第38卷
V01.38
第24期
NO.24
计算机工程
ComputerEngineering
2012年12月
December2012
·云计算专题·文章缡号:1000—_3428(2o12)24—0009—_05文献标识码lA中田分类号lTP391
一种基于任务角色的云计算访问控制模型
王小威,赵一呜
(复旦大学计算机科学技术学院,上海201203)
攮要:数据安全i司题是云计算推广的一大阻碍,主要来源于数据共享带来的安全问题和云服务提供商的超级特权导致的潜在危险。为此,
分析云计算中数据存储和用户群体的特点,提出一种基于任务角色的云计算访问控制模型,对不同访问主体采取不同访问控制策略,以提
供分级的安全特性,使云服务提供商不再享有超级特权。分析结果表明,该访问控制模型使得云端数据访问安全无须依赖于服务器的绝对
可信,为云计算提供了更为可靠的安全特性。
关健诃:云计算;数据共享;访问控制;数据安全;基于任务一角色的访问控制模型;访问控制策略
ATask-role-basedAccessContr01ModelforCloudComputing
-,WANGXiao—wei,ZHAoYi-ruing
(SchoolofComputerScience,FudanUniversity,Shanghai201203,China)
[Abstract]Datasecurityisabigblockforthepromotionofcloudcomputing,whichismainlyderivedfromdatasharingandprivilegesofvendors.
Thispaperanalyzesfeaturesofdatastorageanduser
.
groupsincloudcomputing,proposesakindofcloudcomputingaccesscontrolbasedon
Task—role-basedAccessControI(
、
T-RBAC)
,model;whichprovidesdifferentaccesscontrolpolicyfordifferentobjecttOachievehierarchicalsafety.
Andvendorsenjoynoprivilegesinthismode.Analysisindicatesthatthiscloudcomputingaccesscontrolmodelprovidesmorereliablesecurity
featurewhichcarlnolongerrelyoncredibilityofserver.
[KeywordsIcloudcomputing;datasharing;accesscontrol;datasecurity;Task—role—basedAccessControl(T-RBAC)model:,accesscontrolpolicy
D0I:10.3969/j.issn.1000—3428.2012.24.003
1概述
云计算的高速发展提供了大型数据存储和大型计算
的服务,打破普通Pc机的限制,减弱对大型机的需求,
同时也为资源共享提供便利,解决了共享的网络边界、区
域等限制,而且云计算的发展从硬件层面增强数据安全,
强大的备份机制和容错机制解决了由于硬盘损坏、灾难等
引起的数据安全问题。然而云计算在给用户带来便利的同
时,却也产生了相应的安全隐患,云模糊了网络安全边界,
存储介质位于用户控制之外,被第三方控制,用户对数
据安全的可控性减弱,只能被动依赖于服务提供商的可信
度L2J。特别是在公有云中,由于云的公共获得性,对其他
用户的访问控制能力过弱,数据会担心被非授权用户读取
或引用J。企业用户可以通过建立私有云解决部分问题,
但是私有云的成本对于中小企业来说也是一笔巨大的负
担。另一方面,现在大部分云计算提供者都没有服务水平
协议(SLA)J,也就是说如果你的数据丢失,他们并不负
责。这些问题都在一定程度上阻碍了云计算的推广应用。
云计算的发展提供了强大的冗余存储和容错机制,以
及更为可靠的数据物理存储安全,但是在访问控制方面却
没有一种足够安全的方案,上文所提及的安全问题也都是
访问控制安全引起的。访问控制是实现用户数据机密性和
进行隐私保护的重要手段J,并且由于分布式和共享的特
性,云计算中对同一客体的访问主体流动性较大,需要更
为灵活的访问控制机制。本文比较了多种访问控制模型的
优缺点以及适用场景,并根据云计算中数据存储的特点
以及访问控制需求,使用基于任务-角色的访问控制(Task—
role-basedAccessControl,T-RBAC)模型构建了一个安全
的云计算访问控制方案。
2访问控制模型
传统的访问控制模型有自主访问控制和强制访问控
制2种J。其中,自主访问控制通过建立主客体关联表来
组织客体和主体的关系,通常使用访问控制矩阵和访问控
制列表来存放访问控制信息,多用于商用、民用系统中;
强制访问控制是基于中心结构的访问控制,多用于多级军
事系统中J,由授权机构为主体和客体分别定义固定的权
限,系统为每一个主体赋予访问标签,为客体分配表示敏
感级别的标签,通过客体主体相应的标签来决定是否通过
访问请求。这2种访问控制模型都存在管理困难的问题,
作者倚介:王小威(1987--),女,硕士研究生,主研方向:密码学,信息安全;赵一鸣,副教授
收藕日期:2012—04—16修圊日期:2012—05—21E-mail:hklengyan@126.com
10计算机工程2012年12月20日
随着计算机系统的不断发展,安全需求也不断变化,出现
了对灵活性好、适应性强的访问控制模型的需求。
自主访问控制的优点是创建者对自己的客体拥有绝
对的自主权,分布式授权管理较为灵活,而缺点是不保护
客体副本,安全性低,访问列表的维护管理工作量大,适
用于安全要求不高、用户数少的小型C/S架构的个人应用
系统,不适用于分布式网络。强制访问控制则强调安全性,
有完善的形式化安全模型,信息单向流通,可以有效阻止
特洛伊木马的泄漏。但是过于强调保密性导致授权的可管
理性不强,并且实现的工作量大,灵活性不足,适用于多
级安全的军用系统和操作系统的访问控制,而不适用于主
体客体频繁更新的场所。
为了克服标准矩阵模型中将访问权限直接分配给主
体的缺陷,20世纪90年代提出的基于角色的访问控制
(RBAC)。。模型引进了角色的概念,系统将权限分配给角
色,然后用户从拥有的角色中获得权限。这种模型与传统
的访问控制模型相比,简化了系统管理,减轻了权限分配
的重复劳动,明确责任预授权,加强了安全策略,更具有
灵活性和可管理性,而且简化了系统管理。但是基于角色
的访问控制模型依然是从系统的角度出发的,在权限控制
时没有考虑执行的上下文环境J,只适用于角色结构严谨
的企业内部访问控制。随着分布式计算的发展,组织任务
进一步自动化,使得安全问题从独立的计算机系统静态的
主体和客体保护转移到动态授权保护中来。一个合适的
。访问控制机制应该保证授权只有在任务开始执行时才授
予且任务结束授权就要被收回,否则可能导致安全泄露。
基于任务的访问控制模型[6,91就是面向上下文环境的访问
控制。
基于任务的访问控制(TBAC)模型通过任务关联角色
和权限,系统给用户分配角色,用户通过角色获得任务,
然后在任务的某个具体实例中获得客体的访问权限。这是
一种动态授权的主动安全模型,主体仅在执行任务时访问
客体,任务结束权限就被消耗完,防止主体对客体权限的
无限期拥有,同时客体的访问控制权限随着执行任务的上
下文环境变化而变化。但是TBAC[6,91模型授权管理工作
繁杂,没有分离角色和任务,不支持角色的层次等级,而
且不支持被动访问控制,很难单独模型化,在实际应用中
往往需要和其他的访问控制模型相结合。适用于工作流、
分布式处理、多点访问控制的信息处理以及事务管理
系统。
基于任务一角色的访问控制(T-RBAC)模型结合了
RBAC和TBAC的优点,既支持主动访问控制又支持被动
访问控制,通过任务来实现上下文环境的权限分配而使用
角色来对访问控制进行等级分层,满足了分布式环境下公
司的访问控制需求。
3基于T-RBAC的云计算访问控制
对云计算来说,在共享环境下,存储于云端的数据访
问主体会频繁变动,给系统权限管理带来用户管理上的难
度。在T-RBAC模型[10-1H中,使用角色的概念来进行用户
管理,具有明晰的角色层次管理,以及高扩展性和适应性。
由于云计算中主体对客体的权限需求有明显的角色属性
区别,本文根据主体对客体访问的操作需求,把云计算中
的访问主体分成所有者、云服务器、共享访问者3类,进
行角色分类授权管理,应对共享访问者的频繁变动。
在目前一般的云计算访问控制中,云服务器都是访问
控制权限分配主要角色,并且对客体持有最高权限,云计
算服务商提供和监管享有特权的管理员方面的具体信息
以及控制访问方面的具体信息J。而本文方案中通过授权
管理转换云服务器在访问控制中的角色,云服务器通过客
体拥有者授权获得权限,并在授权过程管理中充当传递访
问请求的可信中间人,使得访问控制安全不需要完全依赖
于云服务器的可信度,同时利用云服务器分担部分授权工
作,减轻用户负担。
3.1T-RBAC访问控制模型
T-RBAC模型实际上是基于RBAC模型框架上的扩
展,继承RBAC的特点,结合TBAC的动态授权,将传
统RBAC的3层访问控制模型改为4层,将权限通过任
务分配给角色,而不是直接分配给角色,实现了动态分配,
如图1所示。
(a)RBAC模型3层结构
(b)T-RBAC模型4层结构
图1T-RBAC模型对于RBAC模基的扩展
在T-RBAC模型中,将工作流分解为一些相互依赖的
任务,然后将任务分配给角色,而角色通过执行任务节点
或任务节点的一个实例来取得权限。客体的权限通过PTA
或IPA进行分配,用户发起会话后通过角色得到对客体的
访问权限,T-RBAC模型中的S-RH实现了角色间的部分
角色继承。访问权限的控制则通过约束集来实现控制策
略,图2显示了T-RBAC模型框架。
T-RBAC模型的形式化定义如下:
用户集{fl卢1,2,…,m)。
角色集=1,2,…,k}。
任务集T={tili=l,2,…,}:权限分配对象。
任务实例TI={t~7=l,2,…,k):任务在运行中的实例,
即任务的一次执行。
权限P=ili=1,2,…):权限是主体能对客体进行的
操作。
操作Op:操作是一个可执行的程序映像。
会话:会话是用户与激活角色之间的映射。当用户
激活了部分或全部被授予的角色时,就建立了一个会话,
第38卷第24期王小威,赵一鸣:一种基于任务角色的云计算访问控制模型
用户实际上执行的权限是在这次会话期间被激活的角色
权限。
约束集C:指对于访问控制中各种指派所作的规则
限制。
S-RH:部分继承的角色层次,如下:
,R2∈S-RH,R1>R2,V∈R2
n∈SuA==>R,继承的所有权限和的读权限
URA:URARxU,用户角色分配。
TPA:TPAP~T,任务权限分配。
IPA:IPAP~TI,实例权限分配。
TRA:TRAR~T,任务角色分配。
IRA:IRARxTI,实例角色分配。
依赖
田2T-RBAC模型
3.2基于T-RBAC的云计算访问控制模型
3.2.1云计算访问控制需求
云端存储的数据不同于公司本地存储的数据,在公开
的网络环境中不受公司局域网的保护,其对访问者的访问
控制策略也有其特定的需求。云计算中数据的访问控制需
求主要如下:
(1)用户角度:在云计算环境下,数据的访问者主要包
括云服务提供商、共享访问者和公司内部访问者3类,这
3类访问主体的权限需求各不相同。其中,云服务提供商
负责数据的维护,通常执行的操作为灾难恢复和数据一致
性管理,由服务器执行。而共享访问者对数据的访问权限
多数为读操作,极少数项目合作者需要进行编辑,而公司
内部访问者的访问权限取决于访问主体在公司内部的角
色等级。
(2)数据角度:由于云环境的公开性以及云服务器这个
第三方的存在,数据的访问控制应当根据不同的安全等级
设置不同的访问控制管理。如可公开共享的客体的访问授
权可交由云服务器来执行,而机密文件的访问控制主权由
客体创建者持有。
3.2.2云计算访问控制策略
在本文的访问控制机制中,使用T-RBAC模型,将这
些访问控制需求通过任务来实现。将客体的访问权限分配
给任务,而后通过任务的安全级别来完成分级访问控制。
在本文的T-RBAC机制中,将任务分成四大类:私有类任
务P,监管类任务,工作流类任务和活动批准类,
来简化对任务权限分配的管理,4种任务的区别如表1
所示。
表1T-RBAC模型中4种任务
T-RBAC机制下的访问控制策略主要通过任务来实
现,对客体的一次访问被定义为一次工作流,而工作流分
解为任务,每次任务的执行可通过任务实例实现。而对主
体的访问权限通过IPA分配给任务实例,用户在URA关
系下得到角色,并通过IRA执行相应的实例角色分配得
到任务实例和权限。云计算访问控制的组件属性如表2
所示,带下划线属性代表关键属性。
袅2各组件■性
组件属性
用户
角色
任务
任务实例
权限
会话
RH
lRA
【,R
lF_五
用,旦型
角色ID、角色类别
焦盘、任务类型
任务ID、塞倒D、执行时间
腿ID、对象、访问类型
金适卫、用户ID、角色ID
角色关联
焦益塞倒旦、岔鱼旦
用I、角色
篮盘塞倒里、权限
12计算机工程2012年12月20日
在云计算环境下,访问控制的安全策略主要通过以下
4个角度的管理实现:
(1)用户管理。在云计算环境下,角色可分为客体所有
者、内部访问者、外部共享访问者和云计算提供商,客体
所有者管理系统的权限分配过程,而内部访问者的角色对
于公司来说可根据员工的层次管理。而外部共享访问者对
数据的操作大多是读操作,在T-RBAC框架下通过任务实
例分配权限,每次为相同客体的访问者创建任务实例,简
化了用户管理和权限分配工作。云计算提供商对数据的操
作通常为数据备份和恢复,系统或客体所有者向云计算提
供商定时激活特定的数据备份和恢复任务,来防止提供商
随意访问数据、滥用超级权限。
(2)任务管理。任务的分类细化了访问控制的安全等
级,在T-RBAC模型中,P’4个类别对任务的
安全等级进行了划分。系统根据主体的访问请求启动相应
任务,分配对应的权限,对权限实现了细粒度管理。面向
工作流的类任务具有权限不继承,主动访问控制的特
点,把共享访问者的访问任务设置为t类,可控制访问
者的权限不会二级授权给其他用户,同时任务的时间属性
消除了权限无限期持有导致数据安全的隐患。
(3)数据管理。数据安全通常采用公钥系统进行密文
存储,并通过对客体的安全等级设置对数据进行分级管
理,对不同级别的数据设置不同的权限最大集,细化了安
全等级。数据安全管理的相关工作是下一步的研究工作。
(4)授权过程管理0在本文的访问控制方案中,云计算
提供商不再拥有超级权限,用户的访问请求也不再直接由
云计算提供商处理,而是由客体所有者和云计算提供商共
同来处理访问请求。由于云端数据进行了分级安全管理,
客体拥有者可将低安全级别的数据访问请求授权给云端
服务器管理,而监控高安全级别的数据访问请求,既保证
了数据安全的可控性,又减少了访问管理工作。、
定义云服务器ID为c,用户、Uf访问拥有的客体
O/的过程如下:。、.
(1)向C发送访问请求Acc。、
(2)CS检查客体权限列表,若拥有该客体的访问授权,
则验证,并返回授权证书或拒绝,转第(6)步;若没有,
把Acc转发给uj,转第(3)步。
(3)与相互验证对方信息,判断是否给授权,
若不授权,向发送ruect;若授权,转第(4)步。
(4)向T-RBAC组件申请创建任务,T-RBAC组件
返回授权证书0
(5)uj向发送证书。‘
(6)Ui向客体(2,发起访问请求。
图3为一次访问授权过程的序列图表示。
访问请求
>
访问请求,访问主体信息:
任务请求
-
权限证书
.-——…——————————————一——
权限证书或拒绝信息
●一一一一一一一一一一一一-一
I
授权证书I
I
●——…一…一一I
访问请求,权限证书
创建任务实例
圈3访问授权过程
验证
第38卷第24期王小威,赵一鸣:一种基于任务角色的云计算访问控制模型13
4结束语
云计算下的数据存储目前还存在一些不可忽略的安
全问题,特别是对数据的访问控制问题一直是用户担忧的
重点,这种模糊了网络边界、访问控制由云端服务器控制
的存储方式在一定程度上阻碍了云计算的推广。而基于任
务一角色的访问控制(T-RBAC)能够利用云端服务器,与客
体所有者一起通过任务分配权限的方式,既满足了分布式
访问控制的要求,同时也具有清晰的角色层次管理。本文
比较了目前各种典型访问控制模型的优缺点,分析了
T-RBAC模型对于云计算访问控制的适用性,同时使用
T-RBAC模型构建了一个面向共享安全的访问控制机制,
从数据管理、任务管理、用户管理和授权管理4个方面来
解决云计算访问控制中的安全要求。但是T-RBAC模型也
有它不足的地方,在未来的研究工作中期望能不断改进完
善,而云计算存储除了访问控制之外,还有如信任管理等
问题,同样有待进一步的研究。
参考文献
[1]洪澄,张敏,冯登国.面向云存储的高效动态密文访问控
制方法[J]l通信学报,2011,32(7):125—132.
[2]ChowR.ControllingDataintheCloud:OutsourcingComputation
WithotROutsourcingControl[C]//Proc.ofACMWorkshopon
CloudComputingSecurity.NewYork,USA:ACMPress,2009:
85—90.
[3]孙国梓,董宇,李云.基于CP—ABE算法的云存储数据访
问控制【J]_通信学报,2011,32(7):145.1.52.
[4]陈全,邓倩妮.云计算及其相关技术fJ].计算机应用,2009,
29(9):2562—2566.
[5】陈丹伟,黄秀丽,任勋益.云计算及安全分析[JJ.计算机技术
与发展,2O10,20(2):99—102.
[6]沈海波,洪帆.访问控制模型研究综述[J1.计算机应用研究,
2005,22(6):9-11.
[7]李孟珂,余祥宣.基于角色的访问控制技术及应用【JJ.计算机
应用研究,2000,17(10):44-47.
[8]SandhuRS.Role—basedAccessControlModels[J].Computer,
1996,29(2):38—47.
[9]9邓集波,洪帆.基于任务的访问控制模型[J].软件学报,2003.
14(11:76-81.
[10]韩若飞,汪厚祥.基于任务-角色的访问控制模型研究[J].计算
机工程与设计,2007,28(4):800—807.
[11]OhS,ParkS.Task—role—basedAccessControlModel[J].Infor—
marionSystems,2003,28(6):533-562.
编辑任吉慧
(上接第8页)
6结束语
本文从云计算模型出发,提出了支持网络体系结构和
协议研究的网络创新实验平台设计方案,并给出了其原型
实现系统TUNIE。TUNIE利用云计算平台和虚拟化技术
提供高性能的虚拟网络节点和网络连接,并通过底层的链
路隔离支持拓扑定制与多虚拟网络并行。
TUNIE目前仅是一个初级的原型系统。未来进一步
的开发工作将集中在以下3个方面:更简单便捷的操作,
更高性能的虚拟路由器支持和更稳定的平台运行保障。层
次化和模块化的结构设计使得TUNIE易于部署和进一步
持续开发。今后将扩大TUNIE部署范围,增强其对网络
体系结构创新实验的支持,成为具有广泛认同度的网络体
系结构研究方案验证平台。
参考文献
[1]BavierA,FeamsterN,HuangM,eta1.RealisticandControlled
NetworkExperimentation[J].ACMSIGCOMMComputerCom—
munieationReview,2006,36(4):3-14.
[2]TheGENIProjectOffice.AboutGENI[EB/OL].(2011-12—03).
http://WWW.geni.neff?page
_
id=2.
[3]陈全,邓倩妮.云计算及其关键技术[J】.计算机应用,2009,
29(9):2562—2567.
[4]Amazoneom,Inc..AmazonElasticComputingCloud(Amazon
EC2)[EB/OL].(2011-12—22).http://aws.amazon.com/ec2/.
[5]HandleyM,Hodson0,KohlerE.Xorp:AnOpenPlatformfor
NetworkResearch[J].ACMSIGCOMMComputerCommunica—
tionReview,2003,33(1):53—57.
[6]KohlerE,MorrisR,ChenBenjie,eta1.TheClickModular
Router[J].ACMTransactionsonComputerSystems,2000,18(3):
263—297.
[7]TheCactiGroup,Inc—WhatisCact?[EB/OL].(2012—02—23).
http://www.cacti.net/what
_
is
—
cacti.php.
[8]Digium,Inc..AbouttheAsteriskProject[EB/OL].(2012—02—10).
http:llwww.asterisk.org/asterisk.
[9]MicheldeBoer.Twinkle—SIPSofiphoneforLinux[EB/OL].(2012—
02—03).http://www.twinklephone.eom/.
[10]TheVideoLANOrganization.VLCMediaPlayer[EB/OL].(2012—
0l一08).http://www.videolan.org/vlc/.
编辑任吉慧
|
|