一種多租戶授權(quán)管理訪問控制模型

邊根慶，李 榮，邵必林

BIAN Genqing1,LI Rong1,SHAO Bilin2

1.西安建筑科技大學(xué) 信息與控制工程學(xué)院，西安710055

2.西安建筑科技大學(xué) 管理學(xué)院，西安710055

1.School of Information and Control Engineering,Xi’an University of Architecture and Technology,Xi’an 710055,China

2.School of Management,Xi’an University of Architecture and Technology,Xi’an 710055,China

1 引言

云計(jì)算是指以互聯(lián)網(wǎng)為基礎(chǔ)將規(guī)?；Y源池的處理、存儲(chǔ)、基礎(chǔ)設(shè)施和軟件服務(wù)提供給用戶，實(shí)現(xiàn)低成本、自動(dòng)化、快速提供和靈活伸縮的IT 服務(wù)[1]。企業(yè)可以通過網(wǎng)絡(luò)租賃云計(jì)算提供的軟硬件服務(wù)，即云服務(wù)，從而減少運(yùn)營(yíng)成本。云服務(wù)提供商將同一個(gè)實(shí)例租賃給不同租戶，即多租戶應(yīng)用，租戶通過非完全可信的云服務(wù)商存儲(chǔ)和處理數(shù)據(jù)[2-3]。為此，多租戶應(yīng)用通過按需定制和共享存儲(chǔ)的交互方式獲得云服務(wù)的同時(shí)也面臨新的挑戰(zhàn)：（1）未授權(quán)租戶為了獲取商業(yè)秘密竊取信息；（2）具有部分權(quán)限的租戶越權(quán)訪問未授權(quán)資源；（3）云服務(wù)提供商可能對(duì)外泄露租戶業(yè)務(wù)信息。因此云服務(wù)中的租戶信息面臨的主要問題是訪問控制問題，需要通過有效控制租戶的訪問權(quán)限來保護(hù)其信息的安全。

云服務(wù)通過管理在線共享資源池的訪問權(quán)限，以按需分配方式分配系統(tǒng)資源給租戶[4-5]。為確保租戶信息的完整性和機(jī)密性，本文提出一種多租戶授權(quán)管理訪問控制模型（Multi-Tenant Access Control Model，MTACM），該模型根據(jù)任務(wù)聚類的思想分層授權(quán)管理角色屬性，綜合利用基于角色訪問控制（Role-Based Access Control，RBAC）[6]和密文的屬性加密策略（CP-ABE）[7]。首先將云服務(wù)授權(quán)給租戶，再結(jié)合任務(wù)聚類思想組成任務(wù)組，采用以CP-ABE 算法為基礎(chǔ)的訪問控制模型分組管理租戶角色屬性，將權(quán)限細(xì)粒度分配給租戶角色，從而統(tǒng)一管理租戶訪問請(qǐng)求，提高云服務(wù)的安全性和系統(tǒng)訪問的有效性。

2 理論基礎(chǔ)

2.1 基于角色的訪問控制模型

基于角色訪問控制模型（RBAC）是指在實(shí)現(xiàn)訪問控制管理時(shí)，通過引入中間元素角色，根據(jù)不同租戶的任務(wù)授予租戶不同的資源操作權(quán)限。RBAC 的主要思想就是先由角色聚合權(quán)限，再把權(quán)限賦予租戶，將租戶、權(quán)限和角色通過映射關(guān)系聯(lián)系在一起，而租戶被分配到合適的角色，大大簡(jiǎn)化了授權(quán)的管理。RBAC 的特點(diǎn)是將不同類別和級(jí)別的權(quán)限賦予不同的角色，即角色對(duì)應(yīng)業(yè)務(wù)系統(tǒng)中的任務(wù)，然后再將角色分配到租戶，在租戶和權(quán)限訪問控制之間搭建一座橋梁[8]。

RBAC 支持3 個(gè)安全原則：最小特權(quán)、責(zé)任分開和數(shù)據(jù)抽象。最小特權(quán)原則要求不能賦予租戶多于他進(jìn)行工作的特權(quán)；責(zé)任分開要求確保一項(xiàng)任務(wù)可以調(diào)用各個(gè)互斥的角色[9-10]；數(shù)據(jù)抽象的支持指的是允許抽象的許可，例如一個(gè)目標(biāo)賬號(hào)的貸款和借款，而不只是經(jīng)典的讀、寫和執(zhí)行許可。

RBAC 的關(guān)系模型如圖1 所示，RBAC0 置于最底層表明它是任何支持RBAC 系統(tǒng)的最小要求，RBAC1 和RBAC2 都包括了RBAC0，但是有其自身獨(dú)立的特性，這個(gè)相當(dāng)于角色層次的概念。統(tǒng)一的模型RBAC3 包括RBAC1和RBAC2，同時(shí)根據(jù)傳遞性擁有了RBAC0模型。

圖1 RBAC 模型關(guān)系圖

2.2 基于密文策略的屬性加密

CP-ABE 是基于屬性加密的密文策略，密文隱藏在訪問控制樹中，密鑰與可描述的屬性相關(guān)[11]，只有當(dāng)訪問者的屬性符合密文訪問策略時(shí)，才能解密密文，獲取資源的訪問權(quán)限，即訪問結(jié)構(gòu)區(qū)分密文，屬性相當(dāng)于私鑰。訪問控制基于屬性而不是基于整個(gè)系統(tǒng)，則可以實(shí)現(xiàn)細(xì)粒度權(quán)限訪問控制管理[12-13]。

CP-ABE 算法的基本步驟如下。

（1）初始化：服務(wù)器端輸入?yún)?shù)λ，通過循環(huán)群G計(jì)算輸出公鑰PK和主密鑰MK。

（2）生成私鑰：根據(jù)主密鑰MK和訪問者屬性集A生成私鑰SK。

（3）加密：對(duì)服務(wù)資源M加密，生成密文CT和訪問控制樹T，訪問控制樹T由屬性集組成，CT中暗含T。

（4）解密：結(jié)合訪問者的私鑰SK，通過解密算法判斷是否授權(quán)給訪問者。

3 多租戶授權(quán)管理訪問控制模型

多租戶應(yīng)用是云計(jì)算技術(shù)架構(gòu)中面向服務(wù)的最為典型的應(yīng)用模式，它要求服務(wù)器計(jì)算環(huán)境，存儲(chǔ)資源及其網(wǎng)絡(luò)資源的設(shè)計(jì)和部署必須滿足自動(dòng)化、快速性、動(dòng)態(tài)性以及移動(dòng)性、安全性和面向商業(yè)服務(wù)等需求。云服務(wù)中服務(wù)器虛擬化將傳統(tǒng)的物理服務(wù)器虛擬化成若干個(gè)虛擬服務(wù)器，每個(gè)虛擬服務(wù)器運(yùn)行獨(dú)立的操作系統(tǒng)。每個(gè)租戶擁有虛擬服務(wù)器資源池中的一臺(tái)虛擬服務(wù)器或一組虛擬服務(wù)器。不同租戶在共享數(shù)據(jù)中心基礎(chǔ)設(shè)施的同時(shí)，會(huì)按照各自的需求定義他們的虛擬化資源。而這些虛擬化資源，對(duì)于不同的租戶相互獨(dú)立和隔離。云服務(wù)提供商必須按照協(xié)定動(dòng)態(tài)地進(jìn)行部署，滿足租戶的需求。

為了滿足多組戶環(huán)境的安全性，降低系統(tǒng)復(fù)雜度，本文提出一種多租戶授權(quán)管理訪問控制模型（MTACM）：租戶租賃到云服務(wù)，采用K-modes 算法[14]將各個(gè)租戶根據(jù)屬性特點(diǎn)聚類為任務(wù)組，即通過聚類實(shí)現(xiàn)租戶中角色的劃分，并將租戶中相同項(xiàng)目組的角色分配在同一任務(wù)組。任務(wù)組用來管理角色，是租戶和角色的橋梁，通過聚類后的任務(wù)組管理簡(jiǎn)化訪問控制模型的管理策略；進(jìn)而結(jié)合CP-ABE 算法，針對(duì)任務(wù)組設(shè)置解密密文需要的屬性，租戶中角色通過任務(wù)組解密密文，無需單獨(dú)完成解密密文的屬性匹配。與傳統(tǒng)訪問控制模型對(duì)比，針對(duì)多租戶應(yīng)用，MTACM 采用聚類構(gòu)建基于任務(wù)組管理的模型，在保證租戶安全的前提下，減少了屬性匹配次數(shù)，進(jìn)一步降低了系統(tǒng)復(fù)雜度。具體框架如圖2 所示，通過任務(wù)聚類授權(quán)管理訪問控制，實(shí)現(xiàn)角色的細(xì)粒度管理。

圖2 MTACM 框架

3.1 多租戶授權(quán)管理訪問控制流程

租戶按需定制云服務(wù)，獲得云服務(wù)的使用權(quán)后，各個(gè)租戶根據(jù)任務(wù)和自身組織結(jié)構(gòu)聚類，形成任務(wù)組，將不同資源訪問權(quán)分配到任務(wù)組，角色通過任務(wù)組獲得解密密文，即圖2 虛框所示，訪問控制流程見圖3。

圖3 多租戶訪問控制流程

3.2 多租戶訪問控制模型算法

合法租戶購(gòu)買云服務(wù)后得到授權(quán)，此時(shí)租戶根據(jù)業(yè)務(wù)需求，可分配到某一任務(wù)組的角色，相同項(xiàng)目組的角色分配到同一任務(wù)組Ui∈U，Ui的角色e∈E具有相同屬性Ui(A)，角色根據(jù)自己的屬性通過任務(wù)組獲取資源訪問權(quán)限。

多租戶授權(quán)管理訪問控制模型的構(gòu)建算法如下所示。

（1）Setup(λ)：云服務(wù)端輸入安全參數(shù)λ（λ決定循環(huán)群G的階數(shù)），由素?cái)?shù)為p、生成元為g的循環(huán)群G隨機(jī)選擇兩個(gè)指數(shù)α,β∈Zp，輸出公鑰PK和主密鑰MK。

PK=G,g,ɡ1=gβ,ɡ2=e(g,g)α

MK={β,gα}

（2）KeyGen(MK,A,U)：輸入主密鑰MK，角色屬性集A和任務(wù)組集合U，γ∈Zp，γi∈Zp，?ai∈A，輸出U中每個(gè)角色的私鑰SK。

其中，租戶根據(jù)任務(wù)給角色e增加任務(wù)組集合U的屬性列Ui(A)，給相同任務(wù)組的角色屬性列Ui(A)賦予相同的屬性值。

（3）δKeyGen(U)：輸入任務(wù)組集合U，輸出U中每個(gè)任務(wù)組中角色的匹配因子δ。

（4）Encrypt(PK,M,T)：云服務(wù)端數(shù)據(jù)提供者對(duì)服務(wù)資源M加密生成密文CT和訪問控制樹T。

步驟1訪問樹T中每個(gè)節(jié)點(diǎn)Nj對(duì)應(yīng)多項(xiàng)式fj，節(jié)點(diǎn)Nj的度為dj(dj=nj-1,nj為節(jié)點(diǎn)j的閾值）。

步驟2根節(jié)點(diǎn)N1選取隨機(jī)數(shù)s∈ZP，且多項(xiàng)式f1(0) =s。

步驟3使用加密公式CT加密：

其中，ai屬于所有角色屬性集，j是葉節(jié)點(diǎn)。

（5）Decrypt(CT,T,SK,A,δ) ：私鑰為SK，屬性為A，匹配因子為δ的角色通過解密算法解密密文CT，當(dāng)角色屬于某個(gè)任務(wù)組時(shí)，通過該任務(wù)組的匹配因子實(shí)現(xiàn)資源共享。

3.3 多租戶訪問控制模型實(shí)現(xiàn)

實(shí)驗(yàn)環(huán)境：在操作系統(tǒng)為Windows Server 2003 的VMware Workstation 虛擬機(jī)上安裝Ubuntu 13.04，內(nèi)存4 GB。具體實(shí)現(xiàn)過程如下所示。

（1）在Ubuntu 安裝需要的庫(kù)[15]：M4，gmp，pbc，glit，openssl，libbswabe，cpabe，它們的依賴關(guān)系如圖4 所示。

圖4 實(shí)現(xiàn)訪問控制需要安裝的庫(kù)

（2）運(yùn)行初始化函數(shù)Setup(λ)，生成租戶租賃云服務(wù)的公鑰pub_key 和主密鑰master_key，如圖5 所示。

（3）角色根據(jù)自己的屬性集和訪問策略運(yùn)行KeyGen(MK,A,U)函數(shù)，將任務(wù)組中角色的屬性列賦值Ui(A)，相同任務(wù)組的角色標(biāo)記相同的匹配因子δ，生成角色ea 和eb 的私鑰ea_priv_key、eb_priv_key，如圖5所示。

圖5 初始化及生成私鑰

（4）運(yùn)行Encrypt(PK,M,T)加密信息security_report.pdf，生成密文security_report.pdf.cpabe，如圖6 所示。

（5）角色利用解密算法Decrypt(CT,T,SK,A,δ)解密密文security_report.pdf.cpabe，角色屬性不符合訪問策略則提示無法成功解密密文，如圖6 所示。

圖6 加密、解密過程

4 認(rèn)證與分析

4.1 安全性認(rèn)證

MTACM 在CP-ABE 的基礎(chǔ)上引入聚類和任務(wù)組，聚類針對(duì)租戶劃分人員，并將相同任務(wù)的人員分配在同一任務(wù)組，用匹配因子δ標(biāo)記，故要證明MTACM 的安全性，必須證明基于CP-ABE 通過聚類和任務(wù)組管理后構(gòu)建的模型的安全性。

因?yàn)镃P-ABE 的映射函數(shù)Hi(ai)將屬性ai映射為循環(huán)群G上的一個(gè)隨機(jī)元素，加密密文為：

由于聚類和任務(wù)組管理是對(duì)租戶中人員分任務(wù)組管理，即根據(jù)任務(wù)組實(shí)現(xiàn)CP-ABE中的屬性匹配，依然按照CP-ABE算法實(shí)現(xiàn)交互，故MTACM實(shí)質(zhì)上只是減少了加密密文中屬性ai的個(gè)數(shù)，因此MTACM 模型與CP-ABE具有相同的安全性，文獻(xiàn)[7]已經(jīng)證明了CP-ABE 算法的安全性，故本文提出的MTACM 模型也是安全的。此模型可以避免非授權(quán)租戶角色訪問云中存儲(chǔ)的數(shù)據(jù)和惡意訪問者的聯(lián)合攻擊，進(jìn)而可以保證多租戶應(yīng)用環(huán)境下的安全。

4.2 復(fù)雜度分析

本文提出的模型中花費(fèi)時(shí)間最長(zhǎng)的是解密函數(shù)中用到的配對(duì)運(yùn)算。假定Tp代表一次配對(duì)運(yùn)算時(shí)間，Tm代表純量乘法時(shí)間。在Encrypt 算法中，每一位角色e計(jì)算e(g,g)只需要1Tp時(shí)間，但是對(duì)于每一個(gè)屬性相關(guān)的行x，角色總共需要4mTm時(shí)間，其中2Tm的時(shí)間計(jì)算C1，x，1Tm時(shí)間計(jì)算C2，x，1Tm時(shí)間計(jì)算C3，x。在Decrypt過程中，每個(gè)x都必須運(yùn)行兩次配對(duì)算法，分別計(jì)算e(H(u),C3,x)和e(ski,u,C2,x)，總共需要2mTp時(shí)間。角色還需要計(jì)算，最多需要mTm。因此，Encrypt 和Decrypt 總共需要(2m+1)Tp+5mTm時(shí)間。租戶以任務(wù)組的形式把任務(wù)分配給角色，假設(shè)某一任務(wù)組有n(n＜m)個(gè)角色具有相同屬性，通過其中某一個(gè)角色屬性即可解密，則Encrypt 和Decrypt 總共需要的時(shí)間 為(2m-2n+1)Tp+5(m-n+1)Tm＜(2m+1)Tp+5mTm，設(shè)n=5，為一個(gè)任務(wù)組，當(dāng)m值變化時(shí)MTACM 和CP-ABE 解密時(shí)間如圖7 所示，隨著角色屬性不斷增加，MTACM 明顯比CP-ABE 花費(fèi)的解密時(shí)間少，故本文提出的模型比CP-ABE 計(jì)算量開銷小。

圖7 解密算法所需時(shí)間

從圖7 分析：采用任務(wù)組授權(quán)管理訪問控制模型時(shí)，在任務(wù)組個(gè)數(shù)確定的情況下，隨著屬性數(shù)量增加，該模型解密所需時(shí)間比CP-ABE 算法少，因?yàn)閮煞N算法加密時(shí)間相同，故該模型比CP-ABE 算法復(fù)雜度小。

5 結(jié)論

針對(duì)多租戶應(yīng)用在云服務(wù)中存在訪問控制方面的安全隱患和匹配運(yùn)算復(fù)雜度較高的問題，提出了多租戶授權(quán)管理訪問控制模型。本文模型利用聚類思想將任務(wù)分組，引入匹配因子標(biāo)記同任務(wù)組的角色，實(shí)現(xiàn)角色的細(xì)粒度授權(quán)訪問控制管理，減少了屬性匹配運(yùn)算次數(shù)，防止了越權(quán)管理，避免了非法訪問者聯(lián)合惡意攻擊問題。因此，通過訪問控制提高了云服務(wù)下多租戶的安全性，通過角色屬性的任務(wù)組管理減少了系統(tǒng)計(jì)算量開銷，降低了系統(tǒng)的復(fù)雜度。

[1] 馮登國(guó)，張敏，張妍，等.云計(jì)算安全研究[J].軟件學(xué)報(bào)，2011，22（l）：71-83.

[2] 徐光俠，陳蜀宇.面向移動(dòng)云計(jì)算彈性應(yīng)用的安全模型[J].計(jì)算機(jī)應(yīng)用，2011，31（4）：952-955.

[3] 史玉良，欒帥，李慶忠，等.基于TLA 的SaaS 業(yè)務(wù)流程定制及驗(yàn)證機(jī)制研究[J].計(jì)算機(jī)學(xué)報(bào)，2010，33（11）：2055-2067.

[4] Itani W，Kayssi A，Chehab A.Privacy as a service：Privacy aware data storage and processingin cloud computing architectures[C]//Proceedings of the 8th IEEE International Conference on Dependable，Autonomic and Secure Computing，2009：711-716.

[5] 張逢結(jié)，陳進(jìn)，陳海波，等.云計(jì)算中的數(shù)據(jù)隱私性保護(hù)與自我銷毀[J].計(jì)算機(jī)研宄與發(fā)展，2011，48（7）：1155-1167.

[6] 劉偉，蔡嘉勇，賀也平.基于角色的管理模型隱式授權(quán)分析[J].軟件學(xué)報(bào)，2000，20（4）：1048-1057.

[7] Bethencourt J，Sahai A，Waters B.Ciphertext-policy attribute based encryption[C]//Proc of IEEE Symp Security Privacy，2007：321-334.

[8] 楊庚，沈劍剛.基于角色的訪問控制理論研究[J].南京郵電大學(xué)學(xué)報(bào)：自然科學(xué)版，2006，26（3）：1-8.

[9] 王鳳英.訪問控制原理與實(shí)踐[M].北京：北京郵電大學(xué)出版社，2010.

[10] Baden R，Bender A，Spring N，et al.Persona：An online social network with user defined privacy[C]//Proc of ACM SIGCOMM Conf Data Commun，2009：135-146.

[11] 孫國(guó)梓，董宇，李云.基于CP-ABE 算法的云存儲(chǔ)數(shù)據(jù)訪問控制[J].通信學(xué)報(bào)，2011，32（7）：146-152.

[12] 王小明，付紅，張立臣.基于屬性的訪問控制研究進(jìn)展[J].電子學(xué)報(bào)，2010，38（7）：1660-1667.

[13] 李曉峰，馮登國(guó)，陳朝武，等.基于屬性的訪問控制模型[J].通信學(xué)報(bào)，2008，29（4）：90-98.

[14] 孫吉貴，劉杰，趙連宇，等.聚類算法研究[J].軟件學(xué)報(bào)，2008，19（l）：48-61.

[15] The GNU multiple precision arithmetic library[EB/OL].[2013-05-20].http：//gmplib.org/.