數據中心資源池用戶身份識別與權限控制

馬志程 楊仕博 邵詩韻 馬勇

摘要 資源池采用基于角色的權限控制模型，實現系統管理員、審計管理員和安全管理員三權分權管理，解決了系統的資源使用、管理和治理的行為制約平衡的難題。制定用戶、終端和服務器身份標識的設計規則，簡化各個組成部分身份標識細則，提升管理效率。描述身份鑒別流程通過加密和安全的通信通道來保護驗證憑證，提升資源池安全性。

【關鍵詞】資源池 虛擬化 身份識別 權限控制

1 引言

云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網絡訪問，進入可配置的計算資源共享池（資源包括網絡，服務器，存儲，應用軟件，服務），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。美國政府在2010年到2015年在云計算的支出年增長率為40%，在2015年達到70億美元。云計算中應用服務沒有固定的安全邊界，用戶對資源的可控性減弱，很難規劃統一的安全防護措施。因此需要設計相應的安全機制和體系結構來保護用戶數據的機密性、完整性、可用性。訪問控制技術保護合法用戶訪問云資源，保障信息安全。

傳統的訪問控制模型包括自主訪問控制、強制訪問控制和基于角色的訪問控制。基于角色的訪問控制模型與企事業的崗位可以很好的對照與綁定，系統為每個用戶分配相應的角色，每個角色按照崗位職責獲得一定系統訪問權限。Sandh[7，8]提出RBAC96等一系列的訪問控制模型，這些訪問策略幾乎都是靜態的授權模式，不適用于動態的云計算環境。本文從數據操作屬性出發分為三類：訪問、管理和審計，從體系上保證了數據操作管控的完整性，是其他基于角色訪問控制方法的有效補充。通過客戶端、用戶、服務器的身份鑒定和完整認定流程，進一步增強了資源訪問的安全性，并在管理復雜性和安全性上某種程度達到了平衡。

2 三權分離管理安全設計

如圖1所示，資源池采用基于角色的權限控制模型，禁止超級特權用戶，實現三員（系統管理員、審計管理員、安全管理員）分權管理。

系統將資源與操作相結合形成相應的授權策略，并將授權策略授權給角色，建立以上三種類型的角色（包括：系統管理員角色、審計管理員角色、安全管理員角色）;將角色分配給相應的用戶，實現用戶對資源的權限控制與分配。對資源的操作分為管理和使用兩種方式，實現對系統資源管理和使用的權限分離。

結合以上三類管理員的模式，將系統的資源使用和管理進行分離及三類管理員的行為進行相互制約;虛擬化平臺系統在初始化時禁止初始化超級管理員用戶，初始化三個管理員主要包括系統管理員、審計管理員、安全管理員。如圖2所示。

安全管理員：負責對虛擬化平臺系統中系統管理員的創建及資源權限的分配，安全管理員自身不具備對資源使用的權限;安全管理員對資源權限的分配是根據管理員的安全域進行限制（如安全級別資源池），安全管理員不能為自身分配權限。

系統管理員：由安全管理員創建、維護，系統管理員只能對虛擬化平臺系統的資源擁有使用的權限，不具備相應的管理權限;其使用資源的權限范圍由安全管理員分配。

審計管理員：負責對系統安全管理員及系統管理員的行為進行審計，并對虛擬化平臺系統資源的運行狀態進行監控，不能使用虛擬化平臺系統資源，也不能對虛擬化平臺系統資源進行分配和管理。

3 身份鑒別安全設計

3.1 身份鑒別策略

虛擬化平臺系統對宿主服務器、終端、虛擬桌面用戶、管理員等主體均創建唯一的身份標識和強制認證措施，對指定用戶可采用數字證書等強制認證機制和雙層多因子認證機制，通過限定登錄IP/MAC地址等機制限制指定用戶的終端機位置。

3.2 身份標識符

3.2.1 用戶身份標識符

虛擬化平臺系統與現有認證體系集成，關于虛擬桌面用戶與管理員身份標識符設計如下：

（1）用戶身份的生成與來源，由系統管理員在現有認證體系中統一生成，且在集團公司整個身份認證系統中唯一存在;

（2）虛擬化平臺系統用戶身份的管理與維護，由系統管理員在現有認證體系中統一進行增加、修改、查詢、禁用等操作，流程上沒有刪除用戶身份的操作;

（3）用戶身份相關的所有操作，包括用戶的生成、修改權限、修改密碼、修改配置與描述信息、用戶禁用等操作，均在現有認證體系中統一完成，并生成審計日志信息。

3.2.2 宿主服務器身份標識符

虛擬化平臺系統宿主服務器采用以服務器硬件特征值作為種子生成的長度為10位由小寫英文字母與阿拉伯數字組合的唯一序列作為身份標識符。

3.2.3 終端機身份標識符

虛擬化平臺系統終端機采用以終端設備硬件特征值作為種子生成的長度為32位由小寫英文字母與阿拉伯數字組合的唯一序列作為身份標識符。

3.3 用戶身份鑒別

虛擬化平臺系統對用戶身份鑒別認證流程設計如圖3所示。

（1）當最終用戶若干次嘗試登錄失敗后，禁用該用戶帳戶或將事件寫入日志;

（2）強制定期修改密碼，設置密碼復雜度，保證密碼安全，初始密碼登錄N（如：5）次后，未修改就失效，用戶不能再登錄。

（3）提供賬戶禁用功能，預防當系統受到威脅時遭受進一步攻擊;

（4）將用戶/密碼與數據存儲進行比對，只返回認證結果，不支持密碼直接取出校驗;

（5）對密碼長度、復雜度進行校驗;

（6）用戶在輸入登錄信息后，用戶密碼通過SHA-1等加密方式加密傳輸到后臺處理程序，保證密碼不是以明文的方式傳輸到后臺，使用SSL對數據流加密;

通過加密和安全的通信通道來保護驗證憑證。限制驗證憑證的有效期，以防止因重復攻擊導致的欺騙威脅。減少Cookie超時時間限制攻擊者利用竊取的Cookie來訪問站點的時間。

4 結束語

本文從數據操作屬性出發分為三類：訪問、管理和審計，從體系上保證了數據操作管控的完整性，是其他基于角色訪問控制方法的有效補充。通過客戶端、用戶、服務器的身份鑒定和完整認定流程，進一步增強了資源訪問的安全性。需要進一步考慮仿冒用戶通過驗證后，通過分析其行為特點，判斷數據操作可能帶來的危害，建立動態數據保護機制。

（通訊作者：邵詩韻）

參考文獻

[1]Tian L，Lin C，Ni Y.Evaluation of userbehavior trust in cloud computing[C].Computer Application and SystemModeling （ICCASM）， 2010 InternationalConference on. IEEE， 2010，7：V7-567-V7-572.

[2] Feng D G，Zhang M，Zhang Y，etal. Study on cloud computingsecurity [J]. Journal ofsoftware， 2011， 22 （01）： 71-83.

[3] HUANG J，FANG O.Context and rolebased access control for cloudcomput ing [J]. Journal of ComputerApplications，2015，2： 023.

[4] Curry S，Darbyshire J，Fisher D W，etal. Infrastructure security： Get tingto the bottom of compliance in thecloud [J]. RSA Security Brief， 2010.

[5] Kaur P J，Kaushal S.Securityconcerns in cloud computing[M].HighPerformance Architecture and GridComputing. Springer， Berlin， Heidelberg，2011：103-112.

[6] Lin G Y，He S，Huang H，et al. Accesscontrol security model basedon behavior in cloud computingenvironment [J]. Journal of ChinaInstitute of Communications，2012，33（03）：59-66.

[7] Tianyi Z，Weidong L，Jiaxing S.Anefficient role based access controlsystem for cloud computing [C].Computer and Information Technology（CIT），2011 IEEE 11th

Internat ionalConference on. IEEE， 2011： 97-102.

[8]Sandhu R S，Coyne E J，FeinsteinHL，etal.Role-basedaccess control models [J].Computer， 1996， 29 （02）： 38-47.