基于身份動態(tài)持續(xù)認證的大數(shù)據(jù)平臺訪問信任技術(shù)研究

施麟 陳寧 張駿

摘 ? 要：大數(shù)據(jù)平臺作為核心數(shù)據(jù)的存儲、計算的統(tǒng)一載體，其數(shù)據(jù)來源復(fù)雜、結(jié)構(gòu)多樣，而“臟”數(shù)據(jù)的接入、服務(wù)應(yīng)用、人員訪問權(quán)限的控制缺失，會導(dǎo)致完整性、可信性的閉環(huán)失效。文章提出了一種基于身份動態(tài)持續(xù)認證的大數(shù)據(jù)平臺訪問信任技術(shù)體系，實現(xiàn)了與大數(shù)據(jù)平臺相關(guān)的采集設(shè)備、應(yīng)用服務(wù)、API接口、人員權(quán)限的聯(lián)動，并基于終端環(huán)境感知完成動態(tài)持續(xù)認證，實現(xiàn)了大數(shù)據(jù)平臺的數(shù)據(jù)采集傳輸、存儲、使用等全生命周期的安全防護，為企業(yè)建設(shè)大數(shù)據(jù)平臺訪問信任體系提供技術(shù)支撐。

關(guān)鍵詞：大數(shù)據(jù)平臺;數(shù)據(jù)安全;動態(tài)持續(xù)認證;訪問信任

中圖分類號：TP274+.2 ? ? ? ? ?文獻標(biāo)識碼：B

Abstract： Ensuring the security of data flow is the core content of big data platform security. The data source of big data platform is complex and the data structure is diverse. The “dirty” data access to big data platform will lead to serious lack of credibility. After the data is processed by big data platform. The control of services， applications， and personnel access rights is not strict and can lead to serious data leakage incidents. This paper studies a big data platform access trust technology based on identity dynamic continuous authentication， realizes the identity of terminals， collection devices， applications， services， interfaces and personnel information related to big data platform， and implements dynamic continuous authentication based on terminal environment awareness. To realize the security protection of data collection， transmission， storage， use and sharing of big data platform， and provide reference for enterprises to build security system of big data platform access trust system.

Key words： big data platform; data security; dynamic continuous authentication; access trust

1 引言

當(dāng)前，隨著“云大物移智”等前沿技術(shù)的發(fā)展，大數(shù)據(jù)以其擁有復(fù)雜異構(gòu)數(shù)據(jù)、多層級分析關(guān)聯(lián)、AI、Data Mining等特點成為關(guān)注焦點，并以其可為政務(wù)、能源、金融等行業(yè)提供數(shù)據(jù)決策支持，為新常態(tài)的動能轉(zhuǎn)換提供增長點而納入國家發(fā)展戰(zhàn)略。同時，隨著以Hadoop為典型大數(shù)據(jù)架構(gòu)的創(chuàng)新技術(shù)加速演進，促進了Spark、Graph、Map Reduce等計算理論的進步。由此，大數(shù)據(jù)平臺作為核心數(shù)據(jù)的收集、存儲、計算的統(tǒng)一載體，起著萬物中心引擎的關(guān)鍵作用。

然而，海量數(shù)據(jù)匯集的同時，也意味著大量政治和經(jīng)濟利益的匯集，總有一些人想方設(shè)法地試圖謀取不當(dāng)?shù)美鸞1]。目前，針對大數(shù)據(jù)的勒索攻擊和數(shù)據(jù)泄露日趨嚴重，全球大數(shù)據(jù)安全事件呈高發(fā)態(tài)勢，大數(shù)據(jù)平臺的復(fù)雜邏輯TAP、多維采集和應(yīng)用API都會成為黑客攻擊的突破口。大數(shù)據(jù)平臺的安全問題催生了相關(guān)領(lǐng)域的產(chǎn)品研發(fā)，但大多數(shù)是基于單點或單面防護，對數(shù)據(jù)整體框架結(jié)構(gòu)安全的防護考慮還不足[2，3]。

2 數(shù)據(jù)訪問風(fēng)險與防護需求

數(shù)據(jù)在大數(shù)據(jù)平臺中的采集輸入、租戶訪問、傳輸共享以及開發(fā)測試等場景下都可能存在安全風(fēng)險。

首先，大數(shù)據(jù)平臺的功能模塊一般由數(shù)十個開源或半開源組件構(gòu)成，而在安全體系的組件上卻屈指可數(shù)。以Hadoop為例，雖然存在著一些開源的數(shù)據(jù)審計與認證模塊，但都是基于平臺簡單的ACL，在數(shù)據(jù)南北向流轉(zhuǎn)、出入口防護、多租戶隔離等方面有著明顯的不足，缺乏統(tǒng)一的訪問控制措施[4]。

其次，攻擊者大量利用口令爆破、XSS等慣用伎倆突破企業(yè)邊界。無論是基于登錄過程的弱口令，還是對于傳輸過程中的憑證截獲或偽造，其攻擊的根本目標(biāo)是繞過企業(yè)網(wǎng)絡(luò)的訪問權(quán)限限制。這種攻擊看似低級，卻是最易得手的伎倆之一。根據(jù)美國移動運營商Verizon報告分析指出，81%的黑客成功地利用了強度不足的密鑰，輕而易舉地獲得了數(shù)據(jù)的訪問權(quán)限[5]。

另外，以APT為代表的高級攻擊層出不窮。大型組織或者敵對勢力發(fā)起的規(guī)?；W(wǎng)絡(luò)攻擊事件中，攻擊者往往利用“0Day”的漏洞，對政府或商業(yè)巨頭的大數(shù)據(jù)平臺進行“定點打擊”，這類攻擊往往隱蔽性高，持續(xù)時間長，危害極大。

2.1 數(shù)據(jù)訪問風(fēng)險

2.1.1 接入身份不明晰

大數(shù)據(jù)平臺的數(shù)據(jù)輸入身份有各類采集終端、業(yè)務(wù)人員、行業(yè)應(yīng)用等，輸出身份有各類API接口、分析用戶、外部用戶等多達近百種，由于交互身份的不明晰，很難基于用戶的身份進行詳細的權(quán)限控制，也就無法追蹤溯源。

2.1.2 應(yīng)用接口不明確

各應(yīng)用在通過API接口或Socket服務(wù)訪問大數(shù)據(jù)平臺時，可能存在接口共用、接口權(quán)限過大、數(shù)據(jù)訪問控制不嚴格等情況。各組件在通過API進行數(shù)據(jù)共享時，由于缺乏對數(shù)據(jù)類別的訪問控制，可能導(dǎo)致敏感數(shù)據(jù)泄露。

2.1.3 攻擊方式多樣化

大數(shù)據(jù)平臺可能存在SQL注入、XSS、APT、數(shù)據(jù)積淀泄露等被動攻擊風(fēng)險。惡意用戶可能對大數(shù)據(jù)平臺進行SQL注入、緩沖區(qū)溢出等攻擊，對數(shù)據(jù)庫直接進行撞庫、拖庫，一旦突破防護，HBASE、HIVE、HDFS等組件中的數(shù)據(jù)將會全部暴露。此外，業(yè)務(wù)人員未通過安全接口訪問數(shù)據(jù)，運維人員擁有獲取敏感數(shù)據(jù)進行測試的權(quán)限，可能會造成數(shù)據(jù)采集錯誤或者數(shù)據(jù)丟失。

2.2 數(shù)據(jù)訪問防護需求

基于對數(shù)據(jù)安全風(fēng)險的分析，大數(shù)據(jù)平臺在數(shù)據(jù)訪問防護方面存在五方面需求。

（1）數(shù)據(jù)采集方面。對各類終端、業(yè)務(wù)人員、行業(yè)應(yīng)用進行標(biāo)識，使用PKI進行授權(quán)，保證采集數(shù)據(jù)的準(zhǔn)確、可靠性，防止非法假冒“臟”數(shù)據(jù)輸入。

（2）接口與應(yīng)用方面。建立行業(yè)白名單，對業(yè)務(wù)和應(yīng)用身份化，嚴格梳理權(quán)限，對大數(shù)據(jù)平臺組件和數(shù)據(jù)表的訪問權(quán)限進行控制，避免各類應(yīng)用直接暴露于互聯(lián)網(wǎng)，防止API濫用。

（3）人員方面。對各類運維人員、業(yè)務(wù)人員、外部用戶的身份進行實名制身份鑒別，將用戶的權(quán)限進行分組，使用統(tǒng)一的GUI，進行多因子認證后再授權(quán)。總的來說，就是網(wǎng)絡(luò)環(huán)境下的身份鑒別，就是驗證某個通信參與方是否與他聲稱的身份一致性的過程[6]。

（4）終端方面。對各類PC、移動終端進行身份標(biāo)識，并對運行環(huán)境進行動態(tài)評估，限制存在指定漏洞和未安裝安全軟件的終端訪問數(shù)據(jù)，動態(tài)調(diào)整終端的接入權(quán)限。

（5）監(jiān)管合規(guī)方面。當(dāng)前國家對數(shù)據(jù)信息安全越來越重視，已出臺《中華人民共和國網(wǎng)絡(luò)安全法》[7]《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》[8]《國家電子政務(wù)標(biāo)準(zhǔn)化指南》[9]等相關(guān)政策標(biāo)準(zhǔn)。為了滿足國家對企業(yè)信息數(shù)據(jù)安全建設(shè)要求，企業(yè)需要以業(yè)務(wù)需求為導(dǎo)向，規(guī)范建設(shè)企業(yè)數(shù)據(jù)信息安全保障體系，形成科學(xué)實用的規(guī)范化安全管理能力、體系化安全技術(shù)防護能力、綜合化安全監(jiān)管運維能力，以滿足相關(guān)部門對于企業(yè)信息安全的監(jiān)管和合規(guī)要求。

3 訪問信任架構(gòu)設(shè)計

大數(shù)據(jù)平臺的數(shù)據(jù)安全是指保護存儲在平臺上的數(shù)據(jù)防止被未經(jīng)授權(quán)用戶的訪問或修改，機密性、完整性、可用性是其主要的安全屬性?；谠撛O(shè)想，谷歌率先提出了BeyondCorp計劃，旨在構(gòu)建基于“零信任”模型的安全架構(gòu)，最核心的PKI/PMI是基于受控設(shè)備和用戶是否合法，而不是基于網(wǎng)絡(luò)訪問控制。

本文提出了一種基于大數(shù)據(jù)平臺的數(shù)據(jù)安全立體防護技術(shù)，將大數(shù)據(jù)平臺作為“黑盒”進行防護，對大數(shù)據(jù)平臺的入口和出口使用基于身份動態(tài)持續(xù)認證的大數(shù)據(jù)平臺訪問信任技術(shù)，加速構(gòu)建大數(shù)據(jù)安全保障體系，保護流經(jīng)大數(shù)據(jù)平臺的數(shù)據(jù)安全。

設(shè)計大數(shù)據(jù)平臺的訪問信任架構(gòu)體系，核心是對數(shù)據(jù)采集、接口與應(yīng)用、人員、終端等方面進行全面的身份化，并進行動態(tài)持續(xù)認證，實現(xiàn)對大數(shù)據(jù)平臺多個主客體之間的細粒度權(quán)限管控，實現(xiàn)統(tǒng)一身份認證管理的精細化、動態(tài)化的授權(quán)能力。關(guān)鍵是訪問信任體系通過在主體（終端、用戶）和客體（應(yīng)用、接口、數(shù)據(jù)）之間進行嚴格的身份識別，并建立唯一安全可信的訪問控制路徑，實現(xiàn)訪問過程的安全可控，從而將身份鑒權(quán)作為新的控制點，把身份和動態(tài)訪問控制共同作為大數(shù)據(jù)安全保障的關(guān)口。

訪問整體架構(gòu)如圖1所示，通過接口訪問控制系統(tǒng)（入口和出口）、應(yīng)用訪問控制GUI、終端代理感知、動態(tài)訪問信任控制中心等構(gòu)成立體的訪問信任架構(gòu)體系。實現(xiàn)數(shù)據(jù)入口、數(shù)據(jù)出口、應(yīng)用接口三道安全防線。

動態(tài)訪問信任控制中心是實現(xiàn)基于身份動態(tài)持續(xù)認證的核心，能夠充分評估終端風(fēng)險并進行計算和策略持續(xù)動態(tài)調(diào)整?？刂浦行钠脚_接收終端代理感知的漏洞和病毒木馬評估結(jié)果，為接口訪問控制系統(tǒng)、應(yīng)用訪問控制GUI動態(tài)持續(xù)下發(fā)訪問控制策略，調(diào)整相應(yīng)終端的權(quán)限，動態(tài)限制或中斷存在風(fēng)險的會話。接口訪問控制系統(tǒng)、應(yīng)用訪問控制GUI通過反向代理方式實現(xiàn)數(shù)據(jù)隱藏，并根據(jù)控制中心平臺下發(fā)的策略提供應(yīng)用級或接口級的細粒度授權(quán)。

4 基于終端環(huán)境度量的動態(tài)訪問信任算法

采用的算法模型在整體架構(gòu)上分為終端代理感知客戶端和動態(tài)訪問信任控制中心兩大模塊。終端代理感知客戶端主要負責(zé)采集終端的相關(guān)要素信息，如系統(tǒng)配置、操作系統(tǒng)補丁、殺毒軟件版本等。動態(tài)訪問信任控制中心模塊主要負責(zé)接收客戶端代理提供的多個終端要素信息，按照一定的評估算法對其進行評估并得到全局性的終端環(huán)境評估結(jié)果，然后與用戶身份一起作為訪問控制的判決主體。

本算法度量的安全指標(biāo)主要分為安全配置措施、監(jiān)控審計措施、漏洞病毒情況。這些措施的完備與健全直接影響著終端系統(tǒng)的安全。其中，安全配置措施包括賬號密碼策略設(shè)置、端口及服務(wù)設(shè)置、補丁更新設(shè)置、防火墻設(shè)置、殺毒軟件安裝等。監(jiān)控審計措施包括系統(tǒng)安全審核機制、日志設(shè)置等。漏洞病毒情況為終端代理掃描的高危漏洞及病毒數(shù)量統(tǒng)計。

其中，安全配置措施權(quán)重為J（0

設(shè)X=（X1，X2，...，Xn）為安全配置措施空間，即攻擊防范措施的內(nèi)容值，如X1為賬號密碼策略設(shè)置，X2為端口及服務(wù)設(shè)置，Xn為殺毒軟件安裝。Y=（Y1，Y2，..，Ym）為監(jiān)控審計措施空間，即終端監(jiān)控審計措施的內(nèi)容值，如Y1為安全審核機制，Ym日志設(shè)置。Z=（L1，L2）為病毒木馬情況空間，如L1為高危漏洞情況，L2病毒木馬情況。

根據(jù)采集器的結(jié)果，配置合格Xn和Ym取值為1，配置不合格Xn和Ym取值為0。存在高危漏洞L1取值為0，反之為1。存在病毒木馬L2取值為0，反之為1。

單項測評結(jié)果：

某時刻t，動態(tài)訪問信任控制中心計算終端總體信任值結(jié)果：

將目標(biāo)訪問系統(tǒng)的安全防護級別分為五級，即B=（低、較低、中、較高、高），且高級別系統(tǒng)權(quán)限包含低級別系統(tǒng)權(quán)限，即用戶獲得高級別系統(tǒng)的權(quán)限時具備對低級別系統(tǒng)的訪問權(quán)限。At取值可映射值B的安全級別，動態(tài)訪問信任控制中心計算調(diào)整終端至相應(yīng)的訪問權(quán)限。

終端在獲得系統(tǒng)訪問權(quán)限后，每分鐘的時刻t， 動態(tài)訪問信任控制中心計算計算終端總體信任值結(jié)果At，獲得新的安全級別B及訪問權(quán)限，實現(xiàn)動態(tài)持續(xù)認證。

通過本文公式的計算和評估，假如一臺終端存在病毒和高危漏洞情況，將會計算出較低的At值，在B空間獲得的安全級別較低，僅對少量低安全級別的系統(tǒng)有訪問權(quán)限，阻斷對高級別安全防護系統(tǒng)的訪問，實現(xiàn)基于終端環(huán)境的動態(tài)授權(quán)可持續(xù)認證。

5 典型場景應(yīng)用

依據(jù)動態(tài)訪問信任安全架構(gòu)的技術(shù)思路，以典型的Hadoop架構(gòu)的大數(shù)據(jù)中心為例，探討實際場景應(yīng)用。

（1）確定保護目標(biāo)、數(shù)據(jù)訪問路徑和暴露面，包括數(shù)據(jù)出入口、數(shù)據(jù)采集接口和應(yīng)用API、外部數(shù)據(jù)共享接口等。

（2）構(gòu)建身份認證中心，以現(xiàn)有4A或其他平臺為基礎(chǔ)建立PKI/PMI體系，對人員、終端、應(yīng)用簽發(fā)CA證書，保證接入大數(shù)據(jù)平臺的身份可信。

（3）構(gòu)建應(yīng)用及API接口的安全訪問控制點，應(yīng)用訪問控制GUI對所有接入進行訪問身份鑒權(quán)，接口訪問控制系統(tǒng)對所有的行業(yè)應(yīng)用與數(shù)據(jù)API之間強制調(diào)用安全訪問策略。

（4）構(gòu)建及時終端風(fēng)險檢測評估，使用終端上安裝的Agent感知程序，對終端的病毒木馬和漏洞進行掃描，將評估結(jié)果及時反饋給評估系統(tǒng)。

（5）構(gòu)建動態(tài)持續(xù)認證控制平臺，采用動態(tài)訪問信任控制中心對接口訪問控制系統(tǒng)和應(yīng)用訪問控制GUI進行集中管理，基于終端威脅評估結(jié)果進行動態(tài)授權(quán)。

訪問信任系統(tǒng)整體部署架構(gòu)如圖2所示。

部署方案同時實現(xiàn)了訪問主體（用戶終端、外部應(yīng)用接口、采集終端、原有業(yè)務(wù)）對客體（數(shù)據(jù)中心的數(shù)據(jù)服務(wù)接口）的接入控制，并且可根據(jù)訪問主體實現(xiàn)細粒度的訪問授權(quán)。在訪問過程中，可基于用戶終端的病毒木馬、漏洞數(shù)據(jù)的風(fēng)險狀態(tài)進行動態(tài)授權(quán)調(diào)整，以保障數(shù)據(jù)訪問的持續(xù)安全性。其中，動態(tài)訪問控制中心可導(dǎo)入現(xiàn)有IAM（訪問控制）[10]、4A、PKI/CA（公鑰基礎(chǔ)設(shè)施/數(shù)字證書）[11]實現(xiàn)用戶身份的確認。

在部署方案中，以用戶訪問為例，數(shù)據(jù)交互流程如下。

（1）用戶在終端設(shè)備中對目標(biāo)應(yīng)用的訪問，須統(tǒng)一接入應(yīng)用訪問控制GUI。

（2）應(yīng)用訪問控制門戶根據(jù)填寫的訪問用戶信息向動態(tài)訪問信任控制中心發(fā)起認證請求。

（3）動態(tài)訪問信任控制中心通過現(xiàn)有的IAM、4A、PKI/CA實現(xiàn)用戶身份的確認，完成用戶的認證授權(quán)。

（4）用戶在應(yīng)用訪問控制門戶的授權(quán)通過，訪問請求轉(zhuǎn)發(fā)至接口訪問控制系統(tǒng)，接口訪問控制系統(tǒng)根據(jù)用戶信息向動態(tài)訪問信任控制中心發(fā)起認證請求。

（5）動態(tài)訪問信任控制中心完成用認證及授權(quán)，接口訪問控制系統(tǒng)轉(zhuǎn)發(fā)接口調(diào)用請求至JDBC接口或API服務(wù)[12]。

（6）JDBC接口或API服務(wù)根據(jù)請求逐級返回數(shù)據(jù)，完成數(shù)據(jù)的訪問信任工作。

（7）動態(tài)訪問信任控制中心實時收集終端的病毒木馬、漏洞數(shù)據(jù)，計算用戶的風(fēng)險數(shù)據(jù)，當(dāng)終端的風(fēng)險達到設(shè)置的閾值時，動態(tài)調(diào)整終端的權(quán)限。

整個訪問過程實現(xiàn)了基于身份動態(tài)持續(xù)認證的大數(shù)據(jù)平臺訪問信任技術(shù)應(yīng)用。

6 優(yōu)勢及價值

提升安全能力，應(yīng)對實時風(fēng)險。采用統(tǒng)一的數(shù)字化身份信息，實現(xiàn)訪問用戶身份的全面認證。通過細粒度以及動態(tài)化的授權(quán)方式，滿足實時的安全性要求。獲取實時的環(huán)境安全狀態(tài)、訪問行為數(shù)據(jù)，智能分析風(fēng)險并調(diào)整訪問控制策略。

實現(xiàn)自動管理，降低運維成本。通過自動化的身份管理、認證及授權(quán)能力，可以有效地減少企業(yè)IT人員的工作量及人為出錯。從安全架構(gòu)層面可以解決安全的源頭問題，投入低，可靠性高，避免重復(fù)建設(shè)。

提高工作效率，提升用戶體驗。消除物理邏輯邊界，提供隨時隨地的企業(yè)數(shù)據(jù)訪問;自動獲取用戶身份安全狀態(tài)進行訪問授權(quán)，安全用戶無感接入;一站式訪問門戶和單點登錄，有效地提升用戶使用效率。

7 結(jié)束語

在邁向SDN、集中化存儲的大數(shù)據(jù)環(huán)境下，本文提出了一種基于身份動態(tài)持續(xù)認證的訪問信任技術(shù)，構(gòu)建應(yīng)用訪問控制GUI、接口訪問控制API、動態(tài)訪問控制中心、終端代理感知等系統(tǒng)，實現(xiàn)以身份為基礎(chǔ)，以細粒度的應(yīng)用、安全動態(tài)策略為核心，遵循最小權(quán)限原則構(gòu)筑安全防護體系，為大數(shù)據(jù)中心的整體安全架構(gòu)提供技術(shù)支撐。

參考文獻

[1] 齊向東.漏洞[M].上海：同濟大學(xué)出版社，2018.

[2] 徐保民，李春艷.云安全深度剖析：技術(shù)原理及應(yīng)用實踐[M].北京：機械工業(yè)出版社，2016.

[3] 薛朝暉，向敏.零信任安全模型下的數(shù)據(jù)中心安全防護研究[J].通信技術(shù)，2017，50（06）：1290-1294.

[4] Rory Ward，Betsy Beyer.BeyondCorp：A New Approach to Enterprise Security[EB/OL]. （2014-12-01）[2017-02-09].https：//research.google.com/pubs/pub43231.html.

[5] 梁繼良，孫家彥，韓暉.大數(shù)據(jù)時代安全可信防御體系[J].網(wǎng)絡(luò)空間安全，2018，9（12）：35-40.

[6] 胡道元，閔京華.網(wǎng)絡(luò)安全（第2版）[M].北京：清華大學(xué)出版社，2008.

[7] 新華社.中華人民共和國網(wǎng)絡(luò)安全法[EB/OL]. http：//www.cac.gov.cn/2016-11/07/c_1119867116.htm，2016-11-07.

[8] GB/T 22239-2019.信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求[S].

[9] GB/T30850.1—014.電子政務(wù)標(biāo)準(zhǔn)化指南[S].

[10] 趙彥，江虎，胡乾威.互聯(lián)網(wǎng)企業(yè)安全高級指南[M]. 北京：機械工業(yè)出版社，2017.

[11] 吳世忠，李斌，張曉菲，沈傳寧，李淼.信息安全技術(shù)[M].北京：機械工業(yè)出版社，2014.

[12] 王書平，楊薇.數(shù)據(jù)可信框架計算研究[J].計算科學(xué)， 2018（37）：72-73.