楊波++張云++王欣

摘 要：在分析云計算安全研究技術(shù)的基礎(chǔ)上，以中國墻模型為基礎(chǔ)，結(jié)合有關(guān)訪問控制的特點，提出了一種改進(jìn)的基于云計算的網(wǎng)絡(luò)訪問控制安全方法，該方法使用云端服務(wù)器與客體所有者通過作業(yè)分配權(quán)限的方式，具有清晰的身份管理層次，具有較好的靈活性和安全性，能滿足網(wǎng)絡(luò)訪問控制需求。通過仿真實驗，實現(xiàn)了強(qiáng)制訪問控制下各級用戶訪問的分級管理，表明了有效性。

關(guān)鍵詞：云計算；中國墻模型；網(wǎng)絡(luò)訪問控制

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

1 引言（Introduction）

隨著網(wǎng)絡(luò)的飛速發(fā)展，云計算已經(jīng)悄然來到我們身邊。20個世紀(jì)60年代，麥卡錫提出了一種把計算能力作為公用事業(yè)提供給用戶的理念，這成為云計算思想的起源。隨著20個世紀(jì)80年代網(wǎng)格計算技術(shù)的出現(xiàn)，90年代公用計算技術(shù)的發(fā)展，以及20世紀(jì)初虛擬化技術(shù)、SOA、SaaS的廣泛應(yīng)用，云計算作為一種新興的資源使用和交付模式已經(jīng)開始逐漸為學(xué)界和產(chǎn)業(yè)界所認(rèn)知。云計算一系列的可供所有用戶共享訪問的資源，這些資源可以被虛擬化，并且可以能夠動態(tài)升級。即使不懂云計算技術(shù)用戶，可以按照各自需求以租賃的方式訪問云，大大的方便了用戶的使用。云計算以互聯(lián)網(wǎng)為媒介提供服務(wù)，提供動態(tài)、可伸縮、虛擬化的資源計算模式。這種涉及以互聯(lián)網(wǎng)來提供動態(tài)、可伸縮、虛擬化資源的計算模式通常有基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加、使用和交付等模式。運用云計算技術(shù)可以按照需求方便快捷的從互聯(lián)網(wǎng)上共享的資源池中獲得信息，共享的資源池中的資源可以來自網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用和服務(wù)。云計算的這種資源模式和業(yè)務(wù)資源應(yīng)該支持通過簡潔的管理或交互過程快速地部署和釋放[1]。

云計算以動態(tài)的服務(wù)計算為主要技術(shù)特征，以靈活的“服務(wù)合約”為核心商業(yè)特征[2]。傳統(tǒng)的數(shù)據(jù)存儲模式在云計算環(huán)境中被打破，云端服務(wù)器中存儲著所有數(shù)據(jù)，這些數(shù)據(jù)以托管的方式存在，用戶通過應(yīng)用程序編程接口（即API），使用瀏覽器來獲得所需要的數(shù)據(jù)和服務(wù)[3]。這種變化為用戶帶來了很大方便，同時引發(fā)了基于云計算的信息系統(tǒng)存在的安全隱患。如惡意訪問者的惡意行為導(dǎo)致的資料外泄；供應(yīng)商系統(tǒng)遭到大量惡意軟件攻擊；云端服務(wù)器中共享信息的不安全性；以及黑客盜取供應(yīng)商系統(tǒng)的數(shù)據(jù)等。近年來，云計算安全問題大致分為三個方面：第一方面，云計算服務(wù)提供商提供的網(wǎng)絡(luò)、存儲是否安全，是否會造成數(shù)據(jù)泄密。第二方面，云計算服務(wù)提供商提供的服務(wù)是否安全，客戶數(shù)據(jù)本身是否安全。第三方面，客戶賬戶是否安全，是否能夠防止他人盜取客戶賬號使用云中的服務(wù)，而讓客戶埋單[4]。

本文從云計算環(huán)境入手，分析了中國墻訪問控制模型，RBAC96模型的優(yōu)缺點，發(fā)現(xiàn)由于云計算環(huán)境的特殊性，數(shù)據(jù)存儲時采用傳統(tǒng)訪問控制模型已不適合，突出表現(xiàn)就是用戶數(shù)據(jù)安全的重要隱患體現(xiàn)在訪問控制過程。本文提出的基于云計算的網(wǎng)絡(luò)訪問控制安全方法考慮了層次分明的身份方法管理，兼顧訪問控制的分布式要求，基于云計算環(huán)境下的云端服務(wù)器，使作業(yè)權(quán)限的分配與客體所有者共同完成。

2 相關(guān)研究（Correlational research）

中國墻安全模型由Brewer和Nash提出。

中國墻模型又叫做Brewer and Nash model，是一種提供可動態(tài)改變的信息安全訪問控制的安全模型。運用這種模型進(jìn)行信息訪問控制，可以減輕客戶在商業(yè)組織中的利益沖突。在這個模型中，如果一個主體和客體在某種方式下能產(chǎn)生利益沖突，那么在它們之間的信息流將是被禁止的。例如，如果一個項目經(jīng)理在多家企業(yè)同時實施同一領(lǐng)域的工程，那么在每個企業(yè)中他只能看見有限的信息，如果某個信息對其他企業(yè)有利，那么他將被禁止訪問。

中國墻模型的創(chuàng)建是基于假設(shè)的，然而等價關(guān)系并不總是成立的，并且全體對象也并不總是等價類。因此如何防止非法授權(quán)訪問機(jī)密信息就成了網(wǎng)絡(luò)訪問控制的關(guān)鍵。

RBAC96模型由Sandhu等人提出。該模型認(rèn)為客戶不會一成不變，針對變化的客戶靈活提供的安全策略。有關(guān)研究人員受到該模型客戶靈活度的啟發(fā)，從理論上對客戶關(guān)系進(jìn)行了進(jìn)一步分層化劃分，尋找不同客戶間隱藏關(guān)系，進(jìn)而分析出可信度。

3 安全模型（Security model）

本文提出的基于云計算的網(wǎng)絡(luò)訪問控制安全模型，通過分析云計算平臺下的客戶特點，按照客戶訪問行為特征辨析身份，綜合考慮實例和權(quán)限等網(wǎng)絡(luò)訪問要素，將其用于中國墻安全策略模型，支持RBAC系統(tǒng)，實現(xiàn)強(qiáng)制訪問控制，在客戶多層次角色靈活性方面增加了中國墻模型的安全性。

該模型是一種基于云計算的網(wǎng)絡(luò)強(qiáng)制訪問控制形式，它采用中庸策略，也就是說每一個用戶在體系里的權(quán)限不是確定的，是依據(jù)身份的不同而不同的，這樣一個系統(tǒng)里的安全策略就變得多元了。模型中的基本要素是身份，有了不同的身份才可能有響應(yīng)的任務(wù)，通過多層次身份的定義，劃分出對應(yīng)的多層次的任務(wù)，不同的任務(wù)才會被分配到響應(yīng)級別的權(quán)限，同一個客戶在不同的場景下訪問時，可能由于身份不同而獲得不用的權(quán)限，從而使得權(quán)限與客戶分開，實現(xiàn)了強(qiáng)制訪問控制，增強(qiáng)了安全性。

4 基于云計算的網(wǎng)絡(luò)訪問控制安全方法（Network

access control security method based on cloud

computing）

在本方法中，將整個作業(yè)過程看成很多細(xì)小的任務(wù)，這些任務(wù)之間存在關(guān)聯(lián)，相互依賴，然后依據(jù)職能和責(zé)任將任務(wù)分配給身份，身份通過執(zhí)行任務(wù)實例從而得到權(quán)限。訪問權(quán)限的控制通過約束集可以實現(xiàn)，從而實現(xiàn)控制策略?？腕w的權(quán)限的獲得是據(jù)身份并通過任務(wù)，會話通常由用戶發(fā)起，在面向?qū)ο蠓矫?，身份間的部分關(guān)系可實現(xiàn)繼承。

本方法的定義如下：

用戶集。

身份集。

任務(wù)集。

任務(wù)實例。

權(quán)限。

操作P，程序映像，可執(zhí)行的。

會話T，用戶需要身份時，必須發(fā)起會話?；卦捒梢约せ钣脩羯矸荩せ畹纳矸輧H用于當(dāng)次訪問，該次激活身份的權(quán)限也僅用于當(dāng)次身份。

約束集K，用于限制當(dāng)次訪問控制中的規(guī)則集合。

5 基于云計算的網(wǎng)絡(luò)訪問控制需求（Network access

control requirements based on cloud computing）

在云計算平臺環(huán)境下，數(shù)據(jù)存儲面臨網(wǎng)絡(luò)威脅，相應(yīng)產(chǎn)生云存儲的安全問題。使用云計算平臺的用戶在存儲和讀取數(shù)據(jù)時，也有不用于本地局域網(wǎng)的用戶需求。

（1）訪問者類型

在云計算平臺環(huán)境中，數(shù)據(jù)的訪問者不僅僅是存儲用戶，還包括兩類用戶，即提供云計算平臺的供應(yīng)商和有相應(yīng)身份權(quán)限的訪問者。云計算平臺的供應(yīng)商負(fù)責(zé)存儲用戶交付的數(shù)據(jù)，這里涵蓋日常數(shù)據(jù)的維護(hù)、安全性保障、數(shù)據(jù)一致性、數(shù)據(jù)恢復(fù)等；有相應(yīng)身份權(quán)限的訪問者主要的行為是讀取數(shù)據(jù)，把關(guān)的關(guān)鍵就是訪問權(quán)限，依據(jù)身份的不同，任務(wù)的不同，獲取不同的身份權(quán)限，任務(wù)權(quán)限，需求不同，權(quán)限也不同。

（2）數(shù)據(jù)類型

在云計算平臺環(huán)境中，用戶交付存儲的數(shù)據(jù)的安全性首先取決于服務(wù)提供商的網(wǎng)絡(luò)環(huán)境是否安全。云計算平臺環(huán)境中的服務(wù)器自身存儲數(shù)據(jù)也存在著安全性，以及數(shù)據(jù)完整性的問題。因此，云計算環(huán)境下，從數(shù)據(jù)角度分析，數(shù)據(jù)的訪問控制應(yīng)當(dāng)根據(jù)不同的安全等級設(shè)置不同的訪問控制。

6 基于云計算的網(wǎng)絡(luò)訪問控制策略（Network access

control policy based on cloud computing）

依據(jù)不同用戶的訪問控制需求，采用作業(yè)分解的方式實現(xiàn)對訪問權(quán)限分配的控制。用戶依據(jù)行為獲得身份，依據(jù)身份獲得任務(wù)，依據(jù)任務(wù)獲得權(quán)限，最終權(quán)限被分配的不是用戶，而是分解后的作業(yè)，最后依據(jù)作業(yè)的不同級別實現(xiàn)安全的分級訪問控制。

基于云計算的網(wǎng)絡(luò)訪問控制方法中，將作業(yè)分成四大類：私有類作業(yè)S、管理類作業(yè)G、日常類作業(yè)R、活躍類作業(yè)H，從而細(xì)化對作業(yè)權(quán)限分配的管理，作業(yè)的區(qū)別如表1。

基于云計算的網(wǎng)絡(luò)訪問控制方法的訪問控制策略是基于作業(yè)的，采用作業(yè)分解的方式實現(xiàn)對訪問權(quán)限分配的控制。用戶的身份通過分解了的作業(yè)得到，主體的訪問權(quán)限通過實例權(quán)限分配得到?；谠朴嬎愕木W(wǎng)絡(luò)訪問控制方法的訪問控制組件屬性如表2。

在實際的云計算服務(wù)環(huán)境中，來訪用戶訪問行為非常復(fù)雜，用于保證網(wǎng)絡(luò)訪問控制的策略需要考慮的問題很多，本文方法主要考慮四個方面：

（1）用戶身份類別

云計算平臺環(huán)境中，數(shù)據(jù)的訪問者不僅僅是存儲用戶，還包括兩類用戶，即提供云計算平臺的供應(yīng)商和有相應(yīng)身份權(quán)限的訪問者。

本文方法中，提供云計算平臺的供應(yīng)商的身份權(quán)限分配策略，可以依據(jù)多層次身份管理，從而獲得多層次權(quán)限管理；提供數(shù)據(jù)的存儲用戶身份權(quán)限分配策略，可以通過強(qiáng)制訪問控制任務(wù)實例獲得多層次權(quán)限管理；有相應(yīng)身份權(quán)限的訪問者可以通過對一次訪問過程進(jìn)行工作流作業(yè)分解，從而利用實例分配權(quán)限，簡化了用戶管理和權(quán)限分配工作，每次為相同的客體訪問者創(chuàng)建作業(yè)實例（這里考慮的是外部共享訪問者對數(shù)據(jù)的操作大多是讀操作）。云計算服務(wù)提供商不再擁有對數(shù)據(jù)的超級權(quán)限，預(yù)防安全隱患。

（2）作業(yè)分解類別

在基于云計算的網(wǎng)絡(luò)訪問控制方法中，作業(yè)的分類詳細(xì)分類了對數(shù)據(jù)訪問控制的安全等級。

本文中使用S、G、R、H對一次訪問工作流中的作業(yè)分解劃分安全等級。一旦用戶發(fā)出訪問請求，就激活了會話，分解后的作業(yè)被啟動，依據(jù)身份的層次，獲得相關(guān)權(quán)限。

（3）信息安全控制

在通常的網(wǎng)絡(luò)訪問控制方法中，網(wǎng)絡(luò)環(huán)境中采用非對稱密鑰系統(tǒng)進(jìn)行密文存儲，傳輸?shù)男畔踩珨?shù)據(jù)安全取決于私鑰。對網(wǎng)絡(luò)環(huán)境中來訪者依據(jù)身份層次進(jìn)行劃分，多層次涉及安全等級，再依據(jù)安全等級設(shè)置結(jié)果從而實現(xiàn)對信息安全的分級控制。

在基于云計算的網(wǎng)絡(luò)訪問控制方法中，信息安全控制是后續(xù)的研究方向。

（4）權(quán)限分配過程

在基于云計算的網(wǎng)絡(luò)訪問控制方法中，用戶的訪問請求由數(shù)據(jù)存儲委托方和云計算平臺的供應(yīng)商共同處理。提供云計算平臺的供應(yīng)商的身份權(quán)限分配策略，依據(jù)多層次身份管理，從而獲得多層次權(quán)限管理，不再擁有超級權(quán)限。委托存儲的數(shù)據(jù)在云計算平臺分級，在信息安全管理方面也采用多層次級別管理。數(shù)據(jù)存儲委托方只負(fù)責(zé)最高保密級別數(shù)據(jù)訪問請求的監(jiān)管，提供運算及平臺的供應(yīng)商負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)中來訪者對數(shù)據(jù)保密性較低數(shù)據(jù)的訪問請求。這樣既保證數(shù)據(jù)安全的可控性，又減少了訪問管理工作。

本文方法中的相關(guān)定義如下：

云服務(wù)器名為FS，用戶Vi訪問用戶Vj擁有的客體Kj。

Vi向FS發(fā)送訪問請求Access。

FS查找Kj權(quán)限列表，若權(quán)限列表中有此次Kj的訪問授權(quán)，則驗證Vi，并返回授權(quán)證書或拒絕，Vi向客體Kj發(fā)起訪問請求；若客體權(quán)限列表中沒有該客體的訪問授權(quán)，就把Access轉(zhuǎn)發(fā)給Vj。

Vj驗證Vi，Vi驗證Vj，依據(jù)雙方驗證結(jié)果，選擇是否授權(quán)。若不授權(quán)，向Vi發(fā)送reject；若授權(quán)，Vj向基于云計算的網(wǎng)絡(luò)訪問控制方法組件申請創(chuàng)建作業(yè)，基于云計算的網(wǎng)絡(luò)訪問控制方法組件返回授權(quán)證書。

Vj向Vi發(fā)送證書。

Vi向客體Kj發(fā)起訪問請求。

7 結(jié)論（Conclusion）

本文仿真實驗環(huán)境為Windows NT 2003，Inter（R）Pentium（R） CPU 2.6GHz，內(nèi)存2.0GB，采用Macromedia公司的Dreamweaver MX作為程序開發(fā)平臺，ASP.net為腳本語言，利用SQL Server為后臺數(shù)據(jù)庫，按照本文提出的基于云計算的網(wǎng)絡(luò)訪問控制方法開發(fā)了一套企業(yè)管理信息系統(tǒng)。該系統(tǒng)應(yīng)用與云計算網(wǎng)絡(luò)環(huán)境后有效地提高了各種用戶訪問控制的安全性、靈活性。結(jié)果表明，該方法是有效的。

本文從云計算環(huán)境入手，分析了中國墻訪問控制模型和RBAC96模型的優(yōu)缺點。這些訪問控制模型對于云計算環(huán)境下的數(shù)據(jù)存儲存在一些潛在的可不忽略的安全問題。本文提出的基于云計算的網(wǎng)絡(luò)訪問控制安全方法是分別從用戶角度和數(shù)據(jù)角度分析了網(wǎng)絡(luò)訪問控制方法中各類身份的訪問控制需求，模型中的基本要素是身份，有了不同的身份才可能有響應(yīng)的任務(wù)，通過多層次身份的定義，劃分出對應(yīng)的多層次的任務(wù)，不同的任務(wù)才會被分配到響應(yīng)級別的權(quán)限，同一個客戶在不同的場景下訪問時，可能由于身份不同而獲得不用的權(quán)限，從而使得權(quán)限與客戶分開，實現(xiàn)了強(qiáng)制訪問控制，增強(qiáng)了安全性。本文還分析了基于云計算的網(wǎng)絡(luò)訪問控制安全方法對于云計算平臺環(huán)境下的適用性，同時構(gòu)建了一個面向共享安全的訪問控制機(jī)制，從用戶身份類別、作業(yè)分解類別、信息安全控制、權(quán)限分配管理四個方面分析了安全需求。但是基于云計算的網(wǎng)絡(luò)訪問控制安全方法也有它不足的地方，云計算環(huán)境下，數(shù)據(jù)存儲除了網(wǎng)絡(luò)訪問控制，還有其他問題，比如在信任管理方面，還有待于進(jìn)一步的研究，這也是下一步研究工作的方向。

參考文獻(xiàn)（References）

[1] MELL P，GRANCE T，NIST SD.The NIST Definition of Cloud Computing[S].Gaithersburg，MD：NIST Special Publication，2016（3）：193-202.

[2] FENG D G，et al.Study on cloud computing security[J].Journal of Software，2015，22（1）：71-83.

[3] ZHOU Yu.Data Mining-Based Maintenance Management Framework of Multi-Component System[J].Journal of Donghua University（English Edition），2015，32（6）：950-953.

[4] LIANG B，et al.An Improved Method to Enforce BLP Model and Its Variations in Role-Based Access Control[J].Journal of Computer，2014，15（5）：636-644.

[5] 馮登國，等.云計算安全研究[J].軟件學(xué)報，2014，22（1）：71-83.

[6] 陳全，鄧倩妮.云計算及其相關(guān)技術(shù)[J].計算機(jī)應(yīng)用，2013，29（9）：

2562-2566.

[7] 陳丹偉，黃秀麗，任勛益.云計算及安全分析[J].計算機(jī)應(yīng)用研究，2015，22（6）：9-11.

[8] 鄧集波，洪帆.基于任務(wù)的訪問控制模型[J].軟件學(xué)報，2013，

14（1）：76-81.

[9] 韓若飛，汪厚祥.基于任務(wù)-角色的訪問控制模型研究[J].計算機(jī)工程與設(shè)計，2012，28（4）：800-807.

[10] 李孟珂，余祥宣.基于角色的訪問控制技術(shù)及應(yīng)用[J].計算機(jī)應(yīng)用研究，2010，17（10）：44-47.

[11] 王小威，趙一鳴.一種基于任務(wù)角色的云計算訪問控制模型[J].計算機(jī)工程，2012，38（24）：9-13.

作者簡介：

楊 波（1978-），女，碩士，副教授.研究領(lǐng)域：網(wǎng)絡(luò)安全，信息安全.

張 云（1981-），女，碩士，副教授.研究領(lǐng)域：大數(shù)據(jù)，云計算.

王 欣（1982-），女，碩士，講師.研究領(lǐng)域：云計算，圖像處理.