海洋環(huán)境云平臺訪問控制系統(tǒng)研究

周秀，劉培順，劉加標(biāo)，秦勃

（中國海洋大學(xué)信息科學(xué)與工程學(xué)院，山東青島266100）

海洋環(huán)境云平臺訪問控制系統(tǒng)研究

周秀，劉培順，劉加標(biāo)，秦勃

（中國海洋大學(xué)信息科學(xué)與工程學(xué)院，山東青島266100）

海洋環(huán)境云平臺是一個(gè)多域多級別的云系統(tǒng)，包含的資源安全級別多，資源歸屬復(fù)雜，海洋云平臺的用戶來自于不同的研究機(jī)構(gòu)，用戶類型多。基于以上需求本文提出多級跨域角色訪問控制模型，利用角色映射機(jī)制解決跨域跨級的訪問控制問題。跨域角色訪問控制模型不但能夠保證不同域之間用戶訪問資源的控制，同時(shí)域內(nèi)的角色映射可以將前端用戶與服務(wù)端用戶進(jìn)行分離，不用為每一位前端用戶在云平臺上創(chuàng)建一個(gè)對應(yīng)的用戶，能夠有效地降低平臺用戶的管理難度。本文搭建了海洋環(huán)境信息云平臺訪問控制系統(tǒng)，并對系統(tǒng)的安全性和效率進(jìn)行了驗(yàn)證。

海洋環(huán)境信息云平臺；角色映射；訪問控制模型

0 引言

海洋信息云計(jì)算服務(wù)平臺是利用云計(jì)算技術(shù)解決海量海洋觀測數(shù)據(jù)的有效利用問題而建設(shè)的一個(gè)云計(jì)算系統(tǒng)，系統(tǒng)基于Hadoop平臺搭建。

海洋環(huán)境云平臺的數(shù)據(jù)安全級別多，既包括一般性的溫度場、鹽場觀測數(shù)據(jù)，也包括關(guān)系到國家戰(zhàn)略安全的敏感海洋觀測數(shù)據(jù)；同時(shí)，受海洋觀測的特殊條件限制，這些數(shù)據(jù)通常來自于不同的部門、不同觀測站，涉及到不同部門的利益[1]。海洋云平臺的用戶來自于不同的研究機(jī)構(gòu)，用戶類型多，權(quán)限級別差別大。因此海洋環(huán)境云平臺要保證多個(gè)域之間信息共享，同時(shí)也要維護(hù)不同域用戶的權(quán)益。需要一個(gè)能夠?qū)崿F(xiàn)上述要求的云平臺訪問控制系統(tǒng)，并能夠?qū)崿F(xiàn)靈活的授權(quán)機(jī)制。

對于如何改進(jìn)傳統(tǒng)的訪問控制模型以便于應(yīng)用到云平臺環(huán)境下，國內(nèi)外很多學(xué)者和機(jī)構(gòu)都做了研究，例如：Shafiq.B研究了基于RBAC策略的多域安全互操作問題[2]，提出一種通過域間角色映射將異構(gòu)RBAC策略模型集成為一致全局策略的框架，但是該模型只關(guān)注了不同域之間異構(gòu)角色的映射問題，而沒有對角色的安全等級進(jìn)行嚴(yán)格限制，未考慮安全級別等問題。Kapadia.A等在參考文獻(xiàn)[3]中討論了兩個(gè)采用RBAC策略間實(shí)現(xiàn)安全互操作的問題，首次提出通過動態(tài)角色轉(zhuǎn)換的方法快速建立域間訪問控制策略關(guān)聯(lián)實(shí)現(xiàn)跨域訪問的思想，然而該模型僅關(guān)注了不同策略之間的安全互操作問題，對于不同域、不同安全級別的資源訪問控制研究較少。馬強(qiáng)[4]等提出了基于云計(jì)算基礎(chǔ)設(shè)施服務(wù)的CIRBAC模型和CITE模型，用來實(shí)現(xiàn)基礎(chǔ)設(shè)施服務(wù)的安全，但是該模型僅從基礎(chǔ)設(shè)施訪問安全入手，未考慮云端數(shù)據(jù)的安全訪問控制。王小威[5]等提出了一種基于任務(wù)角色的云計(jì)算訪問控制模型，該模型對不同訪問主體采取不同訪問控制策略，以提供分級的安全特性，但是該模型未能提供主體跨域訪問客體的映射策略。

上述關(guān)于傳統(tǒng)訪問控制模型在云平臺上應(yīng)用改進(jìn)的研究都提出了一些創(chuàng)新性的策略和辦法，但是都是應(yīng)用于各自專項(xiàng)系統(tǒng)或者某種特定的環(huán)境下[7]。而海洋環(huán)境云平臺的用戶來自不同的部門，包括各地的數(shù)據(jù)采集員、高校的研究員、海洋研究所的專家等等，用戶之間的級別有著復(fù)雜的層次關(guān)系。存儲在海洋環(huán)境云平臺的數(shù)據(jù)也不同于一般的云存儲服務(wù)平臺上的數(shù)據(jù)，不同的數(shù)據(jù)資源有不同的安全級別。因此，上述的各種改進(jìn)模型不能夠有效地解決多域多級別的主體訪問客體權(quán)限轉(zhuǎn)換等問題。

海洋信息云計(jì)算服務(wù)平臺是一個(gè)多級信息安全系統(tǒng)，數(shù)據(jù)資源劃分為多個(gè)安全級別，同時(shí)，角色也具有復(fù)雜的層次關(guān)系。海洋環(huán)境云平臺采用開源的Hadoop體系構(gòu)建。Hadoop設(shè)計(jì)之初并沒有考慮到平臺的安全問題，并未給之前的版本加入嚴(yán)格的安全機(jī)制，Hadoop 2.0版本中權(quán)限控制使用的是操作系統(tǒng)上的ACL機(jī)制，用戶連接到Hadoop集群時(shí)通常是使用當(dāng)前Linux系統(tǒng)用戶[8-9]，也就是說，Hadoop用戶權(quán)限取決于當(dāng)前使用客戶端的用戶組信息。基于ACL的訪問控制機(jī)制只能提供最基本的訪問控制，海洋信息云計(jì)算服務(wù)平臺這種混合云服務(wù)平臺對于敏感信息控制的需求嚴(yán)格。為了解決該問題，本文提出基于角色映射的訪問控制思想，結(jié)合現(xiàn)有的RBAC模型，給出了適用于海洋環(huán)境信息云平臺的用戶訪問控制模型，即基于角色映射的多級訪問控制模型D-RBAC，并進(jìn)行了實(shí)驗(yàn)。

1 多級訪問控制模型

基于角色映射的訪問控制的核心思想是運(yùn)用目前已經(jīng)比較成熟的基于角色的訪問控制，映射到Hadoop平臺用戶，隔離用戶對Hadoop平臺的直接訪問。云平臺用戶對于海洋信息資源的訪問首先要通過云門戶身份認(rèn)證和訪問控制模塊，經(jīng)過訪問控制模塊決策，并為其映射到一個(gè)對應(yīng)權(quán)限的Hadoop平臺用戶權(quán)限，通過映射的Hadoop用戶實(shí)現(xiàn)云平臺資源的使用。海洋信息云服務(wù)系統(tǒng)訪問控制模型如圖1所示。

首先，在Hadoop平臺上創(chuàng)建多組固定權(quán)限的用戶（這些用戶是Linux的訪問用戶），并設(shè)置其分組。分組可以按行政單位的不同安全級別對應(yīng)不同的用戶組，例如可以設(shè)置為北海分局1～5級，南海分局1～5級，東海分局1～5級，國家海洋中心1～5級等分組，每個(gè)分組創(chuàng)建多個(gè)用戶，承擔(dān)不同的角色，比如：管理員、數(shù)據(jù)操作員、業(yè)務(wù)操作員、普通用戶、客戶等角色。這些用戶設(shè)置完成后，就不能改變其權(quán)限。并且這些Hadoop角色對于WEB前端注冊的用戶是透明的。

在海洋信息云服務(wù)平臺的前端門戶新注冊的用戶并沒有直接訪問Hadoop平臺資源的權(quán)限。當(dāng)用戶提出服務(wù)請求或資源訪問請求時(shí)，先經(jīng)過云門戶權(quán)限控制模塊對其權(quán)限進(jìn)行判斷，然后經(jīng)角色映射模塊映射到對應(yīng)權(quán)限的Hadoop角色用戶。如圖2所示。

訪問決策采用多級訪問控制模型來實(shí)現(xiàn)海洋環(huán)境信息云計(jì)算系統(tǒng)的訪問控制和授權(quán)管理。用戶管理采用基于角色授權(quán)管理模型，通過建立分層的樹形數(shù)據(jù)模型和訪問控制規(guī)則模型，能夠?qū)崿F(xiàn)不同領(lǐng)域與不同職能的用戶對不同類型與不同層次的信息資源的細(xì)粒度訪問控制，在保證海洋環(huán)境信息安全與保密的同時(shí)，能夠向各類用戶提供高效的信息資源服務(wù)。下面給出D-RBAC形式化定義。

1.1 D-RBAC模型

D-RBAC模型類似于傳統(tǒng)的基于角色的訪問控制模型，由主體、域、角色、客體、權(quán)限五個(gè)部分組成，在傳統(tǒng)基于角色的訪問控制模型基礎(chǔ)上引入了多域多級的概念，不同域中分別有不同級別的角色池，對應(yīng)海洋環(huán)境云平臺中的多個(gè)海洋專項(xiàng)研究系統(tǒng)中的不同用戶信息，同時(shí)引入了域內(nèi)角色映射機(jī)制和跨域訪問的角色映射機(jī)制，其結(jié)構(gòu)如3圖所示。

1.2 D-RBAC模型組件

Useri，j、Domaini、Sessioni、Rolei，j、Oi、Ri分別是用戶、域、會話、角色、客體和權(quán)限的集合。

Useri，j?Domaini，用戶與域之間是多對一的分配關(guān)系。一個(gè)用戶只能包含在一個(gè)域內(nèi)；

Rolei，j?Domaini，角色與域之間也是多對一的分配關(guān)系。

UAi?Useri，j×Rolei，j，域Di中用戶與角色間是多對多的分配關(guān)系；

圖1 訪問控制模型圖

圖2 角色映射示意圖

PAi?Rolei，j×Ri，域Di中角色與權(quán)限間為多對多的分配關(guān)系；

Sessioni?DiUseri，j×DjRolei，j，用戶Useri，j發(fā)起的跨域會話，是多對一的分配關(guān)系；

Authorization（），授權(quán)過程。

RoleMapping（Di|Rolei，j，Dj|Rolei，j），角色映射過程。

Assign（Role，R，O），允許將客體O的權(quán)限R授予角色Role。

Rvoke（S，O，R），收回主體S對客體O的訪問權(quán)限。onAccess（S，O，R），主體S訪問客體O。

Assign（S，Role）=>Authorization（），將角色Role授予主體S后才可以授權(quán)主體S訪問客體。

revoke（S，O，Role）=>!Authorization（），權(quán)限收回后，應(yīng)該取消對主體S的授權(quán)。

S.SSlev>O.OSlev&Authorization（）=>onAccess（S，O，R），主體的安全等級大于客體的安全等級時(shí)才可以進(jìn)行訪問操作。

onAccess（S，O，R）=>UpdateAttr（ATT（S））/UpdateAttr（ATT（O）），主體S訪問客體O可能引起對主體S或客體O的屬性更新。

1.3 角色映射策略

在本模型中，角色映射的策略有兩種：一種是能夠?qū)⒂成涞玫降臋?quán)限向下傳遞的可傳遞性角色映射策略，另一種是只能夠建立確定的單項(xiàng)傳遞關(guān)系，不能夠獲得下級角色的訪問權(quán)限的非傳遞性映射策略[10]。

（1）可傳遞性映射策略

可傳遞映射策略是將外域角色與本地角色建立了映射關(guān)系之后，不僅獲得本地角色及其下級角色的訪問權(quán)限，而且，外域中高于當(dāng)前已經(jīng)建立映射關(guān)系角色的安全等級的上級角色都可以通過本次映射獲得本地的操作權(quán)限。

（2）非傳遞性映射策略

非傳遞性的角色映射能夠有效地克服傳遞性映射策略帶來的權(quán)限風(fēng)險(xiǎn)。當(dāng)外域角色與本地角色建立映射關(guān)系之后，只有當(dāng)前建立映射關(guān)系的角色能夠獲得本地角色及其下級角色的訪問權(quán)限。原系統(tǒng)該角色的上級角色并不能通過該次映射獲得本地角色的訪問權(quán)限。因此能夠有效地控制授權(quán)范圍，顯著地增強(qiáng)系統(tǒng)安全性。在對安全性要求較高的系統(tǒng)中，大部分都會采用非傳遞性的角色映射策略。

1.4 模型域間映射策略

在本地域和外域角色層次之間，通過使用可傳遞關(guān)聯(lián)和非傳遞關(guān)聯(lián)，可以創(chuàng)建一個(gè)組合偏序關(guān)系，并且定義一種安全策略。這些策略可以分成兩類。

（1）自動映射策略

自動映射策略是大部分系統(tǒng)都會采用的最小權(quán)限映射關(guān)系，只能提供最小的本地角色權(quán)限集合，建立的都是非傳遞性的角色映射策略。意義是能夠建立兩個(gè)域之間的角色映射關(guān)系，形式化定義如下：

DefaultRoleMapping（r，r′，Di，Dj：NAME）{

Rolei∈Di；Rolej,0∈Dj；

r∈Rolei；r′=Rolej,0；

AddNonTansitiveMapping（r，r′）；}

（2）手動映射策略

當(dāng)域1中角色想要訪問域2中權(quán)限級別高于自身的客體時(shí)，需申請角色映射，管理員通過審查后，手動建立角色映射關(guān)系，并設(shè)置時(shí)效，時(shí)效結(jié)束將撤銷該映射。形式化定義如下：

ApplyRoleMapping（r，r′，Di，Dj：NAME）{

Rolei,m∈Di；Rolej,n∈Dj；

r∈Rolei，m；r′=Rolej,n；i≠j；m≥n；

AddNonTansitiveMapping（r，r′）∧

AddNonTansitiveMapping（r，r′）；

timeout；

DefaultTansitiveMapping（r，r′）∧

DefaultNonTansitiveMapping（r，r′）；}

在本文的訪問控制方案中，由于存放在海洋環(huán)境云平臺的數(shù)據(jù)進(jìn)行了分域、分級安全管理，當(dāng)主體訪問本域內(nèi)的客體時(shí)，可直接進(jìn)行權(quán)限驗(yàn)證。當(dāng)客體與主體不同域時(shí)，需要進(jìn)行跨域的角色映射。同時(shí)客體擁有者通過監(jiān)控高安全級別的數(shù)據(jù)訪問請求的方法來減少訪問控制的管理工作，一些較低安全級別的數(shù)據(jù)訪問可以通過自動的訪問控制來實(shí)現(xiàn)。

2 服務(wù)訪問流程

系統(tǒng)初始化階段首先在Hadoop系統(tǒng)上根據(jù)行政單位和安全級別建立Hadoop平臺用戶組（HGi）和用戶集合（HUij∈HGi）。

定義云服務(wù)器ID為CS，用戶Ui訪問客體Oj的過程如下：

圖3 D-RBAC模型

（1）Ui向CS發(fā)送訪問請求Acc。

（2）CS首先檢查Ui是否是合法用戶，若是合法用戶則為其分配角色，然后檢查客體Oj所在域是否與分配角色在同一域內(nèi)。若在同一域內(nèi)，檢查角色權(quán)限列表，若擁有該客體的訪問授權(quán)，則驗(yàn)證Ui，并返回授權(quán)證書或拒絕，轉(zhuǎn)第（5）步；若客體Oj不在同一域內(nèi)，則把Acc轉(zhuǎn)發(fā)給D-RBAC角色映射機(jī)制，轉(zhuǎn)第（3）步。

（3）D-RBAC角色驗(yàn)證機(jī)制，首先檢查客體Oj的安全級別，并根據(jù)安全級別確定角色映射策略，判斷是否給Ui授權(quán)，若不授權(quán)，則向Ui發(fā)送reject；若授權(quán)，則轉(zhuǎn)第（4）步。

（4）Ui向D-RBAC角色映射組件申請進(jìn)行映射，DRBAC組件為Ui的角色映射到客體所在域內(nèi)角色HUij。查角色權(quán)限列表，若擁有該客體的訪問授權(quán)，則驗(yàn)證Ui，并返回授權(quán)證書或拒絕。

（5）Ui通過云平臺向客體Oj發(fā)起訪問請求，云平臺利用HUij通過Hadoop平臺訪問Oj。

圖4為一次訪問授權(quán)過程的序列圖表示。

圖4 訪問過程授權(quán)圖

3 實(shí)驗(yàn)分析

3.1 安全性分析

系統(tǒng)的數(shù)據(jù)庫設(shè)計(jì)和主要的類設(shè)計(jì)如圖5所示。

圖5 主要類結(jié)構(gòu)示意圖

在系統(tǒng)中分別建立云平臺WEB用戶user和Hadoop平臺用戶root。經(jīng)測試user用戶不能登錄到Hadoop計(jì)算平臺上，無法訪問HDFS文件和提交job任務(wù)。建立角色映射關(guān)系后，user用戶可以在Hadoop平臺上提交job任務(wù)，訪問HDFS文件。實(shí)驗(yàn)結(jié)果表明，系統(tǒng)原型滿足策略的如下安全目標(biāo)：

（1）不同部門之間數(shù)據(jù)的強(qiáng)隔離性。在海洋云平臺內(nèi)的每一次數(shù)據(jù)訪問，由于都需要比較主、客體的組織標(biāo)簽是否相同，嚴(yán)格限制了一個(gè)部門用戶對其他部門用戶數(shù)據(jù)訪問的企圖。

（2）靈活的部門內(nèi)部數(shù)據(jù)隔離。在海洋云平臺內(nèi)，每一個(gè)部門都可以由專門的管理員定義多層次的主體角色，滿足了部門內(nèi)部不同角色各自的訪問控制安全需求。

（3）部門之間數(shù)據(jù)的受控共享。在海洋云平臺內(nèi)的多個(gè)部門可以通過建立臨時(shí)的角色映射來實(shí)現(xiàn)數(shù)據(jù)共享，并通過設(shè)置，嚴(yán)格限制高敏感數(shù)據(jù)共享。

3.2 性能分析

在未加入任何安全機(jī)制之前，基于HDFS的實(shí)驗(yàn)系統(tǒng)讀寫不同大小文件的時(shí)間開銷如圖6所示。可見，讀寫訪問時(shí)間開銷基本上是隨著被訪問文件數(shù)據(jù)塊的增多而呈線性增長。

圖6 加入安全機(jī)制之前的讀寫時(shí)間訪問開銷

相對原有讀寫訪問時(shí)間（1 000～10 000 ms級），在HDFS加入安全機(jī)制后帶來的額外時(shí)間開銷極小（0.1～10 ms級），幾乎可以忽略不計(jì)，包括的主要開銷為：

控制策略的運(yùn)算時(shí)間：由于權(quán)限表達(dá)式樹在系統(tǒng)初始化的時(shí)候就已經(jīng)建立好了，因此在運(yùn)行過程中判斷主體是否能訪問客體的策略在決策上的性能損耗較小。

角色映射時(shí)間：當(dāng)用戶訪問HDFS文件時(shí)，初次訪問需要根據(jù)權(quán)限進(jìn)行角色映射，角色映射建立好以后，再次訪問不需要再消耗時(shí)間。

根據(jù)以上實(shí)驗(yàn)結(jié)果，訪問控制安全機(jī)制的性能損耗對于HDFS原有訪問時(shí)間而言確實(shí)是可以忽略不計(jì)。

4 結(jié)束語

隨著海洋信息數(shù)據(jù)的日益增多，以及云平臺在海洋領(lǐng)域的應(yīng)用的加深，如何加強(qiáng)平臺的安全性，保證信息安全越來越重要。本文針對目前主流的開源云平臺框架Hadoop中存在的安全問題進(jìn)行了研究，將默認(rèn)的ACL方式的簡單用戶訪問控制機(jī)制進(jìn)行了優(yōu)化。這主要包括設(shè)置不同級別分組的用戶信息，創(chuàng)新性地將角色映射機(jī)制映入到云平臺訪問控制模型中。并針對海洋環(huán)境云平臺的信息級別多、用戶分屬不同域和經(jīng)常需要跨域訪問資源等問題，提出了一種基于RBAC模型的改進(jìn)解決方案。實(shí)驗(yàn)表明本文的方法管理簡單有效，能夠解決多級多域的訪問控制問題。

[1]鹿守本.海洋管理通論[M]．北京：海洋出版社，1997.

[2]SHAFIQ B，JOSHI J B D，BERTINO E，et al.Secure interoperation in a multidomain environment employing RBAC policies[J].Knowledge and Data Engineering，2005，17（11）：1557-1577.

[3]KAPADIA A，AL-MUHTADI J，CAMPBELL R H，et al. IR AC 2000：secure interoperability using dynamic role translation[C].Proceedings of 1st International Conference on Internet Computing，UIUCDCS-R-2000，2000：82-121.

[4]馬強(qiáng)，艾中良.面向云計(jì)算環(huán)境的訪問控制模型[J].計(jì)算機(jī)工程與設(shè)計(jì)，2012，33（12）：47-50.

[5]王小威，趙一鳴.一種基于任務(wù)角色的云計(jì)算訪問控制模型[J].計(jì)算機(jī)工程，2012，38（24）：9-13.

[6]馬媛.基于Hadoop的云計(jì)算平臺安全機(jī)制研究[J].信息安全與通信保密，2012（6）：89-91.

[7]FERRAIOLO D，CUGINI J，KUHN D R.Role-based access control（RBAC）：features and motivations[C].Proceedings of 11th Annual Computer Security Application Conference，1995：241-48.

[8]徐剛.云計(jì)算與云安全[J].信息安全與技術(shù)，2011（2）：24-26.

[9]趙明斌.基于信任的云計(jì)算訪問控制模型研究[D].福州：福建師范大學(xué)，2013：17-22.

[10]郭樂深，張乃靖，尚晉剛.云計(jì)算環(huán)境安全框架[J].信息網(wǎng)絡(luò)安全，2009（7）：62-64.

Research on access control system of ocean environment cloud platform

Zhou Xiu，Liu Peishun，Liu Jiabiao，Qin Bo
（College of Information Science and Enginneering，Ocean University of China，Qingdao 266100，China）

The cloud of ocean information is a cloud system which includes multi-domains and multi-level security.The resources contained in it have multi-levels security and belonging to different user.The user of this cloud platform are from different research institutions which of many different types.Based on those requirements，this paper proposes a multi-level cross-domain role-based access control model to solve the problems.The cross-domain access control role model not only to ensure control of user access to resources between different domains but also segregation between the front-end user and platform user by the way of role mapping.Through this way，it is not necessary to create a corresponding user on cloud platform for every front-end user，which can effectively reduce the difficulty of managing the platform users.

ocean environment information cloud platform；role mapping；access control model

TP311

：A

：1674-7720（2015）07-0009-05

2014-12-01）

周秀（1989-），女，碩士研究生，主要研究方向：云計(jì)算、網(wǎng)絡(luò)安全。

劉培順（1975-），男，博士研究，主要研究方向：網(wǎng)絡(luò)攻防技術(shù)、網(wǎng)絡(luò)安全。

劉加標(biāo)（1987-），男，碩士研究生，主要研究方向：云計(jì)算、網(wǎng)絡(luò)安全。