■文/遲文德

?

云計(jì)算環(huán)境中用戶(hù)身份認(rèn)證及訪問(wèn)控制的探索與實(shí)踐

■文/遲文德

摘 要：本文在云計(jì)算技術(shù)廣泛應(yīng)用的背景下，結(jié)合在廣播媒體的應(yīng)用場(chǎng)景和實(shí)踐經(jīng)驗(yàn)，針對(duì)云安全服務(wù)體系中的用戶(hù)身份認(rèn)證和訪問(wèn)控制等安全機(jī)制進(jìn)行分析，思考并總結(jié)出了一些解決思路與建設(shè)構(gòu)想。

關(guān)鍵詞：云計(jì)算；信息安全；身份認(rèn)證；訪問(wèn)控制

1.廣播媒體信息化建設(shè)的現(xiàn)狀和趨勢(shì)

隨著云計(jì)算技術(shù)、大數(shù)據(jù)的迅猛發(fā)展，不僅影響了整個(gè)互聯(lián)網(wǎng)產(chǎn)業(yè)，同時(shí)也對(duì)廣播媒體行業(yè)帶來(lái)了前所未有的巨大沖擊和深刻變革。在這場(chǎng)新技術(shù)革命的推動(dòng)力的作用下，以云計(jì)算為核心概念和基礎(chǔ)架構(gòu)，融合了分布式計(jì)算、網(wǎng)絡(luò)存儲(chǔ)、多媒體技術(shù)、虛擬化技術(shù)、負(fù)載均衡技術(shù)等，正在形成一整套新的廣播云平臺(tái)服務(wù)體系和運(yùn)行模式［1］。

云計(jì)算的應(yīng)用場(chǎng)景也迅速擴(kuò)展到新聞節(jié)目采集、音頻素材傳輸、音頻稿件編輯、媒體資源管理、節(jié)目?jī)?nèi)容審核、公文合同流轉(zhuǎn)等多個(gè)業(yè)務(wù)系統(tǒng)和工作流程當(dāng)中。各個(gè)業(yè)務(wù)系統(tǒng)不再像過(guò)去那樣單一、封閉運(yùn)作，而是逐漸轉(zhuǎn)向多層次、多維度、立體化的溝通協(xié)作與信息交互，正在逐步形成全臺(tái)網(wǎng)絡(luò)信息一體化的新格局。

此外，隨著4G、WIFI等無(wú)線(xiàn)通信技術(shù)的廣泛使用，以筆記本電腦、智能手機(jī)等移動(dòng)終端為信息載體的新媒體技術(shù)逐漸成為廣播媒體的新生力量。

所有這些發(fā)展趨勢(shì)都為傳統(tǒng)廣播媒體的生存帶來(lái)了極大的挑戰(zhàn)，同時(shí)也為其在信息化浪潮中尋求創(chuàng)新和發(fā)展空間帶來(lái)了機(jī)遇。

2.云平臺(tái)安全體系中存在的問(wèn)題及對(duì)策

正是由于云計(jì)算平臺(tái)的諸多優(yōu)點(diǎn)，搭建在其上的應(yīng)用系統(tǒng)越來(lái)越多，云終端用戶(hù)數(shù)量也越來(lái)越多。同時(shí)，由于每增加一個(gè)系統(tǒng)都要配置一套相應(yīng)的用戶(hù)訪問(wèn)安全機(jī)制，用戶(hù)賬戶(hù)及其訪問(wèn)權(quán)限的管理與控制也隨之變得越來(lái)越復(fù)雜。如果不解決由此帶來(lái)的安全隱患，將會(huì)使得廣播云服務(wù)平臺(tái)的應(yīng)用擴(kuò)展受到很大限制，最終會(huì)成為制約廣播媒體信息化發(fā)展的瓶頸。

首先，由于云環(huán)境下人員的流動(dòng)性加大，固有的組織架構(gòu)被打破，人員之間的角色分工不再是一成不變的。異地辦公成為許多廣播媒體從業(yè)者的工作常態(tài)，他們的工作性質(zhì)往往具有跨系統(tǒng)、跨地域，跨網(wǎng)絡(luò)特征［2］。訪問(wèn)者的身份驗(yàn)證和賬戶(hù)管理成為云平臺(tái)安全體系中亟待解決的關(guān)鍵。

其次，由于云環(huán)境下網(wǎng)絡(luò)資源的分布性、動(dòng)態(tài)性和虛擬化特性，隨時(shí)可能由于設(shè)備性能負(fù)載、存儲(chǔ)空間和網(wǎng)絡(luò)帶寬等因素而發(fā)生數(shù)據(jù)遷移，用戶(hù)無(wú)法確切得知他們的個(gè)人數(shù)據(jù)及訪問(wèn)的應(yīng)用系統(tǒng)資源被放到了哪里。并且，目前保護(hù)個(gè)人虛擬資產(chǎn)的法律法規(guī)并不健全，一旦造成用戶(hù)重要數(shù)據(jù)泄露將極大地削弱廣播云平臺(tái)的公信力和影響力。云服務(wù)平臺(tái)必須設(shè)計(jì)可靠的訪問(wèn)規(guī)則和控制措施來(lái)保障其提供的服務(wù)是安全的和可信的。

因此，建立一套統(tǒng)一、完備且高效的用戶(hù)身份認(rèn)證與訪問(wèn)控制機(jī)制成為當(dāng)前廣播云服務(wù)平臺(tái)安全體系建設(shè)的一項(xiàng)迫切要求。在云安全服務(wù)體系架構(gòu)設(shè)計(jì)當(dāng)中，身份認(rèn)證和訪問(wèn)控制是重要的兩個(gè)方面，既相對(duì)獨(dú)立又相互關(guān)聯(lián)，必須在云平臺(tái)建設(shè)的整個(gè)過(guò)程和運(yùn)行周期內(nèi)綜合考慮。

圖1　云安全服務(wù)體系中的身份認(rèn)證與訪問(wèn)控制

3.云安全服務(wù)體系中的身份認(rèn)證機(jī)制

目前，在廣播云平臺(tái)中往往已經(jīng)部署了很多在線(xiàn)應(yīng)用系統(tǒng)，如新聞采編系統(tǒng)、媒資管理系統(tǒng)、數(shù)字音頻內(nèi)容版權(quán)系統(tǒng)、即時(shí)通訊系統(tǒng)等，而其中的用戶(hù)賬號(hào)信息卻處于分離狀態(tài)，分散于各個(gè)業(yè)務(wù)系統(tǒng)內(nèi)部。而在以云計(jì)算為核心的信息系統(tǒng)中，就是要建立統(tǒng)一的用戶(hù)信息資源管理中心，通過(guò)統(tǒng)一的注冊(cè)、登記、查詢(xún)和驗(yàn)證方式，實(shí)現(xiàn)用戶(hù)賬戶(hù)信息統(tǒng)一管理及身份認(rèn)證。

所謂身份認(rèn)證（authentication），就是判斷一個(gè)用戶(hù)是否確如他所聲稱(chēng)的身份的處理過(guò)程。最常用的身份認(rèn)證方式是系統(tǒng)通過(guò)核對(duì)用戶(hù)輸入的用戶(hù)名稱(chēng)和口令是否與系統(tǒng)中該用戶(hù)已登記的相應(yīng)用戶(hù)名稱(chēng)和口令完全一致，來(lái)判斷該用戶(hù)身份的真實(shí)性與合法性。復(fù)雜一些的身份認(rèn)證方式則可能采用某種加密算法和通信協(xié)議，需要認(rèn)證主體提供更多的身份信息（如指紋、特征碼等）來(lái)證明其身份，如kerberes。［3］根據(jù)不同的應(yīng)用場(chǎng)景，廣播云平臺(tái)可以考慮采取以下幾種身份認(rèn)證模式。

3.1USB-KEY+數(shù)字證書(shū)

在云環(huán)境下，網(wǎng)絡(luò)間諜軟件、病毒木馬、惡意網(wǎng)站等安全威脅日益嚴(yán)重，傳統(tǒng)的基于用戶(hù)名及口令的認(rèn)證方式極容易受到攻擊和泄露。USBKEY屬于智能卡（Smart Card）設(shè)備，是一種用戶(hù)隨身攜帶的用于鑒別該用戶(hù)主體身份的電子器件。智能卡內(nèi)部裝有IC集成電路和微處理器，可通過(guò)與用戶(hù)計(jì)算機(jī)終端的USB接口連接進(jìn)行數(shù)據(jù)讀寫(xiě)。為防止USB-KEY遺失或被竊，還可以要求用戶(hù)登錄時(shí)使用身份識(shí)別碼（PIN碼）進(jìn)行雙因素驗(yàn)證。數(shù)字證書(shū)（Digital Certificate）是標(biāo)志用戶(hù)身份信息的一系列加密數(shù)據(jù)，它提供了一種在網(wǎng)絡(luò)上驗(yàn)證實(shí)體身份的方式，由一個(gè)公開(kāi)獨(dú)立的權(quán)威機(jī)構(gòu)——證書(shū)授權(quán)（Certificate Authority，CA）中心發(fā)行，其作用類(lèi)似于日常生活中的駕駛執(zhí)照或身份證。數(shù)字證書(shū)通常包含公鑰、證書(shū)序列號(hào)、證書(shū)有效期以及CA的數(shù)字簽名。［4］通過(guò)USB-KEY可以生成并存儲(chǔ)由CA中心下發(fā)的包含其身份信息的數(shù)字證書(shū)。由于USB-KEY芯片具有的物理特性，保證了數(shù)字證書(shū)的安全讀寫(xiě)。

當(dāng)發(fā)送加密消息的實(shí)體（個(gè)人、公司或代表它們的應(yīng)用程序服務(wù)器）向CA提交驗(yàn)證申請(qǐng)后，CA向其發(fā)放一個(gè)包含了申請(qǐng)者公開(kāi)密鑰和它的身份信息的加密數(shù)字證書(shū)，USB-KEY內(nèi)置解密程序使用CA的公開(kāi)密鑰來(lái)解開(kāi)附接在消息上的數(shù)字證書(shū)，并驗(yàn)證該證書(shū)確實(shí)由CA發(fā)放，從而發(fā)送應(yīng)答消息以響應(yīng)該請(qǐng)求。

數(shù)字證書(shū)的通用格式符合ITUT X.509國(guó)際標(biāo)準(zhǔn)，采用USB-KEY+數(shù)字證書(shū)保證了安全的四大要素，即：

信息傳輸?shù)谋Ｃ苄裕?/p>

信息交互雙方身份的確定性；

身份信息不可否認(rèn)（不可抵賴(lài)）性；

數(shù)據(jù)的不可修改（防篡改）性。

目前，這種應(yīng)用模式主要在新聞?dòng)浾咄獬霾稍L場(chǎng)合或某些地方記者站回傳稿件資料時(shí)使用較多。

3.2動(dòng)態(tài)口令卡（動(dòng)態(tài)令牌）+ Radius認(rèn)證

動(dòng)態(tài)口令卡又稱(chēng)為動(dòng)態(tài)令牌，基于時(shí)間同步算法，也是一種由用戶(hù)隨身攜帶的電子密鑰。動(dòng)態(tài)令牌口令由令牌內(nèi)置晶振時(shí)鐘和種子密鑰通過(guò)偽隨機(jī)算法［5］生成，一般每分鐘改變一次，而且是一次性口令密碼（即密碼使用后立即失效，不能重復(fù)使用）。與USBKEY證書(shū)相比，其優(yōu)勢(shì)主要在于：

無(wú)需下載設(shè)備驅(qū)動(dòng)程序，用戶(hù)無(wú)須記憶口令密碼，使用非常方便；

無(wú)需與計(jì)算機(jī)終端進(jìn)行物理連接和數(shù)據(jù)連接，不易損壞；

動(dòng)態(tài)口令隨時(shí)間變化，不易被破解或泄露，安全性較高。

圖2　動(dòng)態(tài)令牌+Radius認(rèn)證

Radius是一種最常見(jiàn)的C/S方式UDP標(biāo)準(zhǔn)認(rèn)證協(xié)議，主要用來(lái)對(duì)用戶(hù)進(jìn)行認(rèn)證、授權(quán)和計(jì)賬等服務(wù)（即AAA，Authentication，Authorization and Accounting）。基于Radius協(xié)議，可以實(shí)現(xiàn)用戶(hù)賬戶(hù)與動(dòng)態(tài)令牌ID的捆綁，并在客戶(hù)端和應(yīng)用服務(wù)間建立安全連接（PAP）和握手服務(wù)（CHAP）。

另外，最新研制開(kāi)發(fā)的一種可用于智能手機(jī)客戶(hù)端的動(dòng)態(tài)令牌，通過(guò)讀取Radius報(bào)文中的用戶(hù)手機(jī)號(hào)碼等屬性字段可以和短信認(rèn)證方式相結(jié)合實(shí)現(xiàn)雙因素認(rèn)證。

目前，這種方式主要用于WEB應(yīng)用資源的遠(yuǎn)程接入用戶(hù)的訪問(wèn)。

3.3LDAP（或AD）+SSL/TLS認(rèn)證

LDAP（Lightweight Directory Access Protocal）即輕量級(jí)目錄訪問(wèn)協(xié)議［6］，它以樹(shù)狀結(jié)構(gòu)存儲(chǔ)用戶(hù)身份信息，通過(guò)條目（ENTRY）、OU（Organization Unit）等屬性來(lái)表示某機(jī)構(gòu)內(nèi)部組織結(jié)構(gòu)，如部門(mén)、人員等。同時(shí)OU還可以有子OU，用來(lái)表示更為細(xì)致的分類(lèi)。AD（Active Directory）支持LDAP協(xié)議，同時(shí)提供用戶(hù)賬戶(hù)的編目、分類(lèi)、存取以及對(duì)賬戶(hù)的增、刪、查、改等操作，截取其配置過(guò)程如圖3所示。

圖3　LDAP認(rèn)證配置截圖

通過(guò)LDAP協(xié)議，可以實(shí)現(xiàn)整個(gè)用戶(hù)根目錄、目錄子樹(shù)、屬性集、符合特定過(guò)濾條件的用戶(hù)子集（用戶(hù)組）或單個(gè)特定用戶(hù)作為控制對(duì)象進(jìn)行身份認(rèn)證。

AD提供基于SSL/TLS［7］的安全通道服務(wù)，同時(shí)實(shí)現(xiàn)客戶(hù)端和服務(wù)器端身份的雙向驗(yàn)證。SSL/TLS利用數(shù)據(jù)加密技術(shù)，如消息摘要算法、對(duì)稱(chēng)加密算法、非對(duì)稱(chēng)加密算法、數(shù)字簽名算法等，防止認(rèn)證數(shù)據(jù)在傳輸過(guò)程中被截取或竊聽(tīng)，該技術(shù)被廣泛用于基于WEB瀏覽器與服務(wù)器的用戶(hù)身份認(rèn)證。

結(jié)合即時(shí)通訊系統(tǒng)功能，通過(guò)這種方式可以實(shí)現(xiàn)全臺(tái)員工賬戶(hù)信息同步和數(shù)據(jù)一致性。并且由于LDAP協(xié)議的跨平臺(tái)優(yōu)勢(shì)和AD組織架構(gòu)的安全通用性，可以最大程度地實(shí)現(xiàn)不同廣播應(yīng)用系統(tǒng)用戶(hù)賬戶(hù)信息的整合與統(tǒng)一認(rèn)證管理。

3.4合認(rèn)證

對(duì)于安全性要求較高的應(yīng)用場(chǎng)景，也可以采納多種認(rèn)證相結(jié)合的方式，要求多種認(rèn)證方式同時(shí)滿(mǎn)足或選擇其中一種作為主認(rèn)證方式，其余為輔認(rèn)證方式。

圖4　多種認(rèn)證方式組合

4.云安全服務(wù)體系中的訪問(wèn)控制機(jī)制

身份認(rèn)證通常與訪問(wèn)控制（anthorization）邏輯關(guān)聯(lián)，訪問(wèn)控制是指一旦用戶(hù)的身份通過(guò)系統(tǒng)認(rèn)證以后，云系統(tǒng)就要根據(jù)該用戶(hù)屬性特征及所屬組織結(jié)構(gòu)來(lái)制定相應(yīng)的訪問(wèn)控制規(guī)則列表，以授權(quán)該用戶(hù)可以訪問(wèn)哪些資源以及以何種方式操作（讀、寫(xiě)、存儲(chǔ)、下載等）的問(wèn)題。常見(jiàn)的訪問(wèn)控制策略有自主訪問(wèn)控制（DAC）、強(qiáng)制訪問(wèn)控制（MAC）和基于角色的訪問(wèn)控制（RBAC）［8］。

目前，云系統(tǒng)較多采用基于RBAC進(jìn)行訪問(wèn)控制，但由于廣播云平臺(tái)往往用戶(hù)組織關(guān)系及類(lèi)型變化繁多，而傳統(tǒng)RBAC主要針對(duì)的是單個(gè)客體，因此需要擴(kuò)展RBAC，主要涉及到用戶(hù)資源空間和相應(yīng)用戶(hù)身份屬性間的角色映射關(guān)系。可依據(jù)用戶(hù)屬性自動(dòng)映射到指定用戶(hù)（組），并通過(guò)與該用戶(hù)（組）所綁定的角色獲得對(duì)指定網(wǎng)絡(luò)資源的訪問(wèn)授權(quán)。對(duì)于角色定義需要遵循以下幾個(gè)原則：

4.1任務(wù)角色分離原則

即防止系統(tǒng)中相互沖突的權(quán)限功能被分配給同一用戶(hù)。

4.2關(guān)聯(lián)最小原則

即應(yīng)盡量減少不同用戶(hù)組（非繼承關(guān)系）之間的訪問(wèn)權(quán)限交集，使得資源利用率達(dá)到最大化。

4.3策略繼承原則

即下層用戶(hù)（組）自動(dòng)繼承上層用戶(hù)組的組屬性和角色定義，下層用戶(hù)（組）是上層用戶(hù)組的權(quán)限子集。

4.4不可見(jiàn)原則

即不在用戶(hù)角色訪問(wèn)權(quán)限范圍內(nèi)的資源對(duì)該用戶(hù)應(yīng)是不可見(jiàn)的。

云系統(tǒng)管理員可根據(jù)角色定義及URL資源、C/S資源、IP資源等網(wǎng)絡(luò)資源類(lèi)型，為不同用戶(hù)（組）分配不同粗細(xì)粒度的訪問(wèn)權(quán)限及控制規(guī)則。

5.總結(jié)

為了更快適應(yīng)當(dāng)前云計(jì)算發(fā)展趨勢(shì)，必須加快廣播云平臺(tái)安全基礎(chǔ)體系建設(shè)步伐，加強(qiáng)并完善面向廣播新聞媒體業(yè)者的統(tǒng)一身份認(rèn)證及訪問(wèn)控制安全機(jī)制。這是一項(xiàng)長(zhǎng)期而艱巨的系統(tǒng)工程，涉及多個(gè)技術(shù)領(lǐng)域，如密碼學(xué)、虛擬化技術(shù)、信息安全技術(shù)等。

必須將分散于各個(gè)應(yīng)用系統(tǒng)的用戶(hù)賬戶(hù)資源集中管理起來(lái)，建立統(tǒng)一而獨(dú)立于用戶(hù)應(yīng)用系統(tǒng)的集注冊(cè)、身份鑒定和證書(shū)管理等于一體的CA認(rèn)證中心，才能制定面向全局應(yīng)用的云安全策略。同樣，只有將用戶(hù)資源與網(wǎng)絡(luò)服務(wù)資源建立角色關(guān)聯(lián)并制定相應(yīng)的訪問(wèn)控制規(guī)則，才能充分發(fā)揮廣播云服務(wù)平臺(tái)的資源共享機(jī)能和靈活機(jī)動(dòng)特性。

參考文獻(xiàn)

［1］ 羅軍舟，金嘉暉，宋愛(ài)波等.云計(jì)算體系架構(gòu)與關(guān)鍵技術(shù)［J］.通信學(xué)報(bào)，2011，32（7）：3-18.

［2］ 沈傳寶.淺談廣電行業(yè)信息安全建設(shè).現(xiàn)代電視技術(shù)，2010（3）：118-119.

［3］ 高傳善，毛迪林，曹袖.數(shù)據(jù)通信與計(jì)算機(jī)網(wǎng)絡(luò)（第2版）.北京：高等教育出版社，2004（12）：522-531.

［4］白妙青.云計(jì)算技術(shù)在廣播電視網(wǎng)中的應(yīng)用［J］.現(xiàn)代電子技術(shù)，2013，36（11）：142-144.

［5］ 電力信息系統(tǒng)統(tǒng)一身份認(rèn)證體系的建設(shè)研究［J］.信息網(wǎng)絡(luò)安全，2010 （01）：32-35.

［6］ 田燕，張新剛，梁晶晶等.基于身份認(rèn)證和訪問(wèn)控制的云安全管理平臺(tái)［J］.測(cè)控技術(shù)，2013，32（2）：97-99.

［7］ 劉東霖.SSL VPN 技術(shù)研究及仿真分析［J］.現(xiàn)代電子技術(shù)，2013，36 （13）：102-104.

［8］ 譚武征.云安全存儲(chǔ)解決方案［J］.信息安全與通信保密，2012（11）：147-149.

（作者單位：中央人民廣播電臺(tái)技術(shù)管理中心）

中圖分類(lèi)號(hào)：TP37

文獻(xiàn)標(biāo)識(shí)碼：A