《学术论文》私有云环境下基于加密体制的访问控制应用研究

摘要：

随着云计算技术的广泛应用，云中的数据安全问题逐渐引起重视，尤其是在政务、银行、企业、军队等私有云领域内，对数据资源的安全、高效、准确应用要求极高。基于此背景，研究私有云环境下基于密文的访问控制技术，首先介绍了传统访问控制原理与典型模型，然后分析在私有云环境下的应用特点，在此基础上提出基于加密体制的访问控制应用方案，并对其应用流程进行分析。

中文引用格式：杨豪璞，刘继光，沈斌. 私有云环境下基于加密体制的访问控制应用研究[J].电子技术应用，2019，45(7)：81-84.

英文引用格式：Yang Haopu，Liu Jiguang，Shen Bin. The research of access control application based on encryption in private cloud environment[J]. Application of Electronic Technique，2019，45(7)：81-84.

0 引言

云计算是一种新兴的计算应用模式，通过网络按需提供各种应用系统所需的硬件、平台、软件资源或者用户需要的信息化服务，具有灵活、易扩展、成本低、效率高的特点。随着云计算技术在政府、银行、通信、贸易、军队等国家层级关键基础设施建设中的广泛运用，私有云环境中的数据安全与高效应用问题逐渐引起重视[1]。

近年来，云计算行业出现的安全事故呈现日益增多的趋势。世界关注度最高的云安全研究组织云安全联盟(Cloud Security Alliance，CSA)于2016年公布报告《The Treacherous 12-Top Threat to Cloud Computing+Industry Insights》[2]，总结了云计算领域12个关键安全威胁，包括数据泄露(Data Breaches)、身份认证管理缺失(Insufficient Identity，Credential and Access Management)、系统漏洞(System Vulnerabilities)、账户劫持(Account Hijacking)、恶意用户(Malicious Insider)、数据丢失(Data Loss)、服务滥用与非法使用(Abuse and Nefarious Use of Cloud Services)等，并根据微软威胁分析模型STRIDE，从身份欺骗(Spoofing Identity)、数据篡改(Tampering with Data)、行为否认(Repudiation)、信息泄露(Information Disclosure)、拒绝服务(Denial of Service)、权限非法提升(Elevation of Privilege)6个层次，对各个安全威胁所能产生的后果进行评估。可以看出，云安全问题的核心是解决云计算环境中的数据安全，最基本的是通过密码技术和访问控制手段保障数据资源的机密性、完整性和可用性[3]。本文针对私云计算环境，研究基于加密体制的访问控制技术的应用。

1 传统访问控制技术

1.1 访问控制技术原理

访问控制技术是在20世纪70年代为了解决管理大型主机系统上共享数据授权访问的问题而提出的，其核心在于依据设定的授权策略对用户进行授权[4]。访问控制技术实现的基本思路为：首先对用户的身份进行合法性鉴别，其次通过某种途径显示准许或限制用户对数据资源的访问能力与范围，从而实现对关键数据资源的保护。通过访问控制技术，能够实现以下3点功能：(1)防止非法用户访问受保护的数据资源；(2)允许合法用户访问被授权的数据资源；(3)防止合法用户访问未授权的数据资源。经过多年的发展，现有的访问控制模型通常包含主体、客体、访问操作以及访问控制策略4种实体。

1.2 传统访问控制模型

传统的访问控制分为自主访问控制(Discretionary Access Control，DAC)和强制访问控制(Mandatory Access Control，MAC)两类。随着网络和计算技术的不断发展，出现了许多以基于角色的访问控制(Role-Based Access Control，RBAC)为基础的扩展模型。

DAC模型由客体拥有者自身决定是否将客体的访问权或部分访问权授与其他主体，对客体拥有者而言，这种控制方式是自主的。DAC机制的优点在于简单易行，授权灵活，操作方便，但对于大型分布式系统，访问控制变得非常复杂，效率下降。

MAC模型由专门的授权机构为主体和客体分别定义访问权限。在该机制下，即使是客体拥有者本身也无权对其进行权限修改。MAC机制的优点在于避免了DAC中出现的访问传递问题，具有层次性特征；缺点表现在权限管理难度大，灵活性差。

RABC模型引入了“角色role”的概念，将权限与角色进行关联，通过角色建立主体与访问权限之间的多对多关系，权限被授予角色，角色被授予主体。标准的RBAC参考模型NIST RBAC[5]如图1所示。

2 私有云环境下的访问控制研究

2.1 云环境下访问控制挑战

在云计算环境下，访问控制是贯穿整个云服务体系的一种安全技术。云环境本身具有的数据外包、基础设施公有化、资源共享、动态定制服务等特点[6-10]，对传统访问控制技术提出挑战，主要存在以下几个层面：

(1)由于虚拟技术的运用，云计算环境下的访问控制技术已从传统对用户进行授权扩展到对虚拟资源的访问和云存储数据的安全访问等方面，因此需要对访问控制的主体和客体的有关概念进行重新界定。

(2)云计算环境下缺乏统一的权威管理中心，资源拥有者、资源管理者、资源请求者可能位于不同的安全管理域，当用户跨安全管理域访问资源时，需要制定跨域授权认证和访问控制机制的支撑。

(3)在云计算环境中，用户、资源、网络环境等都是动态的，对用户的授权管理也是不断变化的，管理员角色众多、层次复杂、权限分配模式变化等因素，对云环境下实现动态的、安全的访问控制提出挑战。

(4)在云计算环境中，虚拟资源与底层完全隔离的机制使得隐蔽通道更不易被发现，需要访问控制机制加以管理。

(5)云环境下的信任与隐私保护问题也需要对访问控制的实现进行重新思考。

2.2 私有云环境下访问控制技术应用特点

私有云是指由企业或组织自主构建、内部使用的云平台，它的所有服务均由内部人员或分支机构使用，常见于一些组织、机构、企业等团体，如政府部门、工业部门、军事领域等。分析常见的私有云应用环境，可以将其特点进行如下归纳：

(1)服务器可信程度高。在大部分公有云计算环境下，数据资源交付由云服务提供商进行存储控制，但对用户而言，服务器并不是完全值得信任的角色，而在私有云环境中，云平台的基础设施为建设单位所独有的，服务器位于内部多重保护之下，其可信程度相对较高。

(2)内部人员可信程度高。私有云通常用于为企业或组织内部的人员或分支机构提供服务，其服务对象范围固定、人员可控，由内部人员造成的安全风险较小。

(3)应用模式定制化程度高。私有云完全依据建设单位的组织结构、管理架构、业务组成等实际情况进行定制化开发，能够按需实现高度可控的配置与部署。因此，私有云环境中的安全更加侧重于数据资源自身的安全存储与有效应用，即通过加密、校验、授权管理、访问控制等技术实现云平台中数据资源的安全保护。

基于密码体制的访问控制技术是指利用密码体制对数据资源进行加密保护，只有拥有解密所需密钥的用户才能有效获取数据。该技术实现了数据资源的加密防护，同时对数据资源的应用及共享范围实现了有效控制。目前，比较成熟的技术是属性基加密的访问控制（Attribute-Based Encryption access control，ABE）[11-13]技术。

ABE访问控制包括4个参与方：数据资源提供者、可信授权中心、云服务器、数据资源请求者，如图2所示。

实现机制描述如下：首先，可信授权中心生成主密钥和公开参数，将系统公钥传给数据提供者；数据提供者利用公钥和访问策略结构对原始数据资源进行加密，并将密文和访问策略结构上传至云服务器；当用户加入系统后，将自己的属性集上传至可信授权中心，并申请私钥；可信授权中心利用用户提交的信息和主密钥计算生成私钥，并返回给用户；最后，用户提出数据访问请求，若其属性集满足密文数据的访问策略结构，则成功共享数据资源，否则，访问数据失败。

3 基于加密体制的云计算访问控制应用

在私有云计算环境中，由于平台外部的不可信以及不可控因素造成的安全隐患较小，因此安全策略更加侧重于控制防范云内部应用与存储之间的安全风险。基于加密体制的访问控制技术的应用有3点关键之处[14]：(1)用户的分组与管理机制；(2)密钥分发机制；(3)不同安全域的授权机制。本节主要对基于加密体制的云计算访问控制应用方案进行描述，然后分别针对上述3个机制的设计思路进行简单探讨。

3.1 访问控制方案描述

私有云环境下的访问控制方案包含4个模块：访问请求解析模块、访问数据保护模块、访问控制模块以及存储交互模块，如图3所示。

(1)访问请求解析模块主要是解析云用户提交的访问请求，通常该请求是对云存储端的数据库操作，根据不同的请求操作为后续数据加密保护方式的选择提供依据。

(2)访问数据保护模块负责将明文数据(如表名、列名、字符段值)进行对应的加密保护，根据访问请求解析模块对请求操作的分析，选择相应的加密算法。

(3)访问控制模块基于用户属性加密，将属性策略作为参数的一部分引入加密环节，根据密文扩充模型生成私钥。给需要访问控制的字段或行增加标志列，用于存放属性加密结果，在操作这字段数据前，先验证当前用户是否解密这个标志列，解密成功才能完成操作。

(4)存储交互模块依托云存储端提供的接口，将解析后的访问请求提交给云存储端处理，并获得处理结果。本质上该模块是一个映射代理，其输入是用户端提交的明文访问请求，通过一系列加密、改写，最后凭借各个加密结果输出密文访问请求，并将这个请求提交给云存储端。

详细的用户访问云服务流程描述如图4所示。

(1)用户端经过身份认证和权限审计后，取得访问云服务的某一部分使用权限，在权限内根据实际需求向云端发起应用请求。

(2)云服务器根据请求，生成一个标准的云存储端请求命令，同时将这条命令发送给加密代理服务器。

(3)加密代理服务器接收来自用户端的请求命令并进行分析和判断，选择对请求命令进行加密的层次，以完成请求命令加密操作。

(4)加密代理服务器依据分析结果对请求语句进行加密重写，确保对数据层数据的密态询问。

(5)数据库代理将加密后的请求命令发送给云存储端管理服务器。

(6)云存储端执行请求命令，得到密态数据的处理结果，并将结果返回加密代理服务器。

(7)加密代理服务器得到密态处理结果后进行解密和重写，返回到云服务器。

(8)云服务器接收解密结果，并将结果返回给用户，完成整个访问请求过程。

3.2 用户分组管理机制

私有云环境通常为组织或机构专门提供服务，其用户除了包括组织机构的内部人员之外，还包括分支机构及分支机构的内部人员、与其业务相关的外部人员等。依据用户在云内角色、业务分工、组织关系的不同，应该为云用户划分不同的组织进行统一规范管理。为便于云环境中的用户管理与应用服务，符合组织机构的实际运行特征，私有云环境内的用户管理机制应该依据机构内部的组织架构以及业务层级关系，赋予用户相应的角色，部署用户的身份识别与验证机制，制定服务资源的安全级别，划分用户的访问权限，以此实现云用户的安全高效管理。

3.3 用户密钥分发机制

在私有云环境中，基于加密机制的访问控制方案通过对用户身份信息以及访问请求信息进行加密处理，有效控制云服务应用的请求范围，同时保护数据资源的安全以及用户的隐私，从而实现高效、安全、可信的访问控制。其中，对用户密钥进行的分发与管理是整个方案的关键之处。在密码学中，通常密钥的分析依赖于可信第三方的存在，而在私有云环境中，内部安全风险较小，可信程度较高，同时云服务器的用途和服务范围较为有限，计算能力强，因此，用户密钥的分发与管理完全可以依赖云自身的能力。其过程如图5所示。

3.4 跨域授权机制

在同一系统组织内，由于存在组织架构、人员角色、业务范围、数据保密等级等的不同因素，可以将组织内部专用的私有云环境划分多个安全域，对云环境中的人员、资源、数据、业务等进行更加安全有效的管控。一旦云用户需要对自身安全域之外的资源进行访问，则涉及对跨安全域访问操作的授权与认证。多安全域之间的密文访问控制技术依赖于第三方可信认证中心，即私有云域间授权认证管理中心。存在跨域访问需求的用户在经过本安全域的授权认证之后，还需要向域间授权认证管理中心申请权限，由管理中心统一对跨域访问请求进行判决，若访问请求被允许，则为访问请求主客体双方分发对称的数据加密密钥，以此进行有效的跨域访问管控。实现机制如图6所示。

4 结束语

由于私有云具有特殊的应用背景及建设需求，而访问控制技术是保障云内数据与应用安全的关键所在，因此需要对私有云环境下的访问控制技术进行具体研究。本文分析云环境下传统访问控制技术面临的挑战，结合私有云的特征，分析访问控制技术应用特点，提出基于加密体制的云访问控制方案，并对其中的用户分组管理机制、密钥分发机制以及跨域授权机制进行简单描述。下一步将以此为基础，开展私有云用户隐私保护与信任评估的研究。

参考文献

[1] 冯朝胜，秦志光，袁丁.云数据安全存储技术[J].计算机学报，2015，38(1)：150-163.

[2] Cloud Security Alliance.The treacherous 12-top threats to cloud computing+industry insights[Z].2017.

[3] 陈龙，肖敏，罗文俊，等.云计算与数据安全[M].北京：科学出版社，2016.

[4] 李昊，张敏，冯登国，等.大数据访问控制研究[J].计算机学报，2017，40(1)：72-91.

[5] Li Xiehua，Wang Yanlong，Xu Ming，et al.Decentralized attribute-based encryption and data sharing scheme in cloud storage[J].China Communications，2018(2)：138-152.

[6] 张如云.基于云环境的企业数据安全探析[J].办公自动化，2018，2(1)：56-59.

[7] 王于丁，杨家海，徐聪，等.云计算访问控制技术研究综述[J].软件学报，2015，26(5)：1129-1150.

[8] 张玉清，王晓菲，刘雪峰，等.云计算环境安全综述[J].软件学报，2016，27(6)：1-21.

[9] 陆佳炜，吴斐斐，徐俊，等.基于动态授权机制的自适应云访问控制方法研究[J].计算机应用与软件，2017，34(7)：325-332.

[10] 郑志恒，张敏情，戴晓明，等.高效的基于代理重加密的云存储访问控制方案[J].电子技术应用，2016，42(11)：99-105.

[11] Zhang Kai，Li Hui，Ma Jianfeng，et al.Efficient largeuniverse multi-authority ciphertext-policy attribute-based encryption with white-box trace ability[J].Science China(Information Sciences)，2018，61(3)：1-13.

[12] 钱冲冲，解福.一种基于可信第三方的CP-ABE云存储访问控制方案[J].计算机与数字工程，2017，45(1)：122-126.

[13] 李勇，雷丽楠，朱岩.密文访问控制及其应用研究[J].信息安全研究，2016，2(8)：721-728.

[14] 王静宇，顾瑞春.面向云计算环境的访问控制技术[M].北京：科学出版社，2017.

作者信息:

杨豪璞，刘继光，沈 斌

（中国人民解放军92493部队，辽宁 葫芦岛125000）