)報，2011，22(1):71-83.

[2] 李喬，鄭嘯云.云計算研究現(xiàn)狀綜述[J].計算機(jī)科學(xué)，2011，38(4):32-37.

[3] Pandey S，WU L，Guru M S，et al.A particle swarm optimization-based heuristic for scheduling workflow applications in cloud computing environments[C]//IEEE International Con-ference on Advanced Information Networking and Applications，2010:400-407.

[4] 姜政偉，趙文瑞，劉宇等.基于等級保護(hù)的云計算安全評估模型[J].計算機(jī)科學(xué)，2013，40(8):151-156.

[5] Duy T V，Sato Y，Inoguchi Y.Performance evaluation of a Green Scheduling Algorithm for energy savings in Cloud computing[C]//IEEEInternationalSymposiumonParallel＆DistributedProcessing，WorkshopsandPhdForum，2010:1-8.

[6] Puchinger J，Gunther R.Raid L.The multidimensional knapsack problem:structure and algorithms[J].Informs Journal on Computing，2010:250-265.

[7] 王超，陳性元.基于加權(quán)熵的訪問控制策略安全性分析研究[J].電子學(xué)報，2013，41(1):47-51.

[8] Garg S K，Buyyanetwork R.CloudSim modeling parallel applications in cloud simulations[C]//IEEE International Conference on Utility and Cloud Computing，2011:105-113.

[9] WANG Chao，CHEN Xing-yuan，LI Na.An access control mode based on information flow graph[C]//Proceedings of the International Conference on Computational Intelligence and Security.Sanya，China，2011:998-1000.

Unauthorized Access Detection Algorithm of Data Flow Graph based on Hybrid Cloud

LI Na1，DONG Yun-wei1，JING Hong-li2，CHE Tian-wei3，ZHANG Yu-chen4
(1.School of Computer Science and Technology，Northwestern Polytechnical University，Xi’an Shaanxi 710072，China；2.Beijing Topsec Technology Co.Ltd.，Beijing 100085，China；3.Beijing Jianyin Investment Technology Development Co.，Ltd，Beijing 100055，China；4.PLA Information Engineering University，Zhengzhou Henan 450001，China)

The study of data access between private cloud and public cloud coexisting in hybrid cloud indicates the universal existence of unauthorized access and this unauthorized access constitutes a great threat to the data security.In view of the situation，the states，rules，automatic machines，system resources and other multiple elements are formally described，and by making use of data flow diagrams，the access behaviors of different states and the data flow direction are recorded，and again the access legitimacy detection algorithm of read and write operations is designed and the formal description also done.Experiment indicates that the algorithm can effectively detect unauthorized access of illegal operations in hybrid cloud and solve the deficiency of the existing model in data transmission protection.

hybrid cloud，authorization control，global flow graph，unauthorized access

TP393

A

1009-8054(2016)08-0091-04

?2016-04-02

本文受國家高技術(shù)研究發(fā)展計劃(863) (No.2011AA010105)，上海市可信計算重點實驗室開發(fā)課題(No.07dz22304201304)資助

李 娜(1972—)，女，博士在讀，主要研究方向為計算機(jī)軟件工程、網(wǎng)絡(luò)及信息安全；

董云衛(wèi)(1968—)，男，博士，教授，計算機(jī)學(xué)會(CCF)會員，主要研究方向為嵌入式系統(tǒng)，軟件工程、可信軟件設(shè)計與驗證；

景鴻理(1962—)，男，碩士，高工，主要研究方向為網(wǎng)絡(luò)與信息安全；

車天偉(1971—)，男，博士，工程師，主要研究方向為計算機(jī)系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)與信息安全；

張玉臣(1975—)，男，博士，副教授，主要研究方向為網(wǎng)絡(luò)與信息安全。■