基于云環(huán)境CPK認(rèn)證的研究

舒以婉+秦軍+梁耀元+謝丹鴻

摘 要： 從云計(jì)算的安全問題入手，引出了CPK認(rèn)證系統(tǒng)和訪問控制的概念，介紹了CPK認(rèn)證的模式，通過分析比較CPK與PKI兩種身份認(rèn)證方法，探討了CPK在云環(huán)境下的適用性，并對基于角色的訪問控制模型作了詳細(xì)的介紹，最后對基于角色的云平臺訪問控制構(gòu)架的模型進(jìn)行分析，提出了CPK認(rèn)證方法與RBAC3訪問控制模型相融合的方案。

關(guān)鍵詞： CPK； 認(rèn)證體系； 云計(jì)算； 訪問控制； 基于角色的訪問控制

中圖分類號：TP309 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2017）08-06-04

Abstract： This paper begins with the security problem of cloud computing， to draw forth the concepts of CPK authentication system and access control， and introduces the CPK authentication mode. By comparing the CPK and PKI authentication methods， the applicability of CPK in cloud environment is discussed， and the role-based access control model is introduced in detail. Finally， the model of role-based cloud platform access control architecture is analyzed and the scheme which fuses the CPK authentication method and RBAC3 access control model is put forward.

Key words： CPK； certification system； cloud computing； access control； role-based access control

0 引言

云計(jì)算擁有龐大的用戶數(shù)，然而云計(jì)算中數(shù)據(jù)的異地存儲安全問題、用戶隱私數(shù)據(jù)的保護(hù)、用戶數(shù)據(jù)的安全以及用戶身份驗(yàn)證等問題，是云計(jì)算發(fā)展過程中亟待于解決的問題。如何管理用戶的隱私數(shù)據(jù)是一個十分復(fù)雜的問題，為此我們引入了CPK認(rèn)證和訪問控制的概念，CPK可以為無序的網(wǎng)絡(luò)環(huán)境提供身份認(rèn)證的技術(shù)，訪問控制可以控制用戶在訪問過程中的權(quán)限，這樣可以降低互聯(lián)網(wǎng)泄密風(fēng)險，為云計(jì)算提供一個安全的網(wǎng)絡(luò)環(huán)境。

1 CPK簡介

CPK標(biāo)識認(rèn)證算法是由我國學(xué)者南湘浩在1999年開始提出的[1]，2007年在歐洲密碼年會上得到國際的認(rèn)可。該算法建立在非對稱加密算法的基礎(chǔ)上，產(chǎn)生密鑰對組合依據(jù)的理論是橢圓曲線密碼學(xué)（Elliptic

Curve Cryptography， ECC）密鑰復(fù)合定理[2]。以此來管理標(biāo)識密鑰的產(chǎn)生和密鑰復(fù)合，CPK密碼體制的安全性可大大提高。CPK密鑰管理體制是基于橢圓離散對數(shù)問題構(gòu)建的，根據(jù)該原理產(chǎn)生公、私鑰矩陣，并將用戶標(biāo)識映射到矩陣上而生成大量的公、私鑰對，由此實(shí)現(xiàn)大規(guī)模的密鑰分發(fā)。相關(guān)學(xué)者通過對不同認(rèn)證方式的分析比較， 認(rèn)為CPK認(rèn)證方式有獨(dú)特的優(yōu)勢，是一種新型的認(rèn)證技術(shù)。

CPK標(biāo)識認(rèn)證采用集中產(chǎn)生，分散管理的模式，其運(yùn)行過程[3]如下。①注冊中心接收來自用戶的申請審核其是否為標(biāo)識惟一的合法用戶，審核通過后把用戶ID標(biāo)識交給CPK認(rèn)證系統(tǒng)核心——密鑰管理中心KMC。②密鑰管理中心KMC聯(lián)系負(fù)責(zé)產(chǎn)生密鑰的密鑰生成中心分發(fā)密鑰。③密鑰生成中心將用戶標(biāo)識映射成序列并基于公私鑰矩陣來生成用戶獨(dú)有的公鑰、私鑰。④密鑰管理中心KMC調(diào)配已生成用戶的公鑰私鑰對，并將生成信息返還給證書注冊中心。⑤證書注冊中心將相關(guān)信息制作成ID證書，返回給用戶，用戶申請得到處理并結(jié)束。

2 CPK在云計(jì)算中的適用性

因PKI認(rèn)證技術(shù)成熟且支撐設(shè)備完善，所以目前大多數(shù)認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)是針對PKI進(jìn)行。表1給出了對CPK與PKI一些主要功能的比較。

由表可知，PKI密鑰采用分散產(chǎn)生，集中管理的模式，用戶私鑰由自身產(chǎn)生保存，公鑰是計(jì)算機(jī)隨機(jī)計(jì)算生成的一組數(shù)據(jù)，因此公鑰的產(chǎn)生不具備規(guī)模性。它依賴于CA鏈進(jìn)行認(rèn)證，而LDAP目錄庫一直處于在線運(yùn)行狀態(tài)，維護(hù)量巨大。在CA的處理能力到達(dá)極限時，一旦核心CA出現(xiàn)失敗，則整個PKI認(rèn)證系統(tǒng)將毀于一旦，多層結(jié)構(gòu)的CA信任度會在推移過程中逐漸淡化，用戶數(shù)據(jù)的安全堪憂。

CPK公、私鑰矩陣是基于橢圓曲線密碼學(xué)建立，實(shí)現(xiàn)了無須第三方參與的重大突破，且其密鑰采用集中生成，分散管理的方式，在用戶注冊時就確認(rèn)了認(rèn)證關(guān)系，安全性得以提高。且CPK不需要外來設(shè)備和協(xié)議的支持，所以CPK具有運(yùn)算速度快、占用存儲空間小、安全性高等優(yōu)勢。所以CPK更適宜在云計(jì)算中使用。

3 基于角色的訪問控制

許多企業(yè)已經(jīng)廣泛使用云計(jì)算，也推出了大量的云計(jì)算產(chǎn)品及平臺。云計(jì)算的服務(wù)模式有公有云、私有云；公有云用于提供給大量的用戶訪問，私有云需要有更高的權(quán)限，通常是企業(yè)內(nèi)部才能訪問。云環(huán)境下的服務(wù)結(jié)構(gòu)極為復(fù)雜和不穩(wěn)定，需要對大量的用戶進(jìn)行身份認(rèn)證和訪問控制。有了訪問控制，可以讓擁有權(quán)限的合法用戶訪問受保護(hù)的內(nèi)容，也防止了非法用戶訪問和使用非其權(quán)限的內(nèi)容，這樣可以更好地維護(hù)云計(jì)算環(huán)境的穩(wěn)定。

訪問控制系統(tǒng)一般包涵主體、客體和安全訪問政策三個方面。常用的訪問控制模型主要有角色訪問控制模型[4]（Role Based Access Control，RBAC）、自主訪問控制模型（Discretionary Access Control，DAC）以及強(qiáng)制訪問控制模型（Mandatory Access Control，MAC）這三種。其中，基于角色訪問控制模型（Role Based Access Control，RBAC）在云計(jì)算中應(yīng)用最為廣泛。

基于角色訪問控制模型RBAC的基本思想是：在用戶與訪問權(quán)限之間建立“角色”，有相對應(yīng)的權(quán)限，且比較穩(wěn)定；用戶與角色之間存在映射關(guān)系，但不是惟一的，可以有多種映射關(guān)系。當(dāng)用戶分配到了一個角色時，該用戶擁有該角色的全部操作權(quán)限。

與其他兩種訪問控制不同，基于角色訪問控制不是將訪問權(quán)限與用戶直接建立關(guān)系，而是通過“角色”建立間接訪問，這樣基于角色的訪問控制模型可以分配權(quán)限，可以通過角色更方便地拓展權(quán)限。

RBAC模型具有三大原則：最小特權(quán)、責(zé)任分離和數(shù)據(jù)抽象原則[5]。模型將用戶與權(quán)限分離，加入角色這個中間映射關(guān)系，當(dāng)用戶被分配一個該權(quán)限相應(yīng)的角色時，用戶才擁有該權(quán)限。這種分布式結(jié)構(gòu)化模型可以讓管理員更好地管理維護(hù)，管理員不用負(fù)責(zé)管理和維護(hù)整個模型，只要負(fù)責(zé)其中一部分。類似于面向?qū)ο竽Ｐ停瑘D1顯示了RBAC模型關(guān)系圖，在圖1中，用戶與角色、角色與權(quán)限相互映射。用戶與角色存在多對多關(guān)系，角色與操作權(quán)限也存在多對多關(guān)系。

RBAC96模型有RBAC0模型、RBAC1模型、RBAC2模型以及RBAC3模型這四種模型[6]。RBAC0是RBAC96最基本的模型，而RBAC1與RBAC2繼承了RBAC0的所有特性，并分別在RBAC0上進(jìn)行擴(kuò)充，RBAC3是RBAC1與RBAC2的結(jié)合。

RBAC0由用戶集合、角色集合、權(quán)限集合、目標(biāo)集合、操作集合五個部分組成，五個部分相互映射存在關(guān)系。RBAC96模型核心思想是：將權(quán)限歸類分配給各種角色，并為用戶分配相應(yīng)的角色，用戶的訪問權(quán)限由其角色決定。

RBAC1模型在RBAC0模型的基礎(chǔ)上建立了一種角色層次關(guān)系，說明角色間的關(guān)系不再像RBAC0一樣平等的，而是像面向?qū)ο笠粯樱哂袑哟侮P(guān)系，可以繼承。也就是說，一個角色可以擁有另一種角色的所有基礎(chǔ)特征，并在此基礎(chǔ)上設(shè)定該角色自身特有的性質(zhì)。但有些角色并不是所以權(quán)限都能夠繼承，角色的公有權(quán)限能繼承，而其私有權(quán)限則被自己保護(hù)保留。公有權(quán)限類似面向?qū)ο笾蓄惖墓灿袑傩裕堑图壗巧袚碛械模軌虮桓呒壗巧^承的權(quán)限。私有權(quán)限類似于面向?qū)ο笾械念惖乃接袑傩裕擃悪?quán)限僅能屬于低級角色，不可以被高級角色繼承。受限特征權(quán)限是指該類權(quán)限能否被繼承有一定的不確定性，該不確定性取決于繼承的方式和動態(tài)的特征取值范圍。

RBAC2沒有角色關(guān)系，它是在RBAC0的基礎(chǔ)上，加入了約束集合。約束定義了強(qiáng)制性規(guī)則，這些約束限制條件[6]包括：角色互斥，即同一個用戶不能同時擔(dān)任的兩個角色，稱這兩個角色互斥；角色數(shù)量的限制，即一個用戶可以擔(dān)任的角色數(shù)量有限，或者一個角色所擁有的訪問許可數(shù)目有限；角色的時間限制，即一個用戶被分配到角色的時間不是永久的，而是在一定的時間范圍內(nèi)行使該權(quán)限；先決條件角色，用戶為獲得某些高等角色必須首先擁有低等角色，則稱低等級角色為高等角色的先決條件角色；運(yùn)行時約束，一個用戶具有兩個角色，但是在運(yùn)行時不可同時激活這兩個角色。有了這些約束，可以對對云計(jì)算環(huán)境中用戶訪問資源的權(quán)限做了更細(xì)致的劃分，可以更好得維持云計(jì)算的穩(wěn)定與安全。

RBAC3同時在RBAC0上增加建立了一種角色層次關(guān)系與約束集合，是RBAC1與RBAC2的結(jié)合。

4 云計(jì)算環(huán)境下的訪問控制

大數(shù)據(jù)時代，隨著云計(jì)算的蓬勃發(fā)展，許多行業(yè)都開始應(yīng)用這一技術(shù)來處理大量的數(shù)據(jù)。云計(jì)算對各個行業(yè)及領(lǐng)域都具有很大的影響。而云計(jì)算的安全性成為這項(xiàng)技術(shù)能否向前推進(jìn)的關(guān)鍵。

云計(jì)算的安全問題本質(zhì)上是訪問控制的問題，即保證云計(jì)算的安全要做到禁止對信息資源的非授權(quán)訪問和非授權(quán)操作，保證數(shù)據(jù)的完整性和保密性。訪問控制是先確定訪問者身份，再根據(jù)其身份進(jìn)行分配權(quán)限，未分配的權(quán)限則禁止訪問。兩者目的相同。RBAC模型基于角色將用戶與權(quán)限分離，在管理層面上簡化了權(quán)限的管理，便于管理者理解與操作。比較其他的訪問控制模型更具有優(yōu)勢。

基于云環(huán)境下角色的訪問控制設(shè)計(jì)基于角色的云平臺訪問控制構(gòu)架的模型如圖2所示。該模型由交互平臺、統(tǒng)一授權(quán)平臺、基于角色的訪問控制模塊、服務(wù)目錄、和云平臺這五個功能模塊組成。

從圖2中可以分析出該模型的工作流程：當(dāng)用戶需要服務(wù)時，首先在交互平臺登錄并申請所需權(quán)限的角色，接著統(tǒng)一授權(quán)平臺根據(jù)該用戶的信息以及所擁有的角色與權(quán)限之間的關(guān)聯(lián)對用戶進(jìn)行相應(yīng)角色權(quán)限的分配。在基于角色的訪問控制模塊用戶的訪問資源需進(jìn)行合法性檢驗(yàn)，用戶只可以訪問其角色所對應(yīng)的權(quán)限下的資源，否則檢驗(yàn)無法通過。檢驗(yàn)通過后，用戶在服務(wù)目錄中看到各種角色權(quán)限可以訪問的各種資源，并選擇所被允許的部分進(jìn)行訪問。最終，在云平臺上，用戶可以享受到在交互平臺上所申請的服務(wù)。

一個完整的系統(tǒng)在進(jìn)行訪問控制之前，首先要先對其身份進(jìn)行認(rèn)證，本文提出了CPK與基于角色的訪問控制的融合。我們選擇RBAC3模型與CPK進(jìn)行結(jié)合，該模型包含了RBAC96的兩個關(guān)鍵技術(shù)—繼承和約束。兩項(xiàng)技術(shù)對云計(jì)算中的訪問控制做了更為細(xì)致的描述，增強(qiáng)控制的力度，解決了云計(jì)算中訪問控制過程中如重復(fù)指派角色、權(quán)限沖突等問題。這兩者的結(jié)合將進(jìn)一步解決云計(jì)算中的安全問題，如圖3所示。

圖3中，U表示用戶集，P表示權(quán)限集，S表示會話集，R表示角色集。其中UA表示多對多的角色和用戶的分配關(guān)系，PA表示從多對多的從角色和權(quán)限的分配關(guān)系，US表示用戶和對話形成的一一對應(yīng)的映射關(guān)系，SR表示會話和角色形成的一一對應(yīng)關(guān)系，RH表示角色層次，即RBAC模型中的繼承關(guān)系。

從圖3中可看出，CPK和訪問控制通過用戶標(biāo)識聯(lián)系在一起，在CPK系統(tǒng)中，用戶先向注冊中心發(fā)出申請，在通過注冊中心的審核后將標(biāo)識發(fā)給密鑰管理中心KMC，KMC聯(lián)系密鑰生成中心生成密鑰對，返還給注冊中心，注冊中心生成用戶ID證書返還給用戶。訪問控制中根據(jù)用戶標(biāo)識分配角色，并根據(jù)角色為用戶分配相應(yīng)級別的權(quán)限。再加上RBAC中繼承和約束兩個重要的技術(shù)，該融合使得云計(jì)算的安全性有所提高。

5 結(jié)論

本文首先對CPK的相關(guān)原理作了闡述，介紹了標(biāo)識密鑰的產(chǎn)生過程以及密鑰的復(fù)合過程，對CPK體系結(jié)構(gòu)作了簡要介紹并將CPK與IBE、PKI作了對比分析，得出了CPK應(yīng)用到云計(jì)算環(huán)境中是可行的結(jié)論。再以模型圖的形式對基于角色的訪問控制模型作了簡要介紹，提出了基于云環(huán)境下CPK認(rèn)證與訪問控制模型的融合方案，設(shè)計(jì)了在云計(jì)算環(huán)境下將CPK認(rèn)證技術(shù)與RBAC3模型相結(jié)合的訪問控制模型，該模型可進(jìn)一步提升基于角色的訪問控制模型的安全性。

6 結(jié)束語

本文主要研究了將CPK組合公鑰密碼體制引入到云計(jì)算，用CPK身份認(rèn)證方式解決云計(jì)算中身份認(rèn)證方面的安全問題。介紹了CPK原理，分析了CPK在云計(jì)算中的適用性。

我們提出云環(huán)境下基于角色的訪問控制方案，為了提高云計(jì)算的安全性，將RBAC3模型與CPK身份認(rèn)證相結(jié)合。RBAC3模型對云計(jì)算環(huán)境下用戶訪問云資源時，在用戶角色、可訪問資源數(shù)量、先決條件等方面作了約束，結(jié)合CPK身份認(rèn)證系統(tǒng)中用戶標(biāo)識的惟一性，實(shí)現(xiàn)云訪問控制策略安全性。

在大數(shù)據(jù)時代，云計(jì)算在高速發(fā)展的過程中面臨著巨大的安全性挑戰(zhàn)。我們在提出理論構(gòu)想的同時，還需要后期進(jìn)行仿真實(shí)驗(yàn)對我們所設(shè)計(jì)的訪問控制模型進(jìn)行實(shí)驗(yàn)，對比預(yù)期效果，來驗(yàn)證該模型在實(shí)際應(yīng)用中的可行性。

參考文獻(xiàn)（References）：

[1] Dan Boneh， Matt Franklin. Identity based Encryption from Weil Pairing. In Proceedings of Cryptology-Crypto' 01， LNCS 2139.Berlin：Springer-Verlag，2001：213-229

[2] 南相浩.CPK密碼體制與網(wǎng)際安全[M].國防工業(yè)出版社，2008.

[3] 劉巧瑜，鞠磊，李世崗.基于CPK的身份認(rèn)證方法及應(yīng)用研究[J].北京電子科技學(xué)院學(xué)報，2013.21（2）：76-80

[4] Sandhu R，Coyne E J，F(xiàn)einstein H L，et al.Role Based Access Control Models.Computer，1996.29（2）：38-47

[5] 劉偉.基于角色的訪問控制模型在安全操作系統(tǒng)中的實(shí)現(xiàn)[D].中國科學(xué)院研究生院（軟件研究所）碩士學(xué)位論文，2003.

[6] 郭軍.基于角色的訪問控制分級授權(quán)管理的研究[D].西安電子科技大學(xué)碩士學(xué)位論文，2012.