基于混合云的數(shù)據(jù)流圖越權(quán)訪問(wèn)檢測(cè)算法

李娜， 董云衛(wèi)， 景鴻理， 車天偉， 張玉臣

基于混合云的數(shù)據(jù)流圖越權(quán)訪問(wèn)檢測(cè)算法

李娜1， 董云衛(wèi)1， 景鴻理2， 車天偉3， 張玉臣4

(1.西北工業(yè)大學(xué)計(jì)算機(jī)學(xué)院，陜西西安710129；2.北京天融信科技有限公司，北京100085；3.北京建投科信科技發(fā)展有限公司，北京100055；4.解放軍信息工程大學(xué)，河南鄭州450001)

通過(guò)對(duì)在私有云、公有云并存的混合云數(shù)據(jù)訪問(wèn)的研究，發(fā)現(xiàn)越權(quán)訪問(wèn)普遍存在，且對(duì)于數(shù)據(jù)安全存在很大的安全威脅?；诖饲闆r，采取對(duì)狀態(tài)、規(guī)則、自動(dòng)機(jī)、系統(tǒng)資源等多要素在多級(jí)混合云環(huán)境下進(jìn)行形式化描述；運(yùn)用數(shù)據(jù)流圖記錄了不同狀態(tài)的訪問(wèn)行為及其所造成的數(shù)據(jù)流動(dòng)方向，設(shè)計(jì)了讀操作和寫操作訪問(wèn)合法性檢測(cè)算法，并對(duì)其形式化進(jìn)行描述，該算法可有效地檢測(cè)混合云中越權(quán)訪問(wèn)違規(guī)操作，解決了現(xiàn)有模型對(duì)數(shù)據(jù)間接傳遞防護(hù)方面的不足。

混合云；授權(quán)控制；數(shù)據(jù)流圖；違規(guī)訪問(wèn)

0　引言

在云平臺(tái)、云計(jì)算應(yīng)用日益推廣，訪問(wèn)安全、數(shù)據(jù)安全成為云應(yīng)用所要研究的熱點(diǎn)問(wèn)題。

在多級(jí)混合云環(huán)境中，數(shù)據(jù)的訪問(wèn)者可能來(lái)自不同等級(jí)的云系統(tǒng)中，不同等級(jí)云的訪問(wèn)控制方法存在差異，這勢(shì)必會(huì)造成針對(duì)同一數(shù)據(jù)的訪問(wèn)控制策略和強(qiáng)度不一致問(wèn)題。并且，目前的訪問(wèn)控制策略和方法通常只針對(duì)本地，不同云系統(tǒng)在進(jìn)行信息共享時(shí)，無(wú)法實(shí)施某云或多云的安全策略，對(duì)用戶的訪問(wèn)行為進(jìn)行聯(lián)合控制。更嚴(yán)重的是當(dāng)?shù)偷燃?jí)云中用戶訪問(wèn)高等級(jí)云資源的時(shí)候，由于低等級(jí)云中的訪問(wèn)控制強(qiáng)度低于高等級(jí)云，會(huì)造成高等級(jí)云資源的保護(hù)強(qiáng)度降低。

在多級(jí)混合云中，訪問(wèn)控制策略通常只針對(duì)用戶的單次訪問(wèn)行為，惡意用戶間可以通過(guò)多次訪問(wèn)造成違法安全策略的數(shù)據(jù)流動(dòng)，這種惡意行為在高等級(jí)(四級(jí)及以上)的云系統(tǒng)中要求必須防范[1-2]。但是，由于多級(jí)混合云中必然存在低等級(jí)的云，這給數(shù)據(jù)間接泄密的防護(hù)帶來(lái)了巨大困難[3]。惡意用戶可以通過(guò)低等級(jí)云用戶輕易的繞開高等級(jí)云的安全措施[4-5]。特別是在云環(huán)境中，由于有云服務(wù)商直接訪問(wèn)的可能性存在，使得這種威脅進(jìn)一步加大[6-9]。

針對(duì)以上分析，多級(jí)混合云系統(tǒng)必須根據(jù)數(shù)據(jù)共享時(shí)不同等級(jí)云的安全要求，調(diào)整訪問(wèn)控制策略，使整個(gè)云系統(tǒng)的訪問(wèn)控制策略統(tǒng)一和一致，以此建立一套完整的防護(hù)機(jī)制，避免數(shù)據(jù)間接泄密行為的發(fā)生。

1　符號(hào)定義

●R表示為訪問(wèn)請(qǐng)求集合。

●V表示為虛擬機(jī)。

●S＝{S1，S2，…}表示虛擬機(jī)內(nèi)的用戶。根據(jù)云系統(tǒng)的安全規(guī)則，用戶應(yīng)只允許訪問(wèn)虛擬機(jī)中的用戶資源，不允許訪問(wèn)宿主機(jī)上的系統(tǒng)資源。

●O＝{o1，o2，...}表示用戶所能訪問(wèn)到資源，注:不包括宿主機(jī)資源。

●OP＝{r，w，...}為用戶對(duì)資源的訪問(wèn)操作，如讀(r)、只寫(w)，本文定義的操作為原子操作，不包括起草、審批等應(yīng)用流程中的復(fù)合操作，復(fù)合操作可以由原子操作構(gòu)成，如“編輯”由讀和寫構(gòu)成。

●(訪問(wèn)控制矩陣):M:Mij∈OP。M為訪問(wèn)控制矩陣，用Mij表示，其中縱坐標(biāo)j表示用戶資源oj，行坐標(biāo)i表示用戶si，Mij的意思是si對(duì)的oj訪問(wèn)權(quán)限。若Mij＝{w}，則si對(duì)oj權(quán)限為“只寫”。

定義2.1(數(shù)據(jù)流):

φ＝(x1，x2…，xt∈(X×X×…×X))，其中X∈S或O，且t≥2。

本文使用φ表示數(shù)據(jù)流。數(shù)據(jù)流至少包括2個(gè)元素，可記為x1→x2→…xt其中x1為數(shù)據(jù)流的起點(diǎn)，xt為數(shù)據(jù)流的結(jié)束點(diǎn)。在一條數(shù)據(jù)流φ中，相鄰的元素之間構(gòu)成了直接數(shù)據(jù)流向，如φ1＝(x1，x2，x3，x4)中，包含了三個(gè)直接數(shù)據(jù)流向:x1→x2、x2→x3、x3→x4。數(shù)據(jù)流φ中不相鄰元素間構(gòu)成間接數(shù)據(jù)流向，如φ1中包含了三個(gè)間接數(shù)據(jù)流向:x1→x3、x1→x4、x2→x4。

定義2.2(全局流圖T):T＝(D，V，X，B)

其中，D表示宿主機(jī)；V表示虛擬機(jī)；X表示資源和用戶的集合，X＝{S，O}，在全局流圖T上表示為一個(gè)元素；B表示直接數(shù)據(jù)流向集合，B＝{b1，…，bn}，一個(gè)直接全局流圖Γ上表示為一條有向邊。

全局流圖T記錄了某個(gè)狀態(tài)下，多級(jí)混合云中已經(jīng)發(fā)生的訪問(wèn)行為所導(dǎo)致的數(shù)據(jù)流傳遞情況，如圖1所示。

圖1　全局流圖T

2　算法設(shè)計(jì)

對(duì)于虛擬機(jī)Vi，用戶為Si發(fā)起對(duì)虛擬機(jī)Vj，資源為Oi的訪問(wèn)X(為讀r或?qū)憌)時(shí)，違規(guī)檢測(cè)算法流程圖如圖2所示。

圖2　違規(guī)檢測(cè)算法

(1)判斷用戶為Si目標(biāo)虛擬機(jī)Vj是經(jīng)過(guò)信任、是已認(rèn)證的用戶或目標(biāo)虛擬機(jī)，否則屬于違規(guī)操作，退出系統(tǒng)操作。

(2)用戶sj是子系統(tǒng)vj的合法用戶，且非服務(wù)器管理員DM，且oj不是服務(wù)器資源DO，否則屬于違規(guī)操作，退出系統(tǒng)操作。合法性寫檢測(cè)如圖3所示。

圖3　合法性寫檢測(cè)

(3)判斷訪問(wèn)X是讀操作，還是寫操作，如果是寫操作轉(zhuǎn)到第(6)步。如果是讀r操作，判斷si和oj同屬一個(gè)虛擬機(jī)，而且訪問(wèn)請(qǐng)求r在這個(gè)虛擬機(jī)的訪問(wèn)控制矩陣中。sj和oj分別屬于不同的子系統(tǒng)，而且訪問(wèn)請(qǐng)求r分別在sj的虛擬機(jī)vi和oj的子系統(tǒng)vj的訪問(wèn)控制矩陣中，其中si'是si的映射對(duì)偶，vi為用戶si'所在信息系統(tǒng)。如果不符合要求，則系統(tǒng)不做任何操作，拒絕該訪問(wèn)請(qǐng)求，退出系統(tǒng)操作。

該步驟主要用于檢測(cè)直接違反各虛擬機(jī)訪問(wèn)控制策略的簡(jiǎn)單越權(quán)訪問(wèn)。寫操作合法性檢測(cè)步驟如圖4所示。

圖4　寫操作合法性檢測(cè)

(4)si的安全等級(jí)支配可能等于oj的安全等級(jí)。

該步驟主要用于檢測(cè)數(shù)據(jù)從高安全級(jí)流向低安全級(jí)的跨級(jí)越權(quán)訪問(wèn)。

(5)繼續(xù)判斷，在全局流圖T中包含(oj→si)的所有數(shù)據(jù)流φk中，若存在系統(tǒng)等級(jí)大于等于4級(jí)的節(jié)點(diǎn)，則在si后序方向的四級(jí)子系統(tǒng)vbm中有前方向的四級(jí)子系統(tǒng)vfm中存在策略在子系統(tǒng)v和v存在策略ij

該步驟主要用于檢測(cè)間接違反各虛擬機(jī)訪問(wèn)控制策略的間接越權(quán)訪問(wèn)。

在全局流圖T中，所有以(oj→si)為路徑的數(shù)據(jù)流φk中，若流經(jīng)的系統(tǒng)中有大于等于4級(jí)的信息系統(tǒng)，則在si后方向的四級(jí)子系統(tǒng)vbm中存在策略前方向的四級(jí)子系統(tǒng)vfm中存在策略

(6)若已經(jīng)在oj→si全局流圖T中出現(xiàn)，則讀操作被允許執(zhí)行，系統(tǒng)給出的響應(yīng)為yes，后續(xù)狀態(tài)仍然保持為當(dāng)前狀態(tài)；否則給出的響應(yīng)為no，當(dāng)前狀態(tài)不發(fā)生變化。

(7)判斷訪問(wèn)請(qǐng)求寫操作w是否在該虛擬機(jī)的訪問(wèn)控制矩陣中。si和oj分別屬于不同的虛擬機(jī)，而且訪問(wèn)請(qǐng)求w分別在si的虛擬機(jī)vi和oj的虛擬機(jī)vj的訪問(wèn)控制矩陣中。

(8)繼續(xù)判斷oj的安全等級(jí)支配可能等于si的安全等級(jí)，在全局流圖T包含(si→oj)的所有數(shù)據(jù)流φk中，若存在系統(tǒng)等級(jí)大于等于4級(jí)的節(jié)點(diǎn)，則在si后序方向的四級(jí)子系統(tǒng)vbm中有r∈前方向的四級(jí)子系統(tǒng)vfm中存在策略

(9)若si→oj已經(jīng)在全局流圖T中出現(xiàn)，則該操作被允許執(zhí)行，系統(tǒng)給出的響應(yīng)為yes，后續(xù)狀態(tài)仍然保持為當(dāng)前狀態(tài)。否則給出的響應(yīng)為no，當(dāng)前狀態(tài)不發(fā)生變化。

3　結(jié)語(yǔ)

本文在基于多級(jí)混合云環(huán)境下，根據(jù)數(shù)據(jù)流向具有方向性的特性，利用數(shù)據(jù)流圖，對(duì)虛擬機(jī)、用戶、資源、訪問(wèn)行為進(jìn)行形式化的描述，通過(guò)安全等級(jí)、系統(tǒng)等級(jí)和訪問(wèn)控制矩陣等作為綜合約束條件，設(shè)計(jì)了多級(jí)混合云環(huán)境下的數(shù)據(jù)訪問(wèn)合法性檢測(cè)算法，該算法可以對(duì)典型常見的簡(jiǎn)單、跨級(jí)、間接等違規(guī)操作進(jìn)行形式化的檢測(cè)，有效地避免了直接和間接的違規(guī)訪問(wèn)，提高了云環(huán)境下各種數(shù)據(jù)訪問(wèn)和安全策略的應(yīng)用需求。

[1] 馮登國(guó)，張敏，張妍等.云計(jì)算安全研究[J].軟件學(xué)報(bào)，2011，22(1):71-83.

[2] 李喬，鄭嘯云.云計(jì)算研究現(xiàn)狀綜述[J].計(jì)算機(jī)科學(xué)，2011，38(4):32-37.

[3] Pandey S，WU L，Guru M S，et al.A particle swarm optimization-based heuristic for scheduling workflow applications in cloud computing environments[C]//IEEE International Con-ference on Advanced Information Networking and Applications，2010:400-407.

[4] 姜政偉，趙文瑞，劉宇等.基于等級(jí)保護(hù)的云計(jì)算安全評(píng)估模型[J].計(jì)算機(jī)科學(xué)，2013，40(8):151-156.

[5] Duy T V，Sato Y，Inoguchi Y.Performance evaluation of a Green Scheduling Algorithm for energy savings in Cloud computing[C]//IEEEInternationalSymposiumonParallel＆DistributedProcessing，WorkshopsandPhdForum，2010:1-8.

[6] Puchinger J，Gunther R.Raid L.The multidimensional knapsack problem:structure and algorithms[J].Informs Journal on Computing，2010:250-265.

[7] 王超，陳性元.基于加權(quán)熵的訪問(wèn)控制策略安全性分析研究[J].電子學(xué)報(bào)，2013，41(1):47-51.

[8] Garg S K，Buyyanetwork R.CloudSim modeling parallel applications in cloud simulations[C]//IEEE International Conference on Utility and Cloud Computing，2011:105-113.

[9] WANG Chao，CHEN Xing-yuan，LI Na.An access control mode based on information flow graph[C]//Proceedings of the International Conference on Computational Intelligence and Security.Sanya，China，2011:998-1000.

Unauthorized Access Detection Algorithm of Data Flow Graph based on Hybrid Cloud

LI Na1，DONG Yun-wei1，JING Hong-li2，CHE Tian-wei3，ZHANG Yu-chen4
(1.School of Computer Science and Technology，Northwestern Polytechnical University，Xi’an Shaanxi 710072，China；2.Beijing Topsec Technology Co.Ltd.，Beijing 100085，China；3.Beijing Jianyin Investment Technology Development Co.，Ltd，Beijing 100055，China；4.PLA Information Engineering University，Zhengzhou Henan 450001，China)

The study of data access between private cloud and public cloud coexisting in hybrid cloud indicates the universal existence of unauthorized access and this unauthorized access constitutes a great threat to the data security.In view of the situation，the states，rules，automatic machines，system resources and other multiple elements are formally described，and by making use of data flow diagrams，the access behaviors of different states and the data flow direction are recorded，and again the access legitimacy detection algorithm of read and write operations is designed and the formal description also done.Experiment indicates that the algorithm can effectively detect unauthorized access of illegal operations in hybrid cloud and solve the deficiency of the existing model in data transmission protection.

hybrid cloud，authorization control，global flow graph，unauthorized access

TP393

A

1009-8054(2016)08-0091-04

?2016-04-02

本文受國(guó)家高技術(shù)研究發(fā)展計(jì)劃(863) (No.2011AA010105)，上海市可信計(jì)算重點(diǎn)實(shí)驗(yàn)室開發(fā)課題(No.07dz22304201304)資助

李 娜(1972—)，女，博士在讀，主要研究方向?yàn)橛?jì)算機(jī)軟件工程、網(wǎng)絡(luò)及信息安全；

董云衛(wèi)(1968—)，男，博士，教授，計(jì)算機(jī)學(xué)會(huì)(CCF)會(huì)員，主要研究方向?yàn)榍度胧较到y(tǒng)，軟件工程、可信軟件設(shè)計(jì)與驗(yàn)證；

景鴻理(1962—)，男，碩士，高工，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全；

車天偉(1971—)，男，博士，工程師，主要研究方向?yàn)橛?jì)算機(jī)系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)與信息安全；

張玉臣(1975—)，男，博士，副教授，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。■