Özel Bulut Ortamında Şifreleme Sistemine Dayalı Erişim Kontrolü Uygulaması Araştırması
Bulut bilişim, ağ üzerinden talep üzerine çeşitli uygulama sistemleri için kullanıcıların ihtiyaç duyduğu donanım, platform, yazılım kaynakları veya bilgi hizmetlerini sağlayan, esnek, genişletilmesi kolay, düşük maliyetli ve verimlidir. . Hükümetler, bankalar, iletişim, ticaret ve ordu gibi önemli ulusal altyapıların inşasında bulut bilişim teknolojisinin yaygın kullanımıyla birlikte, özel bulut ortamlarında veri güvenliği ve verimli uygulamalar giderek dikkatleri üzerine çekmiştir.
Son yıllarda, bulut bilişim endüstrisindeki güvenlik olayları artan bir eğilim göstermiştir. Dünyanın en ilgili araştırma kuruluşu olan Cloud Security Alliance (CSA), veriler dahil olmak üzere bulut bilişim alanındaki 12 önemli güvenlik tehdidini özetleyen "Bulut Bilişim için En Büyük 12 Tehdit + Sektör Öngörüleri" raporunu 2016 yılında yayınladı. Sızıntı (Veri İhlalleri), Yetersiz Kimlik (Kimlik Bilgisi ve Erişim Yönetimi), Sistem Güvenlik Açıkları (Sistem Güvenlik Açıkları), Hesap Saldırısı, Kötü Amaçlı İçeriden Bilgi Kaybı, Hizmetin Kötüye Kullanımı Ve yasa dışı kullanım (Bulut Hizmetlerinin Kötüye Kullanımı ve Canavarca Kullanımı) ve Kimlik Sahtekarlığı, Verilere Müdahale Etme, Reddetme ve Bilgi İfşasından Microsoft tehdit analizi modeli STRIDE'a dayanmaktadır. , Her bir güvenlik tehdidinin sonuçlarını değerlendirmek için Hizmet Reddi ve Ayrıcalık Yükseltme. Bulut güvenliği sorununun özünün bulut bilişim ortamında veri güvenliğini çözmek olduğu görülebilmektedir.En temel şey kriptografik teknikler ve araçlarla veri kaynaklarının gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamaktır. Bu makale, özel bulut bilişim ortamına dayalı erişim kontrol teknolojisinin uygulamasını incelemektedir.
1 Geleneksel erişim kontrol teknolojisi
1.1 Erişim Kontrol Teknolojisinin İlkeleri
Erişim kontrol teknolojisi, ana bilgisayar sistemlerinde paylaşılan verilere yetkili erişimi yönetme sorununu çözmek için 1970'lerde önerildi ve özü, kullanıcıları belirlenen yetkilendirme politikasına göre yetkilendirmektir. Erişim kontrol teknolojisinin gerçekleştirilmesi için temel fikir şu şekildedir: ilk olarak kullanıcının kimliğinin yasallığını doğrulayın ve ikinci olarak, temel veri kaynaklarının korunmasını gerçekleştirmek için kullanıcının veri kaynaklarına belirli bir yolla erişim iznini görüntüleyin veya yeterliliğini ve kapsamını sınırlayın. Erişim kontrol teknolojisi sayesinde, aşağıdaki üç işlev gerçekleştirilebilir: (1) Yasadışı kullanıcıların korumalı veri kaynaklarına erişmesini önleyin; (2) Yasal kullanıcıların yetkili veri kaynaklarına erişmesine izin verin; (3) Yasal kullanıcıların yetkisiz veri kaynaklarına erişmesini önleyin . Yıllar süren geliştirmeden sonra, mevcut erişim kontrol modeli genellikle dört varlık içerir: konu, nesne, erişim operasyonu ve erişim kontrol stratejisi.
1.2 Geleneksel erişim kontrol modeli
Geleneksel erişim kontrolü iki türe ayrılır: İsteğe Bağlı Erişim Kontrolü (DAC) ve Zorunlu Erişim Kontrolü (MAC). Ağ ve bilgi işlem teknolojisinin sürekli gelişmesiyle birlikte, Rol Tabanlı Erişim Kontrolüne (RBAC) dayalı birçok genişletilmiş model ortaya çıkmıştır.
DAC modelinde, nesne sahibi, nesnenin erişim hakkını veya erişim hakkının bir kısmını diğer konulara verip vermeyeceğine karar verir Nesne sahibi için bu kontrol yöntemi özerktir. DAC mekanizmasının avantajları basitlik, esnek yetkilendirme ve rahat kullanımdır Ancak, büyük ölçekli dağıtılmış sistemler için erişim kontrolü çok karmaşık hale gelir ve verimlilik düşer.
MAC modelinde, özel bir yetkilendirme kurumu sırasıyla konu ve nesne için erişim haklarını tanımlar. Bu mekanizma altında, nesne sahibinin bile yetkisini değiştirme hakkı yoktur. MAC mekanizmasının avantajı, DAC'de ortaya çıkan erişim aktarımı sorununu ortadan kaldırması ve hiyerarşik özelliklere sahip olmasıdır; dezavantajı, izinleri yönetmenin zor olması ve zayıf esnekliğe sahip olmasıdır.
RABC modeli, izinleri rollerle ilişkilendiren ve özneler ve roller aracılığıyla erişim izinleri arasında çoktan çoğa bir ilişki kuran "rol" kavramını ortaya koyar Rollere izinler verilir ve özneler için roller verilir. Standart RBAC referans modeli NIST RBAC Şekil 1'de gösterilmektedir.
2 Özel bulut ortamında erişim kontrolü üzerine araştırma
2.1 Bulut ortamında erişim kontrolü zorlukları
Bulut bilişim ortamında erişim kontrolü, tüm bulut hizmet sistemi boyunca çalışan bir güvenlik teknolojisidir. Bulut ortamının kendisi, veri dış kaynak kullanımı, altyapı yayınlama, kaynak paylaşımı ve geleneksel erişim kontrol teknolojilerine zorluklar oluşturan dinamik özelleştirilmiş hizmetler özelliklerine sahiptir. Esas olarak aşağıdaki seviyeler vardır:
(1) Sanal teknolojinin uygulanması nedeniyle, bulut bilişim ortamındaki erişim kontrol teknolojisi, kullanıcıların sanal kaynaklara erişim ve bulut depolama verilerine güvenli erişim için geleneksel yetkilendirilmesinden genişletilmiştir.Bu nedenle, erişim kontrolü konusu ve nesnesinin kontrol edilmesi gerekmektedir. İlgili kavramları yeniden tanımlayın.
(2) Bulut bilişim ortamında, birleşik bir yetkili yönetim merkezinin eksikliği vardır. Kaynak sahipleri, kaynak yöneticileri ve kaynak talep edenler farklı güvenlik yönetimi etki alanlarında bulunabilir. Kullanıcılar, güvenlik yönetimi etki alanlarında kaynaklara eriştiğinde, etki alanları arası yetkilendirme kimlik doğrulaması ve Erişim kontrol mekanizmasının desteklenmesi.
(3) Bulut bilişim ortamında, kullanıcılar, kaynaklar, ağ ortamları vb. Hepsi dinamiktir ve kullanıcıların yetkilendirme yönetimi de sürekli değişmektedir.Pek çok yönetici rolü, karmaşık düzey ve izin dağıtım modlarında değişiklik vardır. Dinamik ve güvenli erişim kontrolünün uygulanması zorluklar ortaya çıkarır.
(4) Bulut bilişim ortamında, sanal kaynakların alt katmandan tamamen izole edildiği mekanizma, gizli kanalların keşfedilmesini zorlaştırmakta ve bunları yönetmek için erişim kontrol mekanizmalarına ihtiyaç duyulmaktadır.
(5) Bulut ortamında güven ve gizlilik koruması sorunu, erişim kontrolünün uygulanmasının yeniden düşünülmesini de gerektirir.
2.2 Özel bulut ortamında erişim kontrol teknolojisinin uygulama özellikleri
Özel bulut, bir kuruluş veya kuruluş tarafından dahili olarak oluşturulan ve kullanılan bir bulut platformunu ifade eder. Tüm hizmetleri dahili personel veya şubeler tarafından kullanılır. Devlet daireleri, endüstriyel departmanlar ve askeri alanlar gibi bazı kuruluşlarda, kurumlarda ve işletmelerde yaygındır. Bekle. Ortak özel bulut uygulama ortamları analiz edildiğinde, özellikler şu şekilde özetlenebilir:
(1) Sunucunun yüksek derecede güvenilirliği vardır. Çoğu genel bulut bilişim ortamında, veri kaynaklarının teslimi bulut hizmet sağlayıcısı tarafından kontrol edilir.Ancak kullanıcılar için sunucu tamamen güvenilir bir rol değildir.Özel bir bulut ortamında, bulut platformunun altyapısı Üniteye özgü olan sunucu, birden fazla dahili koruma altında bulunur ve güvenilirliği nispeten yüksektir.
(2) Dahili personelin yüksek güvenilirliği. Özel bulutlar genellikle işletmeler veya kuruluşlar içindeki personele veya şubelere hizmet vermek için kullanılır.Hizmetlerinin kapsamı sabit ve personel kontrol edilebilir, dahili personelin neden olduğu güvenlik riskleri azdır.
(3) Uygulama modu son derece özelleştirilmiştir. Özel bulut, inşaat biriminin organizasyon yapısı, yönetim yapısı, iş bileşimi vb. Fiili durumuna dayalı olarak tamamen özelleştirilir ve geliştirilir ve talep üzerine yüksek düzeyde kontrol edilebilir yapılandırma ve dağıtım sağlayabilir. Bu nedenle, özel bulut ortamındaki güvenlik, daha çok veri kaynaklarının güvenli bir şekilde depolanmasına ve etkin bir şekilde uygulanmasına odaklanır, yani bulut platformundaki veri kaynaklarının güvenlik koruması, şifreleme, doğrulama, yetkilendirme yönetimi ve erişim kontrolü gibi teknolojiler aracılığıyla sağlanır.
Şifreleme sistemine dayalı erişim kontrol teknolojisi, veri kaynaklarını şifrelemek ve korumak için şifreleme sisteminin kullanılmasını ifade eder ve yalnızca şifre çözme için gerekli anahtara sahip olan kullanıcılar verileri etkin bir şekilde elde edebilir. Bu teknoloji, veri kaynaklarının şifreleme korumasını gerçekleştirir ve aynı zamanda uygulamanın etkin kontrolünü ve veri kaynaklarının paylaşım kapsamını gerçekleştirir. Şu anda, daha olgun teknoloji, Öznitelik Tabanlı Şifreleme erişim denetimi (ABE) teknolojisidir.
ABE erişim kontrolü, Şekil 2'de gösterildiği gibi dört taraf içerir: veri kaynağı sağlayıcıları, güvenilir yetkilendirme merkezleri, bulut sunucuları ve veri kaynağı talep edenler.
Uygulama mekanizması şu şekilde açıklanmaktadır: İlk olarak, güvenilir yetkilendirme merkezi ana anahtarı ve genel parametreleri üretir ve sistem genel anahtarını veri sağlayıcısına iletir; veri sağlayıcı, orijinal veri kaynaklarını şifrelemek ve şifreli metni şifrelemek için genel anahtarı ve erişim stratejisi yapısını kullanır. Ve erişim politikası yapısı bulut sunucusuna yüklenir; kullanıcı sisteme katıldığında, öznitelik setini güvenilen yetkilendirme merkezine yükler ve özel anahtar için başvurur; güvenilen yetkilendirme merkezi, özel anahtarı hesaplamak için kullanıcı tarafından gönderilen bilgileri ve ana anahtarı kullanır, Ve bunu kullanıcıya iade edin; son olarak, kullanıcı bir veri erişim talebinde bulunur Öznitelik kümesi şifreli metin verilerinin erişim politikası yapısını karşılarsa, veri kaynağı başarıyla paylaşılır, aksi takdirde veri erişimi başarısız olur.
Şifreleme sistemine dayalı 3 Bulut bilişim erişim kontrol uygulaması
Özel bulut bilişim ortamında, platform dışındaki güvenilmeyen ve kontrol edilemeyen faktörlerin neden olduğu güvenlik riskleri nispeten küçüktür, bu nedenle güvenlik stratejisi, bulut dahili uygulamaları ile depolama arasındaki güvenlik risklerini kontrol etmeye ve önlemeye daha fazla odaklanır. Şifreleme sistemine dayalı erişim kontrol teknolojisi uygulamasının üç kilit noktası vardır: (1) kullanıcı gruplama ve yönetim mekanizması; (2) anahtar dağıtım mekanizması; (3) farklı güvenlik alanları için yetkilendirme mekanizması. Bu bölüm temel olarak şifreleme sistemine dayalı bulut bilişim erişim kontrolü uygulama şemasını açıklar ve ardından yukarıdaki üç mekanizmanın tasarım fikirlerini kısaca tartışır.
3.1 Erişim kontrol şemasının açıklaması
Özel bulut ortamındaki erişim kontrol şeması 4 modül içerir: Şekil 3'te gösterildiği gibi bir erişim talebi analiz modülü, bir erişim veri koruma modülü, bir erişim kontrol modülü ve bir depolama etkileşim modülü.
(1) Erişim talebi çözümleme modülü, temel olarak bulut kullanıcısı tarafından gönderilen erişim talebini analiz eder.Genellikle talep, bulut depolama terminalinin veritabanı üzerinde bir işlemdir.Farklı talep işlemlerine göre, sonraki veri şifreleme koruma yöntemlerinin seçimi için bir temel sağlar.
(2) Erişim veri koruma modülü, düz metin verilerinin (tablo adları, sütun adları ve karakter segment değerleri gibi) karşılık gelen şifreleme korumasından sorumludur ve erişim isteği ayrıştırma modülü tarafından istenen işlemin analizine göre karşılık gelen şifreleme algoritmasını seçer.
(3) Erişim kontrol modülü, kullanıcı öznitelik şifrelemesine dayanır, öznitelik stratejisini parametrenin bir parçası olarak şifreleme bağlantısına sokar ve şifreli metin genişletme modeline göre özel anahtarı üretir. Öznitelik şifreleme sonucunu saklamak için erişim kontrolüne ihtiyaç duyan alana veya satıra bir bayrak sütunu ekleyin Alan verilerini çalıştırmadan önce, geçerli kullanıcının bayrak sütununun şifresini çözüp çözmediğini ve şifre çözme başarılı olduktan sonra işlemin tamamlanıp tamamlanamayacağını doğrulayın.
(4) Depolama etkileşim modülü, çözümlenmiş erişim talebini işleme için bulut depolama terminaline göndermek ve işleme sonucunu elde etmek için bulut depolama terminali tarafından sağlanan arayüze dayanır. Özünde, bu modül bir eşleme aracısıdır. Girdisi, müşteri tarafından gönderilen düz metin erişim talebidir. Bir dizi şifreleme ve yeniden yazmadan sonra, şifreli metin erişim talebi her şifreleme sonucuna göre çıkarılır ve bulut depolama terminaline gönderilir.
Kullanıcı erişim bulut hizmeti sürecinin ayrıntılı açıklaması Şekil 4'te gösterilmektedir.
(1) Kimlik doğrulama ve izin denetlemesinden sonra istemci, bulut hizmetine erişim için kullanım izninin belirli bir bölümünü alır ve izin kapsamındaki gerçek ihtiyaçlara göre buluta bir uygulama isteği başlatır.
(2) Bulut sunucusu, isteğe göre standart bir bulut depolama isteği komutu oluşturur ve bu komutu aynı zamanda şifreleme proxy sunucusuna gönderir.
(3) Şifreleme proxy sunucusu, istemciden istek komutunu alır, analiz eder, yargılar ve istek komutu şifreleme işlemini tamamlamak için istek komutunun şifreleme düzeyini seçer.
(4) Şifreleme proxy sunucusu, veri katmanı verilerinin gizli sorgulanmasını sağlamak için istek cümlesini analiz sonucuna göre şifreler ve yeniden yazar.
(5) Veritabanı aracısı, şifrelenmiş istek komutunu bulut depolama yönetimi sunucusuna gönderir.
(6) Bulut depolama terminali, istek komutunu yürütür, şifrelenmiş verilerin işleme sonucunu alır ve sonucu şifrelenmiş proxy sunucusuna döndürür.
(7) Şifreleme proxy sunucusu, gizli işleme sonucunu aldıktan sonra şifresini çözer ve yeniden yazar ve bunu bulut sunucusuna döndürür.
(8) Bulut sunucusu şifre çözme sonucunu alır ve tüm erişim talebi sürecini tamamlamak için sonucu kullanıcıya geri gönderir.
3.2 Kullanıcı grubu yönetim mekanizması
Özel bulut ortamları genellikle kuruluşlar veya kurumlar için özel hizmetler sağlar ve kullanıcıları yalnızca kuruluşun dahili personelini değil, şubelerin ve şubelerin dahili personelini ve işleriyle ilgili harici personeli de içerir. Buluttaki kullanıcıların farklı rollerine, iş bölümüne ve organizasyonel ilişkilere göre, bulut kullanıcıları birleşik ve standartlaştırılmış yönetim için farklı organizasyonlara bölünmelidir. Bulut ortamında kullanıcı yönetimi ve uygulama hizmetlerini kolaylaştırmak ve kuruluşun fiili çalışma özelliklerine uymak için, özel bulut ortamındaki kullanıcı yönetimi mekanizması, kuruluşun iç organizasyon yapısına ve iş hiyerarşik ilişkilerine dayanmalı, kullanıcılara karşılık gelen rolleri atamalı ve kullanıcı kimliklerini dağıtmalıdır. Mekanizmayı tanımlayın ve doğrulayın, hizmet kaynaklarının güvenlik düzeyini formüle edin ve bulut kullanıcılarının güvenli ve verimli yönetimini sağlamak için kullanıcının erişim haklarını bölün.
3.3 Kullanıcı anahtarı dağıtım mekanizması
Özel bir bulut ortamında, şifreleme mekanizmasına dayalı bir erişim kontrol şeması, veri kaynaklarının güvenliğini ve kullanıcıların mahremiyetini korurken, kullanıcı kimlik bilgilerini ve erişim talep bilgilerini şifreleyerek bulut hizmeti uygulamalarının talep aralığını etkin bir şekilde kontrol edebilir, böylece yüksek verimlilik elde edilir, Güvenli ve güvenilir erişim kontrolü. Bunların arasında, kullanıcı anahtarlarının dağıtımı ve yönetimi, tüm planın anahtarıdır. Kriptografide, anahtarların analizi genellikle güvenilir bir üçüncü tarafın varlığına bağlıdır.Özel bir bulut ortamında, iç güvenlik riski küçüktür ve güvenilirlik derecesi yüksektir.Aynı zamanda, bulut sunucusunun kullanımı ve hizmet kapsamı nispeten sınırlıdır. Yetenek güçlüdür, bu nedenle kullanıcı anahtarlarının dağıtımı ve yönetimi tamamen bulutun kendi yeteneklerine güvenebilir. İşlem Şekil 5'te gösterilmektedir.
3.4 Etki alanları arası yetkilendirme mekanizması
Aynı sistem organizasyonunda organizasyon yapısı, personel rolleri, iş kapsamı, veri gizliliği seviyesi gibi farklı etkenler nedeniyle organizasyon içerisindeki özel bulut ortamı birden fazla güvenlik alanına bölünebilir ve bulut ortamındaki personel, kaynaklar ve veriler birden fazla güvenlik alanına bölünebilir. , İş vb. Daha güvenli ve etkili yönetim ve kontrol yürütmek. Bir bulut kullanıcısının kendi güvenlik etki alanı dışındaki kaynaklara erişmesi gerektiğinde, bu, çapraz güvenlik etki alanı erişim işlemlerinin yetkilendirilmesini ve kimlik doğrulamasını içerir. Birden çok güvenlik etki alanı arasındaki şifreli metin erişim denetimi teknolojisi, üçüncü taraf güvenilir kimlik doğrulama merkezine, yani özel bir bulut etki alanları arası yetkili kimlik doğrulama yönetim merkezine dayanır. Etki alanları arası erişim gereksinimleri olan kullanıcıların, güvenlik etki alanı tarafından yetkilendirilip kimlik doğrulaması yapıldıktan sonra etki alanları arası yetkilendirme ve kimlik doğrulama yönetim merkezinden izin için başvurmaları gerekir. Yönetim merkezi, etki alanları arası erişim isteğini tek tip olarak belirleyecektir. Erişim isteğine izin verilirse erişimdir Etkili etki alanları arası erişim kontrolü için hem özneden hem de nesneden simetrik bir veri şifreleme anahtarı dağıtmasını isteyin. Gerçekleştirme mekanizması Şekil 6'da gösterilmektedir.
4. Sonuç
Özel bulutların özel uygulama geçmişi ve yapım gereksinimleri olduğundan ve erişim kontrol teknolojisi, buluttaki veri ve uygulamaların güvenliğini sağlamanın anahtarı olduğundan, özel bulut ortamında erişim kontrolü teknolojisi üzerine özel araştırmalara ihtiyaç vardır. Bu makale, bulut ortamında geleneksel erişim kontrol teknolojisinin karşılaştığı zorlukları analiz eder, özel bulutların özelliklerini birleştirir, erişim kontrol teknolojisinin uygulama özelliklerini analiz eder ve bir şifreleme sistemine dayalı bir bulut erişim kontrol şeması önerir.Kullanıcı grubu yönetim mekanizması, anahtar dağıtım mekanizması ve Alanlar arası yetkilendirme mekanizmasının kısa bir açıklaması. Buna dayanarak, bir sonraki adım, özel bulut kullanıcılarının gizlilik koruması ve güven değerlendirmesi üzerine araştırma yapmak olacaktır.
Referanslar
Feng Chaosheng, Qin Zhiguang, Yuan Ding. Bulut Veri Güvenliği Depolama Teknolojisi. Chinese Journal of Computers, 2015, 38 (1): 150-163.
Cloud Security Alliance. Bulut bilişim ve sektör içgörülerine yönelik en önemli 12 tehlikeli tehditler. 2017.
Chen Long, Xiao Min, Luo Wenjun, vb Bulut Bilişim ve Veri Güvenliği Beijing: Science Press, 2016.
Li Hao, Zhang Min, Feng Dengguo ve diğerleri.Büyük Veri Erişim Kontrolü Araştırması. Chinese Journal of Computers, 2017, 40 (1): 72-91.
Li Xiehua, Wang Yanlong, Xu Ming ve diğerleri. Bulut depolamada merkezi olmayan öznitelik tabanlı şifreleme ve veri paylaşım şeması. China Communications, 2018 (2): 138-152.
Zhang Ruyun. Bulut Ortamına Dayalı Kurumsal Veri Güvenliği Analizi Ofis Otomasyonu, 2018, 2 (1): 56-59.
Wang Yuding, Yang Jiahai, Xu Cong ve diğerleri. Bulut Bilişim Erişim Kontrol Teknolojisi Araştırmasına Genel Bakış. Yazılım Dergisi, 2015, 26 (5): 1129-1150.
Zhang Yuqing, Wang Xiaofei, Liu Xuefeng ve diğerleri.Bulut bilgi işlem ortamı güvenliğine genel bakış. Journal of Software, 2016, 27 (6): 1-21.
Lu Jiawei, Wu Feifei, Xu Jun, ve diğerleri.Dinamik yetkilendirme mekanizmasına dayalı uyarlanabilir bulut erişim kontrol yöntemi üzerine araştırma. Bilgisayar Uygulamaları ve Yazılım, 2017, 34 (7): 325-332.
Zheng Zhiheng, Zhang Minqing, Dai Xiaoming, vb. Proxy yeniden şifrelemeye dayalı verimli bir bulut depolama erişim kontrol şeması Elektronik Teknoloji Uygulaması, 2016, 42 (11): 99-105.
Zhang Kai, Li Hui, Ma Jianfeng, vd.
Qian Chongchong, Xie Fu. Güvenilir bir üçüncü tarafa dayalı bir CP-ABE bulut depolama erişim kontrol şeması. Bilgisayar ve Dijital Mühendislik, 2017, 45 (1): 122-126.
Li Yong, Lei Linan, Zhu Yan.Ciphertext erişim kontrolü ve uygulaması üzerine araştırma. Bilgi Güvenliği Araştırması, 2016, 2 (8): 721-728.
Wang Jingyu, Gu Ruichun. Bulut bilişim ortamı için erişim kontrol teknolojisi. Beijing: Science Press, 2017.
yazar bilgileri:
Yang Haopu, Liu Jiguang, Shen Bin
(Çin Halk Kurtuluş Ordusu Birimi 92493, Huludao 125000, Liaoning)
