基于身份動態持續認證的大數據平臺訪問信任技術研究

施麟 陳寧 張駿

摘 ? 要：大數據平臺作為核心數據的存儲、計算的統一載體，其數據來源復雜、結構多樣，而“臟”數據的接入、服務應用、人員訪問權限的控制缺失，會導致完整性、可信性的閉環失效。文章提出了一種基于身份動態持續認證的大數據平臺訪問信任技術體系，實現了與大數據平臺相關的采集設備、應用服務、API接口、人員權限的聯動，并基于終端環境感知完成動態持續認證，實現了大數據平臺的數據采集傳輸、存儲、使用等全生命周期的安全防護，為企業建設大數據平臺訪問信任體系提供技術支撐。

關鍵詞：大數據平臺;數據安全;動態持續認證;訪問信任

中圖分類號：TP274+.2 ? ? ? ? ?文獻標識碼：B

Abstract： Ensuring the security of data flow is the core content of big data platform security. The data source of big data platform is complex and the data structure is diverse. The “dirty” data access to big data platform will lead to serious lack of credibility. After the data is processed by big data platform. The control of services， applications， and personnel access rights is not strict and can lead to serious data leakage incidents. This paper studies a big data platform access trust technology based on identity dynamic continuous authentication， realizes the identity of terminals， collection devices， applications， services， interfaces and personnel information related to big data platform， and implements dynamic continuous authentication based on terminal environment awareness. To realize the security protection of data collection， transmission， storage， use and sharing of big data platform， and provide reference for enterprises to build security system of big data platform access trust system.

Key words： big data platform; data security; dynamic continuous authentication; access trust

1 引言

當前，隨著“云大物移智”等前沿技術的發展，大數據以其擁有復雜異構數據、多層級分析關聯、AI、Data Mining等特點成為關注焦點，并以其可為政務、能源、金融等行業提供數據決策支持，為新常態的動能轉換提供增長點而納入國家發展戰略。同時，隨著以Hadoop為典型大數據架構的創新技術加速演進，促進了Spark、Graph、Map Reduce等計算理論的進步。由此，大數據平臺作為核心數據的收集、存儲、計算的統一載體，起著萬物中心引擎的關鍵作用。

然而，海量數據匯集的同時，也意味著大量政治和經濟利益的匯集，總有一些人想方設法地試圖謀取不當得利[1]。目前，針對大數據的勒索攻擊和數據泄露日趨嚴重，全球大數據安全事件呈高發態勢，大數據平臺的復雜邏輯TAP、多維采集和應用API都會成為黑客攻擊的突破口。大數據平臺的安全問題催生了相關領域的產品研發，但大多數是基于單點或單面防護，對數據整體框架結構安全的防護考慮還不足[2，3]。

2 數據訪問風險與防護需求

數據在大數據平臺中的采集輸入、租戶訪問、傳輸共享以及開發測試等場景下都可能存在安全風險。

首先，大數據平臺的功能模塊一般由數十個開源或半開源組件構成，而在安全體系的組件上卻屈指可數。以Hadoop為例，雖然存在著一些開源的數據審計與認證模塊，但都是基于平臺簡單的ACL，在數據南北向流轉、出入口防護、多租戶隔離等方面有著明顯的不足，缺乏統一的訪問控制措施[4]。

其次，攻擊者大量利用口令爆破、XSS等慣用伎倆突破企業邊界。無論是基于登錄過程的弱口令，還是對于傳輸過程中的憑證截獲或偽造，其攻擊的根本目標是繞過企業網絡的訪問權限限制。這種攻擊看似低級，卻是最易得手的伎倆之一。根據美國移動運營商Verizon報告分析指出，81%的黑客成功地利用了強度不足的密鑰，輕而易舉地獲得了數據的訪問權限[5]。

另外，以APT為代表的高級攻擊層出不窮。大型組織或者敵對勢力發起的規模化網絡攻擊事件中，攻擊者往往利用“0Day”的漏洞，對政府或商業巨頭的大數據平臺進行“定點打擊”，這類攻擊往往隱蔽性高，持續時間長，危害極大。

2.1 數據訪問風險

2.1.1 接入身份不明晰

大數據平臺的數據輸入身份有各類采集終端、業務人員、行業應用等，輸出身份有各類API接口、分析用戶、外部用戶等多達近百種，由于交互身份的不明晰，很難基于用戶的身份進行詳細的權限控制，也就無法追蹤溯源。

2.1.2 應用接口不明確

各應用在通過API接口或Socket服務訪問大數據平臺時，可能存在接口共用、接口權限過大、數據訪問控制不嚴格等情況。各組件在通過API進行數據共享時，由于缺乏對數據類別的訪問控制，可能導致敏感數據泄露。

2.1.3 攻擊方式多樣化

大數據平臺可能存在SQL注入、XSS、APT、數據積淀泄露等被動攻擊風險。惡意用戶可能對大數據平臺進行SQL注入、緩沖區溢出等攻擊，對數據庫直接進行撞庫、拖庫，一旦突破防護，HBASE、HIVE、HDFS等組件中的數據將會全部暴露。此外，業務人員未通過安全接口訪問數據，運維人員擁有獲取敏感數據進行測試的權限，可能會造成數據采集錯誤或者數據丟失。

2.2 數據訪問防護需求

基于對數據安全風險的分析，大數據平臺在數據訪問防護方面存在五方面需求。

（1）數據采集方面。對各類終端、業務人員、行業應用進行標識，使用PKI進行授權，保證采集數據的準確、可靠性，防止非法假冒“臟”數據輸入。

（2）接口與應用方面。建立行業白名單，對業務和應用身份化，嚴格梳理權限，對大數據平臺組件和數據表的訪問權限進行控制，避免各類應用直接暴露于互聯網，防止API濫用。

（3）人員方面。對各類運維人員、業務人員、外部用戶的身份進行實名制身份鑒別，將用戶的權限進行分組，使用統一的GUI，進行多因子認證后再授權。總的來說，就是網絡環境下的身份鑒別，就是驗證某個通信參與方是否與他聲稱的身份一致性的過程[6]。

（4）終端方面。對各類PC、移動終端進行身份標識，并對運行環境進行動態評估，限制存在指定漏洞和未安裝安全軟件的終端訪問數據，動態調整終端的接入權限。

（5）監管合規方面。當前國家對數據信息安全越來越重視，已出臺《中華人民共和國網絡安全法》[7]《信息安全技術 網絡安全等級保護基本要求》[8]《國家電子政務標準化指南》[9]等相關政策標準。為了滿足國家對企業信息數據安全建設要求，企業需要以業務需求為導向，規范建設企業數據信息安全保障體系，形成科學實用的規范化安全管理能力、體系化安全技術防護能力、綜合化安全監管運維能力，以滿足相關部門對于企業信息安全的監管和合規要求。

3 訪問信任架構設計

大數據平臺的數據安全是指保護存儲在平臺上的數據防止被未經授權用戶的訪問或修改，機密性、完整性、可用性是其主要的安全屬性。基于該設想，谷歌率先提出了BeyondCorp計劃，旨在構建基于“零信任”模型的安全架構，最核心的PKI/PMI是基于受控設備和用戶是否合法，而不是基于網絡訪問控制。

本文提出了一種基于大數據平臺的數據安全立體防護技術，將大數據平臺作為“黑盒”進行防護，對大數據平臺的入口和出口使用基于身份動態持續認證的大數據平臺訪問信任技術，加速構建大數據安全保障體系，保護流經大數據平臺的數據安全。

設計大數據平臺的訪問信任架構體系，核心是對數據采集、接口與應用、人員、終端等方面進行全面的身份化，并進行動態持續認證，實現對大數據平臺多個主客體之間的細粒度權限管控，實現統一身份認證管理的精細化、動態化的授權能力。關鍵是訪問信任體系通過在主體（終端、用戶）和客體（應用、接口、數據）之間進行嚴格的身份識別，并建立唯一安全可信的訪問控制路徑，實現訪問過程的安全可控，從而將身份鑒權作為新的控制點，把身份和動態訪問控制共同作為大數據安全保障的關口。

訪問整體架構如圖1所示，通過接口訪問控制系統（入口和出口）、應用訪問控制GUI、終端代理感知、動態訪問信任控制中心等構成立體的訪問信任架構體系。實現數據入口、數據出口、應用接口三道安全防線。

動態訪問信任控制中心是實現基于身份動態持續認證的核心，能夠充分評估終端風險并進行計算和策略持續動態調整。控制中心平臺接收終端代理感知的漏洞和病毒木馬評估結果，為接口訪問控制系統、應用訪問控制GUI動態持續下發訪問控制策略，調整相應終端的權限，動態限制或中斷存在風險的會話。接口訪問控制系統、應用訪問控制GUI通過反向代理方式實現數據隱藏，并根據控制中心平臺下發的策略提供應用級或接口級的細粒度授權。

4 基于終端環境度量的動態訪問信任算法

采用的算法模型在整體架構上分為終端代理感知客戶端和動態訪問信任控制中心兩大模塊。終端代理感知客戶端主要負責采集終端的相關要素信息，如系統配置、操作系統補丁、殺毒軟件版本等。動態訪問信任控制中心模塊主要負責接收客戶端代理提供的多個終端要素信息，按照一定的評估算法對其進行評估并得到全局性的終端環境評估結果，然后與用戶身份一起作為訪問控制的判決主體。

本算法度量的安全指標主要分為安全配置措施、監控審計措施、漏洞病毒情況。這些措施的完備與健全直接影響著終端系統的安全。其中，安全配置措施包括賬號密碼策略設置、端口及服務設置、補丁更新設置、防火墻設置、殺毒軟件安裝等。監控審計措施包括系統安全審核機制、日志設置等。漏洞病毒情況為終端代理掃描的高危漏洞及病毒數量統計。

其中，安全配置措施權重為J（0

設X=（X1，X2，...，Xn）為安全配置措施空間，即攻擊防范措施的內容值，如X1為賬號密碼策略設置，X2為端口及服務設置，Xn為殺毒軟件安裝。Y=（Y1，Y2，..，Ym）為監控審計措施空間，即終端監控審計措施的內容值，如Y1為安全審核機制，Ym日志設置。Z=（L1，L2）為病毒木馬情況空間，如L1為高危漏洞情況，L2病毒木馬情況。

根據采集器的結果，配置合格Xn和Ym取值為1，配置不合格Xn和Ym取值為0。存在高危漏洞L1取值為0，反之為1。存在病毒木馬L2取值為0，反之為1。

單項測評結果：

某時刻t，動態訪問信任控制中心計算終端總體信任值結果：

將目標訪問系統的安全防護級別分為五級，即B=（低、較低、中、較高、高），且高級別系統權限包含低級別系統權限，即用戶獲得高級別系統的權限時具備對低級別系統的訪問權限。At取值可映射值B的安全級別，動態訪問信任控制中心計算調整終端至相應的訪問權限。

終端在獲得系統訪問權限后，每分鐘的時刻t， 動態訪問信任控制中心計算計算終端總體信任值結果At，獲得新的安全級別B及訪問權限，實現動態持續認證。

通過本文公式的計算和評估，假如一臺終端存在病毒和高危漏洞情況，將會計算出較低的At值，在B空間獲得的安全級別較低，僅對少量低安全級別的系統有訪問權限，阻斷對高級別安全防護系統的訪問，實現基于終端環境的動態授權可持續認證。

5 典型場景應用

依據動態訪問信任安全架構的技術思路，以典型的Hadoop架構的大數據中心為例，探討實際場景應用。

（1）確定保護目標、數據訪問路徑和暴露面，包括數據出入口、數據采集接口和應用API、外部數據共享接口等。

（2）構建身份認證中心，以現有4A或其他平臺為基礎建立PKI/PMI體系，對人員、終端、應用簽發CA證書，保證接入大數據平臺的身份可信。

（3）構建應用及API接口的安全訪問控制點，應用訪問控制GUI對所有接入進行訪問身份鑒權，接口訪問控制系統對所有的行業應用與數據API之間強制調用安全訪問策略。

（4）構建及時終端風險檢測評估，使用終端上安裝的Agent感知程序，對終端的病毒木馬和漏洞進行掃描，將評估結果及時反饋給評估系統。

（5）構建動態持續認證控制平臺，采用動態訪問信任控制中心對接口訪問控制系統和應用訪問控制GUI進行集中管理，基于終端威脅評估結果進行動態授權。

訪問信任系統整體部署架構如圖2所示。

部署方案同時實現了訪問主體（用戶終端、外部應用接口、采集終端、原有業務）對客體（數據中心的數據服務接口）的接入控制，并且可根據訪問主體實現細粒度的訪問授權。在訪問過程中，可基于用戶終端的病毒木馬、漏洞數據的風險狀態進行動態授權調整，以保障數據訪問的持續安全性。其中，動態訪問控制中心可導入現有IAM（訪問控制）[10]、4A、PKI/CA（公鑰基礎設施/數字證書）[11]實現用戶身份的確認。

在部署方案中，以用戶訪問為例，數據交互流程如下。

（1）用戶在終端設備中對目標應用的訪問，須統一接入應用訪問控制GUI。

（2）應用訪問控制門戶根據填寫的訪問用戶信息向動態訪問信任控制中心發起認證請求。

（3）動態訪問信任控制中心通過現有的IAM、4A、PKI/CA實現用戶身份的確認，完成用戶的認證授權。

（4）用戶在應用訪問控制門戶的授權通過，訪問請求轉發至接口訪問控制系統，接口訪問控制系統根據用戶信息向動態訪問信任控制中心發起認證請求。

（5）動態訪問信任控制中心完成用認證及授權，接口訪問控制系統轉發接口調用請求至JDBC接口或API服務[12]。

（6）JDBC接口或API服務根據請求逐級返回數據，完成數據的訪問信任工作。

（7）動態訪問信任控制中心實時收集終端的病毒木馬、漏洞數據，計算用戶的風險數據，當終端的風險達到設置的閾值時，動態調整終端的權限。

整個訪問過程實現了基于身份動態持續認證的大數據平臺訪問信任技術應用。

6 優勢及價值

提升安全能力，應對實時風險。采用統一的數字化身份信息，實現訪問用戶身份的全面認證。通過細粒度以及動態化的授權方式，滿足實時的安全性要求。獲取實時的環境安全狀態、訪問行為數據，智能分析風險并調整訪問控制策略。

實現自動管理，降低運維成本。通過自動化的身份管理、認證及授權能力，可以有效地減少企業IT人員的工作量及人為出錯。從安全架構層面可以解決安全的源頭問題，投入低，可靠性高，避免重復建設。

提高工作效率，提升用戶體驗。消除物理邏輯邊界，提供隨時隨地的企業數據訪問;自動獲取用戶身份安全狀態進行訪問授權，安全用戶無感接入;一站式訪問門戶和單點登錄，有效地提升用戶使用效率。

7 結束語

在邁向SDN、集中化存儲的大數據環境下，本文提出了一種基于身份動態持續認證的訪問信任技術，構建應用訪問控制GUI、接口訪問控制API、動態訪問控制中心、終端代理感知等系統，實現以身份為基礎，以細粒度的應用、安全動態策略為核心，遵循最小權限原則構筑安全防護體系，為大數據中心的整體安全架構提供技術支撐。

參考文獻

[1] 齊向東.漏洞[M].上海：同濟大學出版社，2018.

[2] 徐保民，李春艷.云安全深度剖析：技術原理及應用實踐[M].北京：機械工業出版社，2016.

[3] 薛朝暉，向敏.零信任安全模型下的數據中心安全防護研究[J].通信技術，2017，50（06）：1290-1294.

[4] Rory Ward，Betsy Beyer.BeyondCorp：A New Approach to Enterprise Security[EB/OL]. （2014-12-01）[2017-02-09].https：//research.google.com/pubs/pub43231.html.

[5] 梁繼良，孫家彥，韓暉.大數據時代安全可信防御體系[J].網絡空間安全，2018，9（12）：35-40.

[6] 胡道元，閔京華.網絡安全（第2版）[M].北京：清華大學出版社，2008.

[7] 新華社.中華人民共和國網絡安全法[EB/OL]. http：//www.cac.gov.cn/2016-11/07/c_1119867116.htm，2016-11-07.

[8] GB/T 22239-2019.信息安全技術 網絡安全等級保護基本要求[S].

[9] GB/T30850.1—014.電子政務標準化指南[S].

[10] 趙彥，江虎，胡乾威.互聯網企業安全高級指南[M]. 北京：機械工業出版社，2017.

[11] 吳世忠，李斌，張曉菲，沈傳寧，李淼.信息安全技術[M].北京：機械工業出版社，2014.

[12] 王書平，楊薇.數據可信框架計算研究[J].計算科學， 2018（37）：72-73.