0 引言

    云計算是一種新興的計算應用模式，通過網絡按需提供各種應用系統所需的硬件、平臺、軟件資源或者用戶需要的信息化服務，具有靈活、易擴展、成本低、效率高的特點。隨著云計算技術在政府、銀行、通信、貿易、軍隊等國家層級關鍵基礎設施建設中的廣泛運用，私有云環境中的數據安全與高效應用問題逐漸引起重視^[1]。

    近年來，云計算行業出現的安全事故呈現日益增多的趨勢。世界關注度最高的云安全研究組織云安全聯盟(Cloud Security Alliance，CSA)于2016年公布報告《The Treacherous 12-Top Threat to Cloud Computing+Industry Insights》^[2]，總結了云計算領域12個關鍵安全威脅，包括數據泄露(Data Breaches)、身份認證管理缺失(Insufficient Identity，Credential and Access Management)、系統漏洞(System Vulnerabilities)、賬戶劫持(Account Hijacking)、惡意用戶(Malicious Insider)、數據丟失(Data Loss)、服務濫用與非法使用(Abuse and Nefarious Use of Cloud Services)等，并根據微軟威脅分析模型STRIDE，從身份欺騙(Spoofing Identity)、數據篡改(Tampering with Data)、行為否認(Repudiation)、信息泄露(Information Disclosure)、拒絕服務(Denial of Service)、權限非法提升(Elevation of Privilege)6個層次，對各個安全威脅所能產生的后果進行評估。可以看出，云安全問題的核心是解決云計算環境中的數據安全，最基本的是通過密碼技術和訪問控制手段保障數據資源的機密性、完整性和可用性^[3]。本文針對私云計算環境，研究基于加密體制的訪問控制技術的應用。

1 傳統訪問控制技術

1.1 訪問控制技術原理

    訪問控制技術是在20世紀70年代為了解決管理大型主機系統上共享數據授權訪問的問題而提出的，其核心在于依據設定的授權策略對用戶進行授權^[4]。訪問控制技術實現的基本思路為：首先對用戶的身份進行合法性鑒別，其次通過某種途徑顯示準許或限制用戶對數據資源的訪問能力與范圍，從而實現對關鍵數據資源的保護。通過訪問控制技術，能夠實現以下3點功能：(1)防止非法用戶訪問受保護的數據資源；(2)允許合法用戶訪問被授權的數據資源；(3)防止合法用戶訪問未授權的數據資源。經過多年的發展，現有的訪問控制模型通常包含主體、客體、訪問操作以及訪問控制策略4種實體。

1.2 傳統訪問控制模型

    傳統的訪問控制分為自主訪問控制(Discretionary Access Control，DAC)和強制訪問控制(Mandatory Access Control，MAC)兩類。隨著網絡和計算技術的不斷發展，出現了許多以基于角色的訪問控制(Role-Based Access Control，RBAC)為基礎的擴展模型。

    DAC模型由客體擁有者自身決定是否將客體的訪問權或部分訪問權授與其他主體，對客體擁有者而言，這種控制方式是自主的。DAC機制的優點在于簡單易行，授權靈活，操作方便，但對于大型分布式系統，訪問控制變得非常復雜，效率下降。

    MAC模型由專門的授權機構為主體和客體分別定義訪問權限。在該機制下，即使是客體擁有者本身也無權對其進行權限修改。MAC機制的優點在于避免了DAC中出現的訪問傳遞問題，具有層次性特征；缺點表現在權限管理難度大，靈活性差。

    RABC模型引入了“角色role”的概念，將權限與角色進行關聯，通過角色建立主體與訪問權限之間的多對多關系，權限被授予角色，角色被授予主體。標準的RBAC參考模型NIST RBAC^[5]如圖1所示。

2 私有云環境下的訪問控制研究

2.1 云環境下訪問控制挑戰

    在云計算環境下，訪問控制是貫穿整個云服務體系的一種安全技術。云環境本身具有的數據外包、基礎設施公有化、資源共享、動態定制服務等特點^[6-10]，對傳統訪問控制技術提出挑戰，主要存在以下幾個層面：

    (1)由于虛擬技術的運用，云計算環境下的訪問控制技術已從傳統對用戶進行授權擴展到對虛擬資源的訪問和云存儲數據的安全訪問等方面，因此需要對訪問控制的主體和客體的有關概念進行重新界定。

    (2)云計算環境下缺乏統一的權威管理中心，資源擁有者、資源管理者、資源請求者可能位于不同的安全管理域，當用戶跨安全管理域訪問資源時，需要制定跨域授權認證和訪問控制機制的支撐。

    (3)在云計算環境中，用戶、資源、網絡環境等都是動態的，對用戶的授權管理也是不斷變化的，管理員角色眾多、層次復雜、權限分配模式變化等因素，對云環境下實現動態的、安全的訪問控制提出挑戰。

    (4)在云計算環境中，虛擬資源與底層完全隔離的機制使得隱蔽通道更不易被發現，需要訪問控制機制加以管理。

    (5)云環境下的信任與隱私保護問題也需要對訪問控制的實現進行重新思考。

2.2 私有云環境下訪問控制技術應用特點

    私有云是指由企業或組織自主構建、內部使用的云平臺，它的所有服務均由內部人員或分支機構使用，常見于一些組織、機構、企業等團體，如政府部門、工業部門、軍事領域等。分析常見的私有云應用環境，可以將其特點進行如下歸納：

    (1)服務器可信程度高。在大部分公有云計算環境下，數據資源交付由云服務提供商進行存儲控制，但對用戶而言，服務器并不是完全值得信任的角色，而在私有云環境中，云平臺的基礎設施為建設單位所獨有的，服務器位于內部多重保護之下，其可信程度相對較高。

    (2)內部人員可信程度高。私有云通常用于為企業或組織內部的人員或分支機構提供服務，其服務對象范圍固定、人員可控，由內部人員造成的安全風險較小。

    (3)應用模式定制化程度高。私有云完全依據建設單位的組織結構、管理架構、業務組成等實際情況進行定制化開發，能夠按需實現高度可控的配置與部署。因此，私有云環境中的安全更加側重于數據資源自身的安全存儲與有效應用，即通過加密、校驗、授權管理、訪問控制等技術實現云平臺中數據資源的安全保護。

    基于密碼體制的訪問控制技術是指利用密碼體制對數據資源進行加密保護，只有擁有解密所需密鑰的用戶才能有效獲取數據。該技術實現了數據資源的加密防護，同時對數據資源的應用及共享范圍實現了有效控制。目前，比較成熟的技術是屬性基加密的訪問控制（Attribute-Based Encryption access control，ABE）[11-13]技術。

    ABE訪問控制包括4個參與方：數據資源提供者、可信授權中心、云服務器、數據資源請求者，如圖2所示。

    實現機制描述如下：首先，可信授權中心生成主密鑰和公開參數，將系統公鑰傳給數據提供者；數據提供者利用公鑰和訪問策略結構對原始數據資源進行加密，并將密文和訪問策略結構上傳至云服務器；當用戶加入系統后，將自己的屬性集上傳至可信授權中心，并申請私鑰；可信授權中心利用用戶提交的信息和主密鑰計算生成私鑰，并返回給用戶；最后，用戶提出數據訪問請求，若其屬性集滿足密文數據的訪問策略結構，則成功共享數據資源，否則，訪問數據失敗。

3 基于加密體制的云計算訪問控制應用

    在私有云計算環境中，由于平臺外部的不可信以及不可控因素造成的安全隱患較小，因此安全策略更加側重于控制防范云內部應用與存儲之間的安全風險。基于加密體制的訪問控制技術的應用有3點關鍵之處^[14]：(1)用戶的分組與管理機制；(2)密鑰分發機制；(3)不同安全域的授權機制。本節主要對基于加密體制的云計算訪問控制應用方案進行描述，然后分別針對上述3個機制的設計思路進行簡單探討。

3.1 訪問控制方案描述

    私有云環境下的訪問控制方案包含4個模塊：訪問請求解析模塊、訪問數據保護模塊、訪問控制模塊以及存儲交互模塊，如圖3所示。

    (1)訪問請求解析模塊主要是解析云用戶提交的訪問請求，通常該請求是對云存儲端的數據庫操作，根據不同的請求操作為后續數據加密保護方式的選擇提供依據。

    (2)訪問數據保護模塊負責將明文數據(如表名、列名、字符段值)進行對應的加密保護，根據訪問請求解析模塊對請求操作的分析，選擇相應的加密算法。

    (3)訪問控制模塊基于用戶屬性加密，將屬性策略作為參數的一部分引入加密環節，根據密文擴充模型生成私鑰。給需要訪問控制的字段或行增加標志列，用于存放屬性加密結果，在操作這字段數據前，先驗證當前用戶是否解密這個標志列，解密成功才能完成操作。

    (4)存儲交互模塊依托云存儲端提供的接口，將解析后的訪問請求提交給云存儲端處理，并獲得處理結果。本質上該模塊是一個映射代理，其輸入是用戶端提交的明文訪問請求，通過一系列加密、改寫，最后憑借各個加密結果輸出密文訪問請求，并將這個請求提交給云存儲端。

    詳細的用戶訪問云服務流程描述如圖4所示。

    (1)用戶端經過身份認證和權限審計后，取得訪問云服務的某一部分使用權限，在權限內根據實際需求向云端發起應用請求。

    (2)云服務器根據請求，生成一個標準的云存儲端請求命令，同時將這條命令發送給加密代理服務器。

    (3)加密代理服務器接收來自用戶端的請求命令并進行分析和判斷，選擇對請求命令進行加密的層次，以完成請求命令加密操作。

    (4)加密代理服務器依據分析結果對請求語句進行加密重寫，確保對數據層數據的密態詢問。

    (5)數據庫代理將加密后的請求命令發送給云存儲端管理服務器。

    (6)云存儲端執行請求命令，得到密態數據的處理結果，并將結果返回加密代理服務器。

    (7)加密代理服務器得到密態處理結果后進行解密和重寫，返回到云服務器。

    (8)云服務器接收解密結果，并將結果返回給用戶，完成整個訪問請求過程。

3.2 用戶分組管理機制

    私有云環境通常為組織或機構專門提供服務，其用戶除了包括組織機構的內部人員之外，還包括分支機構及分支機構的內部人員、與其業務相關的外部人員等。依據用戶在云內角色、業務分工、組織關系的不同，應該為云用戶劃分不同的組織進行統一規范管理。為便于云環境中的用戶管理與應用服務，符合組織機構的實際運行特征，私有云環境內的用戶管理機制應該依據機構內部的組織架構以及業務層級關系，賦予用戶相應的角色，部署用戶的身份識別與驗證機制，制定服務資源的安全級別，劃分用戶的訪問權限，以此實現云用戶的安全高效管理。

3.3 用戶密鑰分發機制

    在私有云環境中，基于加密機制的訪問控制方案通過對用戶身份信息以及訪問請求信息進行加密處理，有效控制云服務應用的請求范圍，同時保護數據資源的安全以及用戶的隱私，從而實現高效、安全、可信的訪問控制。其中，對用戶密鑰進行的分發與管理是整個方案的關鍵之處。在密碼學中，通常密鑰的分析依賴于可信第三方的存在，而在私有云環境中，內部安全風險較小，可信程度較高，同時云服務器的用途和服務范圍較為有限，計算能力強，因此，用戶密鑰的分發與管理完全可以依賴云自身的能力。其過程如圖5所示。

3.4 跨域授權機制

    在同一系統組織內，由于存在組織架構、人員角色、業務范圍、數據保密等級等的不同因素，可以將組織內部專用的私有云環境劃分多個安全域，對云環境中的人員、資源、數據、業務等進行更加安全有效的管控。一旦云用戶需要對自身安全域之外的資源進行訪問，則涉及對跨安全域訪問操作的授權與認證。多安全域之間的密文訪問控制技術依賴于第三方可信認證中心，即私有云域間授權認證管理中心。存在跨域訪問需求的用戶在經過本安全域的授權認證之后，還需要向域間授權認證管理中心申請權限，由管理中心統一對跨域訪問請求進行判決，若訪問請求被允許，則為訪問請求主客體雙方分發對稱的數據加密密鑰，以此進行有效的跨域訪問管控。實現機制如圖6所示。

4 結束語

    由于私有云具有特殊的應用背景及建設需求，而訪問控制技術是保障云內數據與應用安全的關鍵所在，因此需要對私有云環境下的訪問控制技術進行具體研究。本文分析云環境下傳統訪問控制技術面臨的挑戰，結合私有云的特征，分析訪問控制技術應用特點，提出基于加密體制的云訪問控制方案，并對其中的用戶分組管理機制、密鑰分發機制以及跨域授權機制進行簡單描述。下一步將以此為基礎，開展私有云用戶隱私保護與信任評估的研究。

參考文獻

[1] 馮朝勝，秦志光，袁丁.云數據安全存儲技術[J].計算機學報，2015，38(1)：150-163.

[2] Cloud Security Alliance.The treacherous 12-top threats to cloud computing+industry insights[Z].2017.

[3] 陳龍，肖敏，羅文俊，等.云計算與數據安全[M].北京：科學出版社，2016.

[4] 李昊，張敏，馮登國，等.大數據訪問控制研究[J].計算機學報，2017，40(1)：72-91.

[5] Li Xiehua，Wang Yanlong，Xu Ming，et al.Decentralized attribute-based encryption and data sharing scheme in cloud storage[J].China Communications，2018(2)：138-152.

[6] 張如云.基于云環境的企業數據安全探析[J].辦公自動化，2018，2(1)：56-59.

[7] 王于丁，楊家海，徐聰，等.云計算訪問控制技術研究綜述[J].軟件學報，2015，26(5)：1129-1150.

[8] 張玉清，王曉菲，劉雪峰，等.云計算環境安全綜述[J].軟件學報，2016，27(6)：1-21.

[9] 陸佳煒，吳斐斐，徐俊，等.基于動態授權機制的自適應云訪問控制方法研究[J].計算機應用與軟件，2017，34(7)：325-332.

[10] 鄭志恒，張敏情，戴曉明，等.高效的基于代理重加密的云存儲訪問控制方案[J].電子技術應用，2016，42(11)：99-105.

[11] Zhang Kai，Li Hui，Ma Jianfeng，et al.Efficient largeuniverse multi-authority ciphertext-policy attribute-based encryption with white-box trace ability[J].Science China(Information Sciences)，2018，61(3)：1-13.

[12] 錢沖沖，解福.一種基于可信第三方的CP-ABE云存儲訪問控制方案[J].計算機與數字工程，2017，45(1)：122-126.

[13] 李勇，雷麗楠，朱巖.密文訪問控制及其應用研究[J].信息安全研究，2016，2(8)：721-728.

[14] 王靜宇，顧瑞春.面向云計算環境的訪問控制技術[M].北京：科學出版社，2017.

作者信息:

楊豪璞，劉繼光，沈  斌

（中國人民解放軍92493部隊，遼寧 葫蘆島125000）