云計算環境下虛擬實驗室云端訪問的權限控制方法

文/曾志區

本文基于OpenStack（開源的云計算管理平臺），采用CP-ABE（基于屬性的加密）方案，構建虛擬實驗室，使用戶能夠在云計算管理平臺創建、管理計算實例，并提出云計算環境下虛擬實驗室云端訪問權限控制方法的實現路徑，旨在幫助服務方通過簡化工作流程，省略用戶權限數據的維護環節，提升服務能力。

相關調查結果顯示，在高速發展的同時，云計算應用也存在較多問題，且隨著人們個性化需求的不斷提升，訪問權限的管理成為云計算應用中的突出問題。雖然上傳服務的方式有利于數據的傳輸與共享，但其也會降低數據的私密性。因此，傳統訪問控制方法已逐漸不能滿足現階段的發展需求。基于此，筆者提出以屬性為依托的非對稱加密方法，并將其作為云計算中控制訪問權限的基礎，以供借鑒。

一、構建虛擬實驗室

IaaS 又稱基礎設施即服務，是云計算的三種服務模式之一，其作用是向用戶提供計算資源。與PaaS（平臺即服務）、SaaS（軟件即服務）相比，IaaS 便利度有待提升，但用戶的自主性更強。而OpenStack 作為應用較為廣泛的云計算管理平臺，可為IaaS 層服務。OpenStack 平臺具有開放的源代碼，能夠提高用戶操作的自主性。基于此，筆者在OpenStack 平臺的基礎上，構建了虛擬實驗室，并研究了云端訪問權限控制方法。

（一）方案選擇

在虛擬實驗室搭建環節，筆者將CP-ABE 算法庫融合在服務器與客戶端，以簡單、高效為設計目標，有效把控密文、密鑰長度，合理調節系統運行時的網絡流量。

（二）虛擬實例訪問

虛擬實驗室本身屬于B/S（服務器模式）架構的服務，用戶與服務端可通過瀏覽器進行交互，且用戶可以在Web（全球廣域網）頁面查看計算實例，借助VNS 協議，訪問虛擬機交互界面。同時，在大型IaaS 服務中，許多廠商通常會設置公共IP 地址，以此為訪問互聯網的用戶提供計算實例。但由于在設計環節，設計人員要避免IPv4 地址資源不夠充足的問題，一個服務端無法為實例分配多個公共IP 地址。基于此，筆者提出應當為計算實例提供端口轉發服務。這樣的話，用戶便可在虛擬實驗室界面添加相應規則，進一步指定本地端口，系統便可在無人員干預的情況下自行選擇外部端口。

二、云計算環境下虛擬實驗室云端訪問權限控制的實現路徑

在完成云計算環境下虛擬實驗室的構建后，筆者認為可利用基于屬性的加密方式，實現云端訪問的權限控制。具體實現路徑如下。

（一）角色劃分

在云計算環境中，用戶可結合個性化需要，進行多種角色的扮演，但不同角色擁有的權限應存在一定的差異性（見表1）。

表1 角色權限示例

在通常情況下，云計算環境更像是較為開放的平臺，與傳統計算模式相比，其局限性在于難以將資源布置在完全受控的環境下。也就是說，任何用戶都可憑借客戶端訪問云計算服務。因此，在實際操作時，系統開發人員需要根據角色間的差異性來進行訪問權限的控制。

（二）OpenStack 權限控制

訪問控制矩陣是指用矩陣的形式描述系統的訪問控制模型，其最初是由學者Lampson提出的。而訪問控制列表也正是以此為依托設計的，相關示例如表2 所示。

表2 訪問控制示例

由表2 可知，訪問控制矩陣是一種相對抽象的模型。現階段，我國大部分云計算平臺將訪問控制矩陣作為應用基準，借助OpenStack 組件的權限功能，保證訪問控制矩陣可存儲于服務器數據庫中。但需要注意的是，隨著用戶規模的持續擴大，訪問控制矩陣存儲難度也會隨之提升；資源規模的逐漸攀升也會影響系統維護效率，最終影響云計算平臺的整體性能。同時，OpenStack 組件無法對用戶進行細粒度劃分，其主要功能停留在：憑借用戶所在項目組開展特定的權限管理。為解決此類問題，開發人員需要以CP-ABE 為核心實現權限控制。

（三）以CP-ABE 為核心的權限控制

根據上文研究可知，用戶身份角色可采用屬性來完成標識操作。以某學院教師為例，開發人員可直接將其屬性串設置為SIST teacher。這樣的話，屬性串的釋義便可直接從字面解讀出來，但屬性值卻無特殊含義，只是任務字符串。因此，開發人員可以采用屬性串標識用戶，并進行加密操作，實現權限控制。關于CPABE 算法，由于結構樹本身與密文之間的關聯性較高，因此開發人員可將用戶屬性上傳到私鑰中。由此可見，在開展加密算法的過程中，開發人員可忽略用戶的實際身份。此外，云計算的本質表現為分布式環境，所有參與者集合始終處于動態變化狀態，而CPABE 極為適合此類環境。因此，開發人員可以將CP-ABE 作為訪問權限控制的核心架構。[1]

通常來說，虛擬實驗室用戶會基于CP-ABE 私鑰進行個人標識，而私鑰內的屬性集合則主要用于反映用戶屬性，與之相對應的資源在構建環節可直接用于訪問結構樹。此時，管理員具備修改權限，能夠為用戶訪問結構樹可以提供必要條件。在用戶完成密鑰選取后，瀏覽器會自動進行密鑰解析，并呈現密鑰屬性集。這時候，用戶可以同時擁有多個屬性。虛擬實驗室服務器集群涵蓋認證、資源服務器，其系統公鑰保持公開狀態，而用戶持有的私鑰則是保密的。用戶若想要得到指定資源，則應先發出請求，使服務器形成一個秘密。服務器在獲取訪問結構樹的權限后，便可在無人員干預的情況下自動運行Encrypt 軟件以獲取秘密，然后將相關數據反饋給用戶。用戶在擁有私鑰后，主動啟動運行Decrypt 軟件，便可解密秘密。直至私鑰屬性滿足訪問結構樹的條件，Decrypt 軟件便可進行明文秘密的輸出，再將秘密發送至資源地址。對秘密進行查詢且評估了秘密的合法性后，資源服務器便會研判是否提供服務。需要注意的是，虛擬實驗室的認證是指服務器不定向形成的秘密，當完成加密處理后，服務器會將秘密發送給指定用戶。當用戶解密出明文后，相關數據參數才會反饋給服務器。另外，在模型中，用戶若想解密，需要滿足結構樹要求，取得相應授權。[2]

相較于傳統的認證機制來說，上述權限控制方法的優勢在于：云服務提供商無須維護用戶權限信息，只需充分擴展系統，并根據用戶特點，做出細粒度的權限管理劃分。

（四）屬性撤銷

在OpenStack 平臺中，用戶屬性集可實現自動改變，授權機構也能通過撤銷用戶屬性的形式，使用戶失去相應權限。屬性撤銷可以通過為屬性添加失效日期來實現，比如當屬性名為teacher時，授權機構可通過將屬性編成“teacher2023-09-20”，使屬性在2023 年9 月20 日之前有效。授權機構通常會進行周期性的密鑰更新，但這種方式也存在一定問題：每個周期的密鑰存在一定差異性；用戶可能要進行多個周期密鑰的儲存，并結合實際情況開展針對性使用；此類操作相對煩瑣。在虛擬實驗室中，用戶可直接持有最新密鑰，這主要是因為：在虛擬實驗室認證系統中，若用戶請求資源，系統就會自動實現密文解密，而服務端則可通過最新屬性集開展加密，用戶并非作為解密歷史文件需求的生產者。因此，開發人員可對CP-ABE 方案稍做修改，使之滿足虛擬實驗室的需求。

上述通過更新版本號實現屬性撤銷的方式，無法做到及時撤銷。對此，開發人員需要采用一些技巧以達到即時撤銷的目標。簡單來說，開發人員需要保持虛擬實驗室服務器的屬性集與授權機構的更新頻率一致，這樣，任何屬性撤銷都會第一時間反映在密文內。[3]

三、結語

綜上所述，本文基于Open Stack 平臺，采用CP-ABE 方案，構建云計算環境下的虛擬實驗室，并提出云計算環境下虛擬實驗室云端訪問權限控制方法。通過本文研究，筆者希望服務方能夠舍棄原始的認證機制，實現對單個用戶細粒度的權限劃分，提高管理的質量與效率。