馬志程 楊仕博 邵詩韻 馬勇

摘要 資源池采用基于角色的權(quán)限控制模型，實現(xiàn)系統(tǒng)管理員、審計管理員和安全管理員三權(quán)分權(quán)管理，解決了系統(tǒng)的資源使用、管理和治理的行為制約平衡的難題。制定用戶、終端和服務(wù)器身份標(biāo)識的設(shè)計規(guī)則，簡化各個組成部分身份標(biāo)識細(xì)則，提升管理效率。描述身份鑒別流程通過加密和安全的通信通道來保護(hù)驗證憑證，提升資源池安全性。

【關(guān)鍵詞】資源池 虛擬化 身份識別 權(quán)限控制

1 引言

云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問，進(jìn)入可配置的計算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。美國政府在2010年到2015年在云計算的支出年增長率為40%，在2015年達(dá)到70億美元。云計算中應(yīng)用服務(wù)沒有固定的安全邊界，用戶對資源的可控性減弱，很難規(guī)劃統(tǒng)一的安全防護(hù)措施。因此需要設(shè)計相應(yīng)的安全機(jī)制和體系結(jié)構(gòu)來保護(hù)用戶數(shù)據(jù)的機(jī)密性、完整性、可用性。訪問控制技術(shù)保護(hù)合法用戶訪問云資源，保障信息安全。

傳統(tǒng)的訪問控制模型包括自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制?；诮巧脑L問控制模型與企事業(yè)的崗位可以很好的對照與綁定，系統(tǒng)為每個用戶分配相應(yīng)的角色，每個角色按照崗位職責(zé)獲得一定系統(tǒng)訪問權(quán)限。Sandh[7，8]提出RBAC96等一系列的訪問控制模型，這些訪問策略幾乎都是靜態(tài)的授權(quán)模式，不適用于動態(tài)的云計算環(huán)境。本文從數(shù)據(jù)操作屬性出發(fā)分為三類：訪問、管理和審計，從體系上保證了數(shù)據(jù)操作管控的完整性，是其他基于角色訪問控制方法的有效補(bǔ)充。通過客戶端、用戶、服務(wù)器的身份鑒定和完整認(rèn)定流程，進(jìn)一步增強(qiáng)了資源訪問的安全性，并在管理復(fù)雜性和安全性上某種程度達(dá)到了平衡。

2 三權(quán)分離管理安全設(shè)計

如圖1所示，資源池采用基于角色的權(quán)限控制模型，禁止超級特權(quán)用戶，實現(xiàn)三員（系統(tǒng)管理員、審計管理員、安全管理員）分權(quán)管理。

系統(tǒng)將資源與操作相結(jié)合形成相應(yīng)的授權(quán)策略，并將授權(quán)策略授權(quán)給角色，建立以上三種類型的角色（包括：系統(tǒng)管理員角色、審計管理員角色、安全管理員角色）;將角色分配給相應(yīng)的用戶，實現(xiàn)用戶對資源的權(quán)限控制與分配。對資源的操作分為管理和使用兩種方式，實現(xiàn)對系統(tǒng)資源管理和使用的權(quán)限分離。

結(jié)合以上三類管理員的模式，將系統(tǒng)的資源使用和管理進(jìn)行分離及三類管理員的行為進(jìn)行相互制約;虛擬化平臺系統(tǒng)在初始化時禁止初始化超級管理員用戶，初始化三個管理員主要包括系統(tǒng)管理員、審計管理員、安全管理員。如圖2所示。

安全管理員：負(fù)責(zé)對虛擬化平臺系統(tǒng)中系統(tǒng)管理員的創(chuàng)建及資源權(quán)限的分配，安全管理員自身不具備對資源使用的權(quán)限;安全管理員對資源權(quán)限的分配是根據(jù)管理員的安全域進(jìn)行限制（如安全級別資源池），安全管理員不能為自身分配權(quán)限。

系統(tǒng)管理員：由安全管理員創(chuàng)建、維護(hù)，系統(tǒng)管理員只能對虛擬化平臺系統(tǒng)的資源擁有使用的權(quán)限，不具備相應(yīng)的管理權(quán)限;其使用資源的權(quán)限范圍由安全管理員分配。

審計管理員：負(fù)責(zé)對系統(tǒng)安全管理員及系統(tǒng)管理員的行為進(jìn)行審計，并對虛擬化平臺系統(tǒng)資源的運行狀態(tài)進(jìn)行監(jiān)控，不能使用虛擬化平臺系統(tǒng)資源，也不能對虛擬化平臺系統(tǒng)資源進(jìn)行分配和管理。

3 身份鑒別安全設(shè)計

3.1 身份鑒別策略

虛擬化平臺系統(tǒng)對宿主服務(wù)器、終端、虛擬桌面用戶、管理員等主體均創(chuàng)建唯一的身份標(biāo)識和強(qiáng)制認(rèn)證措施，對指定用戶可采用數(shù)字證書等強(qiáng)制認(rèn)證機(jī)制和雙層多因子認(rèn)證機(jī)制，通過限定登錄IP/MAC地址等機(jī)制限制指定用戶的終端機(jī)位置。

3.2 身份標(biāo)識符

3.2.1 用戶身份標(biāo)識符

虛擬化平臺系統(tǒng)與現(xiàn)有認(rèn)證體系集成，關(guān)于虛擬桌面用戶與管理員身份標(biāo)識符設(shè)計如下：

（1）用戶身份的生成與來源，由系統(tǒng)管理員在現(xiàn)有認(rèn)證體系中統(tǒng)一生成，且在集團(tuán)公司整個身份認(rèn)證系統(tǒng)中唯一存在;

（2）虛擬化平臺系統(tǒng)用戶身份的管理與維護(hù)，由系統(tǒng)管理員在現(xiàn)有認(rèn)證體系中統(tǒng)一進(jìn)行增加、修改、查詢、禁用等操作，流程上沒有刪除用戶身份的操作;

（3）用戶身份相關(guān)的所有操作，包括用戶的生成、修改權(quán)限、修改密碼、修改配置與描述信息、用戶禁用等操作，均在現(xiàn)有認(rèn)證體系中統(tǒng)一完成，并生成審計日志信息。

3.2.2 宿主服務(wù)器身份標(biāo)識符

虛擬化平臺系統(tǒng)宿主服務(wù)器采用以服務(wù)器硬件特征值作為種子生成的長度為10位由小寫英文字母與阿拉伯?dāng)?shù)字組合的唯一序列作為身份標(biāo)識符。

3.2.3 終端機(jī)身份標(biāo)識符

虛擬化平臺系統(tǒng)終端機(jī)采用以終端設(shè)備硬件特征值作為種子生成的長度為32位由小寫英文字母與阿拉伯?dāng)?shù)字組合的唯一序列作為身份標(biāo)識符。

3.3 用戶身份鑒別

虛擬化平臺系統(tǒng)對用戶身份鑒別認(rèn)證流程設(shè)計如圖3所示。

（1）當(dāng)最終用戶若干次嘗試登錄失敗后，禁用該用戶帳戶或?qū)⑹录懭肴罩?

（2）強(qiáng)制定期修改密碼，設(shè)置密碼復(fù)雜度，保證密碼安全，初始密碼登錄N（如：5）次后，未修改就失效，用戶不能再登錄。

（3）提供賬戶禁用功能，預(yù)防當(dāng)系統(tǒng)受到威脅時遭受進(jìn)一步攻擊;

（4）將用戶/密碼與數(shù)據(jù)存儲進(jìn)行比對，只返回認(rèn)證結(jié)果，不支持密碼直接取出校驗;

（5）對密碼長度、復(fù)雜度進(jìn)行校驗;

（6）用戶在輸入登錄信息后，用戶密碼通過SHA-1等加密方式加密傳輸?shù)胶笈_處理程序，保證密碼不是以明文的方式傳輸?shù)胶笈_，使用SSL對數(shù)據(jù)流加密;

通過加密和安全的通信通道來保護(hù)驗證憑證。限制驗證憑證的有效期，以防止因重復(fù)攻擊導(dǎo)致的欺騙威脅。減少Cookie超時時間限制攻擊者利用竊取的Cookie來訪問站點的時間。

4 結(jié)束語

本文從數(shù)據(jù)操作屬性出發(fā)分為三類：訪問、管理和審計，從體系上保證了數(shù)據(jù)操作管控的完整性，是其他基于角色訪問控制方法的有效補(bǔ)充。通過客戶端、用戶、服務(wù)器的身份鑒定和完整認(rèn)定流程，進(jìn)一步增強(qiáng)了資源訪問的安全性。需要進(jìn)一步考慮仿冒用戶通過驗證后，通過分析其行為特點，判斷數(shù)據(jù)操作可能帶來的危害，建立動態(tài)數(shù)據(jù)保護(hù)機(jī)制。

（通訊作者：邵詩韻）

參考文獻(xiàn)

[1]Tian L，Lin C，Ni Y.Evaluation of userbehavior trust in cloud computing[C].Computer Application and SystemModeling （ICCASM）， 2010 InternationalConference on. IEEE， 2010，7：V7-567-V7-572.

[2] Feng D G，Zhang M，Zhang Y，etal. Study on cloud computingsecurity [J]. Journal ofsoftware， 2011， 22 （01）： 71-83.

[3] HUANG J，F(xiàn)ANG O.Context and rolebased access control for cloudcomput ing [J]. Journal of ComputerApplications，2015，2： 023.

[4] Curry S，Darbyshire J，F(xiàn)isher D W，etal. Infrastructure security： Get tingto the bottom of compliance in thecloud [J]. RSA Security Brief， 2010.

[5] Kaur P J，Kaushal S.Securityconcerns in cloud computing[M].HighPerformance Architecture and GridComputing. Springer， Berlin， Heidelberg，2011：103-112.

[6] Lin G Y，He S，Huang H，et al. Accesscontrol security model basedon behavior in cloud computingenvironment [J]. Journal of ChinaInstitute of Communications，2012，33（03）：59-66.

[7] Tianyi Z，Weidong L，Jiaxing S.Anefficient role based access controlsystem for cloud computing [C].Computer and Information Technology（CIT），2011 IEEE 11th

Internat ionalConference on. IEEE， 2011： 97-102.

[8]Sandhu R S，Coyne E J，F(xiàn)einsteinHL，etal.Role-basedaccess control models [J].Computer， 1996， 29 （02）： 38-47.