金偉，李鳳華，余銘潔，郭云川，周紫妍，房梁

（1.中國科學院信息工程研究所，北京 100093；2.中國科學院大學網(wǎng)絡空間安全學院，北京 100049；3.中國信息通信研究院，北京 100191；4.中國科學技術大學網(wǎng)絡空間安全學院，安徽 合肥 230027）

0 引言

Hadoop 分布式文件系統(tǒng)（HDFS,Hadoop distributed file system）是大數(shù)據(jù)平臺Hadoop 集群下對海量數(shù)據(jù)進行分布式存儲的大數(shù)據(jù)文件存儲系統(tǒng)，為Hadoop 集群上的數(shù)據(jù)和組件提供高可用數(shù)據(jù)存儲服務。目前，HDFS 存儲系統(tǒng)在物聯(lián)網(wǎng)數(shù)據(jù)中心等各類數(shù)據(jù)分析和存儲場景下具有廣泛應用。

據(jù)《物聯(lián)網(wǎng)終端安全白皮書（2019）》統(tǒng)計，截至2019 年，全球物聯(lián)網(wǎng)設備連接數(shù)量達110 億個，我國授權(quán)頻段蜂窩物聯(lián)網(wǎng)終端連接數(shù)量達9.2 億個。中國互聯(lián)網(wǎng)絡信息中心發(fā)布的《第48 次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示，2021 年上半年，移動互聯(lián)網(wǎng)接入流量達1 033 億GB。龐大的終端賬戶規(guī)模和數(shù)據(jù)量需要大數(shù)據(jù)平臺進行數(shù)據(jù)管理和安全防護。同時，敏感設備如終端支付設備等，涉及用戶身份、位置隱私、信用卡賬戶、生物識別特征等核心隱私信息，一旦泄露，將威脅千萬用戶的財產(chǎn)安全，需要HDFS 采用訪問控制、數(shù)據(jù)加密等手段進行保護，提供安全的存儲服務。

現(xiàn)有HDFS 系統(tǒng)具備基本的資源控制能力，但其控制的客體對象僅針對HDFS 的目錄和文件，且大部分HDFS 文件為明文存儲，訪問控制的安全性依賴策略中對權(quán)限的配置。一旦權(quán)限配置不當或訪問控制被繞過，將造成明文數(shù)據(jù)泄露，依然會威脅數(shù)據(jù)安全。

通過設置加密區(qū)保護目錄和文件，加密區(qū)密鑰在密鑰管理系統(tǒng)（KMS,key management system）中單獨存儲和訪問，并非實時計算，且未與文件統(tǒng)一訪問控制，存在密鑰庫泄露的風險。因此需對密鑰進行訪問控制，否則，倘若敵手經(jīng)其他途徑可以拿到分布式存儲的數(shù)據(jù)，那么只要獲取密鑰，就可以解密數(shù)據(jù)、拿到明文，損害文件的機密性；同時，若敵手可以單獨銷毀密鑰，導致密文無法解密，也將破壞文件的可用性。現(xiàn)有KMS 的訪問控制機制非常簡單，只提供黑白名單匹配的方式進行控制，管理效率低。因此，需同時對文件數(shù)據(jù)和密鑰實施訪問控制。

現(xiàn)有HDFS 的密鑰資源控制及訪問控制模型粒度較粗，HDFS 原生的POSIX 權(quán)限模型及POSIX ACL 機制只從用戶組的讀、寫、執(zhí)行等基本操作進行訪問控制；Apache Sentry 為HDFS 提供基于角色的訪問控制；Apache Ranger 為HDFS 提供基于標簽（角色的泛化）的訪問控制。已有組件都不提供基于時間、IP 地址等實時環(huán)境，以及細粒度主客體屬性的訪問控制。因此需要設計完整高效的細粒度訪問控制機制，提供數(shù)據(jù)及密鑰的全生命周期保護。

根據(jù)上述現(xiàn)狀和安全特點，大數(shù)據(jù)安全防護需要滿足以下新需求。1) 密鑰資源控制：集中存儲和管理的密鑰需要有效的訪問控制，否則仍可能導致數(shù)據(jù)泄露或不可用。2) 操作語義歸一化描述：HDFS所支撐的服務眾多，包括HDFS 文件系統(tǒng)本身、KMS 密鑰管理、加密區(qū)管理等服務，訪問控制策略需要歸一化描述和鑒權(quán)，且需要統(tǒng)一的管理函數(shù)。3)細粒度訪問控制：細粒度大數(shù)據(jù)訪問控制系統(tǒng)應具備對于文件和密鑰的細粒度訪問控制，對于誰、在什么時間、在什么場景下、從何種設備、經(jīng)由何網(wǎng)絡、通過何操作、訪問何數(shù)據(jù)等問題，應設置屬性和策略進行保護。

文獻[1]為了實現(xiàn)網(wǎng)絡數(shù)據(jù)的細粒度控制，通過考慮訪問請求實體、廣義時態(tài)、接入點、訪問設備、網(wǎng)絡、資源、網(wǎng)絡交互圖和資源傳播鏈等要素，提出了面向網(wǎng)絡空間的訪問控制（CoAC,cyberspace-oriented access control）模型。本文將CoAC映射到HDFS 的文件與密鑰管理中，實現(xiàn)面向HDFS 的密鑰資源控制機制（CKCM,cryptographic key control mechanism）。該機制將CoAC 中的訪問請求實體、資源、廣義時態(tài)、接入點、訪問設備、網(wǎng)絡等要素具體化為HDFS 中的多服務實體，作為大數(shù)據(jù)環(huán)境下的訪問控制模型實例，管理大數(shù)據(jù)文件與密鑰資源。CoAC 模型的宏觀架構(gòu)清晰、控制要素豐富，與大數(shù)據(jù)環(huán)境下的安全需求相匹配，具有一致性。本文的主要貢獻如下。

1) 針對大數(shù)據(jù)環(huán)境對密鑰資源控制、細粒度訪問控制等需求，通過映射面向網(wǎng)絡空間的訪問控制模型，提出了面向HDFS 的密鑰資源控制機制，實現(xiàn)文件與密鑰統(tǒng)一訪問控制。

2) 針對大數(shù)據(jù)策略管理的復雜性和操作語義歸一化描述的安全需求，給出了面向HDFS 的密鑰資源控制管理模型，并用Z 語言形式化地描述了管理模型中的管理函數(shù)和管理方法。

1 相關工作

大數(shù)據(jù)環(huán)境下，密鑰的訪問控制機制為黑白名單，其余相關工作較少。因此本文擴展至大數(shù)據(jù)訪問控制角度進行梳理，并介紹其他細粒度訪問控制模型。大數(shù)據(jù)平臺中，各類訪問控制模型、機制、工具隨著技術發(fā)展而不斷演進，主要相關工作如下。

1.1 大數(shù)據(jù)平臺的訪問控制模型

大數(shù)據(jù)場景數(shù)據(jù)量大且多源多樣，Colombo 等[2]從MapReduce 的分布式計算場景，梳理了可用的訪問控制模型，包括GuardMR[3]、Vigiles[4]、HeAC[5]、OT-RBAC[6]等。其中，以HeAC 和OT-RBAC 等最為貼合大數(shù)據(jù)存儲的使用場景，討論如下。

Gupta 等[5]首先介紹了目前Hadoop 生態(tài)系統(tǒng)中的用戶級、服務級、數(shù)據(jù)級、資源級等多層授權(quán)機制和相關組件，隨后提出了HeAC（access control for Hadoop ecosystem）模型。HeAC 是一個形式化的Hadoop 多級訪問控制模型，是關于 Apache Ranger、Sentry 和原生 Hadoop（native Apache Hadoop）等組件中訪問控制能力的模型抽象。該模型描述了Hadoop 服務、生態(tài)服務系統(tǒng)（如Hive、Kafka 等組件）中數(shù)據(jù)的授權(quán)模型和讀取訪問控制機制。基于標簽對Hadoop 中的各類操作進行訪問控制，對于生態(tài)服務客體如Hive 等，可以設置屬性值作為標簽（Tag）用于賦權(quán)，并結(jié)合NIST的RBAC96[7]對模型進行修改。但該模型未考慮上傳操作，且僅考慮了允許的權(quán)限，未考慮拒絕的判定處理。

隨后，Gupta 等[6]擴展HeAC 至OT-RBAC（object-tagged role-based access control）模型，引入組繼承（GH,group hierarchy）機制。并且擴展Hadoop 服務的權(quán)限也可以分配給角色R；結(jié)合組繼承機制，可以獲得每個用戶/主體/角色的有效角色。該模型在Apache Ranger 0.5 的基礎上實現(xiàn)。

Gupta 等[8]引入信任的概念和基于屬性的訪問控制，將HeAC 模型擴展為HeABAC 模型，分析了多服務間數(shù)據(jù)信任的反射性、傳遞性、對稱性，給出了形式化定義、授權(quán)函數(shù)、決策函數(shù)和管理模型，并給出了用于IoT 場景中的實例。

Awaysheh 等[9]針對Apache Hadoop 3.x 梳理了聯(lián)邦HDFS 中的訪問控制場景，在聯(lián)邦HDFS 多NN聯(lián)合管理、去中心化多服務數(shù)據(jù)訪問、大數(shù)據(jù)作為平臺的多租戶云服務架構(gòu)BDaaS 等不同服務模式下，在Knox、Kerberos 及DT、SSO、LDAP、Ranger、Sentry 等多種認證和安全服務中，提出了一個大數(shù)據(jù)聯(lián)邦訪問控制參考模型（FACRM,federation access control reference model）和實施流程，符合面向服務的框架（SOA,service-oriented architecture）。

但以上主要針對Hadoop 中的數(shù)據(jù)設置訪問控制機制，未考慮密鑰的訪問控制，不能直接用于密鑰訪問控制中，同時保證數(shù)據(jù)和密鑰的安全。

1.2 大數(shù)據(jù)平臺的訪問控制系統(tǒng)

在現(xiàn)有Hadoop 訪問控制實施方面，HDFS 自帶的訪問控制系統(tǒng)是POSIX 權(quán)限模型，并支持POSIX ACL 擴展接口。文件所有者可以依據(jù)用戶組為文件所有者、文件所有者的同組用戶及其他組用戶分配讀、寫、執(zhí)行等基本操作的權(quán)限。

Apache Sentry 是Hadoop 平臺中一個基于角色的訪問控制工具，為Hive、Hive Metastore/HCatalog、Solr、Impala 和存儲Hive 數(shù)據(jù)的HDFS 等Hadoop服務，提供基于“用戶-用戶組”“用戶組-角色”“角色-權(quán)限”對資源訪問的統(tǒng)一授權(quán)與鑒權(quán)。

Apache Ranger 為Hadoop 集群提供集中式安全框架，支持基于標簽的訪問控制和策略管理，對HDFS、Hive、HBase、Knox、Yarn 等組件提供文件級/列級訪問控制，提供用戶訪問的統(tǒng)一審計和安全管理；Ranger KMS 對Hadoop KMS 進行擴展，為密鑰提供數(shù)據(jù)庫安全存儲和可視化管理，但不提供與文件統(tǒng)一的細粒度訪問控制。

Gupta 等[10]介紹了Hadoop 的權(quán)限管理體系，細數(shù)HDFS、YARN、Hive、Ranger、Knox、Atlas等Apache 組件的權(quán)限管理作用和參數(shù)配置方法，說明Hadoop 生態(tài)系統(tǒng)實例中對服務、數(shù)據(jù)、應用、基礎資源的訪問控制框架，并舉例示范訪問控制框架的應用。但該研究更多地總結(jié)了基于HDP 的組件環(huán)境，對CDH 相關的Sentry 等組件未進行詳細說明。

Ugobame 等[11]將區(qū)塊鏈引入大數(shù)據(jù)訪問控制安全生態(tài)，借助Hyperledger Fabric blockchain，實現(xiàn)了區(qū)塊鏈基于身份的訪問控制商業(yè)網(wǎng)絡（BIBAC BN,blockchain identity-based access control business network）和區(qū)塊鏈基于角色的訪問控制（BRBAC,blockchain role-based access control），可以將基于身份或基于角色的操作（如請求、授權(quán)、撤權(quán)、驗證、查看資產(chǎn)等）記錄于區(qū)塊鏈中，完成身份管理與權(quán)限控制，并保護數(shù)據(jù)隱私。

以上工作已經(jīng)在Hadoop 大數(shù)據(jù)平臺中實現(xiàn)了文件的訪問控制，但未考慮細粒度訪問控制屬性，如時態(tài)、接入點等環(huán)境屬性。

1.3 細粒度訪問控制模型

除了前述基于角色的訪問控制，現(xiàn)有的細粒度訪問控制模型包括基于屬性的訪問控制（ABAC,attribute-based access control）[12]、下一代訪問控制（NGAC,next generation access control）[13]、使用控制（UCON,usage control）[14-15]、CoAC[1]等，各具特點。

ABAC 模型采用屬性組合描述策略進行賦權(quán)，通過策略管理點（PAP）、策略執(zhí)行點（PEP）、策略決策點（PDP）和策略信息點（PIP）等主體完成訪問控制，并采用XACML 標準[16]實現(xiàn)。屬性雖然靈活，但也較為寬泛，在大數(shù)據(jù)環(huán)境中使用時需要具體的定義，而且沒有CoAC 中資源傳播鏈和網(wǎng)絡交互圖的定義，缺乏對于傳播的描述。

NGAC 模型基于圖的權(quán)限管理模型，通過圖來表示主客體之間的繼承關系、操作關系，并在此基礎上設置策略和權(quán)限，易于線性擴展。但在大數(shù)據(jù)存儲環(huán)境中，由于大量用戶使用，海量文件和密鑰作為客體，導致圖的信息量難以管理。

UCON 模型在主體、客體、權(quán)限的訪問控制要素基之上加入了授權(quán)、義務和條件3 個決定性因素，對使用前、使用中和使用后進行使用決策和執(zhí)行，呈現(xiàn)連續(xù)性和可變性的特征。

CoAC 模型涵蓋了訪問請求實體、廣義時態(tài)、接入點、訪問設備、網(wǎng)絡、資源、網(wǎng)絡交互圖和資源傳播鏈等要素，可有效防止由數(shù)據(jù)所有權(quán)與管理權(quán)分離、信息二次/多次轉(zhuǎn)發(fā)等帶來的安全問題，通過對上述要素的適當調(diào)整可描述現(xiàn)有的經(jīng)典訪問控制模型，滿足新的信息服務和傳播模式的需求，可以借鑒用于解決大數(shù)據(jù)環(huán)境的資源管理問題。

除此之外，還有基于時間的訪問控制模型、基于任務的訪問控制模型等考慮各類屬性的訪問控制模型，但屬性都相對單一。

1.4 結(jié)合密碼資源的訪問控制機制

隨著密鑰資源對數(shù)據(jù)的保護，訪問控制的方向增加為：①采用密碼協(xié)議和計算完成訪問控制；②對資源和密鑰同時完成訪問控制。

CP-ABE[17]、KP-ABE[18]等基于密文策略、屬性管理的加密，確實可以同時提供加密和訪問控制的功能，但其使用條件不適用于透明加解密的大數(shù)據(jù)環(huán)境，且對加密者的自由度要求很高、管理開銷很大。Shafagh 等[19]雖然也將訪問控制和密鑰統(tǒng)一管理，采用Dual Hash 樹的方式生成密鑰，并對密鑰進行受控共享，適用場景主要是可穿戴設備等移動應用的時序數(shù)據(jù)流，提供定長切分保護。但對于大數(shù)據(jù)環(huán)境中的無序獨立文件，無法直接提供加密和密鑰保護。

2 CKCM 定義及映射

本節(jié)首先對面向HDFS 的密鑰資源控制機制（CKCM）進行定義，并呈現(xiàn)從CoAC 到CKCM 的映射過程，給出形式化描述。

2.1 CKCM 系統(tǒng)模型

如圖1 所示，本文提出的面向HDFS 的密鑰資源控制機制由CoAC 的訪問控制要素映射至大數(shù)據(jù)環(huán)境，由HDFS 訪問請求實體、網(wǎng)絡空間環(huán)境、文件系統(tǒng)資源以及密鑰資源組成。其中，訪問請求實體包括管理員和用戶。網(wǎng)絡空間環(huán)境包括廣義時態(tài)、接入點、訪問設備、網(wǎng)絡等。文件系統(tǒng)資源包括HDFS 中的目錄和文件，分別由HDFS 管理節(jié)點NameNode、數(shù)據(jù)節(jié)點DataNode 管理和存儲。密鑰資源為文獻[20]中的三層密鑰管理體系，即密鑰庫口令、加密區(qū)密鑰、文件密鑰，由密鑰管理系統(tǒng)KMS 和HDFS 管理節(jié)點NameNode 存儲；文件系統(tǒng)中的加密區(qū)與二級密鑰綁定，形成透明加解密的加密區(qū)，由加密區(qū)列表維護。

圖1 面向HDFS 的密鑰資源控制機制相關實體

2.2 從CoAC 到CKCM 的映射

CKCM 包括訪問請求實體、廣義時態(tài)、接入點、訪問設備、網(wǎng)絡、資源、場景等要素的映射。

映射1訪問請求實體映射。大數(shù)據(jù)資源訪問的發(fā)起者包括兩類，記為q=〈u,s〉。其中，用戶u包括數(shù)據(jù)訪問用戶、HDFS 管理員、密鑰管理員這3 類；服務s表示通過客戶端訪問大數(shù)據(jù)資源的進程，包括Hive、Solr 等大數(shù)據(jù)組件的服務，也包括上層應用業(yè)務的服務。所有訪問請求實體的集合記為Q。

大數(shù)據(jù)環(huán)境下訪問請求實體的通用屬性gAttr包括用戶名（qName）、用戶域（qDom）等，以及其他自選添加的屬性（qExtGAttr）；安全屬性sAttr包括登錄方式（qPattern）、登錄口令（qPwd）、登錄證書（qCert）、公私鑰對（qKeys）、口令過期時間（qExpTime）等，以及其他自選添加的安全屬性（qExtSAttr）。

訪問請求實體的通用屬性（gAttr）和安全屬性（sAttr）可分別表示如下。

Q.gAttr=＜qName,qDom,qExtGAttr,…〉

Q.sAttr=＜ qPattern,qPwd,qCert,qKeys,qExp-Time,qExtSAttr,…〉

用戶域qDom 主要以Kerberos 的注冊域區(qū)分，安全屬性sAttr 也是以Kerberos 的配置為準。通用屬性和安全屬性各自支持自選添加屬性，由用戶或管理員添加和設置，用于后續(xù)訪問控制策略配置。

映射2廣義時態(tài)映射。與CoAC 類似，廣義時態(tài)（GT,general temporal）是指大數(shù)據(jù)訪問請求實體發(fā)起訪問時，與環(huán)境要素的日期時間相關的信息，大數(shù)據(jù)環(huán)境下的時態(tài)包含兩部分，記為T。

T={＜interval,duration〉| interval∈2TIN,duration∈R+}

其中，interval∈2TIN表示起始日期時間和終止日期時間；duration 表示持續(xù)時間，單位可為秒（s）、分鐘（min）、小時（h）、天（d）、月（m）、年（y）。

映射3接入點映射。接入點（AP,access point）是指大數(shù)據(jù)訪問請求實體首次接入大數(shù)據(jù)網(wǎng)絡中的空間位置或網(wǎng)絡標識。大數(shù)據(jù)環(huán)境中以網(wǎng)絡標識區(qū)分不同訪問接入點。

大數(shù)據(jù)環(huán)境接入點的通用屬性gAttr 包括地理位置（aGPS）、MAC 地址（aMac）、IP 地址（aIPv4）、端口（aPort）等；安全屬性sAttr 包括安全傳輸協(xié)議（aSecProt）等。接入點的通用屬性（gAttr）和安全屬性（sAttr）可分別表示如下。

AP.gAttr=＜ aGPS,aMac,aIPv4,aPort,…〉

AP.sAttr=＜ aSecProt,…〉

其中，安全傳輸協(xié)議 aSecProt 支持 HTTP、HTTP/TLS v1.0 等。

映射4訪問設備映射。訪問設備（DEV,device）是指大數(shù)據(jù)環(huán)境中訪問資源時使用的設備，主要包括手機、平板計算機、筆記本計算機、臺式機計算機、服務器等。

訪問設備的通用屬性（gAttr）包括操作系統(tǒng)（dOS）、處理器（dCPU）、內(nèi)存（dMem）、硬盤（dDisk）、應用程序（dApp）等；設備的安全屬性sAttr 包括安全等級（dSecLev）、安全軟件模塊（dSecSMod）、安全硬件模塊（dSecHMod）等。

訪問設備的通用屬性（gAttr）和安全屬性（sAttr）可分別表示如下。

DEV.gAttr=＜ dOS,dCPU,dMem,dDisk,dApp,…〉

DEV.sAttr=＜ dSecLev,dSecSMo,dSecHMod,…〉

訪問設備DEV 可用三元組＜dID,dev.gAttr,dev.sAttr〉表示。其中，dID 為訪問設備ID。

映射5網(wǎng)絡-大數(shù)據(jù)平臺網(wǎng)絡映射。大數(shù)據(jù)平臺（BDP,big data platform）網(wǎng)絡是由部署在數(shù)據(jù)中心的分布式大數(shù)據(jù)節(jié)點組成的網(wǎng)絡，是大數(shù)據(jù)存儲、分析、計算的核心載體，包括管理節(jié)點（NameNode）、數(shù)據(jù)節(jié)點（DataNode）、計算節(jié)點（MapReduce）、認證節(jié)點（CertNode）、密鑰服務節(jié)點（KeyNode）等服務器節(jié)點（SN,server node）。BDP 網(wǎng)絡可表示為無向聯(lián)通圖GBDP=(VBDP,EBDP)，其中，VBDP={sn1,…,snM}為圖的頂點集合，表示大數(shù)據(jù)平臺的服務器節(jié)點集合，sni表示第i個服務器節(jié)點，1≤i≤M，M≥3；EBDP={＜sni,sni+1〉|1≤i≤M,snM+1=sn1}為邊集，表示服務器節(jié)點之間的傳輸鏈路。為了簡潔，用esn 表示大數(shù)據(jù)平臺網(wǎng)絡的邊。

大數(shù)據(jù)平臺服務器節(jié)點sn 的通用屬性gAttr 包括心跳連接（snHeart）、時間對齊（snTime）、CPU剩余（snCPU）、內(nèi)存剩余（snMem）、硬盤剩余（snDisk）、服務狀態(tài)（snServStatus）、角色實例（snRoleInst）等；大數(shù)據(jù)平臺節(jié)點的安全屬性sAttr包括認證方式（snAuth）等。大數(shù)據(jù)平臺節(jié)點的通用屬性（gAttr）和安全屬性（sAttr）可分別表示如下。

SN.gAttr=＜ snHeart,snTime,snCPU,snMem,snDisk,snServStatus,snRoleInst,…〉

SN.sAttr=＜ snAuth,…〉

大數(shù)據(jù)平臺網(wǎng)絡鏈路esn 的通用屬性gAttr包括通信帶寬（eWidth）、物理鏈路層協(xié)議（ePhyProt）、網(wǎng)絡層協(xié)議（eNetProt）、傳輸層協(xié)議（eTranProt）等；大數(shù)據(jù)平臺網(wǎng)絡鏈路esn 的安全屬性sAttr 包括安全傳輸協(xié)議（eSecProt）、加密算法（eEncType）等。大數(shù)據(jù)平臺網(wǎng)絡鏈路esn的通用屬性（gAttr）和安全屬性（sAttr）可分別表示如下。

ESN.gAttr=＜ eWidth,ePhyProt,eNetProt,eTranProt,…〉

ESN.sAttr=＜ eSecProt,eEncType,…〉

其中，安全傳輸協(xié)議 eSecProt 支持 HTTP、HTTP/TLS v1.0 等；加密算法 eEncType 支持TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA 等。

映射6網(wǎng)絡-大數(shù)據(jù)客戶端網(wǎng)絡映射。大數(shù)據(jù)客戶端（BDC,big data client）網(wǎng)絡是由連接和使用BDP 網(wǎng)絡的客戶端組成的網(wǎng)絡，大部分客戶端之間沒有連接，各自只與BDP 網(wǎng)絡有連接。BDC 網(wǎng)絡用無向圖GBDC=(VBDC,EBDC)表示，其中，VBDC={cn1,…,cnK}為圖的頂點集合，表示大數(shù)據(jù)平臺的客戶端節(jié)點集合，cni表示第i個客戶端節(jié)點，1≤i≤K，K≥1；EBDC={＜sni, sni+1〉|1≤i≤M,snM+1=sn1}為邊集，表示客戶端節(jié)點之間的傳輸鏈路。BDC 網(wǎng)絡中節(jié)點和鏈路的屬性類型，與BDP網(wǎng)絡中節(jié)點和鏈路的屬性類型相同，屬性值存在差異，此處不再重復屬性類型。

映射7網(wǎng)絡映射。大數(shù)據(jù)網(wǎng)絡（BDN,big data network）是信息傳播的載體，是所有信息傳播通道的集合。BDN 可以用無向圖GBDN=(VBDN,EBDN)表示，該網(wǎng)絡的頂點包括BDP 網(wǎng)絡頂點VBDN和BDC網(wǎng)絡頂點VBDC，邊EBDN由EBDP和EBDC組成，即

VBDN=VBDP∪VBDC，EBDN=EBDP∪EBDC∪{＜cni,snj〉,1≤i≤M,1≤j≤K,大數(shù)據(jù)客戶端節(jié)點cni與大數(shù)據(jù)平臺服務器節(jié)點snj可連接}

大數(shù)據(jù)網(wǎng)絡中的通用屬性BDN.gAttr 和安全屬性BDN.sAttr 包括頂點屬性和邊屬性，頂點屬性為圖GBDP和圖GBDC所有頂點屬性的并集，邊屬性為圖GBDP和圖GBDC中所有邊屬性的并集。

映射8資源-HDFS 文件系統(tǒng)映射。HDFS 文件系統(tǒng)（FS,file system）資源包括目錄（Directory，記為DIR）和文件（File，記為FILE）兩部分，可用二元組＜inodeID,path〉表示，其中，inodeID 為文件系統(tǒng)資源對應的唯一標識inode 號，path 為目錄或文件的路徑，路徑可變、inode 號不可變。目錄信息由大數(shù)據(jù)平臺網(wǎng)絡的管理節(jié)點管理，文件數(shù)據(jù)由大數(shù)據(jù)平臺網(wǎng)絡的數(shù)據(jù)節(jié)點存儲。

目錄的通用屬性包括目錄名（dirName）、目錄最后一次修改時間（dirModTime）、目錄下子節(jié)點個數(shù)最大值（dirNsQuota）、目錄下所有文件占用存儲空間最大值（dirDsQuota）等。目錄的安全屬性包括目錄權(quán)限（dirPerm）、擴展屬性（dirXAttrs）等。目錄的基本權(quán)限為 POSIX ACL 的 rwx（read-write-execute）形式。目錄的通用屬性（gAttr）和安全屬性（sAttr）可分別表示如下。

DIR.gAttr=＜ dirName,dirModTime,dirNsQuota,dirDsQuota,…〉

DIR.sAttr=＜ dirPerm,dirXAttrs,…〉

文件的通用屬性包括文件名（fileName）、文件最后一次訪問時間（fileAccessTime）、文件最后一次修改時間（fileModTime）、文件副本數(shù)（fileReplica）等。文件的安全屬性包括文件權(quán)限（filePerm）、擴展屬性（fileXAttrs）等。文件權(quán)限和目錄權(quán)限的基本標準相同，為POSIX ACL 的rwx 形式。文件的通用屬性（gAttr）和安全屬性（sAttr）可分別表示如下。

FILE.gAttr=＜ fileName,fileAccessTime,file-ModTime,fileReplica,…〉

FILE.sAttr=＜ filePerm,fileXAttrs,…〉

定義1HDFS 文件系統(tǒng)層次結(jié)構(gòu)（FSH,file system hierarchy）。HDFS 文件系統(tǒng)層次結(jié)構(gòu)FSH?DIR×FILE 是HDFS 文件系統(tǒng)中的偏序關系。

從根目錄（/）開始，目錄（DIR）與文件（FILE）構(gòu)成偏序關系DIR≥FILE，當且僅當該文件位于該目錄中。

映射9資源-KMS 密鑰體系映射。KMS 密鑰體系是指大數(shù)據(jù)文件的密鑰管理體系，包括密鑰庫口令（OPwd）、加密區(qū)密鑰（OEZK）、文件密鑰（OFK）這3 層，可分別稱為一級密鑰、二級密鑰和三級密鑰。KMS 密鑰資源（rKMS）可用三元組＜kid,kgAttr,ksAttr〉表示，其中，kid 表示rKMS 的體系層，kgAttr 和ksAttr 分別表示密鑰的通用屬性和安全屬性。

密鑰庫口令資源的通用屬性OPwd.kgAttr 包括擁有者（pOwner）、初始化時間（pIniTime）、口令存儲位置（pStoreLoc）等。安全屬性OPwd.ksAttr包括口令長度（pLength）、默認口令（pDefault）、加密類型（pEncType）等，其中，口令長度pLength為128 位或256 位；默認口令pDefault 為字符串“Password”的摘要值；加密類型pEncType 包括DES、SM4 等。密鑰庫口令資源OPwd 的通用屬性（kgAttr）和安全屬性（ksAttr）可分別表示如下。

OPwd.kgAttr=＜ pOwner,pIniTime,pStoreLoc,…〉

OPwd.ksAttr=＜ pLength,pDefault,pEncType,…〉

加密區(qū)密鑰資源的通用屬性OEZK.kgAttr 包括密鑰名（zkKeyName）、創(chuàng)建時間（zkCreateTime）、密鑰描述信息（zkDescrip ）、密鑰屬性對（zkAttrPairs）等。加密區(qū)密鑰資源的安全屬性OEZK.ksAttr 包括加密算法（zkCipher）、密鑰長度（zkLength）等。其中，加密算法 zkCipher 有AES/CTR/NoPadding、SM4/CTR/NoPadding 等算法與模式組合，用于指定所綁定加密區(qū)中文件加密算法；密鑰長度為128 位、256 位等。加密區(qū)密鑰資源OEZK 的通用屬性（kgAttr）和安全屬性（ksAttr）可分別表示如下。

OEZK.kgAttr=＜zkKeyName,zkCreateTime,zkDescrip,zkAttrPairs,…〉

OEZK.ksAttr=＜ zkLength,zkCipher,…〉

文件密鑰資源的通用屬性OFK.kgAttr 包括一次一密文件路徑（fkPath）等。文件密鑰資源的安全屬性OFK.ksAttr 包括密鑰校驗值（fkCheckSum）等。文件密鑰資源OFK 的通用屬性（kgAttr）和安全屬性（ksAttr）可分別表示如下。

OFK.kgAttr=＜fkPath,…〉

OFK.ksAttr=＜fkCheckSum,…〉

定義2密鑰偏序關系。KMS 密鑰資源層次結(jié)構(gòu)（KMSCH,key management system hierarchy）KMSCH? OPwd×OEZK×OFK 是KMS 密鑰資源中的偏序關系，由密鑰庫口令（OPwd）、加密區(qū)密鑰（OEZK）、文件密鑰（OFK）組成。

密鑰庫口令（OPwd）與所有加密區(qū)密鑰（OEZK）構(gòu)成偏序關系OPwd≥OEZK；加密區(qū)密鑰（OEZK）與文件密鑰（OFK）構(gòu)成偏序關系OEZK≥OFK，當且僅當文件密鑰所保護的文件位于加密區(qū)密鑰所保護的加密區(qū)中。

映射10資源-加密區(qū)管理列表映射。加密區(qū)管理（EZM,encryption zone manager）模塊是對目錄與加密區(qū)密鑰的綁定關系管理，維護加密區(qū)管理列表，列表中的關聯(lián)關系可用目錄名和加密區(qū)密鑰名組成的二元組＜dirName,zkKeyName〉表示。用戶在訪問加密區(qū)中的目錄和文件時，需通過加密區(qū)管理模塊獲取密鑰信息。

映射11資源映射。大數(shù)據(jù)資源（BDR,big data resource）是大數(shù)據(jù)環(huán)境中訪問請求實體訪問的對象，是所有訪問對象的集合，包括HDFS 文件系統(tǒng)、KMS 密鑰體系、加密區(qū)管理列表等。即BDR=HDFS∪KMS∪EZM。

資源的通用屬性 BDR.gAttr 和安全屬性BDR.sAttr，分別為HDFS 文件系統(tǒng)（目錄DIR 和文件FILE）、KMS 密鑰體系（密鑰庫口令OPwd、加密區(qū)密鑰OEZK 和文件密鑰OFK）、加密區(qū)管理列表EZM 中所有通用屬性和安全屬性的并集。

定義3操作（Operation）。大數(shù)據(jù)環(huán)境下的操作是指訪問請求實體對資源的訪問動作，通過動作的連續(xù)進行而實現(xiàn)大量的系統(tǒng)功能。根據(jù)主要訪問的目標資源，操作可以分為密鑰管理操作（KMO,key management operation）、加密區(qū)操作（EZO,encryption zone operation）、HDFS 操作（DFSO,distributed file system operation）等。

實體的一個操作可能影響多個資源，操作涉及的客體如表1 所示。其中，“√”表示一定存在影響，如密鑰管理操作對各級密鑰存在影響、加密區(qū)操作對相關綁定實體存在影響、HDFS 操作對文件和目錄存在影響；“○”表示關聯(lián)綁定加密區(qū)后存在影響，如更新綁定了加密區(qū)的密鑰，將影響該加密區(qū)中此后上傳的最新密鑰版本等，對于未綁定加密區(qū)的密鑰，密鑰管理操作不影響加密區(qū)和文件等資源。

表1 操作涉及的客體

映射12場景（SC,scene）。場景指大數(shù)據(jù)訪問請求主體q啟動會話s訪問大數(shù)據(jù)資源r獲得權(quán)限p時所需要的要素條件，要素包括廣義時態(tài)、接入點、設備、大數(shù)據(jù)網(wǎng)絡及其屬性，以及訪問請求實體q和資源r的屬性，記為sc，由五元組(t,l,d,bdn,attr)表示。其中，t∈T,l∈L,d∈Dev, bdn∈BDN,attr∈ {gAttr∪sAttr}。

與CoAC 模型中場景的不同之處在于，CKCM機制的場景除了四要素外，還包括所有要素的屬性。場景具備偏序關系，可包含子場景。

2.3 CKCM 實施/生效機制、核心資源控制函數(shù)

CKCM 機制的核心問題是授權(quán)和鑒權(quán)。為高效、準確地授予和撤銷訪問權(quán)限，本文借鑒CoAC中對權(quán)限的管理方式，通過場景和屬性來設置大數(shù)據(jù)環(huán)境下的約束策略，分配和撤銷用戶對資源的訪問權(quán)限（P,privilege）。場景由廣義時態(tài)、接入點、設備、大數(shù)據(jù)網(wǎng)絡這4 個要素構(gòu)成，屬性則是訪問請求實體、場景四要素、資源屬性的并集。

在大數(shù)據(jù)資源開放訪問之前，預先設置約束策略，約定具備何種屬性的主體在何種場景下對具備何種屬性的何種資源可執(zhí)行何種操作（完成“場景-權(quán)限”分配）；未分配權(quán)限的場景默認拒絕訪問。當大數(shù)據(jù)訪問請求實體Q對資源BDR 發(fā)起訪問請求時，通過分配會話（S,session）權(quán)限執(zhí)行點給出訪問請求實體的場景和屬性信息（完成“用戶-場景”信息收集），權(quán)限決策點基于“用戶-場景”信息和預分配的“場景-權(quán)限”進行場景匹配，根據(jù)場景匹配到的權(quán)限，判定Q是否有權(quán)對BDR 執(zhí)行操作。面向HDFS 的密鑰資源控制機制如圖2所示。

圖2 面向HDFS 的密鑰資源控制機制

相關訪問控制函數(shù)如下。

1) attrValueCollect(Q.gAttr,AP.gAttr,DEV.gAttr,BDN.gAttr,BDR.gAttr,Q.sAttr,AP.sAttr,DEV.sAttr,BDN.sAttr,BDR.sAttr)→{gAttr_value∪sAttr_value}為屬性值采集函數(shù)，用于確定當前訪問請求中的相關屬性值，形成訪問請求場景，備用于場景構(gòu)建和匹配。

2) sceneConstruct(gAttr_value∪sAttr_value)→{Q.SCENE}為場景構(gòu)建函數(shù)，用于將訪問請求中的屬性及屬性值進行歸集，形成場景實例，備用于匹配策略中的場景。

3) sceneMatch(Q.SCENE?SCENE)→{true,false}為場景匹配函數(shù)，將訪問請求的實例場景與策略中配置的場景進行匹配，確實實例場景是否為配置場景的子集，其中，SCENE 表示管理員已配置的場景集合。

4) scenePermActivate(SCENE,PERM)→{true,false}為場景-權(quán)限激活函數(shù)，用于激活給定場景所具備的權(quán)限，其中，true 表示激活成功，false 表示激活失敗。

5) scenePermRevoke(SCENE,PERM)→{true,false}為場景-權(quán)限撤銷函數(shù)，用于撤銷指定場景中已具備、可執(zhí)行的權(quán)限。

3 CKCM 管理模型

大數(shù)據(jù)環(huán)境具有數(shù)據(jù)量大、分布式存儲的特點，多用戶跨網(wǎng)交叉訪問，數(shù)據(jù)跨服務流動，使大數(shù)據(jù)環(huán)境下的海量文件和密鑰控制復雜，需要設計訪問控制的管理模型和管理函數(shù)，確保面向HDFS 的密鑰資源控制機制安全高效地運行。本文將對管理過程進行分析，并采用Z 語言規(guī)范描述管理函數(shù)。

3.1 面向HDFS 的密鑰資源控制機制管理模型

在大數(shù)據(jù)環(huán)境中，管理員通過服務管理系統(tǒng)和策略管理系統(tǒng)，在給定的時間段，通過特定設備、網(wǎng)絡對訪問請求實體訪問特定資源的屬性、場景、權(quán)限進行配置、撤銷和更新管理。圖3 給出了面向HDFS 的密鑰資源控制機制管理模型。

圖3 面向HDFS 的密鑰資源控制機制管理模型

定義 4管理場景（ADSC,administration scene）。該場景由四元組＜adminT,adminAP,adminDEV,adminBDN〉表示，意為管理員在adminT時間，通過adminDEV 設備，從接入點adminAP，經(jīng)由adminBDN 進行管理的場景。

大數(shù)據(jù)環(huán)境的管理員包括超級管理員、HDFS管理員、KMS 管理員、屬性管理員、策略管理員。各類管理者通過管理場景對訪問場景、訪問權(quán)限進行管理，其管理過程涉及的管理操作流程如下。

①超級管理員為其他管理員分配、撤銷管理場景，并維護管理場景對應的權(quán)限。②HDFS 管理員通過管理場景，維護HDFS 文件系統(tǒng)管理和加密區(qū)服務管理。③KMS 管理員通過管理場景，維護密鑰系統(tǒng)管理。④屬性管理員通過管理場景，創(chuàng)建、刪除和更新訪問請求實體、資源及場景四要素的屬性元數(shù)據(jù)，并配置屬性值。⑤策略管理員通過管理場景，匯聚屬性形成場景，并對場景進行授權(quán)和撤銷。⑥訪問請求實體發(fā)起訪問時，管理模型認證身份并分配會話，根據(jù)其訪問的時間、設備、接入點、大數(shù)據(jù)網(wǎng)絡及各屬性形成場景，判定場景是否滿足策略中該訪問請求實體所具備權(quán)限的場景，若是則激活權(quán)限，反之則拒絕訪問。

根據(jù)上述內(nèi)容，管理對象包括：①訪問請求實體的身份及屬性，場景中的元素及屬性，資源的操作及屬性，策略中的場景及權(quán)限；② 所有元素的屬性管理，訪問請求實體的場景獲取，給當前訪問請求實體分配會話，給當前訪問請求實體所處場景分配權(quán)限。

基于管理場景，本文的管理模型為文獻[1]的實例化，因此不再給出管理模型組件的定義。同時，本文的管理員權(quán)限分配與撤銷，與文獻[21]一致，這里不再贅述。

3.2 面向HDFS 的密鑰資源控制機制管理函數(shù)

大數(shù)據(jù)環(huán)境下的訪問控制管理模型，主要包括UScA（用戶-屬性場景管理）、ScPA（屬性場景-權(quán)限管理）、ScA（屬性場景管理）這3 個主要管理子模型，同時還需包括訪問請求主體身份管理QA、會話管理SA 等支撐模型。

CKCM 管理函數(shù)的語義復雜，采用自然語言描述易出現(xiàn)歧義，需要使用形式化語言描述，以確保描述的正確性。Z 形式化描述語言（簡稱“Z 語言”）[16]是一種書寫軟件規(guī)格說明的方法，采用形式化的方法描述和驗證軟件系統(tǒng)的需求、功能、規(guī)格等，為設計、編程和測試提供理論依據(jù)，從而確保軟件的正確性、可靠性和精細化描述。因此，為確保語義準確，本節(jié)通過Z 語言給出上述5 類子模型的函數(shù)描述，提供理論模型。

3.2.1 管理子模型

根據(jù)管理流程，3 個管理子模型依次描述如下。

1) 屬性場景管理

屬性場景管理（ScA,scene administration）是對各要素屬性元數(shù)據(jù)、場景要素的管理，是權(quán)限管理和用戶場景管理的基礎，包括createMetaAttr、deleteMetaAttr、selectFunction、createScene、modScene、deleteScene 等函數(shù)，如表2 所示，功能分別為創(chuàng)建屬性元數(shù)據(jù)、刪除屬性元數(shù)據(jù)、選取場景描述函數(shù)、創(chuàng)建場景、修改場景、刪除場景等。

表2 屬性場景管理類

2) 屬性場景-權(quán)限管理

屬性場景-權(quán)限管理（ScPA,scene and privilege administration）是指為已創(chuàng)建的場景授予和撤銷權(quán)限，包括assignScPerm 和revokeScPerm，分別對應授予場景權(quán)限、撤銷場景權(quán)限的功能，如表3 所示。本文模型中，授予權(quán)限即允許訪問，撤銷權(quán)限即拒絕訪問，不具備場景和權(quán)限時，默認為拒絕。屬性和場景不具備繼承關系。場景出現(xiàn)重疊時，授權(quán)均為允許，重疊場景的組合結(jié)果也是允許，因此不存在權(quán)限沖突的問題。

表3 屬性場景-權(quán)限管理類

3) 用戶-屬性場景管理

用戶-屬性場景管理（UScA,user and scene ad-ministration）是指管理用戶的屬性值，在用戶發(fā)起訪問請求時，獲取并分配場景。函數(shù)包括modAttr、getAttr、getAttrValue、verifyTime、verifyAP、verifyDevice、verifyBDNetwork 等，功能分別為添加/修改屬性值、選取/查詢屬性、查詢屬性值、驗證時間、驗證接入點、驗證設備、驗證網(wǎng)絡，如表4 所示。

表4 用戶-屬性場景管理類

3.2.2 管理支撐模型

管理支撐模型為管理場景和管理權(quán)限的運行實施提供基礎，是面向HDFS 的密鑰資源控制機制的必要組成。

1) 訪問請求實體身份管理

訪問請求實體身份管理（QA,quantity administration）意在管理用戶身份，提供身份認證，為會話管理、用戶-屬性場景管理提供支撐。函數(shù)包括 QuantitySignUp、QuantityLogOff、updateAuthentication、CheckId、getQuantityList，功能分別為用戶實體注冊，用戶實體刪除/注銷，口令/證書的初始化、更新、撤銷、口令/證書認證（用于會話建立之前）、用戶列表查詢（用于屬性場景管理和權(quán)限管理）等，如表5 所示。

表5 實體身份與認證管理類

2) 會話管理

會話管理（SA,session administration）是指為每一次通過認證的訪問請求創(chuàng)建或關閉會話，用于訪問請求實體身份認證之后、激活場景權(quán)限之前。函數(shù)包括 assignQSession、assignScSession、closeSession 等，功能分別是為通過認證的用戶分配會話、為會話分配場景、關閉會話等，如表6 所示。

表6 會話管理類

3.3 CKCM 模型分析

下面，分析CKCM 及其管理模型如何滿足引言中提出的安全需求。

1) 支持密鑰資源控制。CKCM 將三層密鑰管理體系納入資源管理范疇，在會話、屬性、場景、權(quán)限的管理中，均支持統(tǒng)一的管理力度和控制效果。

2) 支持操作語義歸一化描述。該機制通過Z語言形式化描述管理函數(shù)和管理操作，支持HDFS、KMS、EZM 的資源控制統(tǒng)一描述和鑒權(quán)，因而該機制支持操作語義歸一化描述。

3) 支持細粒度訪問控制。該機制通過會話、屬性、場景、權(quán)限的管理，支持對于訪問主體、資源、時間、設備、網(wǎng)絡IP、操作、資源等要素和屬性的控制。采用這些要素可以實現(xiàn)大數(shù)據(jù)存儲系統(tǒng)的細粒度訪問控制。

本文所提資源控制機制除了支持這3 個核心需求外，還支持屬性自定義和策略自定義。通過屬性場景管理類的函數(shù)，可以自定義要素屬性和屬性值。通過屬性場景-權(quán)限管理類的函數(shù)，可以根據(jù)已有屬性、屬性值和場景，設置資源控制策略。對大數(shù)據(jù)存儲系統(tǒng)的文件與密鑰提供統(tǒng)一、靈活的資源管理，同時對使用HDFS 文件系統(tǒng)的上層Hadoop服務提供統(tǒng)一的數(shù)據(jù)控制，實現(xiàn)文件與密鑰統(tǒng)一訪問控制管理。

4 實驗分析

4.1 系統(tǒng)實現(xiàn)

本文在Hadoop 環(huán)境中實施面向HDFS 的密鑰資源控制CKCM 模型和管理模型，基于XACML[18]策略表示方式，設置策略執(zhí)行點（PEP,policy enforcement point）、上下文處理（context handle）、策略判定點（PDP,policy determination point）、策略信息點（PIP,policy information point）、策略管理點（PAP,policy administration point），實現(xiàn)HDFS、KMS和EZM 中屬性和策略的統(tǒng)一管理與評估，如圖4所示。CKCM 系統(tǒng)實施不改變HDFS 接口與架構(gòu)。

圖4 面向HDFS 的密鑰資源管理CKCM 模型實施

4.2 性能分析

經(jīng)過系統(tǒng)測試，表7 給出了系統(tǒng)確定資源控制策略判定時空消耗隨訪問請求數(shù)量的變化趨勢。本節(jié)分別測試8 種使用場景下的系統(tǒng)響應時間和內(nèi)存占用大小，模擬總訪問請求連接數(shù)為2 000、5 000、10 000、15 000 個，并發(fā)訪問請求連接數(shù)占比分別為50%和75%的情況下，系統(tǒng)對于每個連接的平均響應時長，以及各場景下的服務器內(nèi)存占用。

從表7 中可以看出，本文系統(tǒng)的策略判定時間開銷隨著并發(fā)訪問請求連接數(shù)的增加而增加，近似呈線性增長趨勢。當總訪問請求連接數(shù)達到15 000 個、并發(fā)訪問請求連接數(shù)達到12 000 個時，策略判定的平均響應時間為1.6 ms，對于文件與密鑰資源控制而言，該時間在可接受范圍內(nèi)。

表7 資源控制策略判定時空消耗隨訪問請求數(shù)量的變化趨勢

5 結(jié)束語

大數(shù)據(jù)環(huán)境下服務眾多、數(shù)據(jù)海量、密鑰倍增，本文針對大數(shù)據(jù)環(huán)境對密鑰資源的細粒度訪問控制、操作語義歸一化描述等需求，從密鑰資源控制的要素及屬性出發(fā)，通過映射面向網(wǎng)絡空間的訪問控制模型，提出了面向HDFS 的密鑰資源控制機制；同時，給出了面向HDFS 密鑰資源控制機制的管理模型，并用Z 語言形式化地描述了管理模型中的管理函數(shù)和管理方法；最后，基于XACML實現(xiàn)CKCM系統(tǒng)，實現(xiàn)了文件與密鑰統(tǒng)一訪問控制管理。